JP6970344B2 - 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム - Google Patents

感染拡大攻撃検知装置、攻撃元特定方法及びプログラム Download PDF

Info

Publication number
JP6970344B2
JP6970344B2 JP2018146593A JP2018146593A JP6970344B2 JP 6970344 B2 JP6970344 B2 JP 6970344B2 JP 2018146593 A JP2018146593 A JP 2018146593A JP 2018146593 A JP2018146593 A JP 2018146593A JP 6970344 B2 JP6970344 B2 JP 6970344B2
Authority
JP
Japan
Prior art keywords
feature amount
attack
terminal
infection spread
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018146593A
Other languages
English (en)
Other versions
JP2020022133A (ja
Inventor
幸洋 鋒
浩明 前田
久史 小島
健 桑原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018146593A priority Critical patent/JP6970344B2/ja
Priority to PCT/JP2019/030149 priority patent/WO2020027250A1/ja
Priority to US17/265,397 priority patent/US11863584B2/en
Publication of JP2020022133A publication Critical patent/JP2020022133A/ja
Application granted granted Critical
Publication of JP6970344B2 publication Critical patent/JP6970344B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク内において感染端末による感染拡大攻撃を検知する感染拡大攻撃検知システムに関する。
近年、IoT(Internet of Things)の普及により、充分な計算資源が無く、セキュリティ対策が行えない端末もインターネットに接続されることが増えてきている。また、ユーザの一人あたりの所持端末数も増加しており、管理が行き届かない端末の増加も予想される。
一方、近年、攻撃者がインターネット経由で上述の脆弱なユーザ端末を乗っ取り、サイバー攻撃の踏み台として悪用する事例が増加しており、数TbpsクラスのDDoS(Denial of Service)攻撃などの大規模なサイバー攻撃が観測されている。今後も多数の端末がマルウェアに感染し、攻撃者の踏み台に用いられれば、将来的にネットワーク帯域の圧迫や対処側のセキュリティ機構への負荷が増大するおそれがある(非特許文献1参照)。
そこで、従来、セキュリティ対策やユーザの管理が不十分な端末が踏み台にされることを通信事業者網で防ぐことで、ユーザ端末のセキュリティ向上と大規模なサイバー攻撃の未然防止を目指し、通信事業者網での端末を踏み台化する攻撃(以下「感染拡大攻撃」と言う)を検知するシステムが提案されている。このシステムは、自身の通信事業者網に収容されている感染端末による不正通信を当該網において検知し、今後の攻撃パターンや攻撃量を事前に把握することで、通信事業者のセキュリティリスクの軽減を目指すものである。なお、感染拡大攻撃の例としては、Telnetやワーム等の感染活動などが挙げられる。
上記システムについて説明する。このシステムは、まず、(1)通信事業者網内のコアルータ等においてアクセスコントロールリスト(ACL:Access Control List)を用いて、通信事業者網に収容された端末のトラヒック情報を、通信相手先アドレスについて細分化した部分アドレス空間毎に経時的に取得する。アドレス空間の細分化の例としては、IPv4(Internet Protocol version 4)のパケットの場合、32bitのアドレス空間について上位8bitの値を用いて細分化する方法が挙げられる。また、取得するトラヒック情報としては、所定のサンプリング時間当たりのパケット数である。なお、前記ACLとは、パケットを制御するためのアドレス等の条件と、条件にマッチしたパケットに対する制御方法を記載した情報である。
次に、(2)経時的に取得したトラヒック情報を、部分アドレス空間毎に所定の集計時間範囲で集計するとともに、集計した部分アドレス空間毎のトラヒック情報をベクトル化する。この処理によるベクトルは、次元数が部分アドレス空間の細分化数であり、各要素が集計したトラヒック情報というスカラー値である。そして、(3)このベクトル化されたトラヒック情報を用いて、教師なし学習により機械学習処理を行うことにより、識別器(閾値)を作成する。
次に、(4)検知を行う際には、前述の(1)及び(2)と同様にして、ある時点におけるベクトル化されたトラヒック情報を取得する。そして、当該トラヒック情報について前記識別器を用いて正常か異常かを判定する。これにより感染拡大攻撃を検知することができる。感染拡大攻撃を検知した場合、以降のパケットを所定のセキュリティ装置にするようコアルータを設定する。そして、セキュリティ装置において、さらに詳細な分析が行われ、感染拡大攻撃を行っている端末の特定などを行う。
トラヒック量の少ない空間では、正常通信に対して感染拡大攻撃に係る通信が相対的に多くなることが知られている。このため、上記のシステムでは、少量の攻撃による変化も捉えられると期待できる。
小山覚, "サイバー攻撃対策としてのIoTセキュリティについて",[online], サイバーセキュリティタスクフォース(第2回), 総務省, [平成30年7月6日検索], インターネット<URL:http://www.soumu.go.jp/main_content/000471279.pdf> Johan Mazel, 他2名, "Profiling Internet Scanners: Spatiotemporal Structures and Measurement Ethics", 2016年 Seungwoon Lee1, 他2名, "Abnormal Behavior-Based Detection of Shodan and Censys-Like Scanning", IEEE, ICUFN 2017, pp.1048-1052, 2017年
上記のシステムでは、感染拡大攻撃の発生を高精度で検知できる。しかし、セキュリティ装置に引き込まれるトラヒックは、検知した部分アドレス空間宛の全てのトラヒックであり、このトラヒックには正常通信のものも含まれる。このため、セキュリティ装置での分析処理の負荷が大きいだけでなく、セキュリティ装置へ迂回する正常通信に係るトラヒックが発生することになりネットワーク負荷も高くなるという問題がある。
上記問題を解決するためには、感染端末のアドレスを特定する技術が必要であるが、上記のシステムではセキュリティ装置に引き込むトリガとなる送信元アドレスの情報を特定することはできなかった。
感染端末のアドレスを特定するためには、トラヒックが正常端末によるものなのか、感染端末によるものなのかを判別することが必要である。ところで、セキュリティ情報の共有化等を目的として、インターネットに接続された端末の全ポートに対してスキャンを行い、脆弱なポートが空いてないか等を調査し、データベース化する「Shodan」や「Censys」などのシステムがある(非特許文献2,3参照)。この調査に係るトラヒックは感染拡大攻撃にかかるものではないので、感染端末を特定するために、調査に係るトラヒックと感染拡大攻撃に係るトラヒックを区別する必要がある。
非特許文献3では、正常スキャン特有のBanner Grabbing(ログイン画面の文字列を読み取ってメーカを特定する行動)の振舞いに着目している。そして、送信元アドレス毎にパケット到着間隔等の詳細な特徴量を抽出し、送信元のクラスタリングを行うことでスキャン送信元が調査に係る端末であると識別する。
しかし、感染端末によるスキャンと正常スキャンでは、スキャン実行時の通信特性が極めて似ているため、識別が困難である。これは、一般的な調査用スキャンは、感染端末からの攻撃を模擬することで端末の脆弱性を調査するため、感染端末によるスキャンとほぼ同じ性質になってしまうためである。また、Banner Grabbing相当の挙動を示すマルウェアも存在する。
本発明は上記事情に鑑みてなされたものであり、その目的とするところは、感染拡大攻撃の発生及びその攻撃元を高精度で検知することができる感染拡大攻撃検知装置、攻撃元端末特定方法及びプログラムを提供することにある。
上記目的を達成するために、本願発明は、パケットを転送する転送装置を備えたネットワーク内において感染拡大攻撃の発生を検知する感染拡大攻撃検知装置であって、前記転送装置が転送するパケットについて第1のトラヒック情報を取得するとともに、前記第1のトラヒック情報に基づきトラヒックの第1の特徴量をネットワークのアドレス空間を細分化してなる複数の部分アドレス空間毎に導出する第1の特徴量導出手段と、前記第1の特徴量導出手段により導出された第1の特徴量に基づき前記複数の部分アドレス空間のうち監視対象とするM個の部分アドレス空間を決定する監視対象決定手段と、前記監視対象決定手段により決定されたM個の部分アドレス空間内のアドレスを宛先又は送信元とする前記転送装置が転送するパケットについて第2のトラヒック情報を取得するとともに前記第2のトラヒック情報に基づき当該トラヒックの第2の特徴量をネットワーク内に収容された端末のアドレス毎に導出する第2の特徴量導出手段と、前記第2の特徴量導出手段により導出された第2の特徴量を学習して端末のアドレスを複数のクラスタに分類するとともに各クラスタについて感染拡大攻撃であるかを判定してクラスタ情報を生成するクラスタリング手段と、前記第2の特徴量導出手段により導出された第2の特徴量及び前記クラスタリング手段により生成されたクラスタ情報に基づき感染拡大攻撃が発生したか否か及び攻撃元の端末のアドレスを特定する端末特定手段とを備えたことを特徴とする。
本発明によれば、監視対象とする部分アドレス空間がトラヒック情報から導出した第1の特徴量に基づきM個に限定されているので、限定された各部分アドレス空間におけるトラヒック情報から端末のアドレス毎に導出した第2の特徴量に基づくクラスタリング処理を低負荷で実施することができる。またクラスタリング処理は端末のアドレス毎に導出した第2の特徴量に基づいているので、感染拡大攻撃の発生及び攻撃元端末のアドレスを高精度で特定することができる。
トラヒック情報の取得について説明する図 クラスタリングによる正常状態の学習について説明する図 現タイムスロットで観測された端末の判定について説明する図 第2の特徴量の算出例について説明する図 第2の特徴量の算出例について説明する図 感染拡大攻撃検知システムのネットワーク構成の一例 パケット転送装置の機能構成の一例 転送装置制御コントローラの機能構成の一例 異常検知用ストレージ装置の機能構成の一例 特徴量加工設定情報テーブルの一例 トラヒック傾向分析用特徴量保持テーブルの一例 クラスタリング用特徴量保持テーブルの一例 検知用時系列特徴量保持テーブルの一例 トラヒック傾向分析装置の機能構成の一例 分析設定情報テーブルの一例 クラスタリング演算装置の機能構成の一例 クラスタリング設定情報テーブルの一例 マッピング情報テーブルの一例 クラスタ情報テーブルの一例 端末特定装置の機能構成の一例 特定設定情報テーブルの一例 トラヒックの傾向分析に係るシーケンス クラスタリングの実施及びクラスの特定に係るシーケンス 異常の検知・対処に係るシーケンス
まず、本発明に係る感染拡大攻撃検知システムの概要について説明する。なお、以下の説明においては、特に断りが無いかぎり、通信の「送信元」や「宛先」はネットワークに収容された端末からネットワーク外に出て行く方向を基準とする。
本発明は、通信事業者網などのネットワークに収容されているマルウェア感染端末による、アドレス空間全体への感染拡大攻撃を検知対象とし、さらに感染拡大攻撃元の端末のアドレスを特定する。また、本発明は、正常スキャンと攻撃スキャンを分離する特徴量として、スキャン実行時の通信の性質を捉えた特徴量だけではなく、それぞれの運用形態や利用目的の違いに基づいた通信の特徴にも着目する。運用形態や利用目的の違いとしては例えば以下のようなものがある。
<例1:端末のIPアドレスが観測されている期間>
正常スキャンの場合、端末のIPアドレスは長期間に観測される。一方、攻撃スキャンの場合、端末のIPアドレスはマルウェア感染の流行に伴い観測され始める。また、攻撃スキャンの場合、検知を避けるために中断が発生する。
<例2:一度の攻撃活動における継続時間>
この継続時間は、過去Mタイムスロット分の宛先数の標準偏差等の形式に加工することにより利用することができる。正常スキャンの場合、一定のレートで攻撃が発生し続ける。一方、攻撃スキャンの場合、攻撃活動の継続時間が正常スキャンよりも短い。また、攻撃スキャンの場合、端末が感染していることに気づいてない正常ユーザによる当該端末の利用(例:電源のON/OFF等)の影響を受ける。
<例3:1フロー中のパケット数の分布>
正常スキャンの場合はスキャン後に辞書攻撃を行わない事が多く、対象端末に送信されるパケット数がほぼ一定となる。攻撃スキャン後に辞書攻撃を行う場合、辞書攻撃時のフローだけパケット数が多くなる。
本発明では、(1)検知に用いるトラヒック情報の取得、(2)クラスタリングによる正常状態の学習、(3)現タイムスロットで観測された端末の判定、という3つのステップにより感染拡大攻撃の発生検知及び攻撃元を特定する。
(1)検知に用いるトラヒック情報の取得
図1に示すように、通信事業者網内のネットワーク機器のACL(アクセス制御リスト)等に宛先アドレス空間毎にパケット数をカウントする設定を投入し、通信の少ないアドレス空間を特定する。例えば、中央のルータのACLにおいて、宛先/8アドレス単位で送信パケット数をカウントさせる等がある。そして、通信の少ないアドレス空間宛トラヒックのsFlow情報を取得する。
(2)クラスタリングによる正常状態の学習
図2に示すように、ある一定期間(1か月等)でsFlowログを解析し、送信元毎に下記の特徴量を取得する。特徴量を既存のクラスタリングアルゴリズム(例:DBSCAN:Density-Based Spatial Clustering of Applications with Noise,GMM:Gaussian Mixture Model,CluStream)に入力することで、類似する通信特性を持つ送信元同士を同じクラスタに分類する。この特徴量は、特許請求の範囲の「第2の特徴量」に相当する。なお、図2の右側に例示したグラフは発明の理解を容易にするためにクラスタの分布を2次元で表現したものであり、実際は特徴量の数に対応する次元を有する点に留意されたい。
特徴量としては、1.宛先の分布(エントロピー)、2.宛先数、3.ポート番号の種類数、4.IPヘッダのプロトコルの割合、5.観測期間の長さ、6.宛先数のばらつき、7.1フロー中のパケット数の分布、が挙げられる。これらの各特徴量は正常通信とランダムスキャンを見分けるための特徴量であり、この特徴量を含むクラスタリングにより、スキャンを行わない正常端末を分類できる。特に、5.観測期間の長さ、6.宛先数のばらつきは、7.1フロー中のパケット数の分布は、スキャンの性質(例:マルウェア単位とか調査機関単位とか)を分類する特徴量であり、この特徴量を含むクラスタリングにより、スキャンの中でも似た者同士でクラスタが構成される。すなわち、5.〜7.の特徴量はスキャンの運用形態や利用目的の違いを捉えた特徴量であり、この特徴量を含むクラスタリングにより正常スキャンと攻撃スキャンの分類が期待できる。
(3)現タイムスロットで観測された端末の判定
図3に示すように、学習期間に生成したクラスタの重心やクラスタに所属する端末の情報を利用し、現タイムスロットで観測された端末がどのクラスタに所属するかを判定する。例えば、現タイムスロットの送信元の特徴量値を算出する。そして、各クラスタの重心との距離を比較し、最も距離が近いクラスタに割り振る。
上記の(2)における特徴量の算出方法の一例について図4及び図5を参照して説明する。例えば、sFlowのL3−4ヘッダ情報を取得し、一定時間ごとにクラスタリングで利用する特徴量を算出する。具体的には、前記1.〜4.の特徴量については、図4に示すように、送信元毎に/8アドレス宛のフロー数をカウントする、タイムスロット単位で発生率(全フロー数に対する割合)を計算してエントロピーを算出する、送信元毎にプロトコルやポートの種類数を計算する、送信元毎にフロー数を計算することにより算出する。
また、例えば、過去のタイムスロットの特徴量をテーブルで保持しておき、一定時間ごとに加工することでクラスタリングに利用する特徴量を算出する。具体的には、図5に示すように、前記5.の特徴量については、特徴量算出用DBに、観測された場合は1、観測されてない場合は0を記録し、現在のタイムスロットから遡って1が連続する数をカウントする。ただし、連続N回までの0は1とみなす。すなわち、連続N回までの中断を許容する。ここでNは正常スキャン端末のオフ時間を考慮したパラメータであり、既知の正常スキャンを解析して算出する。また、前記6.の特徴量については、現在のタイムスロットから遡ってM個のタイムスロットにおける宛先数のばらつきを計算する、より具体的には直前Mタイムスロットの宛先数の標準偏差を特徴量とする。
上記の(3)におけるクラスタリング結果の解析方法の一例について説明する。クラスタリングの結果得られたクラスタを以下のルールで解析し、正常スキャン端末が所属するクラスタと、感染端末が所属するクラスタに分類する。
ルール1:公開されている正常スキャン端末のIPアドレスが含まれるクラスタを正常スキャン端末のクラスタとする。
ルール2:クラスタの重心における、正常通信とランダムスキャンを見分けるための通信情報と既知のマルウェアの挙動を突合し、一致するクラスタを感染端末のクラスタとする。
ルール3:クラスタの重心における、前記の特徴量の値を比較し、例えば活動期間の長さが上位10%のクラスタを正常スキャン端末のクラスタとする。
次に、本発明の一実施の形態に係る感染拡大攻撃検知システムについて図6を参照して説明する。図6は感染拡大攻撃検知システムのネットワーク構成の一例である。図6に示すように、通信事業者網等のネットワーク1には多数の端末2が収容されている。ネットワーク1は、多数の端末2が接続された大規模なIPネットワークである。端末2の通信特性(例えば、通信頻度、宛先数、パケットサイズなど)は不問である。端末2としては、ユーザによって操作される端末だけでなくIoT端末も含む。端末2とネットワーク1とを接続する回線種別は不問であり、無線通信回線であっても有線通信回線であてもよい。ネットワーク1はインターネット3と接続している。ネットワーク1の事業者は、端末2に対してインターネット3への接続サービスを提供する。ネットワーク1にはパケット転送装置100が配備されている。また、ネットワーク1には、感染拡大攻撃についての詳細な分析を行う周知のセキュリティ装置4が配置されている。
パケット転送装置100は、インターネット3と端末2間のパケットを中継する装置である。パケット転送装置100の一例としては、通信事業者網のコアネットワークにおけるルータ等のネットワーク機器が挙げられる。ネットワーク1内のパケット転送装置100の台数は不問である。
本実施の形態では、異常検知用装置群として、転送装置制御コントローラ200と、異常検知用ストレージ装置300と、トラヒック傾向分析装置400と、クラスタリング演算装置500と、端末特定装置600とを備える。ここで、異常検知用ストレージ装置300は、特許請求の範囲の「第1の特徴量導出手段」及び「第2の特徴量導出手段」に相当する。また、トラヒック傾向分析装置400は、特許請求の範囲の「監視対象決定手段」に相当する。また、クラスタリング演算装置500は、特許請求の範囲の「クラスタリング手段」に相当する。また、端末特定装置600は、特許請求の範囲の「端末特定手段」に相当する。
各装置の実装形態は不問である。例えば、各装置は、主に半導体装置で構成され、CPU(Central Processing Unit)、RAM(Random Access Memory)等の揮発性記憶装置、ハードディスクやフラッシュメモリ等の不揮発性記憶装置、及び外部との通信のための接続を行う通信インタフェースを有する、いわゆる情報処理機器として構成することができる。また、汎用サーバにプログラムをインストールすることにより各装置を構成してもよいし、プログラムを組み込んだ専用ハードウェア装置として各装置を構成してもよい。また例えば、各装置は任意の組み合わせで1つのハードウェア装置に実装してもよい。また例えば、各装置は、仮想化環境に構築された仮想マシンに実装してもよい。
本実施の形態では、異常検知用装置群をパケット転送装置100毎に設けるが、複数のパケット転送装置100毎に1つの異常検知用装置群を設けてもよい。
パケット転送装置100は、パケットの中継を行う際に、ACLを用いて宛先アドレス空間(例:/8アドレス空間等)毎の送受信パケット数等の情報を収集し、異常検知用ストレージ装置300に転送する。
異常検知用ストレージ装置300は、時系列ごとのトラヒック情報を、有効に検知可能なM個の部分アドレス空間の集合を特定するために用いられる情報(第1の特徴量)に加工し、トラヒック傾向分析装置400に送信する。
トラヒック傾向分析装置400は、一定時間の第1の特徴量を分析し、有効に検知可能なM個の部分アドレス空間の集合(例:常時トラヒック量の少ないM個の部分アドレス空間)を監視対象として特定する。また、転送装置制御コントローラ200を介して前記M個のアドレス空間のトラヒック情報を収集する設定を、パケット転送装置100に投入する。
パケット転送装置100の設定投入後、パケット転送装置100は、有効に検知可能なM個のアドレス空間に限り、そのトラヒック情報を異常検知用ストレージ装置300に送信する。
異常検知用ストレージ装置300は、時系列ごとのトラヒック情報を蓄積しクラスタリングを用いた学習及び検知に利用する情報(第2の特徴量)に加工し、クラスタリング演算装置500及び端末特定装置600に送信する。
クラスタリング演算装置500は、一定期間のトラヒック情報における第2の特徴量を異常検知用ストレージ装置300から受け取り、クラスタリングを実施する。その結果、特徴量空間に対し端末2が行なった感染拡大攻撃の傾向に応じた複数のクラスタをマッピングする。さらに、過去の観測情報等を利用してクラスタの意味づけを行う。
端末特定装置600は,クラスタリング演算装置500から、端末2のクラスタリング結果を受け取る。また、異常検知用ストレージ装置300から時系列毎の第2の特徴量情報を受け取り、これらの情報に基づき、クラスタごとに感染端末と正常スキャン端末を分離する。さらに、感染端末を抽出した際には、転送装置制御コントローラ200を介してパケット転送装置100のルーティングを変更し、以降のトラヒックを所定のセキュリティ装置4に入力して精査する。
以下、異常検知用装置群を構成する各装置の機能構成の一例について説明する。
まず、パケット転送装置100の機能構成の一例について図7を参照して説明する。パケット転送装置100は、図7に示すように、端末2から送信されたパケットをインターネット3へと中継するとともに、インターネット3からの端末2宛てのパケットを端末2に中継する通信部110を備える。
また、パケット転送装置100は、ACLに通信パケットの属性情報(例:宛先・送信元IPアドレス)ごとに条件を設定することで、条件にマッチしたパケットの所定のサンプリング時間内での数をトラヒック情報として異常検知用ストレージ装置300に送信する情報収集部120を備える。ACLはパケット転送装置100辺りに複数設定することができ、その適用タイミングはフォワーディングの前後で限定しない。また、階層型のネットワークにおいて、ACLの設定容量が足りない場合、異なる階層ごとに異なるACLを設定し、機能分担することも可能であり、その設定箇所は不問である。また、情報収集部120は、トラヒック傾向分析装置400において通信の少ないアドレス空間を特定後、その情報に基づいてそれらのアドレス帯へのsFlow(L3−L4ヘッダに相当するトラヒック情報)を取得し、異常検知用ストレージ装置300へ送信する。ACLとsFlowを1つのパケット転送装置100に設定しても良いし、同階層の異なるパケット転送装置100に分けて設定してもよい。
情報収集部120において収集すべき情報についての設定や通信部110におけるルーティングの設定は、転送装置制御コントローラ200からの指令に基づいて決定される。情報収集部120が異常検知用ストレージ装置300に送信するトラヒック情報は、上述したとおりACLやsFlowだけでなく、IPヘッダやフルキャプチャ等も考えられる。以降の説明では、ACL及びsFlowの2つを例に用いて説明する。
次に、転送装置制御コントローラ200の機能構成の一例について図8を参照して説明する。転送装置制御コントローラ200は、図8に示すように、通信インタフェースである通信部210と、コンフィグ生成部220とを備える。
コンフィグ生成部220は、sFlowの設定情報、ACLの設定情報及びルーティング設定情報などパケット転送装置100の設定に関する情報をシステム外部(トラヒック傾向分析装置400及び端末特定装置600を含む)から入力し、例えば特定のフローだけをセキュリティ装置4に引き込む等のパケット転送装置100のコンフィグを生成する機能を有する。生成したコンフィグはパケット転送装置100に送信され、設定される。
次に、異常検知用ストレージ装置300の機能構成の一例について図9を参照して説明する。異常検知用ストレージ装置300は、通信インタフェースである通信部310と、パケット転送装置100から取得した現在のトラヒック情報を第1の特徴量及び第2の特徴量(例:一定時間間隔で送信元アドレス単位の宛先数、プロトコル種類数やそれに起因する統計量)に加工する特徴量加工演算部320と、特徴量加工の設定を保持する特徴量加工設定情報テーブル330とを備える。
また、異常検知用ストレージ装置300は、必要に応じて、計算済みの特徴量を各種テーブルにおいて保持する。特徴量の保持は、トラヒック傾向分析に用いる第1の特徴量、クラスタリングに用いる第2の特徴量といったように、用途別に保持するテーブルを分けてもよいし、同じテーブルにまとめてもよい。また、クラスタリング(特にクラスタを用いた検知処理)に用いる特徴量の算出のため、時系列単位で特徴量を保持するテーブルも用意する。本実施の形態では、図9に示すように、トラヒック傾向分析用特徴量保持テーブル340と、クラスタリング用特徴量保持テーブル350と、検知用時系列特徴量保持テーブル360とを備える。また、異常検知用ストレージ装置300は、前記特徴量加工演算部320と各テーブル330〜360とのインタフェースである情報管理部370を備える。これらの特徴量情報は、トラヒック傾向分析装置400やクラスタリング演算装置500・端末特定装置600に送信される。
特徴量加工設定情報テーブル330は、図10の例に示すように、特徴量加工を実施する時間幅や、パケット転送装置100から取得した情報の加工の仕方を保持する。これらの情報に基づき、特徴量加工演算部320では、トラヒック傾向分析のための第1の特徴量やクラスタリングのための第2の特徴量を算出する。
トラヒック傾向分析用特徴量保持テーブル340は、有効に検知可能なアドレス空間毎に取得した特徴量を時系列ごとに保持するテーブルである。図11の例では、所定の単位としてアドレス空間毎に第1の特徴量であるパケット数を格納している。ここで、単位の取り方は不問である。また、第1の特徴量に用いる値や次元数についても不問である。なお、図11の例では、ネットワーク機器単位に1つのテーブルを作成しているが、複数のネットワーク機器から取得した情報を1つのテーブルに格納してもよい。これらの情報は、トラヒック傾向分析装置400で利用される。
クラスタリング用特徴量保持テーブル350は、図12の例に示すように、網内のIPアドレスに限定した送信元アドレス毎に、特徴量加工設定情報テーブル330の設定内容に基づき第2の特徴量を計算し、その結果がこのテーブルに格納される。第2の特徴量の例は図2を参照して上述した通りである。これらの情報は、クラスタリング演算装置500で利用される。
クラスタリングに用いる時系列の中で、例えば観測期間の長さを示す特徴量や宛先数のバラつきを示す特徴量は時系列(タイムスロット)毎に観測値を保存し、複数の時系列にまたがって加工を行う必要がある。検知用時系列特徴量保持テーブル360は、図13の例に示すように、これらの特徴量の算出に用いられる元となる観測情報を保持するものであり、保持した結果は特徴量加工演算部320で再度加工され、クラスタリング用特徴量保持テーブル350に保存される。
次に、トラヒック傾向分析装置400の機能構成の一例について図14を参照して説明する。トラヒック傾向分析装置400は、図14に示すように、通信インタフェースである通信部410と、異常検知用ストレージ装置300から取得した第1の特徴量に基づき分析を行い、有効に検知可能なアドレス空間集合(例:トラヒック量の少ないアドレス空間)を監視対象として特定する分析用演算部420と、分析用演算部420での分析処理で用いる各種設定情報を保持する分析設定情報テーブル430と、分析用演算部420と分析設定情報テーブル430とのインタフェースである情報管理部440とを備えている。分析用演算部420は、パケット転送装置100において第2の特徴量の導出に必要なトラヒック情報を取得するための情報(例:トラヒック量の少ないM個の部分アドレス空間)の分析を行う。
分析設定情報テーブル430は、前述の分析処理で必要な各種設定情報を保持する。分析設定情報テーブル430は、具体的には図15の例に示すように、トラヒック量の少ない部分アドレス空間を特定するための手法や、トラヒック量の閾値、異常検知を行う部分アドレス空間の数等の情報を保持する。
ここで、トラヒック量の閾値Xは、有効に検知可能な部分アドレス空間集合を定義づけるパラメータの一例である。この例では、トラヒック量の閾値Xを常時下回るアドレス空間を、有効に検知可能なアドレス空間とする。閾値Xは、例えば、検知したい攻撃の量(例:感染台数の目標値×感染端末一台あたりの攻撃量)や攻撃先の分布等(例:一様分布又は複数のアドレス空間に偏りのある分布)に基づいて算出することができる。
なお、図15で例示した手順においては、閾値Xを下回るアドレス空間すべてで異常検知を行う必要はない。その場合、例えばパラメータMを明示的に定め、最終的に異常検知を行うアドレス空間の数を指定してもよい。また、図15では、閾値Xを利用者が設定する例を記載したが、K−Means等のクラスタリングアルゴリズムにより、検知に有効なアドレス空間集合を特定してもよい。
次に、クラスタリング演算装置500の機能構成について図16を参照して説明する。クラスタリング演算装置500は、図16に示すように、通信インタフェースである通信部510と、クラスタリング用演算部520と、クラスタリングで用いる各種設定情報を保持するクラスタリング設定情報テーブル530と、クラスタリングのマッピングで用いるマッピング情報を保持するマッピング情報テーブル540と、クラスタリング結果であるクラスタ情報を保持するクラスタ情報テーブル550と、クラスタリング用演算部520と各テーブル530〜550とのインタフェースである情報管理部560とを備えている。クラスタリング用演算部520は、異常検知用ストレージ装置300から取得した第2の特徴量、クラスタリング設定情報テーブル530の情報、マッピング情報テーブル540の情報に基づきクラスタリングを実施し、結果をクラスタ情報テーブル550に保持する。
クラスタリング設定情報テーブル530は、クラスタリングに関わる設定情報を保持するテーブルであり、図17の例に示すように、具体的にはクラスタリングのアルゴリズム(例:K−Meansや非階層クラスタリング、生成モデル等)とそのパラメータ、実施間隔を保持しておく。これらの情報にしたがい、クラスタリング用演算部520ではクラスタリングの演算を行う。
マッピング情報テーブル540は、図18の例に示すように、算出されたクラスタが正常スキャンに係るものであるか攻撃スキャンに係るものであるかを解析するためのルール及び当該ルールに基づく解析処理でも用いる既知の情報を保持する。具体的には、マッピング情報テーブル540は、上述したルール1〜ルール3に係る各種情報を保持する。これらの情報にしたがい、クラスタリング用演算部520ではクラスタの解析及びマッピング、すなわち各クラスタに対する意味づけを行う。
クラスタ情報テーブル550は、クラスタリング用演算部520によるクラスタリング結果を保持するテーブルであり、図19の例に示すように、クラスタ毎に構成要素となる送信元端末のIPアドレスの情報や、クラスタの重心やラベルを保持する。これらのデータは、端末特定装置600に送信される。
次に、端末特定装置600の機能構成について図20を参照して説明する。端末特定装置600は、図20に示すように、通信インタフェースである通信部610と、感染拡大攻撃の発生の有無及びその攻撃元端末を特定する特定用演算部620と、特定用演算部620で用いる設定情報を保持する特定設定情報テーブル630と、特定結果を表示する特定結果表示ユーザインタフェース部640とを備えている。特定用演算部620は、異常検知用ストレージ装置300から現時系列におけるトラヒックの第2の特徴量を取得する。またクラスタリング演算装置500から過去のトラヒック情報から算出したクラスタリング結果の情報を受け取る。特定用演算部620は、これらの受信情報に加え、特定設定情報テーブル630で定められた計算方法に従い、現時系列において観測された各端末がどのクラスタに属するのかを特定する。特定した結果は転送装置制御コントローラ200に送信されるとともに、特定結果表示ユーザインタフェース部640に表示される。
特定設定情報テーブル630は、図21の例に示すように、現時系列において観測された各端末がどのクラスタに属するのかを特定するために必要な情報を保持する。クラスタの対応付け方法としては、例えば、各クラスタの重心と現在の時系列の特徴量の距離を計算し、最短のクラスタに振り分ける等が考えられる。
以下、本実施の形態に係る感染拡大攻撃検知システムの動作について図22〜図24を参照して説明する。まず、トラヒックの傾向分析に係るシーケンスについて図22のシーケンスチャートを参照して説明する。
本シーケンスでは、図6に示すネットワーク構成において、異常検知用ストレージ装置300が、パケット転送装置100から、細分化されたアドレス空間毎のトラヒック情報を一定の時間隔毎に取得する(ステップS11)。取得したトラヒック情報は異常検知用ストレージ装置300で複数時間幅分蓄積され、蓄積された情報をトラヒック傾向分析装置400が分析することで、感染拡大攻撃を精度よく検知できるM個の部分アドレス空間集合を特定する(ステップS12,S13)。
転送装置制御コントローラ200は、通信事業者網内の異常を網羅的に検知するため、複数のパケット転送装置100に対し、M個の部分アドレス空間から、検知に利用できる情報(第2の特徴量の素になるトラヒック情報)を取得するためのコマンドを設定する(ステップS14,S15)。
次に、クラスタリングの実施及びクラスの特定に係るシーケンスについて図23のシーケンスチャートを参照して説明する。
本シーケンスでは、図6に示すネットワーク構成において、異常検知用ストレージ装置300が、パケット転送装置100から、細分化されたM個の部分アドレス空間毎にトラヒック情報を一定の時間隔毎に(例:1ヶ月)取得する(ステップS21)。取得したトラヒック情報は異常検知用ストレージ装置300に格納され、所定の演算に基づいて第2の特徴量に加工される(ステップS22)。第2の特徴量はクラスタリング演算装置500に送信される(ステップS23)。次に、第2の特徴量をクラスタリングのアルゴリズムに入力することで、各端末2のグルーピングを行い、結果を格納する(ステップS24,S25)。グルーピング結果と過去のグルーピング結果や既知のスキャン端末の情報(公開されている正常スキャン端末のIPアドレス)を用いて、各クラスタの性質を特定する(ステップS26)。なお、トラヒックのトレンドは周期的に変動すると考えるため、上記のステップS21〜S26は一定の期間ごと(例:2か月に1度)に行う(ステップS27)。
次に、端末特定・対処のシーケンスについて図24のシーケンスチャートを参照して説明する。
本シーケンスでは、図6に示すネットワーク構成において、異常検知用ストレージ装置300が、パケット転送装置100から、細分化されたM個の部分アドレス空間毎にトラヒック情報を一定の時間隔毎に(例:20分間隔)取得する(ステップS31)。取得したトラヒック情報は異常検知用ストレージ装置300に格納され、所定の演算に基づいて送信元アドレス単位の第2の特徴量に加工される(ステップS32)。加工した第2の特徴量と前記クラスタリングの結果情報を用いて(ステップS33,S34)、比較等の演算を行うことで、送信元がどのクラスタに属するかを判定する(ステップS35)。次に、送信元の属するクラスタが攻撃スキャンのクラスタである場合に、送信元の異常を検出する(ステップS36)。
次に、送信元アドレスの情報を転送装置制御コントローラ200に送信することで、パケット転送装置100のルーティングを変更する(ステップS37,S38)。これにより、送信元アドレスからすべての通信をセキュリティ装置4に引き込み(ステップS39)、感染端末の詳細検査を行う(ステップS40)。
以上本発明の一実施の形態について詳述したが、本発明はこれに限定されるものではない。例えば、上記実施の形態では、M個の部分アドレス空間を特定するために用いられる第1の特徴量の導出手段と、感染拡大攻撃の検知で用いられる第2の特徴量の導出手段とを、異常検知用ストレージ装置300において実現していたが、両手段を異なる装置として実装してもよい。
また、上記実施の形態では、パケット転送装置100への設定処理は転送装置制御コントローラ200により行っていたが、トラヒック傾向分析装置400や端末特定装置600が直接パケット転送装置100の設定を行うようにしてもよい。
また、上記実施の形態ではアドレス空間としてIPv4について例示したが、IPv6など他のアドレス空間であっても本発明を適用できる。
また、上記実施の形態では、第2の特徴量として、1.宛先の分布(エントロピー)、2.宛先数、3.ポート番号の種類数、4.IPヘッダのプロトコルの割合、5.観測期間の長さ、6.宛先数のばらつき、7.1フロー中のパケット数の分布、を例示したが、他の情報を用いることもできる。
1…ネットワーク
2…端末
3…インターネット
4…セキュリティ装置
100…パケット転送装置
200…転送装置制御コントローラ
300…異常検知用ストレージ装置
400…トラヒック傾向分析装置
500…クラスタリング演算装置
600…端末特定装置

Claims (8)

  1. パケットを転送する転送装置を備えたネットワーク内において感染拡大攻撃の発生を検知する感染拡大攻撃検知装置であって、
    前記転送装置が転送するパケットについて第1のトラヒック情報を取得するとともに、前記第1のトラヒック情報に基づきトラヒックの第1の特徴量をネットワークのアドレス空間を細分化してなる複数の部分アドレス空間毎に導出する第1の特徴量導出手段と、
    前記第1の特徴量導出手段により導出された第1の特徴量に基づき前記複数の部分アドレス空間のうち監視対象とするM個の部分アドレス空間を決定する監視対象決定手段と、
    前記監視対象決定手段により決定されたM個の部分アドレス空間内のアドレスを宛先又は送信元とする前記転送装置が転送するパケットについて第2のトラヒック情報を取得するとともに前記第2のトラヒック情報に基づき当該トラヒックの第2の特徴量をネットワーク内に収容された端末のアドレス毎に導出する第2の特徴量導出手段と、
    前記第2の特徴量導出手段により導出された第2の特徴量を学習して端末のアドレスを複数のクラスタに分類するとともに各クラスタについて感染拡大攻撃であるかを判定してクラスタ情報を生成するクラスタリング手段と、
    前記第2の特徴量導出手段により導出された第2の特徴量及び前記クラスタリング手段により生成されたクラスタ情報に基づき感染拡大攻撃が発生したか否か及び攻撃元の端末のアドレスを特定する端末特定手段とを備えた
    ことを特徴とする感染拡大攻撃検知装置。
  2. 前記クラスタリング手段は、感染攻撃に係る攻撃スキャンを行う端末と調査に係る正常スキャンを行う端末とが別クラスタの属するようにクラスタを生成する
    ことを特徴とする請求項1記載の感染拡大攻撃検知装置。
  3. 前記第2の特徴量は、運用形態や利用目的の違いを示す特徴量を含む
    ことを特徴とする請求項1又は2記載の感染拡大攻撃検知装置。
  4. 前記第2の特徴量は、運用形態や利用目的の違いを示す特徴量として、所定の期間内においてトラヒックが観測された観測期間の長さと、現在から所定期間前までの期間内におけるトラヒックの宛先数のばらつきと、1フロー中のパケット数の分布の少なくとも一つを含む
    ことを特徴とする請求項3記載の感染拡大攻撃検知装置。
  5. 前記第2の特徴量は、さらに、スキャン通信の性質を示す特徴量を含む
    ことを特徴とする請求項3又は4記載の感染拡大攻撃検知装置。
  6. 前記端末特定手段は、感染拡大攻撃の攻撃元の端末を特定すると、特定した端末のアドレスを宛先又は送信元とするパケットを所定のセキュリティ装置へ転送するよう前記転送装置を設定する
    ことを特徴とする請求項1乃至5何れか1項記載の感染拡大攻撃検知装置。
  7. パケットを転送する転送装置を備えたネットワーク内において感染拡大攻撃の発生を検知する感染拡大攻撃検知装置が、感染拡大攻撃の攻撃元の端末を特定する方法であって、
    第1の特徴量導出手段が、前記転送装置が転送するパケットについて第1のトラヒック情報を取得するとともに、前記第1のトラヒック情報に基づきトラヒックの第1の特徴量をネットワークのアドレス空間を細分化してなる複数の部分アドレス空間毎に導出するステップと、
    監視対象決定手段が、前記第1の特徴量導出手段により導出された第1の特徴量に基づき前記複数の部分アドレス空間のうち監視対象とするM個の部分アドレス空間を決定するステップと、
    第2の特徴量導出手段が、前記監視対象決定手段により決定されたM個の部分アドレス空間内のアドレスを宛先又は送信元とする前記転送装置が転送するパケットについて第2のトラヒック情報を取得するとともに前記第2のトラヒック情報に基づき当該トラヒックの第2の特徴量をネットワーク内に収容された端末のアドレス毎に導出するステップと、
    クラスタリング手段が、前記第2の特徴量導出手段により導出された第2の特徴量を学習して端末のアドレスを複数のクラスタに分類するとともに各クラスタについて感染拡大攻撃であるかを判定してクラスタ情報を生成するステップと、
    端末特定手段が、前記第2の特徴量導出手段により導出された第2の特徴量及び前記クラスタリング手段により生成されたクラスタ情報に基づき感染拡大攻撃が発生したか否か及び攻撃元の端末のアドレスを特定するステップとを備えた
    ことを特徴とする感染拡大攻撃の攻撃元端末特定方法。
  8. コンピュータを、請求項1乃至6何れか1項記載の感染拡大攻撃検知装置の各手段として機能させるプログラム。
JP2018146593A 2018-08-03 2018-08-03 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム Active JP6970344B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018146593A JP6970344B2 (ja) 2018-08-03 2018-08-03 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
PCT/JP2019/030149 WO2020027250A1 (ja) 2018-08-03 2019-08-01 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
US17/265,397 US11863584B2 (en) 2018-08-03 2019-08-01 Infection spread attack detection device, attack origin specification method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018146593A JP6970344B2 (ja) 2018-08-03 2018-08-03 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2020022133A JP2020022133A (ja) 2020-02-06
JP6970344B2 true JP6970344B2 (ja) 2021-11-24

Family

ID=69231203

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018146593A Active JP6970344B2 (ja) 2018-08-03 2018-08-03 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム

Country Status (3)

Country Link
US (1) US11863584B2 (ja)
JP (1) JP6970344B2 (ja)
WO (1) WO2020027250A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113067741B (zh) * 2020-01-02 2022-11-29 ***通信有限公司研究院 一种信息处理方法、装置、终端及存储介质
CN114745161B (zh) * 2022-03-23 2023-08-22 烽台科技(北京)有限公司 一种异常流量的检测方法、装置、终端设备和存储介质
WO2023248444A1 (ja) * 2022-06-23 2023-12-28 日本電信電話株式会社 学習装置、学習方法、および、学習プログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5328283B2 (ja) * 2008-10-07 2013-10-30 Kddi株式会社 情報処理装置、プログラム、および記録媒体
US8347394B1 (en) * 2009-07-15 2013-01-01 Trend Micro, Inc. Detection of downloaded malware using DNS information
US9165142B1 (en) * 2013-01-30 2015-10-20 Palo Alto Networks, Inc. Malware family identification using profile signatures
US9565202B1 (en) * 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
CN103955645B (zh) * 2014-04-28 2017-03-08 百度在线网络技术(北京)有限公司 恶意进程行为的检测方法、装置及***
JP6641819B2 (ja) * 2015-09-15 2020-02-05 富士通株式会社 ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム
US11159548B2 (en) * 2016-02-24 2021-10-26 Nippon Telegraph And Telephone Corporation Analysis method, analysis device, and analysis program
US10454777B2 (en) * 2016-04-06 2019-10-22 Omni Ai, Inc. Network data processing driver for a cognitive artifical intelligence system
US20180063178A1 (en) * 2016-09-01 2018-03-01 Promithius Inc. Method and systems for real-time internal network threat detection and enforcement
JP6892005B2 (ja) * 2018-03-01 2021-06-18 日本電気株式会社 情報処理装置、制御方法、及びプログラム

Also Published As

Publication number Publication date
US11863584B2 (en) 2024-01-02
JP2020022133A (ja) 2020-02-06
WO2020027250A1 (ja) 2020-02-06
US20210306351A1 (en) 2021-09-30

Similar Documents

Publication Publication Date Title
US10397260B2 (en) Network system
CN108289088B (zh) 基于业务模型的异常流量检测***及方法
US7804787B2 (en) Methods and apparatus for analyzing and management of application traffic on networks
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
US10218731B2 (en) Method and system for data breach and malware detection
KR20140027616A (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
CN101803305A (zh) 网络监视装置、网络监视方法及网络监视程序
JP6970344B2 (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
Fachkha Cyber threat investigation of SCADA modbus activities
Spiekermann et al. Unsupervised packet-based anomaly detection in virtual networks
JP4161989B2 (ja) ネットワーク監視システム
JP7060800B2 (ja) 感染拡大攻撃検知システム及び方法、並びに、プログラム
Nakahara et al. Malware Detection for IoT Devices using Automatically Generated White List and Isolation Forest.
JP2013121008A (ja) 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム
Lyu et al. PEDDA: Practical and Effective Detection of Distributed Attacks on enterprise networks via progressive multi-stage inference
JP2008135871A (ja) ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム
CN108347447B (zh) 基于周期性通讯行为分析的p2p僵尸网络检测方法、***
Ghosh et al. Managing high volume data for network attack detection using real-time flow filtering
Akimoto et al. Collaborative behavior visualization and its detection by observing darknet traffic
Krmıcek Hardware-Accelerated Anomaly Detection in High-Speed Networks
Kuzniar et al. PoirIoT: Fingerprinting IoT Devices at Tbps Scale
Qin et al. Users' Behavior Character Analysis and Classification Approaches in Enterprise Networks
Elich Flow-based Network Anomaly Detection in the context of IPv6
Teixeira et al. Intelligent network client profiler
Limmer Efficient Network Monitoring for Attack Detection

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20200316

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20200324

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210928

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211011

R150 Certificate of patent or registration of utility model

Ref document number: 6970344

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150