JPWO2016194909A1 - アクセス分類装置、アクセス分類方法、及びアクセス分類プログラム - Google Patents

アクセス分類装置、アクセス分類方法、及びアクセス分類プログラム Download PDF

Info

Publication number
JPWO2016194909A1
JPWO2016194909A1 JP2017521950A JP2017521950A JPWO2016194909A1 JP WO2016194909 A1 JPWO2016194909 A1 JP WO2016194909A1 JP 2017521950 A JP2017521950 A JP 2017521950A JP 2017521950 A JP2017521950 A JP 2017521950A JP WO2016194909 A1 JPWO2016194909 A1 JP WO2016194909A1
Authority
JP
Japan
Prior art keywords
trees
access
similarity
server
classification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017521950A
Other languages
English (en)
Other versions
JP6557334B2 (ja
Inventor
俊樹 芝原
俊樹 芝原
毅 八木
毅 八木
満昭 秋山
満昭 秋山
雄太 高田
雄太 高田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2016194909A1 publication Critical patent/JPWO2016194909A1/ja
Application granted granted Critical
Publication of JP6557334B2 publication Critical patent/JP6557334B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • G06F16/2228Indexing structures
    • G06F16/2246Trees, e.g. B+trees
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

アクセス分類装置(10)は、木構築部(13)と類似度算出部(14)と分類部(16)とを有する。木構築部(13)は、第1のサーバ及び複数の第2のサーバをノードとし、上記第1のサーバから上記複数の第2のサーバへ一連のアクセスを自動転送する命令をエッジとする複数の木を作成する。類似度算出部(14)は、作成された上記複数の木の各々を構成する部分木の一致度合いに基づき、上記複数の木間の類似度を算出する。分類部(16)は、算出された上記類似度に基づき、上記アクセスを分類する。

Description

本発明は、アクセス分類装置、アクセス分類方法、及びアクセス分類プログラムに関する。
従来、ユーザ端末がアクセスするwebサイトの中から、マルウェアを感染させる悪性webサイトを識別する手法である悪性webサイト識別手法が存在する。この様な悪性webサイト識別手法は、動的解析と静的解析とに分類される。動的解析は、webサーバ等のサーバから取得されたHTML(HyperText Markup Language)やJavaScript(登録商標)等のコンテンツを実行し、その時のホスト上での挙動から脆弱性に対する攻撃を検知することにより、悪性webサイトを識別する手法である。これに対し、静的解析は、サーバからコンテンツの取得のみを行い、該コンテンツのコード解析を行い、プログラム上の特徴や、ドメイン、URL(Uniform Resource Locator)に関連する情報を用いて、良性webサイトで観察される特徴との違いから、悪性webサイトを識別する手法である。
以下、静的解析による悪性webサイトの識別に係る従来技術について説明する。静的解析による悪性webサイト識別手法には、単一ページから取得されたコンテンツの特徴を用いて識別する手法と、webサイトのリダイレクトによって発生した複数ページへのアクセスから特徴を抽出して識別する手法とがある。前者の識別手法では、コンテンツ中のJavaScript(登録商標)を解析して識別する手法が多く提案されている。これらの手法の中には、例えば、スクリプトの行数や文字数、スクリプト中のキーワードの出現回数を用いて特徴ベクトルを記述し、機械学習の手法を用いて識別する手法(非特許文献1)がある。あるいは、for文やwhile文中での処理を抽出し、特徴ベクトルを作成して識別する手法(非特許文献2)がある。更に、JavaScript(登録商標)から作成された抽象構文木のノードタイプから構成される系列を作成し、該系列の類似度によって識別する手法(非特許文献3)等がある。
JavaScript(登録商標)以外にも、HTMLやURL及びホストの情報を利用する手法も存在する。例えば、HTMLを利用する手法には、iframeやscriptタグの出現回数、タグのサイズ等から、コンテンツの悪性判定を行う決定木を作成して識別する手法(非特許文献4)がある。また、URL及びホストの情報を利用する手法には、URLに含まれるキーワード、DNS(Domain Name System)問合せの結果、IP(Internet Protocol)アドレスに紐付く地理的情報を用いて、URLの悪性判定を行う手法(非特許文献5)がある。更には、JavaScript(登録商標)、HTML、URL及びホストの各情報から悪性判定を行う識別器をそれぞれ構築し、複数の識別器の判定を総合してwebサイトの悪性判定を行う手法(非特許文献6)も存在する。あるいは、同一のページに異なる時刻にアクセスした際に取得されるコンテンツから差分を抽出し、該差分を基に悪性判定を行う手法(非特許文献7)も提案されている。
上記以外にも、転送により発生した複数回のwebサイトへのアクセスを基に識別を行う手法では、様々な方法により、悪性webサイトの識別が行われる。例えば、Matsunakaらの手法(非特許文献8)では、実行ファイルのダウンロード時におけるHTTP(Hyper Text Transfer Protocol)ヘッダや、ダウンロード以前に取得されたコンテンツにダウンロードを示す情報が無いこと等を根拠として、脆弱性への攻撃によって発生した転送が検知される。また、Stringhiniらの手法(非特許文献9)では、各ユーザが自動転送によってアクセスした一連のページの時系列から、最終ページが同一のアクセス群を作成した後、それらのアクセス群から、IPアドレス数やリダイレクト数等の特徴ベクトルを作成し、悪性webサイトを識別する。更に、Rafiqueらの手法(非特許文献10)では、リダイレクトによってアクセスしたページの系列からマルウェアのダウンロードに必須な部分を、系列中の複数のページへ個別にアクセスすることによって抽出し、シグネチャを作成することで、悪性webサイトの識別を行っている。
Peter Likarish, Eunjin Jung, and Insoon Jo., "Obfuscated Malicious JavaScript(登録商標) Detection using Classification Techniques.", IEEE 4th International Conference on Malicious and Unwanted Software (MALWARE), 2009. Charlie Curtsinger, et al., "ZOZZLE: Fast and Precise In-Browser JavaScript(登録商標) Malware Detection.", USENIX Security Symposium. 2011. Alexandros Kapravelos, et al., "Revolver: An Automated Approach to the Detection of Evasive Web-based Malware.", USENIX Security. 2013. Christian Seifert, Ian Welch, and Peter Komisarczuk., "Identification of Malicious Web Pages with Static Heuristics.", IEEE Telecommunication Networks and Applications Conference, 2008. Justin Ma, et al., "Beyond Blacklists: Learning to Detect Malicious Web Sites from Suspicious URLs.", Proceedings of the 15th ACM SIGKDD international conference on Knowledge discovery and data mining, 2009. Davide Canali, et al., "Prophiler: A Fast Filter for the Large-Scale Detection of Malicious Web Pages.", Proceedings of the 20th international conference on World wide web, 2011. Kevin Borgolte, Christopher Kruegel, and Giovanni Vigna., "Delta: Automatic Identification of Unknown Web-based Infection Campaigns." Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security, 2013. Takashi Matsunaka, Ayumu Kubota, and Takahiro Kasama., "An Approach to Detect Drive-by Download by Observing the Web Page Transition Behaviors.", Ninth Asia Joint Conference on Information Security, 2014. Gianluca Stringhini, Christopher Kruegel, and Giovanni Vigna., "Shady Paths: Leveraging Surfing Crowds to Detect Malicious Web Pages.", Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security, 2013. M. Zubair Rafique, et al., "Network Dialog Minimization and Network Dialog Diffing: Two Novel Primitives for Network Security Applications.", Proceedings of the 30th Annual Computer Security Applications Conference, 2014.
しかしながら、上述したコンテンツに基づく悪性webサイト識別手法では、サーバから取得されたコンテンツの情報や、URL及びホストの情報を使用するため、攻撃者による回避が容易である。例えば、攻撃者が、悪性webサイトにおいて使用するHTMLタグやJavaScript(登録商標)の関数の傾向を、良性サイトに近くなる様に変更すると、本来は悪性webサイトであるサイトが、良性webサイトと誤識別されてしまうことがある。その結果、コンテンツの提供側は、検知されなかった悪性webサイトをブラックリストに記載することができず、ユーザによる悪性webサイトへのアクセスを許可してしまうという問題が発生し得る。また、リダイレクトに着目した上述の手法でも、複数回のアクセスが必要となり、1回のアクセスから悪性webサイトを識別することはできないため、手法の適用範囲は限定的である。このため、攻撃者によるコンテンツ等の変更に影響され難く、1回のアクセスにより識別可能な悪性webサイト識別手法の構築が望まれている。
開示の実施例は、上記に鑑みてなされたものであって、攻撃者による回避が困難であり、かつ、容易に悪性webサイトを検知することができるアクセス分類装置、アクセス分類方法、及びアクセス分類プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本願の開示するアクセス分類装置は、一つの態様において、第1のサーバ及び第2のサーバをノードとし、前記第1のサーバから前記第2のサーバへアクセスを転送する命令をエッジとする複数の木を作成する作成部と、作成された前記複数の木の各々を構成する部分木の一致度合いに基づき、前記複数の木間の類似度を算出する算出部と、算出された前記類似度に基づき、前記アクセスを分類する分類部とを有する。
また、本願の開示するアクセス分類方法は、一つの態様において、第1のサーバ及び第2のサーバをノードとし、前記第1のサーバから前記第2のサーバへアクセスを転送する命令をエッジとする複数の木を作成する作成工程と、作成された前記複数の木の各々を構成する部分木の一致度合いに基づき、前記複数の木間の類似度を算出する算出工程と、算出された前記類似度に基づき、前記アクセスを分類する分類工程とを含む。
更に、本願の開示するアクセス分類プログラムは、一つの態様において、第1のサーバ及び第2のサーバをノードとし、前記第1のサーバから前記第2のサーバへアクセスを転送する命令をエッジとする複数の木を作成する作成ステップと、作成された前記複数の木の各々を構成する部分木の一致度合いに基づき、前記複数の木間の類似度を算出する算出ステップと、算出された前記類似度に基づき、前記アクセスを分類する分類ステップとをコンピュータに実行させる。
本願の開示するアクセス分類装置、アクセス分類方法、及びアクセス分類プログラムは、攻撃者による回避が困難であり、かつ、容易に悪性webサイトを検知することができるという効果を奏する。
図1は、アクセス分類装置の構成を示す図である。 図2は、アクセス分類装置に入力される解析対象アクセスの例を示す図である。 図3は、アクセス分類装置に入力される既知アクセスの例を示す図である。 図4は、アクセス分類装置により構築される木の構造を示す図である。 図5は、木から部分木が抽出される過程を示す図である。 図6は、共通部分木の割合に基づき、木の類似度を算出する方法を示す図である。 図7は、共通部分木の数に基づき、木の類似度を算出する方法を示す図である。 図8は、共通木の大きさに基づき、木の類似度を算出する方法を示す図である。 図9は、複数の木を複数の集合へ分類する方法を示す図である。 図10は、木の集合から代表木を作成する方法を示す図である。 図11は、類似度を内積値として用いる場合の識別モデル作成処理を説明するためのフローチャートである。 図12は、類似度を内積値として用いる場合のアクセス識別処理を説明するためのフローチャートである。 図13は、代表木との類似度を用いる場合の識別モデル作成処理を説明するためのフローチャートである。 図14は、代表木との類似度を用いる場合のアクセス識別処理を説明するためのフローチャートである。 図15は、アクセス分類プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。
以下に、本願の開示するアクセス分類装置、アクセス分類方法、及びアクセス分類プログラムの実施例を、図面を参照しながら詳細に説明する。なお、以下の実施例により本願の開示するアクセス分類装置、アクセス分類方法、及びアクセス分類プログラムが限定されるものではない。
まず、本願の開示する一実施例に係るアクセス分類装置10の構成を説明する。図1は、アクセス分類装置10の構成を示す図である。図1に示す様に、アクセス分類装置10は、対象アクセス入力部11と既知アクセス入力部12と木構築部13と類似度算出部14と代表木作成部15と分類部16とを有する。これら各構成部分は、一方向又は双方向に、各種信号やデータの入出力が可能な様に接続されている。
対象アクセス入力部11は、解析対象のサーバへのアクセスを入力として許容する。既知アクセス入力部12は、悪性webサイトを提供するサーバへのアクセスであることが既知である既知悪性アクセスと、これとは反対に良性webサイトを提供するサーバへのアクセスであることが既知である既知良性アクセスとを入力として許容する。木構築部13は、対象アクセス入力部11と既知アクセス入力部12とにより入力された各アクセスから、解析対象のサーバへのアクセス元(自動転送元)及びアクセス先(自動転送先)のサーバを「ノード」とし、自動転送命令を「エッジ」とする木を構築する。類似度算出部14は、木構築部13により構築された木の部分木と、代表木作成部15により代表木として作成された部分木との一致度合いを基に、複数の木の類似度を算出する。また、類似度算出部14は、木構築部13により作成された木同士の類似度を算出する。代表木作成部15は、既知アクセス入力部12により入力されたアクセスを、類似度算出部14により算出された上記類似度を基に複数の集合に分割し、各集合内の木に共通する部分木を代表木として作成する。分類部16は、類似度算出部14により算出された類似度を用いて、対象アクセス入力部11により入力されたアクセスが、悪性webサイトへのアクセスであるか否かの判定を行う。
図2は、アクセス分類装置10に入力される解析対象アクセス11aの例を示す図である。図2に示す様に、解析対象アクセス11aの転送先及び転送元としてはURLがあるが、これに限らず、例えば、FQDN(Fully Qualified Domain Name)、ドメイン、ホスト名等であってもよい。また、転送命令に関しても、図2に示す様に、HTMLタグのiframeタグによるリンクを表す「SRC−IFRAME」やHTMLタグのScriptタグによるリンクを表す「SRC−SCRIPT−SRC」等があるが、これに限らない。例えば、HTMLタグのAppletタグによるリンクを表す「SRC−APPLET−ARCHIVE」、HTTPによる転送を表す「HTTP302Redirect」、HTMLタグのObjectタグによるリンクを表す「SRC−OBJECT−CODEBASE」等であってもよい。
図3は、アクセス分類装置10に入力される既知アクセス12aの例を示す図である。図3に示す様に、既知アクセス12aの転送先及び転送元としてはURLがあるが、これに限らず、例えば、FQDN、ドメイン、ホスト名等であってもよい。また、転送命令に関しても、図3に示す様に、上述した「SRC−IFRAME」や「SRC−SCRIPT−SRC」等があるが、これに限らない。既知アクセス12aには、転送先のwebサイト等の性質を識別するためのラベルが付与されるが、該ラベルは、図3に示した「良性」や「悪性」に限るものではなく、「広告」、「Drive−by−Download」、「Phishing」等であってもよい。
図4は、アクセス分類装置10により構築される木の構造を示す図である。図4に示す様に、アクセス分類装置10の木構築部13は、図2及び図3に示したアクセスの転送情報を基に、転送元及び転送先を「ノード」とし、転送命令を「エッジ」とする木を構築する。例えば、木構築部13は、webサイトのURLをノードN1〜N4とし、該URL間の転送命令に対応するエッジE1〜E3を、転送元URLと転送先URLとの間に作成する。木構築部13は、エッジE1〜E3の作成が完了すると、各ノードN1〜N4に付されているURLの情報を除去する。これにより、URLに依存しないリダイレクト構造に着目した、webサイトの識別が可能となる。なお、図4では、ノードN1〜N4に一旦付されたURLが除去された例を示したが、URLは、除去されなくてもよい。
次に、アクセス分類装置10の動作を説明する。
図5は、木から部分木が抽出される過程を示す図である。図5に示す様に、アクセス分類装置10の木構築部13は、構築された木(図4参照)から、該木を構成する部分木を抽出する。例えば、木構築部13は、図5(a)に示す様に、一連のアクセスの中で最初にアクセスしたサーバに対応するノードN1から、他の末端ノードN3、N4までのパスを抽出する。次に、木構築部13は、図5(b)に示す様に、パス中に含まれる全ての部分パスを抽出する。そして、木構築部13は、図5(c)に示す様に、抽出された部分パスを部分木に分解する。このとき、重複する部分木がある場合には、木構築部13は、重複する部分木の一方を削除するものとしてもよい。
図6は、共通部分木T3の割合に基づき、木の類似度を算出する方法を示す図である。図6に示す様に、類似度算出部14は、抽出された部分木(図5(c)参照)を基に、複数の木の類似度を算出する。まず、類似度算出部14は、比較対象の木の内、閾値(例えば、4〜6割程度)以上の割合の木に含まれる部分木の集合を、共通部分木とする。次に、類似度算出部14は、比較対象の全ての木の部分木から、重複する部分木を除去した部分木の集合を、全部分木とする。そして、類似度算出部14は、共通部分木の数を全部分木の数により除算して得られた値を類似度とする。
例えば、図6に示す例では、類似度算出部14は、比較対象の木T1、T2の内、双方(閾値以上)の木T1、T2に含まれる部分木(N1−E3−N4)を、共通部分木T3とする。次に、類似度算出部14は、比較対象の全ての木T1、T2の部分木から、重複する部分木(N5−E6−N8)を除去した部分木の集合を、全部分木T4とする。そして、類似度算出部14は、共通部分木T3の数である“1”を、全部分木T4の数である“7”により除算して得られた値を類似度とする。従って、図6に示す例では、類似度は“1/7”となる。
なお、ノードN1〜N8に付されたURL情報を除去しない態様の場合には、類似度算出部14は、転送命令だけでなくURL情報も含めて、共通部分木T3の抽出あるいは重複部分木の除去のための一致・不一致の判定を行うものとしてもよい。また、全部分木T4の作成に際し、重複する部分木の除去は行わなくてもよい。更に、比較対象の木の数は、2に限らず、2以上であればよい。また、類似度の算出に用いるパラメータに関しても、全部分木数に対する共通部分木数の割合を例示したが、例えば、重み付けを適宜付した上での割合や差分等、共通部分木数と全部分木数とを比較するものであればよい。
図7は、共通部分木T3の数に基づき、木の類似度を算出する方法を示す図である。図7に示す様に、類似度算出部14は、抽出された部分木(図5(c)参照)を基に、複数の木の類似度を算出する。まず、類似度算出部14は、比較対象の木の内、全ての木に含まれる部分木の集合を、共通部分木とする。そして、類似度算出部14は、共通部分木の数を計数して得られた値を類似度とする。
例えば、図7に示す例では、類似度算出部14は、比較対象の木T1、T2の内、双方(全て)の木T1、T2に含まれる部分木(N1−E3−N4)を、共通部分木T3とする。そして、類似度算出部14は、共通部分木T3の数である“1”を類似度とする。従って、図7に示す例では、類似度は“1”となる。
なお、ノードN1〜N8に付されたURL情報を除去しない態様の場合には、類似度算出部14は、転送命令だけでなくURL情報も含めて、共通部分木T3の抽出のための一致・不一致の判定を行うものとしてもよい。また、比較対象の木の数は、2に限らず、2以上であればよい。また、類似度の算出に用いるパラメータに関しても、共通部分木の数を例示したが、必ずしも共通部分木数自体でなくてもよく、例えば、共通部分木に含まれるノードの数やエッジの数等、共通部分木数に基づくものであればよい。
図8は、共通木T8の大きさに基づき、木の類似度を算出する方法を示す図である。図8に示す様に、類似度算出部14は、抽出された木(図4参照)を基に、複数の木の類似度を算出する。まず、類似度算出部14は、複数の木に共通する部分木を抽出する。次に、類似度算出部14は、抽出された共通部分木の中から、ノード数が最大の共通部分木を「共通木」として抽出する。そして、類似度算出部14は、抽出された共通木のノード数を計数して得られた値を類似度とする。
例えば、図8に示す例では、類似度算出部14は、比較対象の木T5、T6の内、双方の木T5、T6に共通する部分木(N1−E1−N2−E2−N3、N1−E1−N2)を抽出し、共通部分木T7とする。次に、類似度算出部14は、共通部分木T7の中から、最大のノード数“3”を有する共通部分木(N1−E1−N2−E2−N3)を抽出し、共通木T8とする。そして、類似度算出部14は、共通木T8のノード数である“3”を類似度とする。従って、図8に示す例では、類似度は“3”となる。
なお、ノードN1〜N6に付されたURL情報を除去しない態様の場合には、類似度算出部14は、転送命令だけでなくURL情報も含めて、共通部分木T7の抽出のための一致・不一致の判定を行うものとしてもよい。また、比較対象の木の数は、2に限らず、2以上であればよい。更に、類似度の算出に用いるパラメータに関しても、共通木のノード数を例示したが、例えば、共通木のエッジ数等、共通木の大きさに関連するものであればよい。
図9は、複数の木を複数の集合へ分類する方法を示す図である。図9に示す様に、アクセス分類装置10は、分類部16により、図4に示した複数の木(アクセス)を、類似度の高い木で構成される複数の集合へ分類する。分類部16は、各集合がそれぞれ1つずつの木のみで構成されている状態から、各集合に属する木同士の上記類似度の最大値が閾値以上の場合に集合を結合する。分類部16は、この結合処理を、結合させる集合が無くなるまで繰り返し実行する。
例えば、図9(a)に示す例では、各集合C1〜C5が、それぞれ1つずつの木(木T11〜T15)のみにより構成されている。分類部16は、複数の木T11〜T15を、類似度の高い木で構成される複数の集合C1’〜 C3’へ分類する。図9(b)に示す例では、類似度の最大値が閾値以上の木T11と木T12とがそれぞれ属する集合C1と集合C2とが結合され、同一の集合C1’に分類される。同様に、類似度の最大値が閾値以上の木T13と木T15とがそれぞれ属する集合C3と集合C5とが結合され、同一の集合C2’に分類される。この結合処理は繰り返し実行されるため、図9(c)に示す様に、集合C1”に属する全ての木T11、T12において、同じ集合C1”に属する他の木との類似度の最大値が閾値以上となる。同様に、集合C2”に属する全ての木T13〜T15において、同じ集合C2”に属する他の木との類似度の最大値が閾値以上となる。これにより、類似度が高い木(木T11、T12と木T13〜T15)で構成される複数の集合(集合C1”と集合C2”)への分類が可能となる。
なお、集合を結合させる基準として、分類部16は、類似度の最大値を用いたが、これに限らず、類似度の最小値や平均値を用いてもよい。類似度の最大値を用いた場合、複数の木に共通して含まれる一部の部分木が共通な木の集合が作成されるが、最大値の代わりに類似度の最小値を用いた場合、分類部16は、多くの部分木が共通な木の集合を作成することができる。また、平均値を用いた場合、分類部16は、それらの中間の木の集合を作成することができる。また、集合を結合させる基準として閾値を設定したが、分類部16は、閾値を設定することなく、類似度が最大となる集合同士から優先的に結合させ、該結合処理を、全体が1つの集合になるまで繰り返し、その後、各集合を結合させた過程の内、何れの段階を採用するかを決定するものとしてもよい。更に、結合対象の集合の数は、2に限らず、2以上であればよい。
図10は、木の集合から代表木を作成する方法を示す図である。図10に示す様に、アクセス分類装置10は、代表木作成部15により、木構築部13の抽出した部分木(図5参照)を基に、分類部16の分類した木の集合(図9参照)から、代表木を作成する。例えば、代表木作成部15は、集合中の全ての木に共通する部分木を代表木とする。図10に示す例では、代表木作成部15は、同一集合中の木T1、T2に共通する部分木(N1−E3−N4)を、代表木T9とする。
なお、代表木作成部15は、集合中の全ての木に共通する部分木を代表木としたが、これに限らず、集合中の所定割合以上の木に含まれる部分木の集合を代表木としてもよい。また、ノードN1〜N8に付されたURL情報を除去しない態様の場合には、代表木作成部15は、転送命令だけでなくURL情報も含めて、代表木T9の作成のための一致・不一致の判定を行うものとしてもよい。更に、比較対象の木の数は、2に限らず、2以上であればよい。
次に、図11〜図14を参照しながら、アクセス分類装置10の動作について、より詳細に説明する。
図11は、類似度を内積値として用いる場合の識別モデル作成処理を説明するためのフローチャートである。S1では、既知アクセス入力部12は、既知良性アクセス及び既知悪性アクセス(図3参照)を入力する。S2では、木構築部13は、入力されたアクセスから木を構築し、構築された木から部分木を抽出する(図4、図5参照)。S3では、類似度算出部14は、抽出された部分木の一致度合いから木の類似度を算出する(図6〜図8参照)。
S4では、分類部16は、S1にて入力されたアクセスとS3にて算出された類似度とを、入力の高次元空間への変換後の内積値を利用する教師あり機械学習に適用する。すなわち、分類部16は、S1にて入力された既知良性アクセスと既知悪性アクセスとを「教師データ」とし、S3にて算出された類似度を、教師データを特徴量空間上のベクトルへ変換した後の「内積値」とした教師あり機械学習により、識別モデルを作成する。なお、教師あり機械学習の手法は、例えば、サポートベクターマシン等であるが、これに限らない。S5では、分類部16は、作成された識別モデルを、後述するハードディスクドライブ108に出力する。出力された識別モデルは、ハードディスクドライブ108内にデータとして保存される。
図12は、類似度を内積値として用いる場合のアクセス識別処理を説明するためのフローチャートである。S11では、対象アクセス入力部11は、解析対象アクセス(図2参照)を入力する。S12では、木構築部13は、入力されたアクセスから木を構築し、構築された木から部分木を抽出する(図4、図5参照)。S13では、類似度算出部14は、抽出された部分木の一致度合いから木の類似度を算出する(図6〜図8参照)。
S14では、分類部16は、S11にて入力されたアクセスとS13にて算出された類似度とを、入力の高次元空間への変換後の内積値を利用する教師あり機械学習に適用する。すなわち、分類部16は、S11にて入力された解析対象アクセスを「テストデータ」とし、S13にて算出された類似度を、テストデータを特徴量空間上のベクトルへ変換した後の「内積値」とした教師あり機械学習により、識別結果を作成する。なお、教師あり機械学習の手法は、例えば、サポートベクターマシン等であるが、上述した識別モデル作成処理に用いた手法と同一の手法であれば、これに限らない。S15では、分類部16は、作成された識別結果を、後述するディスプレイ112等の表示装置に出力する。
図13は、代表木との類似度を用いる場合の識別モデル作成処理を説明するためのフローチャートである。図13は、図11と同様のステップを複数含むので、共通するステップには、末尾が同一の参照符号を付すと共に、その詳細な説明は省略する。具体的には、図13のステップS21〜S23、S25の各処理は、図11に示したステップS1〜S3、S5の各処理にそれぞれ対応する。
S26では、分類部16は、S23にて算出された類似度に基づき、S22にて構築された複数の木を、類似度の高い木から構成される複数の集合に分類する(図9参照)。S27では、代表木作成部15は、S26の分類により得られた各集合毎に、各集合の特徴を表す部分木(例えば、同一集合内の共通部分木)を、代表木として作成する(図10参照)。
S28では、類似度算出部14は、図6〜図8の何れかに示した方法により、S27にて作成された代表木と、S21にて入力された既知良性アクセスまたは既知悪性アクセスから作成された木(部分木を含む)との類似度を算出する(図6〜図8参照)。S29では、分類部16は、S21にて入力されたアクセスとS23にて算出された類似度とを、教師あり機械学習に適用する。すなわち、分類部16は、上記代表木との類似度を並べたベクトルを上記アクセスの特徴ベクトルとして用いた教師あり機械学習により、識別モデルを作成する。なお、教師あり機械学習の手法は、例えば、線形判別分析、サポートベクターマシン、ランダムフォレスト等であるが、これらの手法に限らない。
図14は、代表木との類似度を用いる場合のアクセス識別処理を説明するためのフローチャートである。図14は、図12と同様のステップを複数含むので、共通するステップには、末尾が同一の参照符号を付すと共に、その詳細な説明は省略する。具体的には、図14のステップS31、S32、S35の各処理は、図12に示したステップS11、S12、S15の各処理にそれぞれ対応する。
S36では、類似度算出部14は、図6〜図8の何れかに示した方法により、S27にて作成された代表木と、S31にて入力された解析対象アクセスから作成された木(部分木を含む)との類似度を算出する(図6〜図8参照)。S37では、分類部16は、S31にて入力されたアクセスとS36にて算出された類似度とを、教師あり機械学習に適用する。すなわち、分類部16は、上記代表木との類似度を並べたベクトルを上記アクセスの特徴ベクトルとして用いた教師あり機械学習により、識別結果を作成する。なお、教師あり機械学習の手法は、例えば、線形判別分析、サポートベクターマシン、ランダムフォレスト等であるが、上述した識別モデル作成処理に用いた手法と同一の手法であれば、これらの手法に限らない。
以上説明した様に、アクセス分類装置10は、木構築部13と類似度算出部14と分類部16とを有する。木構築部13は、第1のサーバ(例えば、webサーバ)及び複数の第2のサーバ(例えば、悪性webサイトのサーバ)をノードとし、上記第1のサーバから上記複数の第2のサーバへ一連のアクセスを自動転送する命令をエッジとして表した複数の木を作成する。類似度算出部14は、作成された上記複数の木の各々を構成する部分木の一致度合いに基づき、上記複数の木間の類似度を算出する。分類部16は、算出された上記類似度に基づき、上記アクセスを分類する。
例えば、アクセス分類装置10において、類似度算出部14は、上記複数の木を構成する全ての部分木(全部分木)の数に対する、上記複数の木に共通する部分木(共通部分木)の数の割合を、上記類似度として算出する。また、類似度算出部14は、上記複数の木に共通する部分木(共通部分木)の数を、上記類似度として算出するものとしてもよい。あるいは、類似度算出部14は、上記複数の木に共通する部分木(共通部分木)の内、上記ノードの数が最大の部分木(共通木)のノード数を、上記類似度として算出するものとしてもよい。更に、分類部16は、上記類似度を用いて、上記複数の木の特徴量の空間での内積値を算出し、上記アクセスを分類するものとしてもよい。
また、アクセス分類装置10は、木構築部13と類似度算出部14と分類部16と代表木作成部15とを有する。木構築部13は、複数の木を作成する。類似度算出部14は、作成された上記複数の木の各々を構成する部分木の一致度合いに基づき、上記複数の木間の類似度を算出する。分類部16は、算出された上記類似度に基づき、上記複数の木を、上記類似度の高い複数の木により構成される複数の集合に分類する。代表木作成部15は、上記分類により得られた集合毎に、各集合の特徴を表す単数または複数の部分木(例えば、同一集合内の共通部分木)を、代表木として作成する。アクセス分類装置10において、分類部16は、上記代表木と上記アクセスとの類似度に基づき、上記アクセスを分類するものとしてもよい。
換言すれば、アクセス分類装置10は、自動転送を含むサーバへの一連のアクセスを分類する。これにより、ユーザ端末からwebサーバへのアクセスを自動転送し、転送先のwebサイトでブラウザやプラグインの脆弱性を攻撃することでマルウェアをダウンロードさせる悪性webサイトが有っても、アクセス分類装置10は、リダイレクトパターンの特徴から、悪性webサイトを識別することができる。従って、アクセス分類装置10は、悪性と判定されたwebサイトへのユーザのアクセスを遮断することで、ユーザのマルウェアへの感染を未然に防止することができる。その結果、攻撃者によるコンテンツ等の変更に影響され難く、1回のアクセスにより識別可能な悪性webサイト識別手法の構築が可能となる。
加えて、アクセス分類装置10は、サーバから得られるコンテンツ、URL、ホスト等の情報に頼ることなく、悪性webサイトを識別することができる。このため、アクセス分類装置10は、コンテンツが改変されたり、URLが意図的に変更されたりした場合でも、悪性webサイトを介したユーザへの攻撃を検知することができる。従って、攻撃者に回避され難い、悪性webサイトの識別ひいては攻撃の検知が実現される。
(アクセス分類プログラム)
図15は、アクセス分類プログラムによる情報処理がコンピュータ100を用いて具体的に実現されることを示す図である。図15に示す様に、コンピュータ100は、例えば、メモリ101と、CPU(Central Processing Unit)102と、ハードディスクドライブインタフェース103と、ディスクドライブインタフェース104と、シリアルポートインタフェース105と、ビデオアダプタ106と、ネットワークインタフェース107とを有し、これらの各部はバスBによって接続される。
メモリ101は、図15に示す様に、ROM(Read Only Memory)101a及びRAM(Random Access Memory)101bを含む。ROM101aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース103は、図15に示す様に、ハードディスクドライブ108に接続される。ディスクドライブインタフェース104は、図15に示す様に、ディスクドライブ109に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ109に挿入される。シリアルポートインタフェース105は、図15に示す様に、例えばマウス110、キーボード111に接続される。ビデオアダプタ106は、図15に示す様に、例えばディスプレイ112に接続される。
ここで、図15に示す様に、ハードディスクドライブ108は、例えば、OS(Operating System)108a、アプリケーションプログラム108b、プログラムモジュール108c、プログラムデータ108d、部分木や代表木を含む木、アクセス関連情報等を記憶する。すなわち、開示の技術に係るアクセス分類プログラムは、コンピュータ100によって実行される指令が記述されたプログラムモジュール108cとして、例えばハードディスクドライブ108に記憶される。具体的には、上記実施例で説明した対象アクセス入力部11、既知アクセス入力部12、木構築部13、類似度算出部14、代表木作成部15、分類部16の各々と同様の情報処理を実行する各種手順が記述されたプログラムモジュール108cが、ハードディスクドライブ108に記憶される。また、アクセス分類プログラムによる情報処理に用いられるデータは、プログラムデータ108dとして、例えばハードディスクドライブ108に記憶される。そして、CPU102が、ハードディスクドライブ108に記憶されたプログラムモジュール108cやプログラムデータ108dを必要に応じてRAM101bに読み出し、上記各種手順を実行する。
なお、アクセス分類プログラムに係るプログラムモジュール108cやプログラムデータ108dは、ハードディスクドライブ108に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ109等を介してCPU102によって読み出されてもよい。あるいは、アクセス分類プログラムに係るプログラムモジュール108cやプログラムデータ108dは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース107を介してCPU102によって読み出されてもよい。
また、上述したアクセス分類装置10の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的態様は、図示のものに限らず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することもできる。例えば、アクセス分類装置10に関し、対象アクセス入力部11と既知アクセス入力部12、あるいは、類似度算出部14と代表木作成部15を1つの構成要素として統合してもよい。反対に、分類部16に関し、アクセスを分類する部分と、複数の木を集合に分類する部分とに分散してもよい。更に、部分木や代表木を含む木、アクセス関連情報等を格納するハードディスクドライブ108を、アクセス分類装置10の外部装置として、ネットワークやケーブル経由で接続する様にしてもよい。
10 アクセス分類装置
11 対象アクセス入力部
11a 解析対象アクセス
12 既知アクセス入力部
12a 既知アクセス
13 木構築部
14 類似度算出部
15 代表木作成部
16 分類部
100 コンピュータ
101 メモリ
101a ROM
101b RAM
102 CPU
103 ハードディスクドライブインタフェース
104 ディスクドライブインタフェース
105 シリアルポートインタフェース
106 ビデオアダプタ
107 ネットワークインタフェース
108 ハードディスクドライブ
108a OS
108b アプリケーションプログラム
108c プログラムモジュール
108d プログラムデータ
109 ディスクドライブ
110 マウス
111 キーボード
112 ディスプレイ
B バス
C1〜C5、C1’〜C3’、C1”、C2” 集合
E1〜E6 エッジ
N1〜N8 ノード
T1、T2、T5、T6、T11〜T15 木
T3、T7 共通部分木
T4 全部分木
T8 共通木
T9 代表木
対象アクセス入力部11は、解析対象のサーバへのアクセスを入力として許容する。既知アクセス入力部12は、悪性webサイトを提供するサーバへのアクセスであることが既知である既知悪性アクセスと、これとは反対に良性webサイトを提供するサーバへのアクセスであることが既知である既知良性アクセスとを入力として許容する。木構築部13は、対象アクセス入力部11と既知アクセス入力部12とにより入力された各アクセスから、解析対象のサーバへのアクセス元(自動転送元)及びアクセス先(自動転送先)のサーバを「ノード」とし、自動転送命令を「エッジ」とする木を構築する。類似度算出部14は、木構築部13により構築された木の部分木と、代表木作成部15により代表木として作成された部分木との一致度合いを基に、複数の木の類似度を算出する。また、類似度算出部14は、木構築部13により作成された木同士の類似度を算出する。代表木作成部15は、既知アクセス入力部12により入力されたアクセスを、類似度算出部14により算出された上記類似度を基に複数の集合に分割し各集合内の木に共通する部分木を代表木として作成する。分類部16は、類似度算出部14により算出された類似度を用いて、対象アクセス入力部11により入力されたアクセスが、悪性webサイトへのアクセスであるか否かの判定を行う。
なお、ノードN1〜Nに付されたURL情報を除去しない態様の場合には、類似度算出部14は、転送命令だけでなくURL情報も含めて、共通部分木T7の抽出のための一致・不一致の判定を行うものとしてもよい。また、比較対象の木の数は、2に限らず、2以上であればよい。更に、類似度の算出に用いるパラメータに関しても、共通木のノード数を例示したが、例えば、共通木のエッジ数等、共通木の大きさに関連するものであればよい。

Claims (11)

  1. 第1のサーバ及び第2のサーバをノードとし、前記第1のサーバから前記第2のサーバへアクセスを転送する命令をエッジとする複数の木を作成する作成部と、
    作成された前記複数の木の各々を構成する部分木の一致度合いに基づき、前記複数の木間の類似度を算出する算出部と、
    算出された前記類似度に基づき、前記アクセスを分類する分類部と
    を有することを特徴とするアクセス分類装置。
  2. 前記算出部は、前記複数の木を構成する全ての部分木の数に対する、前記複数の木に共通する部分木の数の割合を、前記類似度として算出することを特徴とする請求項1に記載のアクセス分類装置。
  3. 前記算出部は、前記複数の木に共通する部分木の数を、前記類似度として算出することを特徴とする請求項1に記載のアクセス分類装置。
  4. 前記算出部は、前記複数の木に共通する部分木の内、前記ノードの数が最大の部分木のノード数を、前記類似度として算出することを特徴とする請求項1に記載のアクセス分類装置。
  5. 前記分類部は、前記類似度を用いて、前記複数の木の特徴量の空間での内積値を算出し、前記アクセスを分類することを特徴とする請求項1に記載のアクセス分類装置。
  6. 第1のサーバ及び第2のサーバをノードとし、前記第1のサーバから前記第2のサーバへアクセスを転送する命令をエッジとする複数の木を作成する木作成部と、
    作成された前記複数の木の各々を構成する部分木の一致度合いに基づき、前記複数の木間の類似度を算出する算出部と、
    算出された前記類似度に基づき、前記複数の木を、前記類似度の高い複数の木により構成される複数の集合に分類する分類部と、
    前記分類により得られた集合毎に、各集合の特徴を表す部分木を、代表木として作成する代表木作成部と
    を有することを特徴とするアクセス分類装置。
  7. 前記分類部は、前記代表木とサーバへのアクセスとの類似度に基づき、前記アクセスを分類することを特徴とする請求項6に記載のアクセス分類装置。
  8. 第1のサーバ及び第2のサーバをノードとし、前記第1のサーバから前記第2のサーバへアクセスを転送する命令をエッジとする複数の木を作成する作成工程と、
    作成された前記複数の木の各々を構成する部分木の一致度合いに基づき、前記複数の木間の類似度を算出する算出工程と、
    算出された前記類似度に基づき、前記アクセスを分類する分類工程と
    を含むことを特徴とするアクセス分類方法。
  9. 第1のサーバ及び第2のサーバをノードとし、前記第1のサーバから前記第2のサーバへアクセスを転送する命令をエッジとする複数の木を作成する木作成工程と、
    作成された前記複数の木の各々を構成する部分木の一致度合いに基づき、前記複数の木間の類似度を算出する算出工程と、
    算出された前記類似度に基づき、前記複数の木を、前記類似度の高い複数の木により構成される複数の集合に分類する分類工程と、
    前記分類により得られた集合毎に、各集合の特徴を表す部分木を、代表木として作成する代表木作成工程と
    を含むことを特徴とするアクセス分類方法。
  10. 第1のサーバ及び第2のサーバをノードとし、前記第1のサーバから前記第2のサーバへアクセスを転送する命令をエッジとする複数の木を作成する作成ステップと、
    作成された前記複数の木の各々を構成する部分木の一致度合いに基づき、前記複数の木間の類似度を算出する算出ステップと、
    算出された前記類似度に基づき、前記アクセスを分類する分類ステップと
    をコンピュータに実行させるためのアクセス分類プログラム。
  11. 第1のサーバ及び第2のサーバをノードとし、前記第1のサーバから前記第2のサーバへアクセスを転送する命令をエッジとする複数の木を作成する木作成ステップと、
    作成された前記複数の木の各々を構成する部分木の一致度合いに基づき、前記複数の木間の類似度を算出する算出ステップと、
    算出された前記類似度に基づき、前記複数の木を、前記類似度の高い複数の木により構成される複数の集合に分類する分類ステップと、
    前記分類により得られた集合毎に、各集合の特徴を表す部分木を、代表木として作成する代表木作成ステップと
    をコンピュータに実行させるためのアクセス分類プログラム。
JP2017521950A 2015-06-02 2016-05-31 アクセス分類装置、アクセス分類方法、及びアクセス分類プログラム Active JP6557334B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015112227 2015-06-02
JP2015112227 2015-06-02
PCT/JP2016/066054 WO2016194909A1 (ja) 2015-06-02 2016-05-31 アクセス分類装置、アクセス分類方法、及びアクセス分類プログラム

Publications (2)

Publication Number Publication Date
JPWO2016194909A1 true JPWO2016194909A1 (ja) 2018-04-05
JP6557334B2 JP6557334B2 (ja) 2019-08-07

Family

ID=57441256

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017521950A Active JP6557334B2 (ja) 2015-06-02 2016-05-31 アクセス分類装置、アクセス分類方法、及びアクセス分類プログラム

Country Status (4)

Country Link
US (1) US10462168B2 (ja)
EP (1) EP3287909B1 (ja)
JP (1) JP6557334B2 (ja)
WO (1) WO2016194909A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6866322B2 (ja) * 2018-02-13 2021-04-28 日本電信電話株式会社 アクセス元分類装置、アクセス元分類方法及びプログラム
JP7115221B2 (ja) 2018-10-31 2022-08-09 富士通株式会社 サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置
US20230394021A1 (en) * 2022-06-07 2023-12-07 Oracle International Corporation Computing similarity of tree data structures using metric functions defined on sets
US20240022585A1 (en) * 2022-07-15 2024-01-18 HiddenLayer Inc. Detecting and responding to malicious acts directed towards machine learning model
CN116127079B (zh) * 2023-04-20 2023-06-20 中电科大数据研究院有限公司 一种文本分类方法
CN116186628B (zh) * 2023-04-23 2023-07-07 广州钛动科技股份有限公司 App应用自动打标方法和系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000172699A (ja) * 1998-12-04 2000-06-23 Fuji Xerox Co Ltd ハイパーテキスト構造変更支援装置および方法、ハイパーテキスト構造変更支援プログラムを記録した記憶媒体
JP2010072727A (ja) * 2008-09-16 2010-04-02 Nippon Telegr & Teleph Corp <Ntt> 履歴処理装置、履歴処理方法および履歴処理プログラム
JP2010122737A (ja) * 2008-11-17 2010-06-03 Ntt Docomo Inc コンテンツ配信サーバ、コンテンツ配信方法および通信システム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7933946B2 (en) 2007-06-22 2011-04-26 Microsoft Corporation Detecting data propagation in a distributed system
JP6148323B2 (ja) 2012-03-22 2017-06-14 ロス アラモス ナショナル セキュリティー,リミテッド ライアビリティー カンパニーLos Alamos National Security,Llc 計算機ネットワークにおいて調整グループ攻撃を識別する異常検出
US20130304677A1 (en) * 2012-05-14 2013-11-14 Qualcomm Incorporated Architecture for Client-Cloud Behavior Analyzer
EP2944055A4 (en) * 2013-01-11 2016-08-17 Db Networks Inc SYSTEMS AND METHOD FOR DETECTING AND WEAKING DOWN THREATS FOR A STRUCTURED DATA STORAGE SYSTEM
JP6030272B2 (ja) 2014-03-19 2016-11-24 日本電信電話株式会社 ウェブサイト情報抽出装置、システム、ウェブサイト情報抽出方法、および、ウェブサイト情報抽出プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000172699A (ja) * 1998-12-04 2000-06-23 Fuji Xerox Co Ltd ハイパーテキスト構造変更支援装置および方法、ハイパーテキスト構造変更支援プログラムを記録した記憶媒体
JP2010072727A (ja) * 2008-09-16 2010-04-02 Nippon Telegr & Teleph Corp <Ntt> 履歴処理装置、履歴処理方法および履歴処理プログラム
JP2010122737A (ja) * 2008-11-17 2010-06-03 Ntt Docomo Inc コンテンツ配信サーバ、コンテンツ配信方法および通信システム

Also Published As

Publication number Publication date
JP6557334B2 (ja) 2019-08-07
US10462168B2 (en) 2019-10-29
EP3287909A4 (en) 2018-12-12
EP3287909B1 (en) 2019-07-03
WO2016194909A1 (ja) 2016-12-08
US20180176242A1 (en) 2018-06-21
EP3287909A1 (en) 2018-02-28

Similar Documents

Publication Publication Date Title
JP6557334B2 (ja) アクセス分類装置、アクセス分類方法、及びアクセス分類プログラム
JP6503141B2 (ja) アクセス分類装置、アクセス分類方法及びアクセス分類プログラム
US11089040B2 (en) Cognitive analysis of security data with signal flow-based graph exploration
Shibahara et al. Efficient dynamic malware analysis based on network behavior using deep learning
CN114679329B (zh) 用于基于赝象对恶意软件自动分组的系统
JP6687761B2 (ja) 結合装置、結合方法および結合プログラム
CN106796635A (zh) 确定装置、确定方法及确定程序
JP6674036B2 (ja) 分類装置、分類方法及び分類プログラム
Kim et al. Detecting fake anti-virus software distribution webpages
Li et al. Towards fine-grained fingerprinting of firmware in online embedded devices
KR101806118B1 (ko) 오픈 포트 배너 키워드 분석을 통한 취약점 정보를 식별하는 방법 및 장치
JP6450022B2 (ja) 解析装置、解析方法、および、解析プログラム
WO2018143097A1 (ja) 判定装置、判定方法、および、判定プログラム
McGahagan et al. A comprehensive evaluation of webpage content features for detecting malicious websites
Kumar et al. Detection of malware using deep learning techniques
WO2016118153A1 (en) Marking nodes for analysis based on domain name system resolution
US20210273963A1 (en) Generation device, generation method, and generation program
JP6478730B2 (ja) 悪性url候補取得装置、悪性url候補取得方法、及びプログラム
JP6869833B2 (ja) 識別装置、識別方法、識別プログラム、モデル生成装置、モデル生成方法及びモデル生成プログラム
Aung et al. ATLAS: A Practical Attack Detection and Live Malware Analysis System for IoT Threat Intelligence
Bessy et al. ENHANCED MALICIOUS URL DETECTION SYSTEM WITH MACHINE LEARNING ALGORITHMS
KR20240019740A (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR20180050205A (ko) 오픈 포트 배너 키워드 분석을 통한 취약점 정보를 식별하는 방법 및 장치

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171031

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171031

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181211

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190204

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190709

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190711

R150 Certificate of patent or registration of utility model

Ref document number: 6557334

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150