JP2018148270A - 分類装置、分類方法および分類プログラム - Google Patents
分類装置、分類方法および分類プログラム Download PDFInfo
- Publication number
- JP2018148270A JP2018148270A JP2017038410A JP2017038410A JP2018148270A JP 2018148270 A JP2018148270 A JP 2018148270A JP 2017038410 A JP2017038410 A JP 2017038410A JP 2017038410 A JP2017038410 A JP 2017038410A JP 2018148270 A JP2018148270 A JP 2018148270A
- Authority
- JP
- Japan
- Prior art keywords
- traffic data
- classification
- statistical information
- communication
- port number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】大規模なトラフィックデータから異常な通信を行う端末のIPアドレス群を検知すること。【解決手段】フィルタリング部12は、宛先ポート番号の指定を受け付けて、収集されたトラフィックデータ40のうち該宛先ポート番号を使用して通信を行ったホストのトラフィックデータを抽出し、統計情報計算部13が、Filteredトラフィックデータについて、送信元IPアドレスごとに所定の統計情報を算出し、算出した統計情報の組み合わせからなる所定の特徴量を抽出し、クラスタリング部14は、抽出された特徴量を用いて送信元IPアドレスを分類する。【選択図】図1
Description
本発明は、分類装置、分類方法および分類プログラムに関する。
近年、インターネット上ではワームやボット等のマルウェアによる攻撃が頻繁に発生している。ワームやボットは、ネットワーク経由で攻撃対象のホストを探索し、脆弱性を突いて侵入するスキャン攻撃を行って感染を拡大させる。スキャン攻撃を行うマルウェアに感染した端末は、さらにスキャン攻撃を行って感染を拡大させる。特に、外部の攻撃者によってコントロールされるボットは、ボットに感染した複数の端末によるボットネットを構築し、一括して遠隔操作を可能とするため脅威となっている。そこで、スキャン攻撃を行う異常な通信を検知する技術が期待されている。
従来、異常な通信は、パケット数や宛先のIPアドレスに対する通信回数等が統計情報から導出される閾値を超えた場合に、異常と判定されていた。また、通信の特徴が異常な通信の特徴と一致した場合に、異常と判定する技術が開示されている(非特許文献1,2参照)。
衛藤将史、高木彌一郎、宋中錫、井上大介、中尾康二、「スキャンの特徴抽出による攻撃元プロファイリング手法の提案」、信学技報、社団法人電子情報通信学会、2011年6月、ICSS2011-4、pp.19-24
福島祥郎、堀良彰、櫻井幸一、「ダークネット観測データに基づく攻撃挙動の特徴抽出に関する考察」、信学技報、社団法人電子情報通信学会、2009年11月、ICSS2009-60、pp.37-42
しかしながら、大規模なトラフィックデータに対しては、異常な通信と正常な通信とを分類するにはデータ数が膨大で多大な時間がかかっていた。また、通信回数が所定の閾値以上であるIPアドレスや、予め求められた異常な通信の特徴と一致する通信を行ったIPアドレスを特定する等、具体的に通信を異常な通信と比較しなければ、異常な通信と正常な通信とを分類することができなかった。
本発明は、上記に鑑みてなされたものであって、大規模なトラフィックデータから異常な通信を行う端末のIPアドレス群を検知することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る分類装置は、宛先ポート番号の指定を受け付けて、収集されたトラフィックデータのうち該宛先ポート番号を使用して通信を行ったホストのトラフィックデータを抽出する抽出部と、抽出された前記トラフィックデータについて、送信元IPアドレスごとに所定の統計情報を算出し、算出した統計情報の組み合わせからなる所定の特徴量を抽出する特徴抽出部と、前記特徴量を用いて前記送信元IPアドレスを分類する分類部と、を備えることを特徴とする。
本発明によれば、大規模なトラフィックデータから異常な通信を行う端末のIPアドレス群を容易に検知することが可能となる。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[分類装置の構成]
まず、図1を参照して、本実施形態に係る分類装置の概略構成を説明する。図1は、本実施形態に係る分類装置を含むシステムの概略構成を示す模式図である。図1に示す分類装置10は、ワークステーションやパソコン等の汎用コンピュータで実現され、後述する分類処理を実行し、インターネット20に接続されるネットワーク(NW)機器30から収集されるトラフィックデータ40を、特徴に応じて分類する。
まず、図1を参照して、本実施形態に係る分類装置の概略構成を説明する。図1は、本実施形態に係る分類装置を含むシステムの概略構成を示す模式図である。図1に示す分類装置10は、ワークステーションやパソコン等の汎用コンピュータで実現され、後述する分類処理を実行し、インターネット20に接続されるネットワーク(NW)機器30から収集されるトラフィックデータ40を、特徴に応じて分類する。
ここで、スキャン攻撃において宛先ポート番号が指定されることから、分類装置10は、トラフィックデータ40のうち、スキャン攻撃と疑われる通信で指定される宛先ポート番号等の注目すべき宛先ポート番号が使用されている通信を対象にして分類する。これにより、分類装置10は、既知のスキャン攻撃を行う端末と同様の特徴を有するクラスタに分類された端末の送信元IPアドレス群を、マルウェアに感染してスキャン攻撃を行っている端末の送信元IPアドレス群として検知する。
分類装置10は、不図示の入力部、出力部、通信制御部、記憶部、および制御部を備える。入力部は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部に対して各種指示情報を入力する。出力部は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置、情報通信装置、スピーカ等によって実現され、例えば、後述する分類処理の結果であるクラスタリング結果60等を操作者に対して出力する。通信制御部は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネット等の電気通信回線を介したサーバ等の外部の装置と制御部との通信を制御する。
記憶部は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部には、分類装置10を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが予め記憶され、あるいは処理の都度一時的に記憶される。また、この記憶部は、通信制御部を介して制御部と通信する構成でもよい。
制御部は、CPU(Central Processing Unit)等の演算処理装置を用いて実現され、メモリに記憶された処理プログラムを実行することにより、図1に例示するように、ポート特定部11、フィルタリング部12、統計情報計算部13およびクラスタリング部14として機能する。
ポート特定部11は、特定部として機能する。すなわち、ポート特定部11は、マルウェアへの感染が疑われるホストに関する情報を用いて、該ホストが通信に使用した宛先ポート番号を特定する。また、ポート特定部11は、後述するフィルタリング部12に対して特定した宛先ポート番号を指定する。
具体的に、ポート特定部11は、まず入力部あるいは通信制御部を介して、脅威情報50を取得する。ここで、脅威情報50は、マルウェアへの感染が疑われるホストに関する情報を意味する。例えば、独立行政法人情報通信研究機構により公開されているサイバー攻撃の観測情報に関するサイトNICTERWEB(http://www.nicter.jp/)における「TCP宛先ポート別ユニークホスト数Top10」が例示される。この場合に、ポート特定部11は、ホスト数がランキング上位のTCP宛先ポートを参照して、上位のホストが使用した宛先ポート番号を特定する。
また、脅威情報50は、独自に実施されたダークネットやハニーポット等によるトラフィックの観測結果でもよい。この場合に、ポート特定部11は、観測結果に含まれるホスト数を参照し、例えば、時系列データの変化点を検出する手法として周知のChangefinderを適用して、ホスト数の増減の変化点を検知する。そして、ポート特定部11は、検知された変化点において数が増加しているホストが使用した宛先ポート番号を特定する。
また、ポート特定部11は、特定した宛先ポート番号を、スキャン攻撃が疑われる通信に使用される宛先ポート番号等の注目すべき宛先ポート番号として、フィルタリング部12に対して指定する。
フィルタリング部12は、抽出部として機能する。すなわち、フィルタリング部12は、宛先ポート番号の指定を受け付けて、収集されたトラフィックデータ40のうち該宛先ポート番号を使用して通信を行ったホストのトラフィックデータを抽出する。ここで、トラフィックデータ40は、インターネット20に接続されるNW機器30に設定されたトラフィックのミラーリング機能により収集される。フィルタリング部12は、このトラフィックデータ40を、入力部あるいは通信制御部を介して取得する。以下、フィルタリング部12が抽出した、宛先ポート番号が指定されたトラフィックデータを、filteredトラフィックデータと記す。
統計情報計算部13は、特徴抽出部として機能する。すなわち、統計情報計算部13は、抽出されたトラフィックデータについて、送信元IPアドレスごとに所定の統計情報を算出し、算出した統計情報の組み合わせからなる所定の特徴量を抽出する。具体的に、統計情報計算部13は、所定の時間ごとのfilteredトラフィックデータについて、送信元IPアドレスごとに所定の統計情報を算出し、その組み合わせを所定の特徴量として抽出する。
ここで、統計情報には、通信回数、宛先ポート番号等の通信先に依らない通信の統計情報と、レスポンスバイト数、接続時間等のポートが開放されている通信先に関する通信の統計情報とが含まれる。
さらに、統計情報として、受信バイト数の最大値、受信バイト数の最小値、受信バイト数の平均、受信バイト数の標準偏差、送信バイト数の最大値、送信バイト数の最小値、送信バイト数の平均、送信バイト数の標準偏差、接続時間の最大値、接続時間の最小値、接続時間の平均、接続時間の標準偏差、該宛先ポート番号の使用割合、通信時間、該宛先ポート番号への接続の確立を要求するSYNパケットの送信回数、ポートが開放されている通信先に対する通信回数、または、全通信におけるユニークな該宛先IPアドレスの数等のうちいずれか1つ以上が算出される。
そして、統計情報計算部13は、送信元IPアドレスごとに、算出した統計情報の組み合わせからなる所定の特徴量を抽出する。
クラスタリング部14は、分類部として機能する。すなわち、クラスタリング部14は、抽出された特徴量を用いて送信元IPアドレスを分類する。具体的に、クラスタリング部14は、送信元IPアドレスごとの統計情報の組み合わせからなる特徴量を密度ベースすなわち分布密度に応じて機械学習により分類する。
ここで、同種のマルウェアに感染した端末による通信は同一のクラスタに属すると考えられる。そこで、クラスタリング部14は、マルウェアに感染した既知の端末のIPアドレスと同一のクラスタに分類された送信元IPアドレス群を、マルウェアに感染した端末のものと検知する。また、クラスタリング部14は、分類の結果であるクラスタリング結果60を出力部に出力する。
図2は、クラスタリング結果60の出力例を示す図である。図2に示すように、クラスタリング部14は、分類したクラスタごとに、送信元IPアドレスと特徴量とを対応づけて出力する。図2に示す例では、特徴A、特徴Bとは、算出された各統計情報を表している。そして、特徴Aと特徴Bとの組み合わせにより、送信元IPアドレスがクラスタ1、クラスタ2の2つのクラスタに分類されている。また、HostAとHostBとがクラスタ1に分類され、HostCとHostDとがクラスタ2に分類されている。なお、図2において、送信元IPアドレスは、このIPアドレスに対応する端末の識別情報(HostA、HostB、…)で表されている。
クラスタリング結果60のネットワーク管理者等の閲覧者は、例えば、既知のマルウェア感染端末がクラスタ1に分類されることがわかっている場合、クラスタ1に分類された未知の端末(HostA、HostB)をマルウェア感染端末として検知する。また、既知の正常な端末がクラスタ2に分類されている場合、クラスタ2に分類された未知の端末(HostC、HostD)を正常と判定する。
[分類処理]
次に、図3を参照して、分類装置10の分類処理について説明する。図3は、分類装置10の分類処理手順を示すフローチャートである。図3のフローチャートは、例えば、処理の開始を指示する操作入力があったタイミングで開始される。
次に、図3を参照して、分類装置10の分類処理について説明する。図3は、分類装置10の分類処理手順を示すフローチャートである。図3のフローチャートは、例えば、処理の開始を指示する操作入力があったタイミングで開始される。
まず、フィルタリング部12は、ポート特定部11による宛先ポート番号の指定を受け付けて、収集されたトラフィックデータ40のうち該宛先ポート番号を使用して通信を行ったホストのトラフィックデータを抽出し、Filteredトラフィックデータとする(ステップS1)。
次に、統計情報計算部13は、Filteredトラフィックデータについて、送信元IPアドレスごとに所定の統計情報を算出し、算出した統計情報の組み合わせからなる特徴量を抽出する(ステップS2)。
次に、クラスタリング部14は、抽出された特徴量を用いて送信元IPアドレスを分類する(ステップS3)。また、クラスタリング部14が、クラスタリング結果60を出力する。これにより、一連の分類処理が終了する。
以上、説明したように、本実施形態の分類装置10では、フィルタリング部12は、宛先ポート番号の指定を受け付けて、収集されたトラフィックデータ40のうち該宛先ポート番号を使用して通信を行ったホストのトラフィックデータを抽出する。また、統計情報計算部13が、Filteredトラフィックデータについて、送信元IPアドレスごとに所定の統計情報を算出し、算出した統計情報の組み合わせからなる所定の特徴量を抽出する。また、クラスタリング部14は、抽出された特徴量を用いて送信元IPアドレスを分類する。
このように、分類装置10は、宛先ポート番号を限定して処理対象のトラフィックデータを削減し、また、トラフィックデータを統計的に扱って、処理負荷を軽減して容易に分類することができる。また、マルウェアに感染した既知の端末のIPアドレスと同一のクラスタに分類された送信元IPアドレス群を、マルウェアに感染した端末のものと検知することができる。これにより、本実施形態の分類装置10は、大規模なトラフィックデータからマルウェアに感染した異常な通信を行う端末のIPアドレス群を容易に検知することが可能となる。したがって、マルウェアに感染してスキャン攻撃を行う端末の特定や、ボットネットの推定が可能となる。また、異常な通信を行うIPアドレスのブラックリストを作成して、異常通信を防止することが可能となる。
また、ポート特定部11は、マルウェアへの感染が疑われるホストに関する情報を用いて、該ホストが通信に使用した宛先ポート番号を特定し、フィルタリング部12に対して特定した宛先ポート番号を指定する。これにより、既知の脅威情報50を用いて、スキャン攻撃が疑われる注目すべき宛先ポート番号を容易に指定可能となる。
また、統計情報計算部13は、統計情報として、通信先に依らない通信の統計情報と、ポートが開放されている通信先に関する通信の統計情報とを算出する。これにより、各filteredトラフィックデータの通信の特徴をより明確に反映した特徴量の抽出が可能となる。
[プログラム]
上記実施形態に係る分類装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、分類装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の分類処理を実行する分類プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の分類プログラムを情報処理装置に実行させることにより、情報処理装置を分類装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。また、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の分類処理に関するサービスを提供するサーバ装置として実装することもできる。例えば、分類装置10は、宛先ポート番号およびトラフィックデータを入力とし、クラスタリング結果を出力する分類処理サービスを提供するサーバ装置として実装される。この場合、分類装置10は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の分類処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。以下に、分類装置10と同様の機能を実現する分類プログラムを実行するコンピュータの一例を説明する。
上記実施形態に係る分類装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、分類装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の分類処理を実行する分類プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の分類プログラムを情報処理装置に実行させることにより、情報処理装置を分類装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。また、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の分類処理に関するサービスを提供するサーバ装置として実装することもできる。例えば、分類装置10は、宛先ポート番号およびトラフィックデータを入力とし、クラスタリング結果を出力する分類処理サービスを提供するサーバ装置として実装される。この場合、分類装置10は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の分類処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。以下に、分類装置10と同様の機能を実現する分類プログラムを実行するコンピュータの一例を説明する。
図4に示すように、分類プログラムを実行するコンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
ここで、図4に示すように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1031やメモリ1010に記憶される。
また、分類プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した分類装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、分類プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、分類プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、分類プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
10 分類装置
11 ポート特定部
12 フィルタリング部
13 統計情報計算部
14 クラスタリング部
20 インターネット
30 NW機器
40 トラフィックデータ
50 脅威情報
60 クラスタリング結果
11 ポート特定部
12 フィルタリング部
13 統計情報計算部
14 クラスタリング部
20 インターネット
30 NW機器
40 トラフィックデータ
50 脅威情報
60 クラスタリング結果
Claims (5)
- 宛先ポート番号の指定を受け付けて、収集されたトラフィックデータのうち該宛先ポート番号を使用して通信を行ったホストのトラフィックデータを抽出する抽出部と、
抽出された前記トラフィックデータについて、送信元IPアドレスごとに所定の統計情報を算出し、算出した統計情報の組み合わせからなる所定の特徴量を抽出する特徴抽出部と、
前記特徴量を用いて前記送信元IPアドレスを分類する分類部と、
を備えることを特徴とする分類装置。 - さらに、マルウェアへの感染が疑われるホストに関する情報を用いて、該ホストが通信に使用した宛先ポート番号を特定し、前記抽出部に対して該宛先ポート番号を指定する特定部を備えることを特徴とする請求項1に記載の分類装置。
- 前記特徴抽出部は、前記統計情報として、通信先に依らない通信の統計情報と、ポートが開放されている通信先に関する通信の統計情報とを算出することを特徴とする請求項1または2に記載の分類装置。
- 分類装置で実行される分類方法であって、
宛先ポート番号の指定を受け付けて、収集されたトラフィックデータのうち該宛先ポート番号を使用して通信を行ったホストのトラフィックデータを抽出する抽出工程と、
抽出された前記トラフィックデータについて、送信元IPアドレスごとに所定の統計情報を算出し、算出した統計情報の組み合わせからなる所定の特徴量を抽出する特徴抽出工程と、
前記特徴量を用いて前記送信元IPアドレスを分類する分類工程と、
を含むことを特徴とする分類方法。 - 宛先ポート番号の指定を受け付けて、収集されたトラフィックデータのうち該宛先ポート番号を使用して通信を行ったホストのトラフィックデータを抽出する抽出ステップと、
抽出された前記トラフィックデータについて、送信元IPアドレスごとに所定の統計情報を算出し、算出した統計情報の組み合わせからなる所定の特徴量を抽出する特徴抽出ステップと、
前記特徴量を用いて前記送信元IPアドレスを分類する分類ステップと、
をコンピュータに実行させることを特徴とする分類プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017038410A JP6708575B2 (ja) | 2017-03-01 | 2017-03-01 | 分類装置、分類方法および分類プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017038410A JP6708575B2 (ja) | 2017-03-01 | 2017-03-01 | 分類装置、分類方法および分類プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018148270A true JP2018148270A (ja) | 2018-09-20 |
| JP6708575B2 JP6708575B2 (ja) | 2020-06-10 |
Family
ID=63590037
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017038410A Active JP6708575B2 (ja) | 2017-03-01 | 2017-03-01 | 分類装置、分類方法および分類プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6708575B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101990022B1 (ko) * | 2018-11-28 | 2019-06-17 | 한국인터넷진흥원 | 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치 |
| KR102089417B1 (ko) * | 2019-06-11 | 2020-03-17 | 한국인터넷진흥원 | 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치 |
| JP7518037B2 (ja) | 2021-05-27 | 2024-07-17 | Kddi株式会社 | 通信解析システム、通信解析方法及びコンピュータプログラム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006314077A (ja) * | 2005-04-06 | 2006-11-16 | Alaxala Networks Corp | ネットワーク制御装置と制御システム並びに制御方法 |
| JP2016146580A (ja) * | 2015-02-09 | 2016-08-12 | 日本電信電話株式会社 | 通信監視システム、通信監視方法およびプログラム |
-
2017
- 2017-03-01 JP JP2017038410A patent/JP6708575B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006314077A (ja) * | 2005-04-06 | 2006-11-16 | Alaxala Networks Corp | ネットワーク制御装置と制御システム並びに制御方法 |
| JP2016146580A (ja) * | 2015-02-09 | 2016-08-12 | 日本電信電話株式会社 | 通信監視システム、通信監視方法およびプログラム |
Non-Patent Citations (4)
| Title |
|---|
| 北條 孝佳、松浦 幹太: "挙動類似性に着目したポット端末判定手法", 2013年 暗号と情報セキュリティシンポジウム SCIS2013 [CD−ROM] 2013年 暗号, JPN6019046739, 22 January 2013 (2013-01-22), pages 1 - 8, ISSN: 0004165081 * |
| 土性 文哉 FUMIYA DOSHO: "ダークネット観測データを用いたボットネット抽出手法の提案 Proposal of clustering method for botnet-p", マルチメディア,分散,協調とモバイル(DICOMO2016)シンポジウム論文集 情報処理学会シンポジ, vol. 第2016巻, JPN6019046744, 29 June 2016 (2016-06-29), JP, pages 826 - 831, ISSN: 0004165083 * |
| 福島 祥郎 YOSHIRO FUKUSHIMA: "ダークネット観測データに基づく攻撃挙動の特徴抽出に関する考察", 電子情報通信学会技術研究報告 VOL.109 NO.285 IEICE TECHNICAL REPORT, vol. 第109巻, JPN6019046746, 6 November 2009 (2009-11-06), JP, pages 37 - 42, ISSN: 0004165084 * |
| 衛藤 将史 MASASHI ETO: "スキャンの特徴抽出による攻撃元プロファイリング手法の提案 A Profiling Method of Attacking Hosts base", 電子情報通信学会技術研究報告 VOL.111 NO.82 IEICE TECHNICAL REPORT, vol. 第111巻, JPN6019046742, 9 June 2011 (2011-06-09), JP, pages 19 - 24, ISSN: 0004165082 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101990022B1 (ko) * | 2018-11-28 | 2019-06-17 | 한국인터넷진흥원 | 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치 |
| US11245712B2 (en) | 2018-11-28 | 2022-02-08 | Korea Internet & Security Agency | Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code |
| KR102089417B1 (ko) * | 2019-06-11 | 2020-03-17 | 한국인터넷진흥원 | 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치 |
| JP7518037B2 (ja) | 2021-05-27 | 2024-07-17 | Kddi株式会社 | 通信解析システム、通信解析方法及びコンピュータプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6708575B2 (ja) | 2020-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9516054B2 (en) | System and method for cyber threats detection | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| EP3337106B1 (en) | Identification system, identification device and identification method | |
| JP6401424B2 (ja) | ログ分析装置、ログ分析方法およびログ分析プログラム | |
| JP2015076863A (ja) | ログ分析装置、方法およびプログラム | |
| JP6691268B2 (ja) | 監視装置、監視方法および監視プログラム | |
| WO2018066221A1 (ja) | 分類装置、分類方法及び分類プログラム | |
| JP2017215954A (ja) | アンチウイルススキャンを実行するために分散システムを構成する仮想マシン間でファイルを配布するシステム及び方法 | |
| US9270689B1 (en) | Dynamic and adaptive traffic scanning | |
| KR102280845B1 (ko) | 네트워크 내의 비정상 행위 탐지 방법 및 그 장치 | |
| JP6708575B2 (ja) | 分類装置、分類方法および分類プログラム | |
| JP2014179025A (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| JP6864610B2 (ja) | 特定システム、特定方法及び特定プログラム | |
| JP6915305B2 (ja) | 検知装置、検知方法および検知プログラム | |
| JP7052602B2 (ja) | 生成装置、生成方法及び生成プログラム | |
| JP6538618B2 (ja) | 管理装置及び管理方法 | |
| WO2020170802A1 (ja) | 検知装置および検知方法 | |
| JPWO2015141628A1 (ja) | Url選定方法、url選定システム、url選定装置及びurl選定プログラム | |
| JP6272258B2 (ja) | 最適化装置、最適化方法および最適化プログラム | |
| JP2018137500A (ja) | セキュリティ対処案設計装置、セキュリティ対処案評価装置、セキュリティ対処案設計方法及びセキュリティ対処案評価方法 | |
| JP5684842B2 (ja) | 悪性サイト検出装置、悪性サイト検出方法およびプログラム | |
| JPWO2018143096A1 (ja) | リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム | |
| EP3964988B1 (en) | Sensing device, sensing method, and sensing program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190221 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191125 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191203 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200203 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200519 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200521 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6708575 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |