JP5328283B2 - 情報処理装置、プログラム、および記録媒体 - Google Patents
情報処理装置、プログラム、および記録媒体 Download PDFInfo
- Publication number
- JP5328283B2 JP5328283B2 JP2008261026A JP2008261026A JP5328283B2 JP 5328283 B2 JP5328283 B2 JP 5328283B2 JP 2008261026 A JP2008261026 A JP 2008261026A JP 2008261026 A JP2008261026 A JP 2008261026A JP 5328283 B2 JP5328283 B2 JP 5328283B2
- Authority
- JP
- Japan
- Prior art keywords
- state
- address
- communication
- appearances
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
須藤年章,富士原圭,"仮想インターネットを用いたボットネット挙動解析システムの評価",情処,CSS2006,PP.513-518,2006年10月 J. Goebel,"Rishi: Identify Bot Contaminated Hosts by IRC Nickname Evaluation",In Proceeding of the HotBots'07,USENIX,April,2007 G. Gu,P. Porras,V. Yegneswaran,M. Fong,and W. Lee,"BotHunter: Detecting Malware Infection Through IDS-Driven Dialog Correlataion",In Proceedings of the Security'07,USENIX,August 2007 重本倫宏,大河内一弥,寺田真敏,"コネクション解析によるP2P通信端末検知手法",情処研報,CSEC-42,PP.329-334,2008年7月
本発明は、上記の課題を解決するためになされたもので、ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する記憶手段と、前記通信結果に基づいて、IPアドレスを構成する各ブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係るボットに感染した装置が行う通信に見られる所定の状態の出現数を取得する出現数取得手段と、前記出現数に基づいて、各アドレス値に対応した前記出現数の分散の度合いを示すエントロピー値をブロック毎に算出する算出手段と、各ブロックの前記エントロピー値に基づいてブロックを選択し、選択したブロックの各アドレス値に対応した前記出現数に基づいてアドレス値を選択する選択手段と、前記通信結果から、選択されたアドレス値を有するIPアドレスを含む通信結果を抽出する抽出手段と、を備えたことを特徴とする情報処理装置である。
また、本発明の情報処理装置において、前記出現数取得手段は、送受信関係の確立に失敗したという状態の出現数を取得することを特徴とする。
また、本発明の情報処理装置において、前記出現数取得手段は、送信先のPortとしてTCP/UDPの135から139まで、445、1433、1434のPortのいずれかが使用されたという状態の出現数を取得することを特徴とする。
また、本発明の情報処理装置において、前記出現数取得手段は、送信先のPortとしてTCPの1024以上であって、1433,1434を除くPortが使用されたという状態の出現数を取得することを特徴とする。
また、本発明の情報処理装置において、前記出現数取得手段は、DNSサーバに対してドメイン名の名前解決を要求したが、エラーが発生したという応答、または当該ドメイン名に対応するIPアドレスが存在しないという応答があったという状態の出現数を取得することを特徴とする。
また、本発明の情報処理装置において、前記出現数取得手段は、DNSサーバに対して、所定の国名以外の国名を有するドメイン名の名前解決を要求したという状態の出現数を取得することを特徴とする。
また、本発明の情報処理装置において、前記出現数取得手段は、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得したという状態の出現数を取得することを特徴とする。
また、本発明の情報処理装置において、前記出現数取得手段は、ユーザ名が不明であることを知らせるSMTP Responseがあったという状態の出現数を取得することを特徴とする。
また、本発明の情報処理装置において、前記出現数取得手段は、ボットに感染した装置が行う通信に見られる少なくとも2種類の状態の出現数を状態毎に取得し、前記算出手段は、状態毎に前記エントロピー値を算出し、前記選択手段は、状態毎にアドレス値を選択し、前記抽出手段は、状態毎に選択されたアドレス値を有するIPアドレスのうち状態間で共通するIPアドレスを含む通信結果を抽出することを特徴とする。
また、本発明の情報処理装置において、前記出現数取得手段は、ボットに感染した装置が行う通信に見られる第1の状態と、ボットの指令サーバが行う通信に見られる第2の状態との出現数を状態毎に取得し、前記算出手段は、状態毎に前記エントロピー値を算出し、前記選択手段は、状態毎にアドレス値を選択し、前記抽出手段は、前記第1の状態について選択されたアドレス値を有する送信元のIPアドレスと、前記第2の状態について選択されたアドレス値を有する送信先のIPアドレスとを含む通信結果を抽出することを特徴とする。
また、本発明は、上記の情報処理装置としてコンピュータを機能させるためのプログラムである。
また、本発明は、上記のプログラムを記録したコンピュータ読み取り可能な記録媒体である。
Claims (12)
- ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する記憶手段と、
前記通信結果に基づいて、IPアドレスを構成する各ブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係るボットに感染した装置が行う通信に見られる所定の状態の出現数を取得する出現数取得手段と、
前記出現数に基づいて、各アドレス値に対応した前記出現数の分散の度合いを示すエントロピー値をブロック毎に算出する算出手段と、
各ブロックの前記エントロピー値に基づいてブロックを選択し、選択したブロックの各アドレス値に対応した前記出現数に基づいてアドレス値を選択する選択手段と、
前記通信結果から、選択されたアドレス値を有するIPアドレスを含む通信結果を抽出する抽出手段と、
を備えたことを特徴とする情報処理装置。 - 前記出現数取得手段は、送受信関係の確立に失敗したという状態の出現数を取得することを特徴とする請求項1に記載の情報処理装置。
- 前記出現数取得手段は、送信先のPortとしてTCP/UDPの135から139まで、445、1433、1434のPortのいずれかが使用されたという状態の出現数を取得することを特徴とする請求項1に記載の情報処理装置。
- 前記出現数取得手段は、送信先のPortとしてTCPの1024以上であって、1433,1434を除くPortが使用されたという状態の出現数を取得することを特徴とする請求項1に記載の情報処理装置。
- 前記出現数取得手段は、DNSサーバに対してドメイン名の名前解決を要求したが、エラーが発生したという応答、または当該ドメイン名に対応するIPアドレスが存在しないという応答があったという状態の出現数を取得することを特徴とする請求項1に記載の情報処理装置。
- 前記出現数取得手段は、DNSサーバに対して、所定の国名以外の国名を有するドメイン名の名前解決を要求したという状態の出現数を取得することを特徴とする請求項1に記載の情報処理装置。
- 前記出現数取得手段は、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得したという状態の出現数を取得することを特徴とする請求項1に記載の情報処理装置。
- 前記出現数取得手段は、ユーザ名が不明であることを知らせるSMTP Responseがあったという状態の出現数を取得することを特徴とする請求項1に記載の情報処理装置。
- 前記出現数取得手段は、ボットに感染した装置が行う通信に見られる少なくとも2種類の状態の出現数を状態毎に取得し、
前記算出手段は、状態毎に前記エントロピー値を算出し、
前記選択手段は、状態毎にアドレス値を選択し、
前記抽出手段は、状態毎に選択されたアドレス値を有するIPアドレスのうち状態間で共通するIPアドレスを含む通信結果を抽出する
ことを特徴とする請求項1〜請求項8のいずれかに記載の情報処理装置。 - 前記出現数取得手段は、ボットに感染した装置が行う通信に見られる第1の状態と、ボットの指令サーバが行う通信に見られる第2の状態との出現数を状態毎に取得し、
前記算出手段は、状態毎に前記エントロピー値を算出し、
前記選択手段は、状態毎にアドレス値を選択し、
前記抽出手段は、前記第1の状態について選択されたアドレス値を有する送信元のIPアドレスと、前記第2の状態について選択されたアドレス値を有する送信先のIPアドレスとを含む通信結果を抽出する
ことを特徴とする請求項1〜請求項8のいずれかに記載の情報処理装置。 - 請求項1〜請求項10のいずれかに記載の情報処理装置としてコンピュータを機能させるためのプログラム。
- 請求項11に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008261026A JP5328283B2 (ja) | 2008-10-07 | 2008-10-07 | 情報処理装置、プログラム、および記録媒体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008261026A JP5328283B2 (ja) | 2008-10-07 | 2008-10-07 | 情報処理装置、プログラム、および記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010092235A JP2010092235A (ja) | 2010-04-22 |
JP5328283B2 true JP5328283B2 (ja) | 2013-10-30 |
Family
ID=42254890
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008261026A Expired - Fee Related JP5328283B2 (ja) | 2008-10-07 | 2008-10-07 | 情報処理装置、プログラム、および記録媒体 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5328283B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10713356B2 (en) | 2013-03-04 | 2020-07-14 | Crowdstrike, Inc. | Deception-based responses to security attacks |
JP6970344B2 (ja) * | 2018-08-03 | 2021-11-24 | 日本電信電話株式会社 | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005018895A1 (en) * | 2003-08-15 | 2005-03-03 | Mc Neilus Truck And Manufacturing, Inc. | Mixing drum drive ring |
JP4084317B2 (ja) * | 2004-02-16 | 2008-04-30 | 日本電信電話株式会社 | ワーム検出方法 |
JP2005244429A (ja) * | 2004-02-25 | 2005-09-08 | Intelligent Cosmos Research Institute | ネットワーク異常検出の特徴量抽出方法、その方法をコンピュータに実行させるプログラム、その特徴量抽出装置およびネットワーク異常検出システム |
JP4479459B2 (ja) * | 2004-10-19 | 2010-06-09 | 横河電機株式会社 | パケット解析システム |
JP4412156B2 (ja) * | 2004-11-30 | 2010-02-10 | 沖電気工業株式会社 | 処理装置 |
JP4170299B2 (ja) * | 2005-01-31 | 2008-10-22 | 独立行政法人 宇宙航空研究開発機構 | 通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置 |
JP2007013262A (ja) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 |
JP2007157059A (ja) * | 2005-12-08 | 2007-06-21 | Securebrain Corp | プロアクティブな不正プログラム検出方法、検出装置及びコンピュータプログラム |
JP4774307B2 (ja) * | 2006-02-06 | 2011-09-14 | アラクサラネットワークス株式会社 | 不正アクセス監視装置及びパケット中継装置 |
JP2008131565A (ja) * | 2006-11-24 | 2008-06-05 | Hitachi Ltd | ログ可視化システム,可視化方法及びログ可視化装置 |
JP2008141398A (ja) * | 2006-11-30 | 2008-06-19 | Mitsubishi Electric Corp | 中継装置および中継装置の制御方法 |
JP4883409B2 (ja) * | 2007-01-22 | 2012-02-22 | 独立行政法人情報通信研究機構 | データ類似性検査方法及び装置 |
JP2008219525A (ja) * | 2007-03-05 | 2008-09-18 | Tohoku Univ | ネットワーク異常検知方法およびネットワーク異常検知システム |
JP4713524B2 (ja) * | 2007-03-13 | 2011-06-29 | 株式会社Kddi研究所 | Ipアドレス視覚化装置、プログラム、および記録媒体 |
-
2008
- 2008-10-07 JP JP2008261026A patent/JP5328283B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2010092235A (ja) | 2010-04-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220045990A1 (en) | Methods and systems for api deception environment and api traffic control and security | |
JP5286018B2 (ja) | 情報処理装置、プログラム、および記録媒体 | |
EP3507964B1 (en) | Malware detection for proxy server networks | |
US8261351B1 (en) | DNS flood protection platform for a network | |
US7356689B2 (en) | Method and apparatus for tracing packets in a communications network | |
Hsu et al. | Fast-flux bot detection in real time | |
US8661544B2 (en) | Detecting botnets | |
CN107864156B (zh) | Syn攻击防御方法和装置、存储介质 | |
US20150033343A1 (en) | Method, Apparatus, and Device for Detecting E-Mail Attack | |
US20200137112A1 (en) | Detection and mitigation solution using honeypots | |
US20160028765A1 (en) | Managing cyber attacks through change of network address | |
CN110266668B (zh) | 一种端口扫描行为的检测方法及装置 | |
CN110677414A (zh) | 网络检测方法、装置、电子设备及计算机可读存储介质 | |
Ahmed et al. | A novel sliding window based change detection algorithm for asymmetric traffic | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
CN108737344B (zh) | 一种网络攻击防护方法和装置 | |
US8966638B2 (en) | System, method, and computer program product for selecting a wireless network based on security information | |
JP5328283B2 (ja) | 情報処理装置、プログラム、および記録媒体 | |
JP5607513B2 (ja) | 検知装置、検知方法及び検知プログラム | |
CN111131337B (zh) | UDP Flood攻击的检测方法及装置 | |
JP4825767B2 (ja) | 異常検知装置、プログラム、および記録媒体 | |
JP2007019981A (ja) | ネットワーク監視システム | |
WO2013189723A1 (en) | Method and system for malware detection and mitigation | |
EP2109281A1 (en) | Method and system for server-load and bandwidth dependent mitigation of distributed denial of service attacks | |
CN113726775B (zh) | 一种攻击检测方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110819 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110823 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130121 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130219 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20130415 Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130415 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130507 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130617 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20130618 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130709 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130723 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5328283 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |