JP6063340B2 - 指令元特定装置、指令元特定方法、及び指令元特定プログラム - Google Patents

指令元特定装置、指令元特定方法、及び指令元特定プログラム Download PDF

Info

Publication number
JP6063340B2
JP6063340B2 JP2013096603A JP2013096603A JP6063340B2 JP 6063340 B2 JP6063340 B2 JP 6063340B2 JP 2013096603 A JP2013096603 A JP 2013096603A JP 2013096603 A JP2013096603 A JP 2013096603A JP 6063340 B2 JP6063340 B2 JP 6063340B2
Authority
JP
Japan
Prior art keywords
packet
server
grouping
command source
opposing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013096603A
Other languages
English (en)
Other versions
JP2014219741A (ja
Inventor
充弘 畑田
充弘 畑田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2013096603A priority Critical patent/JP6063340B2/ja
Publication of JP2014219741A publication Critical patent/JP2014219741A/ja
Application granted granted Critical
Publication of JP6063340B2 publication Critical patent/JP6063340B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)

Description

本発明は、マルウェアの解析技術に関連するものであり、特に、マルウェアに感染した感染装置に対して指令を行う指令者装置を特定する技術に関するものである。
近年、様々なマルウェア(不正ソフトウェア)が出現している。マルウェアの中には、感染後にインターネット上のC&Cサーバ(Command&Control Server)に接続することで指令者からの命令を待ち受け、ボットネットを構成するものがある。なお、C&Cサーバとは、マルウェアに感染してボットと化したコンピュータ群(ボットネット)に指令(Command)を送り、制御(Control)の中心となるサーバのことである。
このようなマルウェアが多数ばらまかれると、多数の装置が感染し、C&Cサーバに接続しにいくことになる。指令者はこれら多数のマルウェアに対してC&Cサーバ経由で指令を送信することで感染装置を操作することが可能となる。このような遠隔操作を防ぐ方法として、感染装置とC&Cサーバとの接続を断つ方法は従来から存在する。
特開2010−015513号公報
しかしながら、C&Cサーバが複数ある場合には、1つのC&Cサーバとの接続を断ったとしてもマルウェアは次のC&Cサーバへ接続を行う。このため、C&Cサーバが多数あるような場合には、全てのC&Cサーバを突き止めて接続を断つ必要があり、非効率である。
本発明は上記の点に鑑みてなされたものであり、C&Cサーバを経由して感染装置に対して操作指令を行う指令者装置を特定し、指令者装置とC&Cサーバとの間の接続を断つことを可能とする技術を提供することを目的とする。
上記の課題を解決するために、本発明は、所定のサーバと通信を行う対向装置と当該所定のサーバとの間の通信に係るパケットの情報を取得する取得手段と、
前記取得手段により取得されたパケットの情報に基づき、前記通信が所定の条件に合致するか否かに応じて前記対向装置をグループ分けするグループ分け手段と、
前記グループ分け手段によるグループ分けにより得られたグループのうち、属する装置数が他のグループよりも少ないグループに属する対向装置を、当該対向装置以外の対向装置に対して前記所定のサーバ経由で指令を行う指令者装置の候補であると特定する特定手段と、を備えることを特徴とする指令元特定装置として構成される。
なお、前記グループ分け手段によるグループ分けにより得られたグループのうち、属する装置数が他のグループよりも少ないグループに属する対向装置は、例えば、前記グループ分け手段によりグループ分けされた対向装置のうち、グループに属する装置数が最小の対向装置である。
前記特定手段は、前記取得手段により取得されたパケットの情報に基づいて、前記候補とされた対向装置が前記所定のサーバにパケットを送信した後に、当該所定のサーバが、前記候補とされた対向装置以外の対向装置にパケットを送信する動作を行うか否かを判定し、当該動作を行う場合に前記候補とされた対向装置を前記指令者装置であると判定するようにしてもよい。
前記所定の条件は、例えば、送信バイト数、送信周期、httpヘッダ、又は、ポート番号に基づく条件である。また、例えば、前記所定のサーバは、C&Cサーバであり、前記候補とされた対向装置以外の対向装置は、マルウェア感染装置である。
前記グループ分け手段は、対向装置から前記所定のサーバに送信されるパケットのポート番号が特定の値である場合に、もしくは、対向装置から送信されるパケットのバイト数に対し、前記所定のサーバからの応答パケットのバイト数が所定の閾値以上大きい場合に、当該対向装置を前記グループ分けの対象から除外するようにしてもよい。
また、本発明は、前記指令元特定装置が実行する指令元特定方法、及び、コンピュータを、前記指令元特定装置の各手段として機能させるための指令元特定プログラムとして構成することもできる。
本発明によれば、C&Cサーバを経由して感染装置に対して操作指令を行う指令者装置を特定することができるので、指令者装置とC&Cサーバとの間の接続を断つことで、感染装置が遠隔操作されることを迅速に防止することが可能となる。
本発明の実施の形態に係るシステムの全体構成図である。 本発明の実施の形態に係る指令元特定装置100の機能構成図である。 指令元特定装置100の動作を説明するためのフローチャートである。 グループ分け処理部103によるグループ分けの結果の例を示す図である。 C&Cサーバの多段構成の例を示す図である。
以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
本実施の形態では、C&Cサーバと他の装置との間の通信を監視し、当該C&Cサーバと通信している対向装置と当該C&Cサーバとの間の通信に係るパケットの情報に基づいて、C&Cサーバとの通信パターンを解析し、当該通信パターンにより対向装置をグループ分けする。そして、本実施の形態では、通信パターンに属する対向装置数が多いグループをマルウェア感染装置のグループとみなし、それ以外を指令者装置として抽出することとしている。以下、本実施の形態での処理内容をより詳細に説明する。
(システム構成)
図1に、本発明の実施の形態に係るシステムの全体構成図を示す。図1に示す例では、マルウェアに感染した感染装置10、C&Cサーバ20、及び指令者装置30が通信ネットワーク40(例:インターネット)に接続されている。また、本発明に係る指令者装置特定のための解析処理等を実行する指令元特定装置100が通信ネットワーク40に接続されている。図1に示すように、指令者装置30がC&Cサーバ20経由で感染装置に指令を送る。
本実施の形態では、感染装置10は、定期的にC&Cサーバ20に対し、接続が有効であり、自分が制御下にいることを示すKeepAliveパケットを送信することを想定している。また、C&Cサーバ20と他の装置との間の通信に係るパケットが通過する通信装置50が通信ネットワーク40内に存在する。指令元特定装置100は、当該通信装置50により送受信されるパケットを監視し、後述する指令者装置30の特定処理を行う。
上記の通信装置50は、例えばルータ、スイッチ等であり、1台とは限らず、複数台であってもよい。また、上記のパケットの監視方法については、例えば、指令元特定装置100が、通信装置50により送受信される全てのパケットを取得(キャプチャ)し、取得したパケットを解析することとしてもよいし、所定のフロープロトコルを用いて、予め指定したフロー条件(例:送信先IPアドレス、送信元IPアドレス)に合致するパケットのみを取得し、解析することとしてもよい。また、取得する情報としては、パケットの全ての情報を取得してもよいし、解析に必要な情報(例:ヘッダ情報)のみを取得することとしてもよい。
以下で説明する例では、全てのパケットの情報を取得することを想定している。なお、本実施の形態において、パケットの取得及び解析はリアルタイムに行ってもよいし、リアルタイムでなくてもよい。リアルタイムでない場合とは、例えば、ある期間において送受信されるパケットをサンプルとして取得しておき、後で解析を行うような場合である。
図2に、本実施の形態に係る指令元特定装置100の機能構成図を示す。図2に示すように、指令元特定装置100は、パケット情報取得部101、対象パケット情報抽出部102、グループ分け処理部103、指令者装置特定部104、通信切断処理部105、パケット情報格納部106、C&Cサーバ情報格納部107を備える。これらの機能部の概要は以下のとおりである。指令元特定装置100の動作詳細については動作説明のところで説明する。
パケット情報取得部101は、通信装置50において送受信されるパケットの情報を取得し、取得した情報をパケット情報格納部106に格納する。本例では、現在時刻(タイムスタンプ)が付されたパケット情報が取得され、パケット情報格納部106にはタイムスタンプとともにパケット情報が格納される。上記タイムスタンプは、当該パケットが通信装置50により受信もしくは送信される時刻と見なしてよい。
C&Cサーバ情報格納部107には、別途行われた解析等により、C&Cサーバ20のアドレス(IPアドレス等)であると特定されたアドレスが格納されており、対象パケット情報抽出部102は、当該アドレスを送信先アドレスもしくは送信元アドレスとして持つパケットの情報をパケット情報格納部106から抽出する。
グループ分け処理部103は、対象パケット情報抽出部102により抽出されたC&Cサーバ20との通信に係るパケットの対向装置側のアドレス(IPアドレス等)を所定のパターンでグループ分けし、グループ分けした結果を指令者装置特定部104に渡す。指令者装置特定部104は、グループ分け処理部103によるグループ分けの結果に基づき指令者装置30の(アドレスの)候補を特定し、当該候補について所定の通信動作が検出された場合に、指令者装置30の候補を指令者装置30として特定する。通信切断処理部105は、指令者装置特定部104により特定された指令者装置30の通信を切断する処理を行う。
本実施の形態に係る指令元特定装置100は、指令元特定装置100として使用するコンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、指令元特定装置100における各機能部は、コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、各部で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。
(指令元特定装置100の動作)
以下、図3のフローチャートの手順に沿って指令元特定装置100の動作を説明する。なお、指令元特定装置100は、様々なC&Cサーバに対しての指令装置の特定を行うことができるが、以下の例では、特定のC&Cサーバ20に着目した処理を示している。
パケット情報取得部101は、通信装置50において送受信されるパケットの情報を取得し、取得した情報をタイムスタンプとともにパケット情報格納部106に格納する(ステップ101)。この処理は、常時あるいは所定の期間、通信装置50においてパケットが送受信される度に行われる。
次に、対象パケット情報抽出部102が、C&Cサーバ情報格納部107に格納されているC&Cサーバ20のアドレスを送信先アドレスもしくは送信元アドレスとして持つパケットの情報をパケット情報格納部106から抽出する(ステップ102)。
そして、グループ分け処理部103は、対象パケット情報抽出部102により抽出されたC&Cサーバ20との通信に係るパケットの情報を解析することで、C&Cサーバ20と通信する対向装置(のアドレス(例:IPアドレス))をグループ分けし、グループ分けした結果を指令者装置特定部104に渡す(ステップ103)。
本実施の形態では、例えば、C&Cサーバ20宛てパケットの送信周期、C&Cサーバ20宛てパケットの送信バイト数、C&Cサーバ20を送信元とするパケットの送信バイト数、C&Cサーバ20宛てパケットのhttpヘッダ、C&Cサーバ20宛てパケットのポート番号、C&Cサーバ20を送信元とするパケットのポート番号のうちのいずれか1つ又は複数を用いて、対向装置をグループ分けする。
C&Cサーバ20宛てパケットの送信周期に関して、前述した感染装置10からのKeepAliveパケットは、所定時間間隔で送信される場合が多いことが想定されることから、同じ送信周期で送信されるパケットの送信元(送信元のアドレスであり、対向装置を表す、以下同様)が複数ある場合、それらは同じグループにまとめられる。また、例えば、上記のような送信周期のパケットを送信していない送信元が1つだけであるとすると、当該送信元は上記グループ以外のグループに分類される。このようなグループ分け処理は、タイムスタンプを参照することで実現可能である。
パケットの送信バイト数に関して、感染装置10から送信されるKeepAliveパケットのバイト数、及びKeepAliveパケットに対する応答パケットのバイト数はそれぞれ固定的に決まっている場合があることが想定されることから、同じ送信バイト数を持つC&Cサーバ20宛てパケットの送信元、もしくは、同じ送信バイト数を持つC&Cサーバ20を送信元とするパケットの送信先をそれぞれ同じグループとする。
httpヘッダに関し、例えば、httpヘッダ中のuser agentの情報が同じパケットの送信元を同一のグループとすることができる。更に、マルウェアに感染した感染装置10は、C&Cサーバとhttpで通信することが多く、また、感染装置10から送信されるhttpパケットに付されるhttpヘッダは、通常のブラウザから送信されるパケットのヘッダに比べて、不要な情報が削除された内容を持つという特徴がある。そこで、情報量が所定の値より小さいhttpヘッダを持つパケットの送信元を同じグループにすることとしてもよい。
ポート番号に関して、例えば、WebサーバがC&Cサーバにされた場合、C&Cサーバ宛てパケットの宛先ポート番号は、通常のWebサーバとは異なる所定の値となることが想定されることから、同じ宛先ポート番号を有するC&Cサーバ宛てパケットの送信元を同じグループとする。また、マルウェア側の送信ポートがあるポートに固定されることも考えられるため、送信元ポートが同じであるC&Cサーバ20宛てパケットの送信元を同じグループに分類する、もしくは宛先ポートが同じであるC&Cサーバ20からのパケットの送信先を同じグループに分類する。
グループ分け処理部103は、上記のグループ分けを、送信周期、送信バイト数、httpヘッダ、ポート番号等のいずれか1つについて行ってもよいし、複数について行ってもよい。また、以上のグループ分けの方法は一例に過ぎず、他の条件を用いてグループ分けを行ってもよい。例えば、送信周期、送信バイト数は、KeepAliveパケットの規則性に着目したものであるが、その他にも、感染装置10が送受信するパケットにおいて規則性が見られるパケットがあれば当該規則性に基づく条件でグループ分けを行うことができる。
次に、指令者装置特定部104が、グループ分け処理部103によるグループ分けの結果を用いて、指令者装置30の候補の抽出を行う(ステップ104)。ここでは、指令者装置特定部104は、グループ分け処理部103によるグループ分けの結果、グループに属する対向装置(のアドレス)の数が最も少ないグループに属する対向装置を指令者装置30の候補として特定する。あるいは、対向装置の数が所定の値以上であるグループ以外のグループに属する対向装置を指令者装置30の候補として特定してもよい。
例えば、グループ分け処理部103がある条件でグループ分けを行った結果、図4に示すような結果が得られたものとする。つまり、10個の対向装置を含むグループA、5個の対向装置を含むグループB、及び1個の対向装置を含むグループCとグループDが得られたものとする。このとき、指令者装置特定部104は、グループCの対向装置C1とグループDの対向装置D1を指令者装置30の候補として決定する。ここで、候補が1つだけであれば、それを指令者装置30として特定してもよいし、1つだけである場合も、後述する指令者装置特定処理を行ってもよい。
なお、グループ分け処理部103が、例えば、送信周期と送信バイト数のように、複数の条件に基づいてグループ分けを行う場合、それぞれについて得られた指令者装置30の候補のANDをとって指令者装置30の候補とすることができる。例えば、送信周期でグループ分けした結果、対向装置X1とX2が候補として特定され、送信バイト数でグループ分けした結果、対向装置X1とY1が候補として特定された場合、これらのANDをとって、対向装置X1を指令者装置30の候補とする。
次に、指令者装置特定部104は、ステップ104で得られた指令者装置候補について、所定の挙動を示したか否かを調べることで指令者装置30であるかどうかの特定を行う。
本実施の形態では、パケット情報格納部106に格納されたパケット情報を解析することで、指令者装置候補がパケットをC&Cサーバ20に送信した後に、以下の(1)、(2)のいずれかのパターンの送信がある場合に、指令者装置候補を指令者装置30と特定する。
(1)C&Cサーバ20が指令者装置候補からパケットを受信した後、すぐに感染装置10へパケットを送信する。この動作は、C&Cサーバ20を経由した指令送信の動作に相当する。
(2)C&Cサーバ20が指令者装置候補からパケットを受信した後、感染装置10からのパケット(周期的に送られるKeepAliveと推定できるパケット)を受信したタイミングで、当該感染装置10へパケットを送信する。この動作は、指令を一旦C&Cサーバ20が保持し、感染装置10からのアクセスに応じて指令を送る動作であると推定できる。ここでの送信パケットは、KeepAliveの応答とは、バイト数等が異なることが考えられるため、(2)において感染装置10へのパケットのバイト数等がKeepAliveの応答と異なることが確認できた場合は、より確実に指令者からの指令に係るパケットが送られたものと推定できる。
上記の動作において、感染装置10へのパケットもしくは感染装置10からのパケットであることを識別するための感染装置10のアドレスは、ステップ103でのグループ分けの結果、指令者装置候補と推定されたグループ以外のグループに含まれる対向装置のアドレスのうちのいずれかに該当するかどうかで識別できる。
なお、C&Cサーバ20が、C&Cサーバ20と同じIPアドレスを持つ通常のWebサーバとして使われる場合が考えられ、その場合、ステップ103でのグループ分けの結果、あるグループに属する対向装置が感染装置10もしくは指令者装置30ではなく、Webサーバにアクセスする一般の端末である場合があり得る。そのため、グループ分け処理部103は、Webサーバにアクセスする一般の端末を識別し、これを除外してグループ分けを行うことが望ましい。
通常のWebサーバへのアクセスかどうかは、例えば、パケットにおける送信先のポート番号が80(通常のWebサーバのポート番号)かどうかで判別できる。また、送信元から送信されるパケットの送信バイト数に対し、サーバからの送信バイト数が相当に大きい(所定の閾値以上大きい)かどうかで判別することもできる。
ステップ105において指令者装置30のアドレス(例:IPアドレス)が特定されると、続いて、通信切断処理部105は、指令者装置30がC&Cサーバ20との通信を行うことができないように、指令者装置30とC&Cサーバ20との間の通信を切断する処理を行う(ステップ106)。この処理は特定の方法に限られず、例えば、通信装置50に対して指令者装置30からC&Cサーバ20へのパケットを転送しないよう指示することでもよいし、より加入者側に近い設備に対する指示、例えば指令者装置30のアクセス回線設備に対して指令者装置30からC&Cサーバ20への通信を行わないようにする指示を行ってもよい。また、指令元特定装置100が通信切断処理部105を備えることは必須ではなく、通信切断処理部105を備えなくてもよい。この場合、例えば、オペレータが通信切断のための処理や指令者装置30に対する何らかの警告を行う。
以上、図1の構成に基づく処理例を説明したが、本発明は図1に示す構成に限られずに適用できる。例えば、図5に示すように、C&Cサーバが多段構成である場合にも適用できる。非常に多数の感染装置をコントロール配下とする場合、図5に示すように、C&Cサーバが多段構成とされる場合がある。このような場合、これまでに説明したグループ分けの技術を用いることで、まず、感染装置10とC&Cサーバ20−1間の通信と、C&Cサーバ20−1とC&Cサーバ20−2間の通信とを判別することでC&Cサーバ20−2を特定し、次に、C&Cサーバ20−1とC&Cサーバ20−2間の通信と、C&Cサーバ20−2とC&Cサーバ20−3間の通信とを判別することでC&Cサーバ20−3を特定し、最後に、C&Cサーバ20−2とC&Cサーバ20−3間の通信と、C&Cサーバ20−3と指令者装置30間の通信とを判別することで指令者装置30を特定する。
(実施の形態のまとめ、効果)
上記のように、本実施の形態では、C&Cサーバ20と対向装置との間の通信を監視し、対向装置とC&Cサーバ20との間の通信に係るパケットの情報に基づいて、C&Cサーバ20との通信パターンを解析し、当該通信パターンにより対向装置をグループ分けすることにより指令者装置30を抽出し、指令者装置30とC&Cサーバ20との間の接続を断つこととした。これにより、感染装置10が遠隔操作により被害を受けることを迅速に停止することが可能となる。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
10 感染装置
20 C&Cサーバ
30 指令者装置30
40 通信ネットワーク
100 指令元特定装置
101 パケット情報取得部
102 対象パケット情報抽出部
103 グループ分け処理部
104 指令者装置特定部
105 通信切断処理部
106 パケット情報格納部
107 C&Cサーバ情報格納部

Claims (7)

  1. 所定のサーバと通信を行う対向装置と当該所定のサーバとの間の通信に係るパケットの情報を取得する取得手段と、
    前記取得手段により取得されたパケットの情報に基づき、前記通信が所定の条件に合致するか否かに応じて前記対向装置をグループ分けするグループ分け手段と、
    前記グループ分け手段によるグループ分けにより得られたグループのうち、属する装置数が他のグループよりも少ないグループに属する対向装置を、当該対向装置以外の対向装置に対して前記所定のサーバ経由で指令を行う指令者装置の候補であると特定する特定手段と、
    を備えることを特徴とする指令元特定装置。
  2. 前記特定手段は、前記取得手段により取得されたパケットの情報に基づいて、前記候補とされた対向装置が前記所定のサーバにパケットを送信した後に、当該所定のサーバが、前記候補とされた対向装置以外の対向装置にパケットを送信する動作を行うか否かを判定し、当該動作を行う場合に前記候補とされた対向装置を前記指令者装置であると判定する
    ことを特徴とする請求項1に記載の指令元特定装置。
  3. 前記所定の条件は、送信バイト数、送信周期、httpヘッダ、又は、ポート番号に基づく条件である
    ことを特徴とする請求項1又は2に記載の指令元特定装置。
  4. 前記所定のサーバは、C&Cサーバであり、前記候補とされた対向装置以外の対向装置は、マルウェア感染装置である
    ことを特徴とする請求項1ないし3のうちいずれか1項に記載の指令元特定装置。
  5. 前記グループ分け手段は、
    対向装置から前記所定のサーバに送信されるパケットのポート番号が特定の値である場合に、もしくは、対向装置から送信されるパケットのバイト数に対し、前記所定のサーバからの応答パケットのバイト数が所定の閾値以上大きい場合に、当該対向装置を前記グループ分けの対象から除外する
    ことを特徴とする請求項1ないし4のうちいずれか1項に記載の指令元特定装置。
  6. 指令元特定装置が実行する指令元特定方法であって、
    所定のサーバと通信を行う対向装置と当該所定のサーバとの間の通信に係るパケットの情報を取得する取得ステップと、
    前記取得ステップにより取得されたパケットの情報に基づき、前記通信が所定の条件に合致するか否かに応じて前記対向装置をグループ分けするグループ分けステップと、
    前記グループ分けステップによるグループ分けにより得られたグループのうち、属する装置数が他のグループよりも少ないグループに属する対向装置を、当該対向装置以外の対向装置に対して前記所定のサーバ経由で指令を行う指令者装置の候補であると特定する特定ステップと、
    を備えることを特徴とする指令元特定方法。
  7. コンピュータを、請求項1ないし5のうちいずれか1項に記載の指令元特定装置の各手段として機能させるための指令元特定プログラム。
JP2013096603A 2013-05-01 2013-05-01 指令元特定装置、指令元特定方法、及び指令元特定プログラム Active JP6063340B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013096603A JP6063340B2 (ja) 2013-05-01 2013-05-01 指令元特定装置、指令元特定方法、及び指令元特定プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013096603A JP6063340B2 (ja) 2013-05-01 2013-05-01 指令元特定装置、指令元特定方法、及び指令元特定プログラム

Publications (2)

Publication Number Publication Date
JP2014219741A JP2014219741A (ja) 2014-11-20
JP6063340B2 true JP6063340B2 (ja) 2017-01-18

Family

ID=51938152

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013096603A Active JP6063340B2 (ja) 2013-05-01 2013-05-01 指令元特定装置、指令元特定方法、及び指令元特定プログラム

Country Status (1)

Country Link
JP (1) JP6063340B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016093182A1 (ja) 2014-12-09 2016-06-16 日本電信電話株式会社 特定装置、特定方法および特定プログラム
WO2019222880A1 (zh) 2018-05-21 2019-11-28 华为技术有限公司 网络设备的配置方法及装置、存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5119059B2 (ja) * 2008-06-25 2013-01-16 株式会社Kddi研究所 情報処理装置、情報処理システム、プログラム、および記録媒体

Also Published As

Publication number Publication date
JP2014219741A (ja) 2014-11-20

Similar Documents

Publication Publication Date Title
US10104124B2 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
US10686814B2 (en) Network anomaly detection
US9860278B2 (en) Log analyzing device, information processing method, and program
CN105099821B (zh) 基于云的虚拟环境下流量监控的方法和装置
CN108293039B (zh) 处理网络威胁的计算设备、方法和存储介质
US20170295193A1 (en) Adaptive anomaly context description
KR20140088340A (ko) 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
JP6502902B2 (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
CN103905415A (zh) 一种防范远控类木马病毒的方法及***
CN111049784B (zh) 一种网络攻击的检测方法、装置、设备及存储介质
JP2018007179A (ja) 監視装置、監視方法および監視プログラム
WO2020027250A1 (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
JP6063340B2 (ja) 指令元特定装置、指令元特定方法、及び指令元特定プログラム
WO2019043804A1 (ja) ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体
US11595419B2 (en) Communication monitoring system, communication monitoring apparatus, and communication monitoring method
CN111131180B (zh) 一种大规模云环境中分布式部署的http协议post拦截方法
CN110381082B (zh) 基于Mininet的电力通信网络的攻击检测方法和装置
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
KR100920528B1 (ko) Arp 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템
CN116723020A (zh) 网络服务模拟方法、装置、电子设备及存储介质
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
US9049170B2 (en) Building filter through utilization of automated generation of regular expression
JP2016127391A (ja) ネットワーク監視システム及び方法
KR102156600B1 (ko) 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161122

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161216

R150 Certificate of patent or registration of utility model

Ref document number: 6063340

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250