JP6970344B2 - 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム - Google Patents
感染拡大攻撃検知装置、攻撃元特定方法及びプログラム Download PDFInfo
- Publication number
- JP6970344B2 JP6970344B2 JP2018146593A JP2018146593A JP6970344B2 JP 6970344 B2 JP6970344 B2 JP 6970344B2 JP 2018146593 A JP2018146593 A JP 2018146593A JP 2018146593 A JP2018146593 A JP 2018146593A JP 6970344 B2 JP6970344 B2 JP 6970344B2
- Authority
- JP
- Japan
- Prior art keywords
- feature amount
- attack
- terminal
- infection spread
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
正常スキャンの場合、端末のIPアドレスは長期間に観測される。一方、攻撃スキャンの場合、端末のIPアドレスはマルウェア感染の流行に伴い観測され始める。また、攻撃スキャンの場合、検知を避けるために中断が発生する。
この継続時間は、過去Mタイムスロット分の宛先数の標準偏差等の形式に加工することにより利用することができる。正常スキャンの場合、一定のレートで攻撃が発生し続ける。一方、攻撃スキャンの場合、攻撃活動の継続時間が正常スキャンよりも短い。また、攻撃スキャンの場合、端末が感染していることに気づいてない正常ユーザによる当該端末の利用(例:電源のON/OFF等)の影響を受ける。
正常スキャンの場合はスキャン後に辞書攻撃を行わない事が多く、対象端末に送信されるパケット数がほぼ一定となる。攻撃スキャン後に辞書攻撃を行う場合、辞書攻撃時のフローだけパケット数が多くなる。
図1に示すように、通信事業者網内のネットワーク機器のACL(アクセス制御リスト)等に宛先アドレス空間毎にパケット数をカウントする設定を投入し、通信の少ないアドレス空間を特定する。例えば、中央のルータのACLにおいて、宛先/8アドレス単位で送信パケット数をカウントさせる等がある。そして、通信の少ないアドレス空間宛トラヒックのsFlow情報を取得する。
図2に示すように、ある一定期間(1か月等)でsFlowログを解析し、送信元毎に下記の特徴量を取得する。特徴量を既存のクラスタリングアルゴリズム(例:DBSCAN:Density-Based Spatial Clustering of Applications with Noise,GMM:Gaussian Mixture Model,CluStream)に入力することで、類似する通信特性を持つ送信元同士を同じクラスタに分類する。この特徴量は、特許請求の範囲の「第2の特徴量」に相当する。なお、図2の右側に例示したグラフは発明の理解を容易にするためにクラスタの分布を2次元で表現したものであり、実際は特徴量の数に対応する次元を有する点に留意されたい。
図3に示すように、学習期間に生成したクラスタの重心やクラスタに所属する端末の情報を利用し、現タイムスロットで観測された端末がどのクラスタに所属するかを判定する。例えば、現タイムスロットの送信元の特徴量値を算出する。そして、各クラスタの重心との距離を比較し、最も距離が近いクラスタに割り振る。
2…端末
3…インターネット
4…セキュリティ装置
100…パケット転送装置
200…転送装置制御コントローラ
300…異常検知用ストレージ装置
400…トラヒック傾向分析装置
500…クラスタリング演算装置
600…端末特定装置
Claims (8)
- パケットを転送する転送装置を備えたネットワーク内において感染拡大攻撃の発生を検知する感染拡大攻撃検知装置であって、
前記転送装置が転送するパケットについて第1のトラヒック情報を取得するとともに、前記第1のトラヒック情報に基づきトラヒックの第1の特徴量をネットワークのアドレス空間を細分化してなる複数の部分アドレス空間毎に導出する第1の特徴量導出手段と、
前記第1の特徴量導出手段により導出された第1の特徴量に基づき前記複数の部分アドレス空間のうち監視対象とするM個の部分アドレス空間を決定する監視対象決定手段と、
前記監視対象決定手段により決定されたM個の部分アドレス空間内のアドレスを宛先又は送信元とする前記転送装置が転送するパケットについて第2のトラヒック情報を取得するとともに前記第2のトラヒック情報に基づき当該トラヒックの第2の特徴量をネットワーク内に収容された端末のアドレス毎に導出する第2の特徴量導出手段と、
前記第2の特徴量導出手段により導出された第2の特徴量を学習して端末のアドレスを複数のクラスタに分類するとともに各クラスタについて感染拡大攻撃であるかを判定してクラスタ情報を生成するクラスタリング手段と、
前記第2の特徴量導出手段により導出された第2の特徴量及び前記クラスタリング手段により生成されたクラスタ情報に基づき感染拡大攻撃が発生したか否か及び攻撃元の端末のアドレスを特定する端末特定手段とを備えた
ことを特徴とする感染拡大攻撃検知装置。 - 前記クラスタリング手段は、感染攻撃に係る攻撃スキャンを行う端末と調査に係る正常スキャンを行う端末とが別クラスタの属するようにクラスタを生成する
ことを特徴とする請求項1記載の感染拡大攻撃検知装置。 - 前記第2の特徴量は、運用形態や利用目的の違いを示す特徴量を含む
ことを特徴とする請求項1又は2記載の感染拡大攻撃検知装置。 - 前記第2の特徴量は、運用形態や利用目的の違いを示す特徴量として、所定の期間内においてトラヒックが観測された観測期間の長さと、現在から所定期間前までの期間内におけるトラヒックの宛先数のばらつきと、1フロー中のパケット数の分布の少なくとも一つを含む
ことを特徴とする請求項3記載の感染拡大攻撃検知装置。 - 前記第2の特徴量は、さらに、スキャン通信の性質を示す特徴量を含む
ことを特徴とする請求項3又は4記載の感染拡大攻撃検知装置。 - 前記端末特定手段は、感染拡大攻撃の攻撃元の端末を特定すると、特定した端末のアドレスを宛先又は送信元とするパケットを所定のセキュリティ装置へ転送するよう前記転送装置を設定する
ことを特徴とする請求項1乃至5何れか1項記載の感染拡大攻撃検知装置。 - パケットを転送する転送装置を備えたネットワーク内において感染拡大攻撃の発生を検知する感染拡大攻撃検知装置が、感染拡大攻撃の攻撃元の端末を特定する方法であって、
第1の特徴量導出手段が、前記転送装置が転送するパケットについて第1のトラヒック情報を取得するとともに、前記第1のトラヒック情報に基づきトラヒックの第1の特徴量をネットワークのアドレス空間を細分化してなる複数の部分アドレス空間毎に導出するステップと、
監視対象決定手段が、前記第1の特徴量導出手段により導出された第1の特徴量に基づき前記複数の部分アドレス空間のうち監視対象とするM個の部分アドレス空間を決定するステップと、
第2の特徴量導出手段が、前記監視対象決定手段により決定されたM個の部分アドレス空間内のアドレスを宛先又は送信元とする前記転送装置が転送するパケットについて第2のトラヒック情報を取得するとともに前記第2のトラヒック情報に基づき当該トラヒックの第2の特徴量をネットワーク内に収容された端末のアドレス毎に導出するステップと、
クラスタリング手段が、前記第2の特徴量導出手段により導出された第2の特徴量を学習して端末のアドレスを複数のクラスタに分類するとともに各クラスタについて感染拡大攻撃であるかを判定してクラスタ情報を生成するステップと、
端末特定手段が、前記第2の特徴量導出手段により導出された第2の特徴量及び前記クラスタリング手段により生成されたクラスタ情報に基づき感染拡大攻撃が発生したか否か及び攻撃元の端末のアドレスを特定するステップとを備えた
ことを特徴とする感染拡大攻撃の攻撃元端末特定方法。 - コンピュータを、請求項1乃至6何れか1項記載の感染拡大攻撃検知装置の各手段として機能させるプログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018146593A JP6970344B2 (ja) | 2018-08-03 | 2018-08-03 | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム |
PCT/JP2019/030149 WO2020027250A1 (ja) | 2018-08-03 | 2019-08-01 | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム |
US17/265,397 US11863584B2 (en) | 2018-08-03 | 2019-08-01 | Infection spread attack detection device, attack origin specification method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018146593A JP6970344B2 (ja) | 2018-08-03 | 2018-08-03 | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020022133A JP2020022133A (ja) | 2020-02-06 |
JP6970344B2 true JP6970344B2 (ja) | 2021-11-24 |
Family
ID=69231203
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018146593A Active JP6970344B2 (ja) | 2018-08-03 | 2018-08-03 | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US11863584B2 (ja) |
JP (1) | JP6970344B2 (ja) |
WO (1) | WO2020027250A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113067741B (zh) * | 2020-01-02 | 2022-11-29 | ***通信有限公司研究院 | 一种信息处理方法、装置、终端及存储介质 |
CN114745161B (zh) * | 2022-03-23 | 2023-08-22 | 烽台科技(北京)有限公司 | 一种异常流量的检测方法、装置、终端设备和存储介质 |
WO2023248444A1 (ja) * | 2022-06-23 | 2023-12-28 | 日本電信電話株式会社 | 学習装置、学習方法、および、学習プログラム |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5328283B2 (ja) * | 2008-10-07 | 2013-10-30 | Kddi株式会社 | 情報処理装置、プログラム、および記録媒体 |
US8347394B1 (en) * | 2009-07-15 | 2013-01-01 | Trend Micro, Inc. | Detection of downloaded malware using DNS information |
US9165142B1 (en) * | 2013-01-30 | 2015-10-20 | Palo Alto Networks, Inc. | Malware family identification using profile signatures |
US9565202B1 (en) * | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
CN103955645B (zh) * | 2014-04-28 | 2017-03-08 | 百度在线网络技术(北京)有限公司 | 恶意进程行为的检测方法、装置及*** |
JP6641819B2 (ja) * | 2015-09-15 | 2020-02-05 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
US11159548B2 (en) * | 2016-02-24 | 2021-10-26 | Nippon Telegraph And Telephone Corporation | Analysis method, analysis device, and analysis program |
US10454777B2 (en) * | 2016-04-06 | 2019-10-22 | Omni Ai, Inc. | Network data processing driver for a cognitive artifical intelligence system |
US20180063178A1 (en) * | 2016-09-01 | 2018-03-01 | Promithius Inc. | Method and systems for real-time internal network threat detection and enforcement |
JP6892005B2 (ja) * | 2018-03-01 | 2021-06-18 | 日本電気株式会社 | 情報処理装置、制御方法、及びプログラム |
-
2018
- 2018-08-03 JP JP2018146593A patent/JP6970344B2/ja active Active
-
2019
- 2019-08-01 WO PCT/JP2019/030149 patent/WO2020027250A1/ja active Application Filing
- 2019-08-01 US US17/265,397 patent/US11863584B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US11863584B2 (en) | 2024-01-02 |
JP2020022133A (ja) | 2020-02-06 |
WO2020027250A1 (ja) | 2020-02-06 |
US20210306351A1 (en) | 2021-09-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10397260B2 (en) | Network system | |
CN108289088B (zh) | 基于业务模型的异常流量检测***及方法 | |
US7804787B2 (en) | Methods and apparatus for analyzing and management of application traffic on networks | |
US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
US10218731B2 (en) | Method and system for data breach and malware detection | |
KR20140027616A (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
CN101803305A (zh) | 网络监视装置、网络监视方法及网络监视程序 | |
JP6970344B2 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
Fachkha | Cyber threat investigation of SCADA modbus activities | |
Spiekermann et al. | Unsupervised packet-based anomaly detection in virtual networks | |
JP4161989B2 (ja) | ネットワーク監視システム | |
JP7060800B2 (ja) | 感染拡大攻撃検知システム及び方法、並びに、プログラム | |
Nakahara et al. | Malware Detection for IoT Devices using Automatically Generated White List and Isolation Forest. | |
JP2013121008A (ja) | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム | |
Lyu et al. | PEDDA: Practical and Effective Detection of Distributed Attacks on enterprise networks via progressive multi-stage inference | |
JP2008135871A (ja) | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム | |
CN108347447B (zh) | 基于周期性通讯行为分析的p2p僵尸网络检测方法、*** | |
Ghosh et al. | Managing high volume data for network attack detection using real-time flow filtering | |
Akimoto et al. | Collaborative behavior visualization and its detection by observing darknet traffic | |
Krmıcek | Hardware-Accelerated Anomaly Detection in High-Speed Networks | |
Kuzniar et al. | PoirIoT: Fingerprinting IoT Devices at Tbps Scale | |
Qin et al. | Users' Behavior Character Analysis and Classification Approaches in Enterprise Networks | |
Elich | Flow-based Network Anomaly Detection in the context of IPv6 | |
Teixeira et al. | Intelligent network client profiler | |
Limmer | Efficient Network Monitoring for Attack Detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20200316 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20200324 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201203 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210928 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211011 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6970344 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |