WO2015141560A1 - トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム - Google Patents
トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム Download PDFInfo
- Publication number
- WO2015141560A1 WO2015141560A1 PCT/JP2015/057370 JP2015057370W WO2015141560A1 WO 2015141560 A1 WO2015141560 A1 WO 2015141560A1 JP 2015057370 W JP2015057370 W JP 2015057370W WO 2015141560 A1 WO2015141560 A1 WO 2015141560A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- traffic
- feature information
- unit
- regular expression
- traffic log
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Definitions
- Measures to be implemented on the terminal and measures to be implemented on the network are being examined as cyber attack countermeasures.
- measures to be implemented on the terminal methods using anti-virus software and methods using host type IDS (Intrusion Detection System) and host type IPS (Intrusion Prevention System) are being studied.
- the measures implemented on the terminal are implemented by installing software on the terminal.
- information on communications related to attacks is collected for both measures implemented on these terminals and measures implemented on the network.
- a decoy system called a honeypot collects communication partners and communication contents of malware infection attacks and other cyber attacks, or a malware analysis system called a sandbox actually operates malware to communicate with malware communication partners and communications. Collect contents.
- the communication partner and the communication content of communication determined as an attack by the spam mail countermeasure system or the DDoS countermeasure system are collected.
- feature information is extracted from communication information related to the attack. At this time, in many cases, feature information is automatically extracted from communication information related to an attack using existing techniques such as machine learning.
- the communication information related to the attack is obtained from the date and time, the IP (Internet Protocol) address of the communication partner, the port number used during communication, and the communication within a certain time.
- the number of times and the amount of communication are classified for each predetermined item and aggregated. At this time, observed values are often input for the date and port number, but statistical values such as average values, standard deviations, and variance values may be input for the number of communication times and the communication amount.
- the classified and aggregated values are calculated, for example, when a statistical outlier is searched and an outlier is found, the communication related to the value is determined as an attack, and the outlier of the item is attacked.
- the value in the item is specified as characteristic information found in an attack.
- FIG. 1 is a diagram illustrating a configuration example of a network system including an information collection and distribution server according to the first embodiment.
- FIG. 2 is a diagram illustrating an example of traffic log items according to the first embodiment.
- FIG. 3 is a diagram illustrating an example of a traffic log item according to the first embodiment.
- FIG. 4 is a diagram illustrating an example of items in the regular expression pattern table according to the first embodiment.
- FIG. 5 is a diagram illustrating an example of items in the word list table according to the first embodiment.
- FIG. 6 is a diagram illustrating an example of items in the destination information table according to the first embodiment.
- FIG. 7 is a flowchart showing the flow of overall processing by the information collection and distribution server according to the first embodiment.
- FIG. 1 is a diagram illustrating a configuration example of a network system including an information collection and distribution server according to the first embodiment.
- FIG. 2 is a diagram illustrating an example of traffic log items according to the first embodiment.
- FIG. 3 is a diagram
- the network 2 is a network provided for analyzing a malware infection attack, and includes, for example, a trap server 14, a trap terminal 15, a terminal sandbox 16, and a server sandbox 17.
- a trap server 14 and the cocoon terminal 15 an open source honeypot provided by the honeynet project or an independently developed honeypot can be applied.
- an open source honeypot provided by the honeynet project or an independently developed honeypot can be applied.
- the terminal type sandbox 16 and the server type sandbox 17 open source software from a product represented by FireEye or a sandbox developed independently can be applied.
- the communication monitoring unit 22 and the communication monitoring unit 23 have specific information and have a function of detecting communication that matches the information, or block the communication or transfer it to another additional function. May be provided.
- the attack characteristics are stored as specific information and the communication that matches the information is used as an attack, the attack detection function is provided, or the attack is blocked or another addition called quarantine. There is a case where a function to transfer to a function is provided.
- the traffic log collected by the communication monitoring unit 24 may be applicable as a benign traffic log.
- the notation method of each item may differ depending on the devices and software. Security Information and Event Management) Technology that aggregates log information indicated in different notation into a unified notation method has become widespread.
- FIG. 2 is a diagram illustrating an example of traffic log items according to the first embodiment.
- FIG. 2 shows an example of traffic log items generated by malware.
- the traffic logs that can be collected vary depending on the software and equipment. For example, when pcap data can be stored, a large amount of information can be collected. On the proxy server, HTTP header data can be recorded. However, data that can be normally observed in network devices such as routers and switches are IP addresses, In many cases, it is limited to the number of frames and packets for each port number.
- Serial number indicates the order of entries recorded as a traffic log. For example, “serial number” stores a data value such as “1” indicating that the entry is recorded first and “2” indicating that the entry is recorded second.
- the “malware identifier” indicates an identifier indicating which malware specimen is causing the traffic. As this malware identifier, there is a case where a hash value uniquely determined for the malware specimen is given, or information from a separate management table is given. For example, data values such as “M1” and “M2” are stored in the “malware identifier”.
- “Communication source IP address” indicates the IP address of the communication source of the packet. For example, data values such as “10.0.0.1” and “10.0.0.2” are stored in “communication source IP address”. “Communication destination IP address” indicates the IP address of the communication destination of the packet. For example, data values such as “198.51.100.98” and “192.0.2.100” are stored in “communication destination IP address”.
- source port indicates the source port that transmitted the packet. For example, data values such as “51234” and “50032” are stored in “transmission source port”.
- destination port indicates the destination port of the packet. For example, data values such as “80” and “60320” are stored in “destination port”.
- the entry of the traffic log whose “serial number” is “1” is a traffic log generated by the malware identifier “M1”, and the IP address “10.0.0. 1 ”is the communication source, and the IP address“ 198.51.100.98 ”is the communication destination.
- each item recorded as a traffic log in the protection target network is the same as each item recorded as a traffic log generated by malware.
- the recorded item examples are not limited to those shown in FIG.
- “sequential number”, “malware identifier”, “source IP address”, “destination IP address”, “source port”, “destination port”, and “URL” Other items that can specify the communication destination may be recorded.
- “sequential number”, “malware identifier”, “source IP address”, “destination IP address”, “source port”, “destination port”, “URL”, source and destination Any of other identifiable items may be recorded.
- the information collection / distribution server 30 includes a log collection unit 31, a traffic feature information extraction / contrast unit 32, a feature information collection / distribution unit 33, and a storage unit 34.
- the storage unit 34 is, for example, a storage device such as a semiconductor memory element or a hard disk, and includes a regular expression pattern table 34a, a word list table 34b, and a destination information table 34c.
- the word list table 34b stores information in which “serial numbers” and “words” are associated with each other.
- the “sequential number” stored in the word list table 34b indicates identification information of an entry stored in the word list table 34b. For example, data values such as “1” and “2” are stored in “serial number”.
- the specifying unit 32e outputs the comparison result between the traffic characteristic information and the traffic log of the protection target network (step S705).
- the specifying unit 32e outputs the result shown in FIG. 21 as a result of specifying the transmission source host.
- the word list table 34b calculates a statistical value of an item used in the communication protocol stack in a traffic log generated by malware, and extracts an arbitrary character string included in an item for which the calculated statistical value is equal to or greater than a threshold value. It is generated by doing.
- FIG. 22 is a flowchart showing a procedure of word list generation processing by the regular expression unit 32a of the information collection / delivery server 30 according to the first embodiment.
- FIG. 22 shows an example of creating a word list from the traffic log shown in FIG.
- the regular expression unit 32a inputs a traffic log generated by the malware shown in FIG. 2 (step S201).
- the regular expression unit 32a determines whether or not this statistical value is equal to or greater than a predetermined threshold value (step S204). Here, if the regular expression unit 32a does not determine that the statistical value is equal to or greater than a predetermined threshold value (No in step S204), the regular expression unit 32a ends the process. On the other hand, if the regular expression unit 32a determines that the statistical value is equal to or greater than a predetermined threshold (Yes in step S204), the regular expression unit 32a extracts the character string as a word (step S205) and outputs the extracted word as a word list. (Step S206). For example, the regular expression unit 32a extracts the serial numbers 1, 3, and 233 in FIG. 2 as words.
- each component of each illustrated apparatus is functionally conceptual and does not necessarily need to be physically configured as illustrated. That is, the specific form of distribution / integration of each device is not limited to the one shown in the figure, and all or a part of the distribution / integration may be functionally or physically distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured.
- FIG. 23 is a diagram illustrating a computer 1000 that executes a traffic feature information extraction program.
- the computer 1000 includes, for example, a memory 1010, a CPU 1020, a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network interface 1070. These units are connected by a bus 1080.
- the memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM 1012.
- the ROM 1011 stores a boot program such as BIOS (Basic Input Output System).
- BIOS Basic Input Output System
- the hard disk drive interface 1030 is connected to the hard disk drive 1031.
- the disk drive interface 1040 is connected to the disk drive 1041.
- a removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1041.
- a mouse 1051 and a keyboard 1052 are connected to the serial port interface 1050.
- a display 1061 is connected to the video adapter 1060.
- the hard disk drive 1031 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094.
- the traffic feature information extraction program described in the above embodiment is stored in the hard disk drive 1031 or the memory 1010, for example.
- program module 1093 and the program data 1094 related to the traffic feature information extraction program are not limited to being stored in the hard disk drive 1031, but are stored in a removable storage medium, for example, and the CPU 1020 via the disk drive 1041 or the like. May be read.
- the program module 1093 and the program data 1094 related to the traffic feature information extraction program are stored in another computer connected via a network such as a LAN or a WAN (Wide Area Network), and are executed by the CPU 1020 via the network interface 1070. It may be read out.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
図1は、第1の実施形態に係る情報収集配信サーバ30を含んだネットワークシステムの構成例を示す図である。図1に示すように、第1の実施形態に係る情報収集配信サーバ30は、ネットワーク1を介して、ネットワーク2からネットワーク5に接続される。なお、情報収集配信サーバ30のことを「トラヒック特徴情報抽出装置」とも言う。
さて、これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、その他の実施形態にて実施されてもよい。そこで、以下では、その他の実施形態を示す。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上述の文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については(例えば、図1~図22)、特記する場合を除いて任意に変更することができる。
また、上記第1の実施形態に係る情報収集配信サーバ30が実行する処理をコンピュータが実行可能な言語で記述したトラヒック特徴情報抽出プログラムを生成することもできる。この場合、コンピュータがトラヒック特徴情報抽出プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるオンラインサインアップ制御プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたトラヒック特徴情報抽出プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、図1などに示した情報収集配信サーバ30と同様の機能を実現するトラヒック特徴情報抽出プログラムを実行するコンピュータの一例を説明する。
なお、本実施形態で説明したトラヒック特徴情報抽出プログラムは、インターネットなどのネットワークを介して配布することができる。また、特定プログラムは、ハードディスク、フレキシブルディスク(FD)、CD-ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
6~13 パケット転送部
14 囮サーバ
15 囮端末
16 端末型サンドボックス
17 サーバ型サンドボックス
18~19 ユーザサーバ
20~21 ユーザ端末
22~24 通信監視部
25 端末用攻撃検知ソフトウェア
26 サーバ用攻撃検知ソフトウェア
27 攻撃者端末
28 マルウェア配布サーバ
29 悪性サーバ
30 情報収集配信サーバ
31 ログ収集部
32 トラヒック特徴情報抽出・対照部
32a 正規表現化部
32b クラスタリング部
32c 特徴情報抽出部
32d 絞り込み部
32e 特定部
33 特徴情報収集配信部
34 記憶部
34a 正規表現パターンテーブル
34b 単語リストテーブル
34c 宛先情報テーブル
1000 コンピュータ
1010 メモリ
1011 ROM
1012 RAM
1020 CPU
1030 ハードディスクドライブインタフェース
1031 ハードディスクドライブ
1040 ディスクドライブインタフェース
1041 ディスクドライブ
1050 シリアルポートインタフェース
1051 マウス
1052 キーボード
1060 ビデオアダプタ
1061 ディスプレイ
1070 ネットワークインタフェース
1080 バス
1091 OS
1092 アプリケーションプログラム
1093 プログラムモジュール
1094 プログラムデータ
Claims (8)
- トラヒック特徴情報抽出装置で実行されるトラヒック特徴情報抽出方法であって、
トラヒックログから予め設定した項目を抽出し、当該項目に含まれる部分文字列について、所定の規則に基づいて正規表現化する正規表現化工程と、
前記正規表現化したトラヒックログのエントリをクラスタリングするクラスタリング工程と、
前記クラスタリングしたトラヒックログに含まれるエントリ間の距離の総和が最小となるエントリを各クラスタのトラヒック特徴情報として抽出する特徴情報抽出工程と
を含んだことを特徴とするトラヒック特徴情報抽出方法。 - 前記正規表現化工程は、抽出した前記項目に含まれる部分文字列に、単語リストに記載された単語が存在するか否かを判定し、前記単語が存在する場合には、当該部分文字列を正規表現化せず、前記単語が存在しない場合には、当該部分文字列を所定の規則に基づいて正規表現化することを特徴とする請求項1に記載のトラヒック特徴情報抽出方法。
- 前記単語リストは、マルウェアが発生させるトラヒックログにおいて通信のプロトコルスタックで利用される項目の統計値を算出し、算出した前記統計値が閾値以上となる項目に含まれる任意の文字列を抽出することにより生成されることを特徴とする請求項2に記載のトラヒック特徴情報抽出方法。
- 前記クラスタリング工程は、通信の宛先を示す宛先情報を用いてトラヒックログをクラスタリングする手法、及び通信のプロトコルを用いてトラヒックログをクラスタリングする手法の少なくともいずれか一つの手法を用いることを特徴とする請求項1に記載のトラヒック特徴情報抽出方法。
- 前記正規表現化したトラヒックログから予め設定した指標に従って当該トラヒックログ内での統計値を算出し、前記クラスタリングしたトラヒックログから抽出した前記特徴情報と、前記統計値とに基づいて、特徴情報を絞り込む絞り込み工程を更に含んだことを特徴とする請求項1に記載のトラヒック特徴情報抽出方法。
- 絞り込んだ前記特徴情報と、防御対象ネットワークの任意のトラヒックログとを対照して、予め設定した指標を用いてスコアを算出し、当該スコアが閾値以上となるトラヒックログ内のエントリを特定する特定工程を更に含んだことを特徴とする請求項5に記載のトラヒック特徴情報抽出方法。
- トラヒックログから予め設定した項目を抽出し、当該項目に含まれる部分文字列について、所定の規則に基づいて正規表現化する正規表現化部と、
前記正規表現化したトラヒックログのエントリをクラスタリングするクラスタリング部と、
前記クラスタリングしたトラヒックログに含まれるエントリ間の距離の総和が最小となるエントリを各クラスタのトラヒック特徴情報として抽出する特徴情報抽出部と
を有することを特徴とするトラヒック特徴情報抽出装置。 - トラヒックログから予め設定した項目を抽出し、当該項目に含まれる部分文字列について、所定の規則に基づいて正規表現化する正規表現化手順と、
前記正規表現化したトラヒックログのエントリをクラスタリングするクラスタリング手順と、
前記クラスタリングしたトラヒックログに含まれるエントリ間の距離の総和が最小となるエントリを各クラスタのトラヒック特徴情報として抽出する特徴情報抽出手順と
をコンピュータに実行させるためのトラヒック特徴情報抽出プログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016508686A JP6053091B2 (ja) | 2014-03-19 | 2015-03-12 | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム |
US15/120,933 US10721244B2 (en) | 2014-03-19 | 2015-03-12 | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014056659 | 2014-03-19 | ||
JP2014-056659 | 2014-03-19 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2015141560A1 true WO2015141560A1 (ja) | 2015-09-24 |
Family
ID=54144530
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2015/057370 WO2015141560A1 (ja) | 2014-03-19 | 2015-03-12 | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US10721244B2 (ja) |
JP (1) | JP6053091B2 (ja) |
WO (1) | WO2015141560A1 (ja) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017083947A (ja) * | 2015-10-23 | 2017-05-18 | 日本電信電話株式会社 | ホワイトリスト作成装置、ホワイトリスト作成方法およびホワイトリスト作成プログラム |
JP2018133004A (ja) * | 2017-02-16 | 2018-08-23 | 日本電信電話株式会社 | 異常検知システム及び異常検知方法 |
JP2019512133A (ja) * | 2016-03-09 | 2019-05-09 | シマンテック コーポレーションSymantec Corporation | アプリケーションネットワークアクティビティの自動分類のためのシステム及び方法 |
JP2019521422A (ja) * | 2016-05-20 | 2019-07-25 | インフォマティカ エルエルシー | 異常なユーザ行動関連アプリケーションデータを検出するための方法、装置、およびコンピュータ読み取り可能な媒体 |
US10394915B1 (en) * | 2016-08-24 | 2019-08-27 | Amazon Technologies, Inc. | Architecture and techniques to search logging information |
US10666675B1 (en) | 2016-09-27 | 2020-05-26 | Ca, Inc. | Systems and methods for creating automatic computer-generated classifications |
WO2022137883A1 (ja) * | 2020-12-24 | 2022-06-30 | 日本電気株式会社 | 攻撃情報生成装置、制御方法、及び非一時的なコンピュータ可読媒体 |
JP2022533552A (ja) * | 2019-05-07 | 2022-07-25 | セキュアワークス コーポレーション | システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法 |
US11546356B2 (en) | 2018-02-15 | 2023-01-03 | Nippon Telegraph And Telephone Corporation | Threat information extraction apparatus and threat information extraction system |
US11811800B2 (en) | 2018-02-26 | 2023-11-07 | Nippon Telegraph And Telephone Corporation | Traffic feature information extraction device, traffic feature information extraction method, and traffic feature information extraction program |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015141560A1 (ja) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム |
US9912690B2 (en) * | 2014-04-08 | 2018-03-06 | Capital One Financial Corporation | System and method for malware detection using hashing techniques |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US9838407B1 (en) * | 2016-03-30 | 2017-12-05 | EMC IP Holding Company LLC | Detection of malicious web activity in enterprise computer networks |
US10681059B2 (en) * | 2016-05-25 | 2020-06-09 | CyberOwl Limited | Relating to the monitoring of network security |
KR101913141B1 (ko) * | 2016-10-28 | 2019-01-14 | 주식회사 윈스 | 비용기반 최적화 기법을 통한 정규 표현식 탐색 성능 향상 장치 및 방법 |
US10567433B2 (en) * | 2017-07-06 | 2020-02-18 | Bank Of America Corporation | Network device authorization for access control and information security |
US10609064B2 (en) * | 2017-07-06 | 2020-03-31 | Bank Of America Corporation | Network device access control and information security |
JP6866322B2 (ja) * | 2018-02-13 | 2021-04-28 | 日本電信電話株式会社 | アクセス元分類装置、アクセス元分類方法及びプログラム |
JP7020362B2 (ja) * | 2018-10-10 | 2022-02-16 | 日本電信電話株式会社 | 探索装置、探索方法及び探索プログラム |
CN111125693A (zh) * | 2019-12-18 | 2020-05-08 | 杭州安恒信息技术股份有限公司 | 一种设备安全防护方法、装置及设备 |
US11606385B2 (en) * | 2020-02-13 | 2023-03-14 | Palo Alto Networks (Israel Analytics) Ltd. | Behavioral DNS tunneling identification |
US11811820B2 (en) * | 2020-02-24 | 2023-11-07 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious C and C channel to fixed IP detection |
US20210344690A1 (en) * | 2020-05-01 | 2021-11-04 | Amazon Technologies, Inc. | Distributed threat sensor analysis and correlation |
US11582251B2 (en) * | 2020-05-26 | 2023-02-14 | Paypal, Inc. | Identifying patterns in computing attacks through an automated traffic variance finder |
CN111708860A (zh) * | 2020-06-15 | 2020-09-25 | 北京优特捷信息技术有限公司 | 信息提取方法、装置、设备及存储介质 |
US11425162B2 (en) | 2020-07-01 | 2022-08-23 | Palo Alto Networks (Israel Analytics) Ltd. | Detection of malicious C2 channels abusing social media sites |
CN112511459B (zh) * | 2020-11-23 | 2024-04-26 | 恒安嘉新(北京)科技股份公司 | 一种流量识别方法、装置、电子设备及存储介质 |
US11799904B2 (en) * | 2020-12-10 | 2023-10-24 | Cisco Technology, Inc. | Malware detection using inverse imbalance subspace searching |
US20220247750A1 (en) * | 2021-01-29 | 2022-08-04 | Paypal, Inc. | Evaluating access requests using assigned common actor identifiers |
US11968222B2 (en) | 2022-07-05 | 2024-04-23 | Palo Alto Networks (Israel Analytics) Ltd. | Supply chain attack detection |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004312064A (ja) * | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
JP2010050939A (ja) * | 2008-08-25 | 2010-03-04 | Hitachi Information Systems Ltd | 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム |
JP2012222692A (ja) * | 2011-04-12 | 2012-11-12 | Nippon Telegr & Teleph Corp <Ntt> | 監視点設定方法及び装置及びプログラム |
JP2013085124A (ja) * | 2011-10-11 | 2013-05-09 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8065722B2 (en) * | 2005-03-21 | 2011-11-22 | Wisconsin Alumni Research Foundation | Semantically-aware network intrusion signature generator |
US20100199345A1 (en) * | 2009-02-04 | 2010-08-05 | Breach Security, Inc. | Method and System for Providing Remote Protection of Web Servers |
WO2010105184A2 (en) * | 2009-03-13 | 2010-09-16 | Breach Security , Inc. | A method and apparatus for phishing and leeching vulnerability detection |
US8311956B2 (en) * | 2009-08-11 | 2012-11-13 | At&T Intellectual Property I, L.P. | Scalable traffic classifier and classifier training system |
US8554771B2 (en) * | 2009-12-14 | 2013-10-08 | Sandia Corporation | Technique for fast and efficient hierarchical clustering |
US8578497B2 (en) * | 2010-01-06 | 2013-11-05 | Damballa, Inc. | Method and system for detecting malware |
US8826438B2 (en) * | 2010-01-19 | 2014-09-02 | Damballa, Inc. | Method and system for network-based detecting of malware from behavioral clustering |
US8516586B1 (en) * | 2011-09-20 | 2013-08-20 | Trend Micro Incorporated | Classification of unknown computer network traffic |
US8549645B2 (en) * | 2011-10-21 | 2013-10-01 | Mcafee, Inc. | System and method for detection of denial of service attacks |
WO2015141560A1 (ja) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム |
US10083318B2 (en) * | 2015-12-28 | 2018-09-25 | Fortinet, Inc. | Pattern matching for data leak prevention |
US10212133B2 (en) * | 2016-07-29 | 2019-02-19 | ShieldX Networks, Inc. | Accelerated pattern matching using pattern functions |
-
2015
- 2015-03-12 WO PCT/JP2015/057370 patent/WO2015141560A1/ja active Application Filing
- 2015-03-12 US US15/120,933 patent/US10721244B2/en active Active
- 2015-03-12 JP JP2016508686A patent/JP6053091B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004312064A (ja) * | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
JP2010050939A (ja) * | 2008-08-25 | 2010-03-04 | Hitachi Information Systems Ltd | 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム |
JP2012222692A (ja) * | 2011-04-12 | 2012-11-12 | Nippon Telegr & Teleph Corp <Ntt> | 監視点設定方法及び装置及びプログラム |
JP2013085124A (ja) * | 2011-10-11 | 2013-05-09 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム |
Non-Patent Citations (1)
Title |
---|
MASAKI NARAHASHI ET AL.: "Detecting Hostile Accesses through Incremental Subspace Clustering for Web Access Log", THE 17TH ANNUAL CONFERENCE OF THE JAPANESE SOCIETY FOR ARTIFICIAL INTELLIGENCE, June 2003 (2003-06-01), pages 1 - 4, XP010663018 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017083947A (ja) * | 2015-10-23 | 2017-05-18 | 日本電信電話株式会社 | ホワイトリスト作成装置、ホワイトリスト作成方法およびホワイトリスト作成プログラム |
JP2019512133A (ja) * | 2016-03-09 | 2019-05-09 | シマンテック コーポレーションSymantec Corporation | アプリケーションネットワークアクティビティの自動分類のためのシステム及び方法 |
JP2019521422A (ja) * | 2016-05-20 | 2019-07-25 | インフォマティカ エルエルシー | 異常なユーザ行動関連アプリケーションデータを検出するための方法、装置、およびコンピュータ読み取り可能な媒体 |
US10394915B1 (en) * | 2016-08-24 | 2019-08-27 | Amazon Technologies, Inc. | Architecture and techniques to search logging information |
US10666675B1 (en) | 2016-09-27 | 2020-05-26 | Ca, Inc. | Systems and methods for creating automatic computer-generated classifications |
JP2018133004A (ja) * | 2017-02-16 | 2018-08-23 | 日本電信電話株式会社 | 異常検知システム及び異常検知方法 |
US11546356B2 (en) | 2018-02-15 | 2023-01-03 | Nippon Telegraph And Telephone Corporation | Threat information extraction apparatus and threat information extraction system |
US11811800B2 (en) | 2018-02-26 | 2023-11-07 | Nippon Telegraph And Telephone Corporation | Traffic feature information extraction device, traffic feature information extraction method, and traffic feature information extraction program |
JP2022533552A (ja) * | 2019-05-07 | 2022-07-25 | セキュアワークス コーポレーション | システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法 |
JP7302019B2 (ja) | 2019-05-07 | 2023-07-03 | セキュアワークス コーポレーション | システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法 |
WO2022137883A1 (ja) * | 2020-12-24 | 2022-06-30 | 日本電気株式会社 | 攻撃情報生成装置、制御方法、及び非一時的なコンピュータ可読媒体 |
Also Published As
Publication number | Publication date |
---|---|
US10721244B2 (en) | 2020-07-21 |
JP6053091B2 (ja) | 2016-12-27 |
JPWO2015141560A1 (ja) | 2017-04-06 |
US20160366159A1 (en) | 2016-12-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6053091B2 (ja) | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム | |
JP6159018B2 (ja) | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム | |
JP6001689B2 (ja) | ログ分析装置、情報処理方法及びプログラム | |
Lu et al. | Clustering botnet communication traffic based on n-gram feature selection | |
JP5655191B2 (ja) | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム | |
Aoki et al. | Controlling malware http communications in dynamic analysis system using search engine | |
Zarras et al. | Automated generation of models for fast and precise detection of HTTP-based malware | |
JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
JP5832951B2 (ja) | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム | |
JP6386593B2 (ja) | 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム | |
Shin et al. | Unsupervised multi-stage attack detection framework without details on single-stage attacks | |
Le et al. | Unsupervised monitoring of network and service behaviour using self organizing maps | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
JP5986340B2 (ja) | Url選定方法、url選定システム、url選定装置及びurl選定プログラム | |
WO2005111805A1 (en) | Method of network traffic signature detection | |
WO2017145843A1 (ja) | 解析方法、解析装置および解析プログラム | |
Kheir et al. | Behavioral fine-grained detection and classification of P2P bots | |
Chiba et al. | Botprofiler: Profiling variability of substrings in http requests to detect malware-infected hosts | |
Zurutuza et al. | A data mining approach for analysis of worm activity through automatic signature generation | |
JP5385867B2 (ja) | データ転送装置及びアクセス解析方法 | |
Heenan et al. | A survey of Intrusion Detection System technologies | |
Kheir et al. | Peerviewer: Behavioral tracking and classification of P2P malware | |
Saiyod et al. | Improving intrusion detection on snort rules for botnet detection | |
US20230362176A1 (en) | System and method for locating dga compromised ip addresses | |
Jeng et al. | CC-Tracker: Interaction profiling bipartite graph mining for malicious network activity detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 15765316 Country of ref document: EP Kind code of ref document: A1 |
|
ENP | Entry into the national phase |
Ref document number: 2016508686 Country of ref document: JP Kind code of ref document: A |
|
WWE | Wipo information: entry into national phase |
Ref document number: 15120933 Country of ref document: US |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 15765316 Country of ref document: EP Kind code of ref document: A1 |