JPWO2019235074A1 - 生成方法、生成装置および生成プログラム - Google Patents
生成方法、生成装置および生成プログラム Download PDFInfo
- Publication number
- JPWO2019235074A1 JPWO2019235074A1 JP2020523554A JP2020523554A JPWO2019235074A1 JP WO2019235074 A1 JPWO2019235074 A1 JP WO2019235074A1 JP 2020523554 A JP2020523554 A JP 2020523554A JP 2020523554 A JP2020523554 A JP 2020523554A JP WO2019235074 A1 JPWO2019235074 A1 JP WO2019235074A1
- Authority
- JP
- Japan
- Prior art keywords
- path
- abstraction
- profile
- candidate
- aggregation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
まず、図1を用いて、第1の実施形態に係る生成装置の構成について説明する。図1は、第1の実施形態に係る生成装置の構成の一例を示す図である。図1に示すように、生成装置10は、入力部11、制御部12及びプロファイル生成部15を有する。また、生成装置10は、サーバへのリクエストとの類似度に基づき、当該リクエストが攻撃であるか否かを判定するためのプロファイル13を生成するための装置である。また、生成装置10は、プロファイル13を用いて攻撃であるリクエストの検知を行うこともできる。
次に、図9を用いて、生成装置10におけるプロファイル生成部15の処理の流れについて説明する。図9は、第1の実施形態に係る生成装置におけるプロファイル生成部の処理の流れを示すフローチャートである。なお、図9の処理は、プロファイル保存部124により、プロファイル13が生成または更新されたことを契機として処理を開始するものとする。
a)当該パスの抽象化候補パス、当該パス、いずれも存在しない場合
当該パスの抽象化候補パス、当該パスをパスの抽象化候補集計リスト153のエントリに新規作成し、パス種類数のカウントを1にする。
b)当該パスの抽象化候補パスは存在し、当該パスは存在しない場合
パスの抽象化候補集計リスト153の当該パスの抽象化候補パスのエントリに当該パスを追加し、パス種類数のカウントに1を加算する。
c)当該パスの抽象化候補パス、当該パス、共に存在する場合
当該パスの抽象化候補パス、当該パスは、パスの抽象化候補集計リスト153に追加しない。
さて、これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では変形例として本発明に含まれる他の実施例を説明する。
上記の説明では、パスの抽象化候補を生成する手法として、パターンを事前に定義しておくやり方を説明したが、これに限定されるものではなく、例えば、パターンを自動生成するようにしてもよい。
また、上記の説明では、文字クラス列の集約の対象は、同一の文字クラス列の場合を説明したが、これに限定されるものではなく、例えば、同一の文字クラス列に加え、所定の閾値以上の類似度を有する文字クラス列を集約の対象としてもよい。
また、上記の説明では、パスを抽象化する場合を説明したが、これに限定されるものではなく、例えば、パラメータキーを抽象化してもよい。なお、パスとパラメータキーの両方を抽象化するようにしてもよい。
a)当該パラメータキーの抽象化候補パラメータキー、当該パラメータキー、いずれも存在しない場合
当該パラメータキーの抽象化候補パラメータキー、当該パラメータキーをパラメータキーの抽象化候補集計リストのエントリに新規作成し、パラメータキー種類数のカウントを1にする。
b)当該パラメータキーの抽象化候補パラメータキーは存在し、当該パラメータキーは存在しない場合
パラメータキーの抽象化候補集計リストの当該パラメータキーの抽象化候補パスのエントリに当該パラメータキーを追加し、パラメータキー種類数のカウントに1を加算する。
c)当該パラメータキーの抽象化候補パラメータキー、当該パラメータキー、共に存在する場合
当該パラメータキーの抽象化候補パラメータキー、当該パラメータキーは、パラメータキーの抽象化候補集計リストに追加しない。
d)当該パラメータキーの抽象化候補パラメータキー、当該パラメータキーの存在の有無にかかわらず、当該抽象化候補パラメータキーのパス、抽象化候補パラメータキー、抽象化対象パラメータキーをパラメータキーの抽象化候補集計リストに追加する。
このように、第1の実施形態に係る生成装置10は、サーバへのリクエストが攻撃であるか否かを判定するためのプロファイルに含まれるパスのうち、動的に生成されたパスを抽象化候補のパスとして特定し、該抽象化候補のパスごとに、パスの種類数を集計する。そして、生成装置10は、集計された種類数が所定の条件を満たした場合には、プロファイルに含まれるパスを抽象化する処理を行う。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、上記の実施形態で述べた生成装置10の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を生成装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等がその範疇に含まれる。また、生成装置10を、クラウドサーバに実装してもよい。
11 入力部
12 制御部
13 プロファイル
14 検知結果
15 プロファイル生成部
20 分析データHTTPリクエスト
30 学習データHTTPリクエスト
111 分析対象データ入力部
112 学習データ入力部
121 パラメータ抽出部
122 文字クラス列変換部
123 異常検知部
124 プロファイル保存部
151 集計処理部
152 抽象化処理部
153 パスの抽象化候補集計リスト
Claims (6)
- 生成装置によって実行される生成方法であって、
サーバへのリクエストが攻撃であるか否かを判定するためのプロファイルに含まれるパスのうち、動的に生成されたパスを抽象化候補のパスとして特定し、該抽象化候補のパスごとに、パスの種類数を集計する処理を行う集計処理ステップと、
前記集計処理ステップにより集計された種類数が所定の条件を満たした場合には、前記プロファイルに含まれるパスを抽象化する処理を行う抽象化処理ステップと、
を含んだことを特徴とする生成方法。 - 前記抽象化処理ステップは、前記集計処理ステップにより集計された種類数が所定の閾値以上である場合には、前記プロファイルに含まれるパスを抽象化する処理を行うことを特徴とする請求項1に記載の生成方法。
- 前記抽象化処理ステップは、前記プロファイルのパスが、所定の条件を満たす場合、または、所定のパターンと一致する場合に、該プロファイルのパスを、前記動的に生成されたパスを抽象化候補のパスとして特定することを特徴とする請求項1に記載の生成方法。
- 前記抽象化処理ステップは、前記集計処理ステップにより集計された種類数が所定の条件を満たした場合には、前記プロファイルに含まれるパスを抽象化するとともに、該抽象化された各パス・パラメータキーにおける文字クラス列の出現回数を合算することを特徴とする請求項1に記載の生成方法。
- サーバへのリクエストが攻撃であるか否かを判定するためのプロファイルに含まれるパスのうち、動的に生成されたパスを抽象化候補のパスとして特定し、該抽象化候補のパスごとに、パスの種類数を集計する処理を行う集計処理部と、
前記集計処理部により集計された種類数が所定の条件を満たした場合には、前記プロファイルに含まれるパスを抽象化する処理を行う抽象化処理部と、
を備えたことを特徴とする生成装置。 - サーバへのリクエストが攻撃であるか否かを判定するためのプロファイルに含まれるパスのうち、動的に生成されたパスを抽象化候補のパスとして特定し、該抽象化候補のパスごとに、パスの種類数を集計する処理を行う集計処理ステップと、
前記集計処理ステップにより集計された種類数が所定の条件を満たした場合には、前記プロファイルに含まれるパスを抽象化する処理を行う抽象化処理ステップと、
をコンピュータに実行させることを特徴とする生成プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018107255 | 2018-06-04 | ||
JP2018107255 | 2018-06-04 | ||
PCT/JP2019/016221 WO2019235074A1 (ja) | 2018-06-04 | 2019-04-15 | 生成方法、生成装置および生成プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2019235074A1 true JPWO2019235074A1 (ja) | 2020-12-17 |
JP6954466B2 JP6954466B2 (ja) | 2021-10-27 |
Family
ID=68769981
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020523554A Active JP6954466B2 (ja) | 2018-06-04 | 2019-04-15 | 生成方法、生成装置および生成プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US11563717B2 (ja) |
JP (1) | JP6954466B2 (ja) |
WO (1) | WO2019235074A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7287503B2 (ja) * | 2019-12-24 | 2023-06-06 | 日本電気株式会社 | 情報処理装置、脅威情報評価システム、情報処理方法およびプログラム |
US11526553B2 (en) * | 2020-07-23 | 2022-12-13 | Vmware, Inc. | Building a dynamic regular expression from sampled data |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3136249B1 (en) | 2014-06-06 | 2018-12-19 | Nippon Telegraph and Telephone Corporation | Log analysis device, attack detection device, attack detection method and program |
-
2019
- 2019-04-15 US US15/734,233 patent/US11563717B2/en active Active
- 2019-04-15 WO PCT/JP2019/016221 patent/WO2019235074A1/ja active Application Filing
- 2019-04-15 JP JP2020523554A patent/JP6954466B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP6954466B2 (ja) | 2021-10-27 |
US11563717B2 (en) | 2023-01-24 |
US20210168121A1 (en) | 2021-06-03 |
WO2019235074A1 (ja) | 2019-12-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6697123B2 (ja) | プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム | |
CN109145600B (zh) | 使用静态分析元素检测恶意文件的系统和方法 | |
Baldwin et al. | Leveraging support vector machine for opcode density based detection of crypto-ransomware | |
RU2614557C2 (ru) | Система и способ обнаружения вредоносных файлов на мобильных устройствах | |
JP6126672B2 (ja) | 悪性コード検出方法及びシステム | |
EP2790122B1 (en) | System and method for correcting antivirus records to minimize false malware detections | |
KR101337874B1 (ko) | 파일 유전자 지도를 이용하여 파일의 악성코드 포함 여부를 판단하는 방법 및 시스템 | |
RU2708356C1 (ru) | Система и способ двухэтапной классификации файлов | |
KR101858620B1 (ko) | 기계 학습을 이용한 자바스크립트 분석 장치 및 방법 | |
US10007788B2 (en) | Method of modeling behavior pattern of instruction set in N-gram manner, computing device operating with the method, and program stored in storage medium to execute the method in computing device | |
CN111222137A (zh) | 一种程序分类模型训练方法、程序分类方法及装置 | |
JP6954466B2 (ja) | 生成方法、生成装置および生成プログラム | |
JP2019036273A (ja) | ユーザと銀行サービスとの相互通信中における潜在的に危険なデバイスを識別するシステム及び方法 | |
JP6777612B2 (ja) | コンピュータシステムにおけるデータ損失を防止するためのシステム及び方法 | |
US11487876B1 (en) | Robust whitelisting of legitimate files using similarity score and suspiciousness score | |
WO2023072002A1 (zh) | 开源组件包的安全检测方法及装置 | |
CN113688240B (zh) | 威胁要素提取方法、装置、设备及存储介质 | |
US20210209504A1 (en) | Learning method, learning device, and learning program | |
KR102289408B1 (ko) | 해시 코드 기반의 검색 장치 및 검색 방법 | |
CN114676430A (zh) | 恶意软件识别方法、装置、设备及计算机可读存储介质 | |
WO2021106172A1 (ja) | ルール生成装置およびルール生成プログラム | |
US11233809B2 (en) | Learning device, relearning necessity determination method, and relearning necessity determination program | |
US20210203677A1 (en) | Learning method, learning device, and learning program | |
WO2022230074A1 (ja) | 検知装置、検知方法及び検知プログラム | |
KR102465307B1 (ko) | 화이트 리스트 생성 방법 및 이를 수행하는 사용자 단말, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200604 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210706 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210816 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210831 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210913 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6954466 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |