CN107251037B - 黑名单生成装置、黑名单生成***、黑名单生成方法和记录介质 - Google Patents
黑名单生成装置、黑名单生成***、黑名单生成方法和记录介质 Download PDFInfo
- Publication number
- CN107251037B CN107251037B CN201680010175.8A CN201680010175A CN107251037B CN 107251037 B CN107251037 B CN 107251037B CN 201680010175 A CN201680010175 A CN 201680010175A CN 107251037 B CN107251037 B CN 107251037B
- Authority
- CN
- China
- Prior art keywords
- communication
- blacklist
- log
- communication pattern
- pattern
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
黑名单生成装置(300)取得恶意通信日志(301a)和正常通信日志(301b)。并且,恶意通信规范提取功能(305)计算恶意通信日志(301a)中包含的通信模式的统计值,将满足规定的条件的通信模式作为黑名单候选(305a)输出。此外,正常通信规范提取功能(306)计算正常通信日志(301b)中包含的通信模式的统计值,将满足规定的条件的通信模式作为白名单(306a)输出。进而,黑名单制作功能(307)通过白名单(306a)的值来检索黑名单候选(305a)的值,将一致的通信模式从黑名单候选(305a)中除去而制作黑名单(307a)。
Description
技术领域
本发明涉及黑名单生成装置、黑名单生成***、黑名单生成方法和记录介质。
背景技术
通过网络而进行的攻击复杂程度逐日递增,仅凭入口对策难以完全防止恶意软件对通信终端的感染。近些年来,在攻击成功后如何早期发现,由此阻止受害的扩大这样的事后对策的重要性增加。
作为这种技术之一,已知制作黑名单的方法。作为黑名单制作方法,已知如下技术,对存在某种程度的恶性嫌疑的URL实际进行访问,根据此后的通信的举动来判断是否为恶性,在此基础上将其追加到黑名单中。
此外,还已知图12所示的使用包含蜜罐技术的***的方法。图12是表示现有的黑名单生成***的图。在图12所示的黑名单生成***中,根据通过蜜罐技术取得的信息生成恶性URL的黑名单,对此时还可取得的显示出与恶性URL的类似性的URL也提升警戒等级,尝试信息收集并扩充黑名单(例如,参照专利文献1)。
在先技术文献
专利文献
专利文献1:日本特开2012-118713号公报
发明内容
发明欲解决的课题
然而,在现有的实际访问存在恶性嫌疑的URL的方法中,可制作高精度的黑名单,然而在可确认到的恶性URL的种类中存在制约,因此存在无法效率良好地制作黑名单的问题。此外,最近的恶意软件进行各种各样的通信,若简单地将恶意软件的通信目的地全都视为恶性URL,并将与该恶性URL存在类似性的URL一并用作黑名单则产生误检测的可能性较高,而且可检测的恶意软件的覆盖范围也不会变大。
于是,本发明的目的在于,效率良好地生成误检测较少且恶意软件的覆盖范围较大的黑名单。
用于解决课题的手段
本发明的黑名单生成装置的特征在于,具有:日志取得功能,其取得第一通信日志和第二通信日志,该第一通信日志从恶意软件的通信中得到,该第二通信日志从规定的网络的通信中得到;第一提取功能,其计算针对所述第一通信日志中包含的每个通信模式的出现频度的第一统计值,提取该第一统计值满足规定的条件的通信模式,将该通信模式作为黑名单的候选进行输出,其中,该通信模式是字段和值的组;第二提取功能,其计算针对所述第二通信日志中包含的每个通信模式的出现频度的第二统计值,提取该第二统计值满足规定的条件的通信模式,将该通信模式作为白名单进行输出;以及黑名单制作功能,其通过所述白名单的对应的字段的值检索所述黑名单的候选的值,将一致的通信模式从所述黑名单的候选中除去,从而制作黑名单。
此外,本发明的黑名单生成***,具有:第一日志收集蓄积装置,其从恶意软件的通信中收集通信日志而作为第一通信日志进行蓄积;第二日志收集蓄积装置,其从规定的网络的通信中收集通信日志而作为第二通信日志进行蓄积;以及黑名单生成装置,该黑名单生成***的特征在于,所述黑名单生成装置具有:日志取得功能,其取得被蓄积在所述第一日志收集蓄积装置中的第一通信日志和被蓄积在所述第二日志收集蓄积装置中的第二通信日志;第一提取功能,其计算针对所述第一通信日志中包含的每个通信模式的出现频度的第一统计值,提取该第一统计值满足规定的条件的通信模式,将该通信模式作为黑名单的候选进行输出,其中,该通信模式是字段和值的组;第二提取功能,其计算针对所述第二通信日志中包含的每个通信模式的出现频度的第二统计值,提取该第二统计值满足规定的条件的通信模式,将该通信模式作为白名单进行输出;以及黑名单制作功能,其通过所述白名单的对应的字段的值来检索所述黑名单的候选的值,将一致的通信模式从所述黑名单的候选除去,从而制作黑名单。
此外,本发明的黑名单生成方法的特征在于,包括:第一日志收集蓄积工序,从恶意软件的通信中收集通信日志而作为第一通信日志进行蓄积;第二日志收集蓄积工序,从规定的网络的通信中收集通信日志而作为第二通信日志进行蓄积;日志取得工序,取得在所述第一日志收集蓄积工序中蓄积的第一通信日志和在所述第二日志收集蓄积工序中蓄积的第二通信日志;第一提取工序,计算针对所述第一通信日志中包含的每个通信模式的出现频度的第一统计值,提取该第一统计值满足规定的条件的通信模式,将该通信模式作为黑名单的候选进行输出,该通信模式是字段和值的组;第二提取工序,计算针对所述第二通信日志中包含的每个通信模式的出现频度的第二统计值,提取该第二统计值满足规定的条件的通信模式,将该通信模式作为白名单进行输出;以及黑名单制作工序,通过所述白名单的对应的字段的值来检索所述黑名单的候选的值,将一致的通信模式从所述黑名单的候选中除去,从而制作黑名单。
此外,本发明的黑名单生成程序的特征在于,该黑名单生成程序使计算机执行如下步骤:日志取得步骤,取得第一通信日志和第二通信日志,该第一通信日志从恶意软件的通信中得到,该第二通信日志从规定的网络的通信中得到;第一提取步骤,计算针对所述第一通信日志中包含的每个通信模式的出现频度的第一统计值,提取该第一统计值中的满足规定的条件的通信模式,将该通信模式作为黑名单的候选进行输出,该通信模式是字段和值的组;第二提取步骤,计算针对所述第二通信日志中包含的每个通信模式的出现频度的第二统计值,提取该第二统计值满足规定的条件的通信模式,将该通信模式作为白名单输出;以及黑名单制作步骤,通过所述白名单的对应的字段的值来检索所述黑名单的候选的值,将一致的通信模式从所述黑名单的候选中除去,从而制作黑名单。
发明效果
根据本发明,能够效率良好地生成误检测较少且恶意软件的覆盖范围较大的黑名单。
附图说明
图1是表示第一实施方式的黑名单生成***的结构的一例的图。
图2是表示第一实施方式的黑名单生成装置的通信日志的字段的示例的图。
图3是表示第一实施方式的黑名单生成装置的恶意通信日志的规范信息的示例的图。
图4是表示第一实施方式的黑名单生成装置的黑名单候选的一例的图。
图5是表示第一实施方式的黑名单生成装置的正常通信日志的规范信息的示例的图。
图6是表示第一实施方式的黑名单生成装置的白名单的一例的图。
图7是表示第一实施方式的黑名单生成装置的黑名单的一例的图。
图8是表示第一实施方式的黑名单生成装置的黑名单的一例的图。
图9是表示第一实施方式的黑名单生成装置的规范信息的示例的图。
图10是表示第一实施方式的黑名单生成***的处理的一例的图。
图11是表示执行黑名单生成程序的计算机的一例的图。
图12是表示现有的黑名单生成***的图。
具体实施方式
[第一实施方式的黑名单生成***的结构]
参照附图对本发明的第一实施方式的结构进行说明。首先,使用图1说明本实施方式的黑名单生成***1的结构。图1是表示第一实施方式的黑名单生成***的结构的一例的图。另外,本发明不限于本实施方式。
黑名单生成***1包括日志收集/蓄积装置100和200、黑名单生成装置300。日志收集/蓄积装置100进行恶意软件的通信日志的收集和蓄积。日志收集/蓄积装置200进行防御对象网络中的通信日志的收集和蓄积。在本实施方式中,构成为通过各自独立的装置来进行恶意软件的通信日志和防御对象网络中的通信日志的收集和蓄积,也可以通过1个装置进行双方的通信日志的收集和蓄积。
另外,在以下的说明中,将恶意软件的通信日志称作“恶意通信日志”,将防御对象网络中的通信日志称作“正常通信日志”。此外,恶意软件的通信日志是在被沙箱化后的恶意软件的通信环境中执行恶意软件时被输出的通信日志。
日志收集/蓄积装置100和200例如将防火墙、Web代理服务器、DNS服务器的日志作为通信日志进行收集。此外,还可以收集IDS(Intrusion Detection System:入侵检测***)、IPS(Intrusion Prevention System:入侵防御***)等的监视通信的安全应用的日志。
如图1所示,日志收集/蓄积装置100具有收集功能101、归一化功能102和日志管理存储器103。收集功能101从恶意软件的通信环境中的前述的收集对象的设备和***等收集通信日志。归一化功能102按照图2所示的字段对所收集的通信日志进行归一化。图2是表示第一实施方式的黑名单生成装置的通信日志的字段的示例的图。归一化后的通信日志被存储在日志管理存储器103中。
如图1所示,日志收集/蓄积装置200具有与日志收集/蓄积装置100同样的结构。日志收集/蓄积装置200具有收集功能201、归一化功能202和日志管理存储器203。收集功能201从防御对象网络中的前述的收集对象的设备和***等收集通信日志。归一化功能202按照图2所示的字段对所收集的通信日志进行归一化。归一化后的通信日志被存储在日志管理存储器203中。
另外,图2所示的字段仅为一例,由日志收集/蓄积装置100和200进行收集并进行归一化的通信日志的字段不限于图2所示的内容。此外,日志收集/蓄积装置100和200无须对图2所示的字段中的所有的字段都取得值,可以取得针对一部分字段的值。
如图1所示,黑名单生成装置300具有日志取得功能301、恶意通信日志前处理功能302、正常通信日志前处理功能303、单词列表生成功能304、恶意通信规范提取功能305、正常通信规范提取功能306和黑名单制作功能307。
日志取得功能301取得从恶意软件的通信中得到的恶意通信日志301a、以及从作为规定的网络的防御对象网络的通信中得到的正常通信日志301b。
作为第一提取功能的恶意通信规范提取功能305计算针对恶意通信日志302a中包含的作为字段和值的组的每个通信模式的出现频度的统计值,提取统计值满足规定的条件的通信模式,将该通信模式作为黑名单候选305a输出。此外,恶意通信规范提取功能305还可以按照统计值的从大到小的顺序排列恶意通信日志302a,将在规定的顺位以上的通信模式作为黑名单候选305a输出。
作为第二提取功能的正常通信规范提取功能306计算针对正常通信日志303a中包含的每个通信模式的出现频度的统计值,提取统计值满足规定的条件的通信模式,将该通信模式作为白名单306a输出。此外,正常通信规范提取功能306还可以按照所述统计值的从大到小的顺序排列正常通信日志303a,将在规定的顺位以上的通信模式作为白名单306a输出。
黑名单制作功能307通过白名单306a的对应的字段的值来检索黑名单候选305a的值,将从黑名单候选305a中除去了一致的通信模式后的内容作为黑名单307a输出。此外,所述黑名单制作功能307还可以对黑名单307a的值进行正则表达后输出。
正常通信日志前处理功能303从正常通信日志301b中提取出在规定的网络内进行了一定次数以上的访问的通信目的地。此外,恶意通信日志前处理功能302从恶意通信日志301a中将针对所提取出的通信目的地的通信日志除外。
单词列表生成功能304提取出在恶意通信日志302a中以一定以上的频度出现的字符串,并生成单词列表304a。此外,正常通信规范提取功能306对白名单306a的值中的与单词列表304a中包含的字符串一致的部分以外的部分进行正则表达。
另外,上述的功能中的恶意通信日志前处理功能302、正常通信日志前处理功能303、单词列表生成功能304并非必须的结构,然而可获得进一步提高由黑名单生成装置300生成的黑名单307a的精度的效果。此后,对各功能的具体处理进行说明。
日志取得功能301对日志收集/蓄积装置100和200进行用于通信日志取得的询问。日志取得功能301还可以对日志收集/蓄积装置100和200要求以特定的期间、字段和字段的值等作为检索条件检索通信日志,并响应检索结果。若进行了来自日志取得功能301的询问,则日志收集/蓄积装置100和200进行通信日志的检索,将检索结果响应给日志取得功能301。
日志取得功能301在从日志收集/蓄积装置100和200取得了通信日志时,将恶意通信日志301a转发给恶意通信日志前处理功能302,并将正常通信日志301b转发给正常通信日志前处理功能303。
正常通信日志前处理功能303将作为正常通信日志301b的对象的终端中的规定的阈值以上的终端所访问的域作为防御对象网络中的大众的通信目的地。并且,正常通信日志前处理功能303将大众的通信目的地列表化后作为除外列表303b输出。除外列表303b被发送给恶意通信日志前处理功能302,正常通信日志303a被转发给正常通信规范提取功能306。另外,作为除外列表303b,除了前述的域之外,还可以根据FQDN(Fully QualifiedDomain Name:完全合格域名)来制作。另外,作为大众的通信目的地的例子,可举出在用户数较多的知名检索网站(YAHOO!(注册商标)、***(注册商标)等)使用的域。
恶意通信日志前处理功能302从日志取得功能301收取恶意通信日志301a,并从正常通信日志前处理功能303收取除外列表303b。恶意通信日志前处理功能302根据除外列表303b进行恶意通信日志301a的过滤。即,从恶意通信日志301a中将通信目的地被包含在除外列表303b中的通信日志除外,并作为恶意通信日志302a输出。并且,恶意通信日志前处理功能302将恶意通信日志302a转发给单词列表生成功能304和恶意通信规范提取功能305。此时,恶意通信日志前处理功能302还可以在除外列表303b中包含的通信目的地以外,将以作为广告网站而著名的域或平时通常被访问的域作为通信目的地的通信日志也除外。
单词列表生成功能304从恶意通信日志前处理功能302收取恶意通信日志302a。单词列表生成功能304从恶意通信日志302a中提取出满足规定的条件的字符串,生成单词列表304a。作为规定的条件,例如可举出字符串的长度或出现次数超过一定的基准,或者上述情况被组合起来的条件等。单词列表304a被转发给正常通信规范提取功能306。
恶意通信规范提取功能305从恶意通信日志前处理功能302收取恶意通信日志302a。并且,恶意通信规范提取功能305从恶意通信日志302a中按照图2所示的每个字段将各值的发生次数、恶意软件数、发生率等作为图3所示的规范信息提取出来。图3是表示第一实施方式的黑名单生成装置的恶意通信日志的规范信息的示例的图。
并且,如图4所示,恶意通信规范提取功能305将所提取的信息列表化后作为各字段的黑名单候选305a。图4是表示第一实施方式的黑名单生成装置的黑名单候选的一例的图。此时,恶意通信规范提取功能305可以按照每个字段以排名形式表示各值,并将作为规定的顺位以上的值作为黑名单候选305a。
例如,在图3的例子中,从发生次数的值高的通信模式起依次排列恶意通信日志302a,将恶意通信日志302a中的发生次数的值高的3个通信模式作为黑名单候选305a输出。这里,若将发生次数的值高的2个通信模式作为黑名单候选305a输出,则字段为“发送目的地IP地址”且值为“10.0.0.3”的通信模式不会包含于黑名单候选305a。
另外,发生次数指的是恶意通信日志302a中的该值的出现次数,恶意软件数指的是发生该值的恶意软件的检体数,发生率指的是在恶意通信日志302a中包含的恶意软件的总检体数中所占的所述恶意软件数的比例。即,还可以如下所述表示。
发生次数=该通信模式的出现次数(恶意软件可发生重复)
恶意软件数=发生该通信模式的恶意软件数(恶意软件不可发生重复)
发生率=发生该通信模式的恶意软件数(恶意软件不可发生重复)/在恶意通信日志302a中包含的恶意软件的总检体数
另外,在图3的例子中,排除了重复后的恶意软件数为100。这种情况下,例如“发送目的地IP地址”是“192.168.10.30”的通信模式中的恶意软件数是80,因此图3所示,发生率为80/100=0.8。
正常通信规范提取功能306从正常通信日志前处理功能303收取正常通信日志303a,并从单词列表生成功能304收取单词列表304a。并且,恶意通信规范提取功能305提取与恶意软件有关的规范信息,而正常通信规范提取功能306提取与终端有关的规范信息。即,正常通信规范提取功能306从正常通信日志303a中按照图2所示的每个字段将各值的发生次数、终端数、发生率等作为图5所示的规范信息提取出来。图5是表示第一实施方式的黑名单生成装置的正常通信日志的规范信息的示例的图。
另外,发生次数指的是正常通信日志303a中的该值的出现次数,终端数指的是发生该值的终端数,发生率指的是在正常通信日志303a中包含的终端的总数中所占的所述终端数的比例。即,还可以如下所述表示。
发生次数=该通信模式的出现次数(终端可发生重复)
终端数=发生该通信模式的终端数(终端不可发生重复)
发生率=发生该通信模式的终端数(终端不可发生重复)/在正常通信日志303a中包含的终端的总数
另外,在图5的例子中,排除了重复后的终端数为100。这种情况下,例如“发送目的地IP地址”为“10.0.0.3”的通信模式的终端数是40,因此如图5所示,发生率为40/100=0.4。
并且,如图6所示,正常通信规范提取功能306将所提取出的信息列表化后作为各字段的白名单306a。图6是表示第一实施方式的黑名单生成装置的白名单的一例的图。正常通信规范提取功能306考虑到在提取白名单306a时引起图5所示的规范信息中的误检测的可能性,例如确定将发生率在0.2以上的白名单作为白名单306a提取出来等的条件。进而,还可以确定查询关键字始终不包含在白名单306a内等针对各个字段的条件。
作为具体例,说明正常通信规范提取功能306以发生率在0.2以上、其中字段是“查询关键字”的情况下发生率在0.6以上作为条件来制作白名单306a的情况的例子。在图5的例子中,例如在字段是“发送目的地IP地址”、值是“10.0.0.3”的通信模式中,发生率在0.2以上,字段并非“查询关键字”,因此满足条件,从而包含于白名单306a。与此相对,在字段是“查询关键字”、值是“adv、b、c、code1、code2、id、p”的通信模式中,发生率是0.5,而字段是“查询关键字”,因此不满足发生率在0.6以上的条件,不包含于白名单306a。
此外,正常通信规范提取功能306可以与恶意通信规范提取功能305同样地,按照各个字段通过排名形式表示各值,将作为规定的顺位以上的值作为白名单306a。
例如,在图5的例子中,可以从发生次数的值高的通信模式起依次排列正常通信日志303a,将正常通信日志303a中的发生次数的值高的2个通信模式作为白名单306a输出。这种情况下,例如,字段为“发送目的地IP地址”且值为“192.168.10.30”的通信模式包含于白名单306a。
这里,例如在对某个值进行正则表达并输出给白名单306a的情况下,即便是与该值不同的值,只要与该证则表达则匹配,就作为相同的通信模式而对发生次数进行计数。另一方面,在对某个值不进行正则表达就输出给白名单306a的情况下,对于与该值不同的值作为其他的通信模式对发生次数进行计数。因此,即使是相同的值,进行了正则表达的值相比未经正则表达的值而言,在前述的排名中容易进入上位。
于是,关于在单词列表304a中包含的由字符串表现的值,可以不进行正则表达就输出给白名单306a。由此,在单词列表304a中包含的由字符串表现的值在前述的排名中不易进入上位,因此能够更为正确地获取恶意软件的通信的特征,可防止原本包含在黑名单307a中较为适当的值被白名单306a从黑名单307a中除外。
黑名单制作功能307从恶意通信规范提取功能305收取黑名单候选305a,并从正常通信规范提取功能306收取白名单306a。并且,黑名单制作功能307从黑名单候选305a中将在白名单306a中记载的值除外,从而制作黑名单307a。
举出具体的示例进行说明,例如在图6所示的白名单306a的字段“发送目的地IP”内记载有“10.0.0.3”的值。若使用该“10.0.0.3”的值检索图4所示的黑名单候选305a的字段“发送目的地IP”的值,则会存在与“10.0.0.3”一致的值,因此发送目的地IP为“10.0.0.3”的通信模式会被除外。对于字段“UserAgent”、“URL”、“URL路径”也进行同样的处理。
其结果是,黑名单制作功能307制作图7和图8所示的黑名单307a。图7和图8是表示第一实施方式的黑名单生成装置的黑名单的一例的图。图7表示通过实际值形式制作黑名单307a,图8表示通过进行了正则表达的模式形式制作黑名单307a。
在上述的说明中,对分别输出黑名单候选305a和白名单306a并将它们合并起来,从而制作黑名单307a的方法进行了说明,然而黑名单307a的制作方法不限于这种方法。例如图9所示,还可以将恶意通信的规范信息与正常通信的规范信息直接合并起来比较,将应从黑名单候选305a中除外的值除外,从而制作黑名单307a。
具体而言,在将包含于白名单306a的条件作为发生率在0.2以上、其中字段为“查询关键字”的情况下发生率在0.6以上的情况下,字段是“发送目的地IP地址”而值是“10.0.0.3”的通信模式也包含于白名单306a,因此从黑名单候选305a中被除外,不再包含于黑名单307a。此外,字段为“查询关键字”而值是“adv、b、c、code1、code2、id、p”的通信模式的发生率是0.5,而由于字段是“查询关键字”,因此不满足发生率在0.6以上的条件,不包含于白名单306a,因此不从黑名单候选305a中被除外,而包含于黑名单307a。
[第一实施方式的黑名单生成***的处理]
使用图10对本发明的第一实施方式的处理进行说明。图10是表示第一实施方式的黑名单生成***的处理的一例的图。
如图10所示,首先,日志收集/蓄积装置100预先收集通信日志,在进行了归一化后将其蓄积(步骤S11)。日志收集/蓄积装置200也同样地预先收集通信日志,在进行了归一化后将其蓄积(步骤S12)。
日志取得功能301对日志收集/蓄积装置100进行用于取得日志的询问(步骤S13),日志收集/蓄积装置100进行所蓄积的通信日志的检索,将检索结果响应给日志取得功能301(步骤S14)。此外,日志取得功能301对日志收集/蓄积装置200也进行用于取得日志的询问(步骤S15),日志收集/蓄积装置200进行所蓄积的通信日志的检索,将检索结果响应给日志取得功能301(步骤S16)。
日志取得功能301将从日志收集/蓄积装置100收取的通信日志作为恶意通信日志而转发给恶意通信日志前处理功能302(步骤S17)。此外,日志取得功能301将从日志收集/蓄积装置200收取的通信日志作为正常通信日志转发给正常通信日志前处理功能303(步骤S18)。
正常通信日志前处理功能303根据正常通信日志制作除外列表(步骤S19)。正常通信日志前处理功能303将制作的除外列表转发给恶意通信日志前处理功能302(步骤S20)。
恶意通信日志前处理功能302使用从正常通信日志前处理功能303收取的除外列表,对恶意通信日志进行过滤(步骤S21)。恶意通信日志前处理功能302将进行了过滤的前处理后的恶意通信日志转发给恶意通信规范提取功能305(步骤S22)。此外,恶意通信日志前处理功能302将进行了过滤的前处理后的恶意通信日志也转发给单词列表生成功能304(步骤S23)。正常通信日志前处理功能303将前处理后的正常通信日志转发给正常通信规范提取功能306(步骤S24)。
单词列表生成功能304根据恶意通信日志生成单词列表(步骤S25)。单词列表生成功能304将所生成的单词列表转发给正常通信规范提取功能306(步骤S26)。
恶意通信规范提取功能305根据恶意通信日志制作恶意通信的规范信息(步骤S27)。并且,恶意通信规范提取功能305根据制作的规范信息制作黑名单候选(步骤S28)。恶意通信规范提取功能305将制作的黑名单候选转发给黑名单制作功能307(步骤S29)。
正常通信规范提取功能306根据正常通信日志而制作正常通信的规范信息(步骤S30)。并且,正常通信规范提取功能306根据制作的规范信息和单词列表制作白名单(步骤S31)。正常通信规范提取功能306将制作的白名单转发给黑名单制作功能307(步骤S32)。
黑名单制作功能307根据黑名单候选和白名单制作黑名单(步骤S33)。
[第一实施方式的效果]
在本实施方式的黑名单生成装置300中,通过日志取得功能301取得从恶意软件的通信中得到的恶意通信日志301a和从防御对象网络的通信中得到的正常通信日志301b。并且,恶意通信规范提取功能305计算恶意通信日志301a中包含的作为字段和值的组的每个通信模式的出现频度的统计值,将统计值满足规定的条件的通信模式作为黑名单候选305a输出。此外,正常通信规范提取功能306计算针对正常通信日志301b中包含的每个通信模式的出现频度的统计值,将统计值满足规定的条件的通信模式作为白名单306a输出。进而,黑名单制作功能307通过白名单306a的对应的字段的值来检索黑名单候选305a的值,将一致的通信模式从黑名单候选305a中除去,从而制作黑名单307a。
根据对由日志收集/蓄积装置100得到的恶意通信日志进行归一化后的数据,可制作图2所示的每个字段的黑名单。然而,这样所制作的黑名单的误检测率非常高。于是,在本实施方式中,根据正常通信日志制作白名单,并通过将其与黑名单的候选合并而制作黑名单。
由此,能够效率良好地生成误检测较少且恶意软件的覆盖范围较大的黑名单。此外,通过将由本实施方式的黑名单生成装置300生成的黑名单307a用于恶意软件的检测,能够实现高精度的感染终端或非法通信的早期发现。
此外,在本实施方式的黑名单生成装置300中,恶意通信规范提取功能305按照统计值从高到低的顺序排列恶意通信日志302a,将作为规定的顺位以上的通信模式作为黑名单候选305a输出。由此,能够将提高误检测率的通信模式从处理中除外。此外,正常通信规范提取功能306按照统计值从高到低的顺序排列正常通信日志303a,将作为规定的顺位以上的通信模式作为白名单306a输出。由此,能够将降低检测率的通信模式从处理中除外。
此外,在本实施方式的黑名单生成装置300中,正常通信日志前处理功能303从正常通信日志301b中提取在防御对象网络内所访问的终端数在规定的阈值以上的通信目的地而作为除外列表303b输出。并且,恶意通信日志前处理功能302从恶意通信日志301a中将针对在除外列表303b中记载的通信目的地的通信日志除外。由此,能够降低将正常通信日志作为恶意通信日志检测的误检测率,进而能够高效地进行黑名单生成处理。
在本实施方式的黑名单生成装置300中,单词列表生成功能304提取在恶意通信日志302a中以一定以上的频度出现的字符串,作为单词列表304a输出。并且,正常通信规范提取功能306对白名单306a的值中的与在单词列表304a中包含的字符串一致的部分以外的部分进行正则表达。由此,黑名单制作功能307使用白名单306a而能够进行广泛的检索。
此外,通过对单词列表304a中包含的字符串不进行正则表达,由此使得基于白名单306a的检索成为限定的检索,可减少在黑名单制作功能307中将原本为恶性的通信模式作为包含于白名单306a中的通信模式而除外的情况的发生。
[程序]
此外,还可以制作通过计算机可执行的语言来记述由上述实施方式的黑名单生成装置300执行的处理的程序并执行。这种情况下,由计算机执行程序,由此可获得与上述实施方式同样的效果。进而,还可以将该程序记录在可由计算机读取的记录介质中,并使计算机读入在该记录介质中记录的程序并执行,由此实现与上述实施方式同样的处理。以下,对执行实现与黑名单生成装置300同样的功能的控制程序的计算机的一例进行说明。
图11是表示执行黑名单生成程序的计算机的一例的图。如图11所示,计算机1000例如具有存储器1010、CPU(Central Processing Unit:中央处理单元)1020、硬盘驱动器接口1030、磁盘驱动器接口1040、串行接口1050、视频适配器1060、网络接口1070。这些各部通过总线1080而连接起来。
存储器1010包括ROM(Read Only Memory:只读存储器)1011和RAM(Random AccessMemory:随机访问存储器)1012。ROM1011例如存储BIOS(Basic Input Output System:基本输入输出***)等的BOOT程序。硬盘驱动器接口1030与硬盘驱动器1090连接。磁盘驱动器接口1040与磁盘驱动器1100连接。磁盘驱动器1100例如供磁盘或光盘等的可装卸的存储介质***。串行接口1050例如连接有鼠标1110和键盘1120。视频适配器1060例如连接有显示器1130。
这里,如图11所示,硬盘驱动器1090例如存储OS1091、应用程序1092、程序模块1093和程序数据1094。在上述实施方式中说明的各信息例如被存储于硬盘驱动器1090或存储器1010中。
此外,黑名单生成程序例如作为记述有由计算机1000执行的指令的程序模块而被存储于硬盘驱动器1090。具体而言,记述有由在上述实施方式中说明的黑名单生成装置300执行的各处理的程序模块被存储于硬盘驱动器1090。
此外,用于黑名单生成程序的信息处理的数据作为程序数据而例如被存储于硬盘驱动器1090。并且,CPU1020根据需要将存储于硬盘驱动器1090中的程序模块1093或程序数据1094读出到RAM1012,执行上述的各步骤。
另外,黑名单生成程序的程序模块1093或程序数据1094不限于被存储于硬盘驱动器1090中的情况,例如还可以被存储于可装卸的存储介质中,通过磁盘驱动器1100等而由CPU1020读出。或者,控制程序的程序模块1093或程序数据1094还可以被存储于通过LAN(Local Area Network:局域网)或WAN(Wide Area Network:广域网)等的网络而连接的其他计算机中,通过网络接口1070而由CPU1020读出。此外,还可以通过网络接口1070等实时收集分组,从而收集数据。
附图标记说明
1 黑名单生成***
100,200 日志收集/蓄积装置
101,201 收集功能
102,202 归一化功能
103,203 日志管理存储器
300 黑名单生成装置
301 日志取得功能
301a,302a 恶意通信日志
301b,303a 正常通信日志
302 恶意通信日志前处理功能
303 正常通信日志前处理功能
303b 除外列表
304 单词列表生成功能
304a 单词列表
305 恶意通信规范提取功能
305a 黑名单候选
306 正常通信规范提取功能
306a 白名单
307 黑名单制作功能
307a 黑名单
Claims (8)
1.一种黑名单生成装置,其特征在于,具有:
日志取得功能,其取得第一通信日志和第二通信日志,该第一通信日志从恶意软件的通信中得到,该第二通信日志从规定的网络的通信中得到;
第一提取功能,其针对所述第一通信日志中包含的每个作为字段和值的组的通信模式,计算产生了该通信模式的所述恶意软件的检体数在所述第一通信日志中所包含的所述恶意软件的总检体数中所占的比例来作为第一统计值,提取该第一统计值满足规定的条件的通信模式,将该通信模式作为黑名单的候选进行输出,其中,在产生了该通信模式的所述恶意软件的检体数中,恶意软件不能发生重复;
第二提取功能,其针对所述第二通信日志中包含的每个通信模式,计算产生了该通信模式的终端数在所述第二通信日志所包含的终端总数中所占的比例来作为第二统计值,提取该第二统计值为针对每个所述字段而规定的阈值以上的通信模式,将该通信模式作为白名单进行输出,其中,在产生了该通信模式的终端数中,终端不能发生重复;以及
黑名单制作功能,其通过所述白名单的对应的字段的值检索所述黑名单的候选的值,将与所述白名单一致的通信模式从所述黑名单的候选中除去,从而制作黑名单。
2.根据权利要求1所述的黑名单生成装置,其特征在于,
所述第一提取功能从所述第一统计值高的通信模式起依次排列所述第一通信日志,将该第一通信日志中的所述第一统计值高的规定数的通信模式作为所述黑名单的候选进行输出,
所述第二提取功能从所述第二统计值高的通信模式起依次排列所述第二通信日志,将该第二通信日志中的所述第二统计值高的规定数的通信模式作为所述白名单进行输出。
3.根据权利要求1所述的黑名单生成装置,其特征在于,
该黑名单生成装置还具有前处理功能,该前处理功能从所述第二通信日志中提取出在所述规定的网络内进行访问的终端数在规定的阈值以上的通信目的地,并从所述第一通信日志中将针对所述通信目的地的通信日志除外。
4.根据权利要求1所述的黑名单生成装置,其特征在于,
该黑名单生成装置还具有单词列表生成功能,该单词列表生成功能提取出在所述第一通信日志中以一定以上的频度出现的字符串,生成单词列表,
所述第二提取功能对所述白名单的值中的与所述单词列表中包含的字符串一致的部分以外的部分进行正则表达。
5.根据权利要求1所述的黑名单生成装置,其特征在于,
所述黑名单制作功能对所述黑名单的值进行正则表达而输出。
6.一种黑名单生成***,其具有:
第一日志收集蓄积装置,其从恶意软件的通信中收集通信日志而作为第一通信日志进行蓄积;
第二日志收集蓄积装置,其从规定的网络的通信中收集通信日志而作为第二通信日志进行蓄积;以及
黑名单生成装置,
该黑名单生成***的特征在于,所述黑名单生成装置具有:
日志取得功能,其取得被蓄积在所述第一日志收集蓄积装置中的第一通信日志和被蓄积在所述第二日志收集蓄积装置中的第二通信日志;
第一提取功能,其针对所述第一通信日志中包含的每个作为字段和值的组的通信模式,计算产生了该通信模式的所述恶意软件的检体数在所述第一通信日志中所包含的所述恶意软件的总检体数中所占的比例来作为第一统计值,提取该第一统计值满足规定的条件的通信模式,将该通信模式作为黑名单的候选进行输出,其中,在产生了该通信模式的所述恶意软件的检体数中,恶意软件不能发生重复;
第二提取功能,其针对所述第二通信日志中包含的每个通信模式,计算产生了该通信模式的终端数在所述第二通信日志所包含的终端总数中所占的比例来作为第二统计值,提取该第二统计值为针对每个所述字段而规定的阈值以上的通信模式,将该通信模式作为白名单进行输出,其中,在产生了该通信模式的终端数中,终端不能发生重复;以及
黑名单制作功能,其通过所述白名单的对应的字段的值来检索所述黑名单的候选的值,将与所述白名单一致的通信模式从所述黑名单的候选除去,从而制作黑名单。
7.一种黑名单生成方法,其特征在于,包括:
第一日志收集蓄积工序,从恶意软件的通信中收集通信日志而作为第一通信日志进行蓄积;
第二日志收集蓄积工序,从规定的网络的通信中收集通信日志而作为第二通信日志进行蓄积;
日志取得工序,取得在所述第一日志收集蓄积工序中蓄积的第一通信日志和在所述第二日志收集蓄积工序中蓄积的第二通信日志;
第一提取工序,针对所述第一通信日志中包含的每个作为字段和值的组的通信模式,计算产生了该通信模式的所述恶意软件的检体数在所述第一通信日志中所包含的所述恶意软件的总检体数中所占的比例来作为第一统计值,提取该第一统计值满足规定的条件的通信模式,将该通信模式作为黑名单的候选进行输出,其中,在产生了该通信模式的所述恶意软件的检体数中,恶意软件不能发生重复;
第二提取工序,针对所述第二通信日志中包含的每个通信模式,计算产生了该通信模式的终端数在所述第二通信日志所包含的终端总数中所占的比例来作为第二统计值,提取该第二统计值为针对每个所述字段而规定的阈值以上的通信模式,将该通信模式作为白名单进行输出,其中,在产生了该通信模式的终端数中,终端不能发生重复;以及
黑名单制作工序,通过所述白名单的对应的字段的值来检索所述黑名单的候选的值,将与所述白名单一致的通信模式从所述黑名单的候选中除去,从而制作黑名单。
8.一种记录介质,其特征在于,其记录有黑名单生成程序,该黑名单生成程序使计算机执行如下步骤:
日志取得步骤,取得第一通信日志和第二通信日志,该第一通信日志从恶意软件的通信中得到,该第二通信日志从规定的网络的通信中得到;
第一提取步骤,针对所述第一通信日志中包含的每个作为字段和值的组的通信模式,计算产生了该通信模式的所述恶意软件的检体数在所述第一通信日志中所包含的所述恶意软件的总检体数中所占的比例来作为第一统计值,提取该第一统计值满足规定的条件的通信模式,将该通信模式作为黑名单的候选进行输出,其中,在产生了该通信模式的所述恶意软件的检体数中,恶意软件不能发生重复;
第二提取步骤,针对所述第二通信日志中包含的每个通信模式,计算产生了该通信模式的终端数在所述第二通信日志所包含的终端总数中所占的比例来作为第二统计值,提取该第二统计值为针对每个所述字段而规定的阈值以上的通信模式,将该通信模式作为白名单输出,其中,在产生了该通信模式的终端数中,终端不能发生重复;以及
黑名单制作步骤,通过所述白名单的对应的字段的值来检索所述黑名单的候选的值,将与所述白名单一致的通信模式从所述黑名单的候选中除去,从而制作黑名单。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015031585 | 2015-02-20 | ||
| JP2015-031585 | 2015-02-20 | ||
| PCT/JP2016/053982 WO2016132992A1 (ja) | 2015-02-20 | 2016-02-10 | ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107251037A CN107251037A (zh) | 2017-10-13 |
| CN107251037B true CN107251037B (zh) | 2021-02-12 |
Family
ID=56689336
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680010175.8A Active CN107251037B (zh) | 2015-02-20 | 2016-02-10 | 黑名单生成装置、黑名单生成***、黑名单生成方法和记录介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10516671B2 (zh) |
| EP (1) | EP3244335B1 (zh) |
| JP (1) | JP6258553B2 (zh) |
| CN (1) | CN107251037B (zh) |
| WO (1) | WO2016132992A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10587621B2 (en) * | 2017-06-16 | 2020-03-10 | Cisco Technology, Inc. | System and method for migrating to and maintaining a white-list network security model |
| EP3722974B1 (en) * | 2018-01-17 | 2022-12-21 | Nippon Telegraph And Telephone Corporation | Collecting apparatus, collection method, and collection program |
| JP6892005B2 (ja) * | 2018-03-01 | 2021-06-18 | 日本電気株式会社 | 情報処理装置、制御方法、及びプログラム |
| US12028352B2 (en) * | 2018-05-21 | 2024-07-02 | Nippon Telegraph And Telephone Corporation | Learning method, learning device, and learning program |
| JP7247628B2 (ja) * | 2019-02-12 | 2023-03-29 | 日本電信電話株式会社 | 作成装置、作成システム、作成方法および作成プログラム |
| US11494831B2 (en) * | 2019-06-11 | 2022-11-08 | Shopify Inc. | System and method of providing customer ID service with data skew removal |
| TWI702510B (zh) * | 2019-07-09 | 2020-08-21 | 中華電信股份有限公司 | 找出惡意加密連線指紋的方法及裝置 |
| CN110472409B (zh) * | 2019-08-06 | 2021-02-09 | 长沙学院 | 一种基于白名单机制的进程管理方法及*** |
| JP7297249B2 (ja) * | 2019-08-07 | 2023-06-26 | 株式会社日立製作所 | 計算機システム及び情報の共有方法 |
| JP7069090B2 (ja) * | 2019-08-19 | 2022-05-17 | Kddi株式会社 | 解析装置、検出装置、システム及びプログラム |
| US11882137B2 (en) * | 2019-10-21 | 2024-01-23 | Avast Software, S.R.O. | Network security blacklist derived from honeypot statistics |
| CN111107083B (zh) * | 2019-12-18 | 2021-11-23 | 杭州迪普科技股份有限公司 | 一种白名单规格的测试方法及装置 |
| CN111338969A (zh) * | 2020-03-23 | 2020-06-26 | 深圳开源互联网安全技术有限公司 | 基于正则动态匹配请求参数并修改的方法及*** |
| CN112350993A (zh) * | 2020-09-28 | 2021-02-09 | 广东电力信息科技有限公司 | Ip自动封堵方法、装置、监控终端及计算机存储介质 |
| CN112202807B (zh) * | 2020-10-13 | 2023-05-12 | 北京明略昭辉科技有限公司 | Ip黑名单的灰度替换方法、装置、电子设备及存储介质 |
| CN114155944B (zh) * | 2021-12-08 | 2022-07-26 | 纳里健康科技有限公司 | 一种预约挂号方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104246786A (zh) * | 2012-05-30 | 2014-12-24 | 惠普发展公司,有限责任合伙企业 | 模式发现中的字段选择 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20070095718A (ko) * | 2006-03-22 | 2007-10-01 | 한국전자통신연구원 | 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법 |
| US9083712B2 (en) * | 2007-04-04 | 2015-07-14 | Sri International | Method and apparatus for generating highly predictive blacklists |
| US20120090027A1 (en) * | 2010-10-12 | 2012-04-12 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting abnormal host based on session monitoring |
| JP5465651B2 (ja) | 2010-11-30 | 2014-04-09 | 日本電信電話株式会社 | リスト生成方法、リスト生成装置及びリスト生成プログラム |
| US8151341B1 (en) * | 2011-05-23 | 2012-04-03 | Kaspersky Lab Zao | System and method for reducing false positives during detection of network attacks |
| KR101391781B1 (ko) * | 2012-08-07 | 2014-05-07 | 한국전자통신연구원 | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 |
| JP6086423B2 (ja) * | 2012-11-14 | 2017-03-01 | 国立研究開発法人情報通信研究機構 | 複数センサの観測情報の突合による不正通信検知方法 |
| US8752178B2 (en) | 2013-07-31 | 2014-06-10 | Splunk Inc. | Blacklisting and whitelisting of security-related events |
-
2016
- 2016-02-10 JP JP2017500633A patent/JP6258553B2/ja active Active
- 2016-02-10 US US15/550,890 patent/US10516671B2/en active Active
- 2016-02-10 WO PCT/JP2016/053982 patent/WO2016132992A1/ja active Application Filing
- 2016-02-10 CN CN201680010175.8A patent/CN107251037B/zh active Active
- 2016-02-10 EP EP16752378.6A patent/EP3244335B1/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104246786A (zh) * | 2012-05-30 | 2014-12-24 | 惠普发展公司,有限责任合伙企业 | 模式发现中的字段选择 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2016132992A1 (ja) | 2017-07-27 |
| JP6258553B2 (ja) | 2018-01-10 |
| EP3244335A4 (en) | 2018-03-21 |
| US20180063146A1 (en) | 2018-03-01 |
| EP3244335A1 (en) | 2017-11-15 |
| WO2016132992A1 (ja) | 2016-08-25 |
| US10516671B2 (en) | 2019-12-24 |
| EP3244335B1 (en) | 2019-05-01 |
| CN107251037A (zh) | 2017-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107251037B (zh) | 黑名单生成装置、黑名单生成***、黑名单生成方法和记录介质 | |
| Shibahara et al. | Efficient dynamic malware analysis based on network behavior using deep learning | |
| US9578042B2 (en) | Identifying malicious web infrastructures | |
| Hong et al. | Phishing url detection with lexical features and blacklisted domains | |
| US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
| Niakanlahiji et al. | Phishmon: A machine learning framework for detecting phishing webpages | |
| Liu et al. | A novel approach for detecting browser-based silent miner | |
| Huang et al. | Malicious URL detection by dynamically mining patterns without pre-defined elements | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| Kim et al. | Detecting fake anti-virus software distribution webpages | |
| JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
| US9992216B2 (en) | Identifying malicious executables by analyzing proxy logs | |
| CN108573146A (zh) | 一种恶意url检测方法及装置 | |
| US9571518B2 (en) | Identifying malicious web infrastructures | |
| Tan et al. | Phishing website detection using URL-assisted brand name weighting system | |
| US20190317968A1 (en) | Method, system and computer program products for recognising, validating and correlating entities in a communications darknet | |
| KR102120200B1 (ko) | 악성 코드 수집 방법 및 시스템 | |
| CN109756467B (zh) | 一种钓鱼网站的识别方法及装置 | |
| Fu et al. | Flowintent: Detecting privacy leakage from user intention to network traffic mapping | |
| US20200372085A1 (en) | Classification apparatus, classification method, and classification program | |
| Roopak et al. | On effectiveness of source code and SSL based features for phishing website detection | |
| CN111212039A (zh) | 基于dns流量的主机挖矿行为检测方法 | |
| Manan et al. | A survey on current malicious javascript behavior of infected web content in detection of malicious web pages | |
| JP5684842B2 (ja) | 悪性サイト検出装置、悪性サイト検出方法およびプログラム | |
| Charmet et al. | Toward a better understanding of mobile users’ behavior: A web session repair scheme |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |