JP5926413B1 - 情報処理装置、情報処理方法及びプログラム - Google Patents
情報処理装置、情報処理方法及びプログラム Download PDFInfo
- Publication number
- JP5926413B1 JP5926413B1 JP2015027777A JP2015027777A JP5926413B1 JP 5926413 B1 JP5926413 B1 JP 5926413B1 JP 2015027777 A JP2015027777 A JP 2015027777A JP 2015027777 A JP2015027777 A JP 2015027777A JP 5926413 B1 JP5926413 B1 JP 5926413B1
- Authority
- JP
- Japan
- Prior art keywords
- communication
- period
- information
- count
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【解決手段】通信分析装置20は、監視対象とするネットワーク上で検知された通信のログを取得する通信ログ取得部21と、取得された通信ログのうち分析の対象とする通信ログを抽出する通信ログ抽出部22と、通信ログの取得対象とした期間を予め定められた第1期間の長さで区切り、各第1期間について、最初の通信と最後の通信との間隔が予め定められた第2期間を超えていればカウントするカウント部23と、カウント部23によるカウントの処理に用いられる第1期間及び第2期間の設定値を記憶する設定値記憶部24と、カウント部23によるカウント数に基づく情報を出力する情報出力部25とを備える。
【選択図】図2
Description
本発明の目的は、監視対象とするネットワーク上で繰り返し行われる通信の把握を容易にすることにある。
ここで、出力手段は、カウント手段によるカウント数をもとに、抽出手段にて抽出された送信先ごとの通信を、カウント数に基づく順番で並べて表示するもの、であってよい。
また、出力手段は、抽出手段にて抽出された送信先ごとの通信のうち、カウント手段によるカウント数が予め定められた基準を満たす通信について、通信に関する情報を出力するもの、であってよい。
さらに、抽出手段は、通信におけるデータの送信先及び送信元が同一である通信を抽出するもの、であってよい。
さらに、本発明は、監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得するステップと、取得された情報により、通信のうち少なくとも通信におけるデータの送信先が同一である通信を抽出するステップと、抽出された通信について、対象期間を予め定められた第1期間ごとに順に区切り、区切られた複数の第1期間のうち、第1期間内で最初の通信と最後の通信との間隔が予め定められた第2期間よりも長い第1期間の数をカウントするステップと、カウント数に基づく情報を出力するステップとを含む、情報処理方法も提供する。
そして、本発明は、コンピュータに、監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得する機能と、取得された情報により、通信のうち少なくとも通信におけるデータの送信先が同一である通信を抽出する機能と、抽出された通信について、対象期間を予め定められた第1期間ごとに順に区切り、区切られた複数の第1期間のうち、第1期間内で最初の通信と最後の通信との間隔が予め定められた第2期間よりも長い第1期間の数をカウントする機能と、カウント数に基づく情報を出力する機能とを実現させるための、プログラムも提供する。
<システム構成>
まず、本実施の形態が適用されるコンピュータシステムについて説明する。図1は、本実施の形態が適用されるコンピュータシステムの全体構成例を示した図である。図示するように、このコンピュータシステムでは、クライアント端末10a、10b、10cが社内LAN(Local Area Network)40に接続されている。また、通信分析装置20が社内LAN40及びインターネット50の両方に接続されている。さらに、攻撃者サーバ30がインターネット50に接続されている。
次に、通信分析装置20の機能構成について説明する。図2は、本実施の形態に係る通信分析装置20の機能構成例を示したブロック図である。
次に、本実施の形態に係る通信分析装置20のハードウェア構成について説明する。図3は、通信分析装置20を適用するのに好適なコンピュータのハードウェア構成の一例を示した図である。図示するように、通信分析装置20は、演算手段であるCPU(Central Processing Unit)20aと、主記憶手段であるメモリ20cを備える。また、外部デバイスとして、磁気ディスク装置(HDD:Hard Disk Drive)20g、ネットワーク・インターフェイス20f、ディスプレイ装置を含む表示機構20d、音声機構20h、キーボードやマウス等の入力デバイス20i等を備える。
次に、通信分析装置20が通信ログをもとにカウント数に基づく情報を出力する処理の手順について説明する。図4は、通信ログをもとにカウント数に基づく情報を出力する手順の一例を示したフローチャートである。
次に、通信ログ取得部21が取得する通信ログについて説明する。図5は、通信ログ取得部21が取得する通信ログの一例を示す図である。
次に、カウント部23によるカウント処理について、具体例を挙げて説明する。図6(a)〜(d)は、カウント部23によるカウント処理の具体例を説明するための図である。図示の例では2つの第1期間を示しているが、以下では、1つ目の第1期間内の通信について説明する。
図6(b)に示す例では、第1期間内で2回の通信が発生しており、最初の通信と最後の通信との間隔が第2期間を超えている。そのため、図6(b)の場合には、図6(a)の場合よりも通信の発生回数は少ないが、カウント部23はカウント数を1増やす処理を行う。
図6(d)に示す例では、第1期間内で10回の通信が発生しており、最初の通信と最後の通信との間隔が第2期間を超えている。そのため、カウント部23はカウント数を1増やす処理を行う。
次に、カウント部23によるカウント数に基づく情報を出力する処理について、具体例を挙げて説明する。図7は、カウント部23によるカウント数に基づく情報を出力する処理の具体例を説明するための図である。図7に示す例は、例えば1日間で蓄積された通信ログのうち、送信先IPアドレス及び送信元IPアドレスのペアが同一である通信ログの集合を分析対象とし、カウント数が多い順番に各集合を上から並べたものである。
Claims (6)
- 監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得する取得手段と、
前記取得手段にて取得された情報により、前記通信のうち少なくとも当該通信におけるデータの送信先が同一である通信を抽出する抽出手段と、
前記抽出手段にて抽出された通信について、前記対象期間を予め定められた第1期間ごとに順に区切り、区切られた複数の当該第1期間のうち、当該第1期間内で最初の通信と最後の通信との間隔が予め定められた第2期間よりも長い当該第1期間の数をカウントするカウント手段と、
前記カウント手段によるカウント数に基づく情報を出力する出力手段と
を備える情報処理装置。 - 前記出力手段は、前記カウント手段によるカウント数をもとに、前記抽出手段にて抽出された前記送信先ごとの通信を、当該カウント数に基づく順番で並べて表示すること
を特徴とする請求項1に記載の情報処理装置。 - 前記出力手段は、前記抽出手段にて抽出された前記送信先ごとの通信のうち、前記カウント手段によるカウント数が予め定められた基準を満たす通信について、当該通信に関する情報を出力すること
を特徴とする請求項1または2に記載の情報処理装置。 - 前記抽出手段は、通信におけるデータの送信先及び送信元が同一である通信を抽出すること
を特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。 - 監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得するステップと、
取得された前記情報により、前記通信のうち少なくとも当該通信におけるデータの送信先が同一である通信を抽出するステップと、
抽出された前記通信について、前記対象期間を予め定められた第1期間ごとに順に区切り、区切られた複数の当該第1期間のうち、当該第1期間内で最初の通信と最後の通信との間隔が予め定められた第2期間よりも長い当該第1期間の数をカウントするステップと、
カウント数に基づく情報を出力するステップと
を含む情報処理方法。 - コンピュータに、
監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得する機能と、
取得された前記情報により、前記通信のうち少なくとも当該通信におけるデータの送信先が同一である通信を抽出する機能と、
抽出された前記通信について、前記対象期間を予め定められた第1期間ごとに順に区切り、区切られた複数の当該第1期間のうち、当該第1期間内で最初の通信と最後の通信との間隔が予め定められた第2期間よりも長い当該第1期間の数をカウントする機能と、
カウント数に基づく情報を出力する機能と
を実現させるためのプログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015027777A JP5926413B1 (ja) | 2015-02-16 | 2015-02-16 | 情報処理装置、情報処理方法及びプログラム |
PCT/JP2016/053648 WO2016132941A1 (ja) | 2015-02-16 | 2016-02-08 | 情報処理装置、情報処理方法及びプログラム |
US15/457,328 US10783244B2 (en) | 2015-02-16 | 2017-03-13 | Information processing system, information processing method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015027777A JP5926413B1 (ja) | 2015-02-16 | 2015-02-16 | 情報処理装置、情報処理方法及びプログラム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016085190A Division JP5992643B2 (ja) | 2016-04-21 | 2016-04-21 | 情報処理装置、情報処理方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP5926413B1 true JP5926413B1 (ja) | 2016-05-25 |
JP2016152449A JP2016152449A (ja) | 2016-08-22 |
Family
ID=56069551
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015027777A Active JP5926413B1 (ja) | 2015-02-16 | 2015-02-16 | 情報処理装置、情報処理方法及びプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US10783244B2 (ja) |
JP (1) | JP5926413B1 (ja) |
WO (1) | WO2016132941A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019070995A (ja) * | 2017-10-11 | 2019-05-09 | 村上 真梨 | 検出方法、検出プログラムおよび検出装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7533058B2 (ja) * | 2020-09-17 | 2024-08-14 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3945438B2 (ja) * | 2003-03-28 | 2007-07-18 | コニカミノルタビジネステクノロジーズ株式会社 | 制御プログラムおよび制御装置 |
JP4651610B2 (ja) | 2006-12-21 | 2011-03-16 | 大阪瓦斯株式会社 | セキュリティシステム及びセキュリティ対策方法 |
WO2009078114A1 (ja) * | 2007-12-18 | 2009-06-25 | Ssd Company Limited | 携帯記録装置、体動計測装置、情報処理装置、運動形態判別装置、活動量算出装置、記録方法、体動計測方法、情報処理方法、運動形態判別方法、活動量算出方法、コンピュータプログラム、及び記録媒体 |
JP2012084994A (ja) | 2010-10-07 | 2012-04-26 | Hitachi Ltd | マルウェア検出方法、およびマルウェア検出装置 |
JP5779334B2 (ja) * | 2010-11-09 | 2015-09-16 | デジタルア−ツ株式会社 | 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム |
US9330257B2 (en) * | 2012-08-15 | 2016-05-03 | Qualcomm Incorporated | Adaptive observation of behavioral features on a mobile device |
JP6252254B2 (ja) * | 2014-02-28 | 2017-12-27 | 富士通株式会社 | 監視プログラム、監視方法および監視装置 |
JP6159018B2 (ja) * | 2014-03-19 | 2017-07-05 | 日本電信電話株式会社 | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム |
JP5739034B1 (ja) * | 2014-03-19 | 2015-06-24 | 日本電信電話株式会社 | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
JP6174520B2 (ja) * | 2014-05-22 | 2017-08-02 | 日本電信電話株式会社 | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム |
CN106415578B (zh) * | 2014-06-03 | 2018-07-03 | 三菱电机株式会社 | 日志分析装置和日志分析方法 |
-
2015
- 2015-02-16 JP JP2015027777A patent/JP5926413B1/ja active Active
-
2016
- 2016-02-08 WO PCT/JP2016/053648 patent/WO2016132941A1/ja active Application Filing
-
2017
- 2017-03-13 US US15/457,328 patent/US10783244B2/en active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019070995A (ja) * | 2017-10-11 | 2019-05-09 | 村上 真梨 | 検出方法、検出プログラムおよび検出装置 |
Also Published As
Publication number | Publication date |
---|---|
US20170185772A1 (en) | 2017-06-29 |
WO2016132941A1 (ja) | 2016-08-25 |
US10783244B2 (en) | 2020-09-22 |
JP2016152449A (ja) | 2016-08-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10666680B2 (en) | Service overload attack protection based on selective packet transmission | |
JP2018049602A (ja) | ネットワークの異常検出システムのためのグラフ・データベース分析 | |
CN103701793B (zh) | 服务器肉鸡的识别方法和装置 | |
EP3101580B1 (en) | Website information extraction device, system, website information extraction method, and website information extraction program | |
WO2014209459A1 (en) | Interception and policy application for malicious communications | |
JP6502902B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
JP5980968B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP2019523584A (ja) | ネットワーク攻撃防御システムおよび方法 | |
JP2015179416A (ja) | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム | |
JP5926413B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP2018121218A (ja) | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム | |
JP5992643B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP6145588B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP6088700B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP6007308B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP5966076B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP6105797B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP2011002916A (ja) | 感染活動検知装置、感染活動検知方法、及びプログラム | |
JP6105792B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP6063593B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
CN111385248A (zh) | 攻击防御方法和攻击防御设备 | |
JP5086382B2 (ja) | 異常トラヒック分析システム、方法、および装置 | |
CN118449712A (zh) | 基于旁路流量的黑白名单检测方法及系统 | |
JP2016136745A (ja) | 情報処理装置、処理方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160309 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160329 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160421 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5926413 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |