[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP6635029B2 - 情報処理装置、情報処理システム及び通信履歴解析方法 - Google Patents

情報処理装置、情報処理システム及び通信履歴解析方法 Download PDF

Info

Publication number
JP6635029B2
JP6635029B2 JP2016520932A JP2016520932A JP6635029B2 JP 6635029 B2 JP6635029 B2 JP 6635029B2 JP 2016520932 A JP2016520932 A JP 2016520932A JP 2016520932 A JP2016520932 A JP 2016520932A JP 6635029 B2 JP6635029 B2 JP 6635029B2
Authority
JP
Japan
Prior art keywords
client
user agent
importance
server
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016520932A
Other languages
English (en)
Other versions
JPWO2015178002A1 (ja
Inventor
池田 聡
聡 池田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2015178002A1 publication Critical patent/JPWO2015178002A1/ja
Application granted granted Critical
Publication of JP6635029B2 publication Critical patent/JP6635029B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Social Psychology (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、ネットワークにおける通信の履歴を解析する技術に関する。
企業ネットワークでは、ファイアウォールやIDS(Intrusion Detection System)などにより、通信の遮断や監視が行われている。その目的は、企業ネットワークからの情報漏えいや企業ネットワーク内の機器に対する外部からの攻撃などを防ぐことである。
一方で、電子メールの送受信やワールドワイドウェブの閲覧などは、業務上不可欠であることが多く、そのような通信は一定の制限のもとで許可されていることが多い。例えば、クライアントからの外部のウェブサーバへのアクセスに関しては、プロキシサーバを経由するアクセスのみが許可される構成がある。そのような構成は、企業ネットワーク内のクライアントが外部ネットワークに直接晒されることを防止し、不正アクセスや侵入行為を困難にする。
しかし、標的型攻撃が一般的になったことで、外部からの不正アクセスや侵入行為を防ぐことを目的とした入口対策だけでは、セキュリティの確保が難しい状況が発生する。ここで、標的型攻撃は、メールやウェブなどの外部ネットワークとの接点を巧妙に利用し、企業内ネットワーク内の端末にRAT(Remote Access Tool;リモート管理ツール)などのマルウェアを侵入させる攻撃である。
標的型攻撃は、特定の企業や団体を対象とすることから、通常のウィルスやアドウェアと比較して、検体の入手が困難である。そのため、セキュリティベンダーがマルウェアの定義ファイルを更新するまでに、既に攻撃が進行している可能性が高く、入口対策だけでは防ぐことが困難である。例えば、企業を対象とする標的型攻撃は、機密情報の盗取が目的であることが多い。この場合、機密情報の外部への漏えいを防ぐための出口対策が重要である。
このような課題を解決する技術が特許文献1に記載されている。
一般的に、RATなどのマルウェアに感染した端末は、自律的に実行できる処理が限られている。そのため、その感染した端末は、C&C(Command and Control)サーバと呼ばれる制御サーバと通信を行い、そのC&Cサーバからの指示を受けて情報収集やデータの送受信を行う。そのため、その感染した端末とそのC&Cサーバ間での通信を不正な通信として検出することができれば、それはインシデントの発見、情報漏えいの防止につながる。
特許文献1に記載のマルウェア通信検出システムは、以下の構成を含む。第1に、プロキシサーバが、クライアントのブラウザから外部サーバへ対するリクエストに応じて、認証用プログラムを生成し、その認証用プログラムをクライアントへ送信する。第2に、そのクライアントのブラウザは、受信したその認証用プログラムを実行し、実行結果をそのプロキシサーバへ送信する。第3に、そのプロキシサーバは、受信したその実行結果に基づいて、そのリクエストがマルウェアからのリクエストであるか否か、即ちそのリクエストによるアクセスの可否を判断する。
上述の構成を含む特許文献1のマルウェア通信検出システムは、マルウェアがブラウザを偽装して通信を行った場合にも、そのマルウェアによる通信であることの検出が可能である。
特開2013−192019号公報
しかしながら、上述した先行技術文献に記載された技術においては、通信履歴を解析する技術を適用可能な環境(システムが利用される業務環境や、サービス環境など)が限定的であるという問題点がある。
その理由は、特許文献1に記載のマルウェア通信検出システムのブラウザが、認証用プログラムを実行可能な、特殊なブラウザでなければならないからである。
換言すると、特許文献1に記載のマルウェア通信検出システムのプロキシサーバは、その認証用プログラムに対応ブラウザ以外のプログラムが実行する、外部ネットワークへのいずれかの通信を、遮断する可能性がある。しかしながら、環境によっては、そのような不便を招く防御策が取れない場合がある。
そのような環境においても、ブラウザに偽装するマルウェアによる通信の検出を可能にすることが求められる。
本発明の目的は、通信履歴を解析する技術を適用可能な環境が限定的であるという問題点を解決できる情報処理装置、情報処理システム、通信履歴解析方法、及びそのためのプログラム或いはそのプログラムを記録したコンピュータ読み取り可能な非一時的記録媒体を提供することにある。
本発明の一様態における情報処理装置は、クライアントとサーバとの間の、前記クライアントから送信されるリクエストヘッダに含まれるユーザエージェント文字列と前記クライアントの識別子と前記サーバの識別子とを少なくとも含む、通信履歴に基づいて、前記ユーザエージェント文字列に対応する通信制御手段のそれぞれについて、前記クライアントの一部として動作することを許容された実用ユーザエージェントであることの確度を示す、主要度を算出するための主要度算出手段と、前記主要度に基づいて、前記実用ユーザエージェントを偽装した偽装ユーザエージェントによる通信に関する情報である、偽装情報を出力するための偽装情報通知手段と、を含む。
本発明の一様態における情報処理システムは、ネットワークに接続され、クライアントからのサーバに対するリクエストを中継するプロキシサーバと、前記プロキシサーバと接続され、前記ネットワークに接続された前記サーバを、前記プロキシサーバを介してアクセスする前記クライアントと、前記プロキシサーバが生成する、前記クライアントから送信されるリクエストヘッダに含まれるユーザエージェント文字列と前記クライアントの識別子と前記サーバの識別子とを少なくとも含む、通信履歴を記憶するログ記憶手段と、前記通信履歴に基づいて、前記ユーザエージェント文字列に対応する通信制御手段のそれぞれについて、前記クライアントの一部として動作することを許容された実用ユーザエージェントであることの確度を示す、主要度を算出するための主要度算出手段と、前記主要度に基づいて、前記実用ユーザエージェントを偽装した偽装ユーザエージェントによる通信に関する情報である、偽装情報を出力するための偽装情報通知手段と、を含む。
本発明の一様態における通信履歴解析方法は、クライアントとサーバとの間の、前記クライアントから送信されるリクエストヘッダに含まれるユーザエージェント文字列と前記クライアントの識別子と前記サーバの識別子とを少なくとも含む、通信履歴に基づいて、前記ユーザエージェント文字列に対応する通信制御手段のそれぞれについて、前記クライアントの一部として動作することを許容された実用ユーザエージェントであることの確度を示す、主要度を算出し、前記主要度に基づいて、前記実用ユーザエージェントを偽装した偽装ユーザエージェントによる通信に関する情報である、偽装情報を出力する。
本発明の一様態におけるコンピュータ読み取り可能な非一時的記録媒体は、クライアントとサーバとの間の、前記クライアントから送信されるリクエストヘッダに含まれるユーザエージェント文字列と前記クライアントの識別子と前記サーバの識別子とを少なくとも含む、通信履歴に基づいて、前記ユーザエージェント文字列に対応する通信制御手段のそれぞれについて、前記クライアントの一部として動作することを許容された実用ユーザエージェントであることの確度を示す、主要度を算出し、前記主要度に基づいて、前記実用ユーザエージェントを偽装した偽装ユーザエージェントによる通信に関する情報である、偽装情報を出力する処理をコンピュータに実行させるプログラムを記録する。
本発明は、利用環境に係わらず、ユーザエージェントに偽装するマルウェアによる通信に関する情報を得ることが可能になるという効果がある。
本発明の第1の実施形態に係るログ解析装置の構成を示すブロック図である。 第1の実施形態に係るログ解析装置を含むログ解析システムの構成を示すブロック図である。 第1の実施形態におけるアクセスログの構造の一例を示す図である。 第1の実施形態に係るログ解析装置を実現するコンピュータのハードウェア構成を示すブロック図である。 第1の実施形態におけるログ解析装置の動作を示すフローチャートである。 第1の実施形態における主要度の一例を示す図である。 第1の実施形態における偽装度の一例を示す図である。 本発明の第2の実施形態に係るログ解析装置の構成を示すブロック図である。 第2の実施形態に係るログ解析装置を含むログ解析システムの構成を示すブロック図である。 第2の実施形態におけるアクセスログの構造の一例を示す図である。 第2の実施形態におけるログ解析システムの動作を示すフローチャートである。
本発明を実施するための形態について図面を参照して詳細に説明する。尚、各図面及び明細書記載の各実施形態において、同様の構成要素には同様の符号を付与し、適宜説明を省略する。
<<<第1の実施形態>>>
図1は、本発明の第1の実施形態に係るログ解析装置(情報処理装置とも呼ばれる)10の構成を示すブロック図である。図1に示すように本実施形態に係るログ解析装置10は、主要度算出部12及び偽装情報通知部15を含む。
図2は、ログ解析装置10を含むログ解析システム(情報処理システムとも呼ばれる)101の構成を示すブロック図である。図2に示すように、ログ解析システム101は、ログ解析装置10、プロキシサーバ20及びクライアント30を含む。また、プロキシサーバ20は、ネットワーク40を介してサーバ50と接続する。
尚、図2に示す例に係わらず、プロキシサーバ20及びクライアント30は任意の台数であってよい。ネットワーク40は、インターネットであってよいし、特定の限定されたネットワークであってもよい。サーバ50は、例えば、HTTP(Hypertext Transfer Protocol)サーバなどである。
===ログ解析装置10===
ログ解析装置10は、プロキシサーバ20が生成するアクセスログ(通信履歴とも呼ばれる)810を解析し、実用ユーザエージェントに偽装した偽装ユーザエージェントによる通信を検出する。実用ユーザエージェント及び偽装ユーザエージェントは、総称して、通信制御手段とも呼ばれる。
ここで、「実用ユーザエージェント」は、クライアント30の一部として動作することを許容された、ユーザエージェントを示す。その実用ユーザエージェントは、例えば、クライアント30上で動作することを許容されたウェブブラウザの、HTTPユーザエージェントである。また、その実用ユーザエージェントは、クライアント30上で動作することを許容された、通信時にユーザエージェント文字列を送信する、その他のユーザエージェントであってよい。
「偽装ユーザエージェント」は、実用ユーザエージェントに偽装して、通信を実行する不正なソフトウェアを示す。例えば、その偽装ユーザエージェントは、マルウェア等の一部である。
アクセスログ810は、プロキシサーバ20が中継する、クライアント30とサーバ50との間の、通信の履歴である。換言すると、アクセスログ810は、クライアント30がプロキシサーバ20を介して実行する、サーバ50へのアクセスのアクセスログである。具体的には、アクセスログ810は、クライアント30上で動作する実用ユーザエージェント及び偽装ユーザエージェントのそれぞれが、プロキシサーバ20を介して、ネットワーク40に接続されたサーバ50にアクセスする通信の履歴である。
図3は、アクセスログ810の構造の一例を示す図である。図3に示すように、アクセスログ810は、少なくともクライアント識別子811、サーバ識別子812、ユーザエージェント文字列813を含む。
クライアント識別子811は、例えば、アクセス元のクライアント30のIP(internet Protocol)アドレスである。尚、クライアント識別子811は、IPアドレスに限らず、クライアント30を識別可能な任意の情報であってよい。
サーバ識別子812は、例えば、ドメイン名である。尚、サーバ識別子812は、ドメイン名に限らず、サーバ50を識別可能な任意の情報であってよい。
ユーザエージェント文字列813は、アクセス元のクライアント30が送出するリクエストに含まれる、実用ユーザエージェントを識別するための文字列である。
ログ解析装置10は、例えば、ログ解析装置10内の図示しない記憶手段にアクセスログ810を記憶する。また、ログ解析装置10は、図示しない外部の記憶手段から、必要に応じてアクセスログ810を読み出してもよい。
===プロキシサーバ20===
プロキシサーバ20は、クライアント30からのリクエストを受け付け、そのリクエストで指定されたサーバ50にそのリクエストを中継する機能を、少なくとも備える。そのリクエストは、例えば、クライアント30とサーバ50との間の通信(例えば、HTTP通信)のリクエストである。尚、そのリクエストは、HTTP通信に限らず、任意のリクエストであってよい。
プロキシサーバ20は、そのリクエストに関する情報である、アクセスログ810を、例えば、ログ解析装置10に出力する。また、プロキシサーバ20は、アクセスログ810を、図示しない記憶手段に出力してよい。プロキシサーバ20は、そのアクセスログ810を、HTTP通信を中継する度に出力する。また、プロキシサーバ20は、所定の時刻や、ログ解析装置10から要求されたタイミングなどに、そのアクセスログ810を纏めてログ解析装置10に出力してもよい。
===クライアント30===
クライアント30は、プロキシサーバ20を経由して、ネットワーク40に接続されたサーバ50と通信を行う。換言すると、クライアント30は、プロキシサーバ20を介して、ネットワーク40に接続されたサーバ50にアクセスする。
次に、第一の実施形態におけるログ解析装置10が備える各構成要素について説明する。尚、図1に示す各構成要素は、ハードウェア単位の回路でも、コンピュータ装置の機能単位に分割された構成要素でもよい。ここでは、図1に示す構成要素は、コンピュータ装置の機能単位に分割された構成要素として説明する。
===主要度算出部12===
主要度算出部12は、アクセスログ810に基づいて、ユーザエージェント文字列813に対応する通信制御手段のそれぞれについて、主要度を算出する。その主要度は、その通信制御手段がクライアント30の一部として動作することを許容された実用ユーザエージェントであることの、確度を示す。換言すると、その主要度は、例えばウェブサーバであるサーバ50にアクセスする通信を実行したその通信制御手段が、クライアント30上で動作することを許容されたウェブブラウザの実用ユーザエージェントである可能性を示す指標である。
具体的には、主要度算出部12は、アクセスログ810を解析し、ユーザエージェント文字列813のそれぞれに対応する主要度を算出する。ここで、ユーザエージェント文字列813に対応する主要度は、即ち、実用ユーザエージェント及び偽装ユーザエージェント(即ち、通信制御手段)のいずれかに対応する主要度である。
例えば、主要度算出部12は、クライアント30毎に、ユーザエージェント文字列813のそれぞれに対応する主要度を算出する。この場合、その主要度は、クライアント30とユーザエージェント文字列813との組、即ちクライアント30と通信制御手段との組、に対して算出される値である。尚、主要度算出部12は、任意の基準に基づいてグループ分けされたクライアント30のグループ毎に、ユーザエージェント文字列813のそれぞれに対応する主要度を算出してよい。また、主要度算出部12は、全てのクライアント30を纏めて、ユーザエージェント文字列813のそれぞれに対応する主要度を算出してもよい。
主要度の算出の詳細な説明は後述する。
===偽装情報通知部15===
偽装情報通知部15は、主要度算出部12が算出した主要度に基づいて、偽装情報を出力する。その偽装情報は、実用ユーザエージェントを偽装した偽装ユーザエージェントによる通信(サーバ50へのアクセス)に関する情報である。
図1に示すように、偽装情報通知部15は、例えば、偽装度算出部13及び偽装通信検出部14を含む。
偽装度算出部13は、主要度算出部12が算出した主要度に基づいて、サーバ50のそれぞれに対応する、偽装度を算出する。その偽装度は、通信が偽装ユーザエージェントにより実行された通信である確度を示す。換言すると、その偽装度は、あるサーバ50へアクセスしているクライアント30上の通信制御手段が、実用ユーザエージェントを偽装している偽装ユーザエージェントであるか否かを示す指標である。尚、偽装度の算出方法の詳細な説明は後述する。
偽装通信検出部14は、例えば、偽装度算出部13が算出した偽装度が閾値以上であるサーバ50を検出し、検出したそのサーバ50のサーバ識別子812を含む、偽装情報を出力する。その閾値は、例えば、経験的に或いは理論的に予め算出され、ログ解析装置10に与えられる。
また、偽装通信検出部14は、その閾値以上の偽装度に関連する、クライアント識別子811やユーザエージェント文字列813、アクセスログ810など、任意の情報を含む偽装情報を出力してよい。
以上が、ログ解析装置10の機能単位の各構成要素についての説明である。
次に、ログ解析装置10のハードウェア単位の構成要素について説明する。
図4は、本実施形態におけるログ解析装置10を実現するコンピュータ700のハードウェア構成を示す図である。
図4に示すように、コンピュータ700は、CPU(Central Processing Unit)701、記憶部702、記憶装置703、入力部704、出力部705及び通信部706を含む。更に、コンピュータ700は、外部から供給される記録媒体(または記憶媒体)707を含む。例えば、記録媒体707は、情報を非一時的に記憶する不揮発性記録媒体(非一時的記録媒体)である。また、記録媒体707は、情報を信号として保持する、一時的記録媒体であってもよい。
CPU701は、オペレーティングシステム(不図示)を動作させて、コンピュータ700の全体の動作を制御する。例えば、CPU701は、記憶装置703に装着された記録媒体707から、そのプログラムやデータを読み込み、読み込んだそのプログラムやそのデータを記憶部702に書き込む。ここで、そのプログラムは、例えば、後述の図5に示すフローチャートの動作をコンピュータ700に実行させるためのプログラムである。
そして、CPU701は、その読み込んだプログラムに従って、またその読み込んだデータに基づいて、図1に示す主要度算出部12及び偽装情報通知部15として各種の処理を実行する。
尚、CPU701は、通信網(不図示)に接続される外部コンピュータ(不図示)から、記憶部702にそのプログラムやそのデータをダウンロードしてもよい。
記憶部702は、そのプログラムやそのデータを記憶する。記憶部702は、アクセスログ810や、後述のアクセスログ880、図6に示す情報、図7に示す情報などを記憶してよい。
記憶装置703は、例えば、光ディスクや、フレキシブルディスク、磁気光ディスク、外付けハードディスク半導体メモリなどであって、記録媒体707を含む。記憶装置703(記録媒体707)は、そのプログラムをコンピュータ読み取り可能に記憶する。また、記憶装置703は、そのデータを記憶してもよい。記憶装置703は、アクセスログ810や、後述のアクセスログ880、図6に示す情報、図7に示す情報などを記憶してよい。
入力部704は、オペレータによる操作の入力や外部からの情報の入力を受け付ける。入力操作に用いられるデバイスは、例えば、マウスや、キーボード、内蔵のキーボタン及びタッチパネルなどである。
出力部705は、例えばディスプレイで実現される。出力部705は、例えばGUI(Graphical User Interface)によるオペレータへの入力要求や、オペレータに対する出力提示などのために用いられる。
通信部706は、プロキシサーバ20とのインタフェースを実現する。通信部706は、例えば、主要度算出部12の一部として含まれる。
以上説明したように、図1に示すログ解析装置10の機能単位のブロックは、図4に示すハードウェア構成のコンピュータ700によって実現される。但し、コンピュータ700が備える各部の実現手段は、上記に限定されない。すなわち、コンピュータ700は、物理的に結合した1つの装置により実現されてもよいし、物理的に分離した2つ以上の装置を有線または無線で接続し、これら複数の装置により実現されてもよい。
尚、上述のプログラムのコードを記録した記録媒体707が、コンピュータ700に供給される場合、CPU701は、記録媒体707に格納されたそのプログラムのコードを読み出して実行してもよい。或いは、CPU701は、記録媒体707に格納されたそのプログラムのコードを、記憶部702、記憶装置703またはその両方に格納してもよい。すなわち、本実施形態は、コンピュータ700(CPU701)が実行するそのプログラム(ソフトウェア)を、一時的にまたは非一時的に、記憶する記録媒体707の実施形態を含む。尚、情報を非一時的に記憶する記憶媒体は、不揮発性記憶媒体とも呼ばれる。
以上が、本実施形態におけるログ解析装置10を実現するコンピュータ700の、ハードウェア単位の各構成要素についての説明である。
次に本実施形態の動作について、図面を参照して詳細に説明する。
図5は、本実施形態におけるログ解析装置10の動作を示すフローチャートである。尚、このフローチャートによる処理は、前述したCPU701によるプログラム制御に基づいて、実行されてよい。また、処理のステップ名については、S11のように、記号で記載する。
ログ解析装置10は、アクセスログ810(通信履歴)の解析処理を、ある期間(例えば1日分)のアクセスログ810を対象に、バッチ的に実行する。ここでは、主要度算出部12の一部である記憶部702に、1日分のアクセスログ810が蓄積されているものとして説明する。
ログ解析装置10は、例えば所定の時刻(例えば、午前0時)毎に、図5に示すフローチャートの処理を実行する。また、ログ解析装置10は、例えば入力部704を介してオペレータからの指示を受け取った場合に、図5に示すフローチャートの処理を実行してもよい。
主要度算出部12は、主要度を算出する(ステップS11)。
図6は、算出される主要度825の一例を示す図である。主要度算出部12は、例えば以下の手順で主要度825を算出する。
第1に、主要度算出部12は、アクセスログ810に基づいて、クライアント識別子811とユーザエージェント文字列813との組毎に、アクセス先のドメイン数824を集計する。ここで、クライアント識別子811とユーザエージェント文字列813との組は、即ち、クライアント30と通信制御手段(実用ユーザエージェントまたは偽装ユーザエージェント)との組を示す。また、ドメイン数824は、そのアクセス先のサーバ識別子812の数である。
第2に、主要度算出部12は、ドメイン数824に基づいて、クライアント識別子811とユーザエージェント文字列813との組に対応する、主要度825を求める。
例えば、主要度算出部12は、主要度825を、ドメイン数824が閾値(例えば、「10」)を超えている場合に「1」と、ドメイン数824がその閾値以下の場合に「0」と、算出する。その閾値は、経験的或いは理論的に、予め定められた閾値である。
また、主要度算出部12は、独立変数の値が大きいほど従属変数の値が「1」に近づき、その独立変数の値が小さいほどその従属変数の値が「0」に近づくような関数を利用し、ドメイン数824を独立変数として従属変数にあたる主要度825を算出してもよい。そのような関数としては、例えばシグモイド関数やゴンペルツ関数などがある。
尚、主要度算出部12は、素性が明らかな、即ち検出対象の偽装エージェントではないことが確実な、実用ユーザエージェントに対応するユーザエージェント文字列813を含むアクセスログ810を処理の対象(解析対象)から除外してもよい。更に、主要度算出部12は、素性が明らかな、ユーザエージェント文字列813とサーバ識別子812との、組を含むアクセスログ810を処理の対象(解析対象)から除外してもよい。
例えば、ウェブブラウザのユーザエージェント文字列813は、「Mozilla/」で始まる文字列であることがほとんどである。そのため、ウェブブラウザの実用ユーザエージェントを偽装した偽装ユーザエージェントの検出という観点では、上述のようなユーザエージェント文字列813を含むものだけを解析対象とすることが効率的である。
一方、全てのアクセスログ810を解析対象とすることで、ユーザのブラウザ操作に関連しない、様々なアクセスにおける、偽装ユーザエージェントを検出することが、可能である。
図5に戻って、次に、偽装情報通知部15の偽装度算出部13は、主要度825に基づいて偽装度を算出する(ステップS12)。偽装度算出部13は、例えば、サーバ50毎に偽装度を算出する。
図7は、算出される偽装度837の一例を示す図である。図7は、「malicious.example.com」というサーバ識別子812に対して、4つの<クライアント、通信制御手段>836の組からアクセスがあったことを示し、それらの組のそれぞれに対応する主要度825を示す。尚、<クライアント、通信制御手段>836において、「クライアント」はクライアント識別子811であり、「通信制御手段」は、ユーザエージェント文字列813である。
そして、図7は、サーバ識別子812に対応する、偽装度837を示す。換言すると、図7は、サーバ識別子812で特定されるサーバ50と、<クライアント、通信制御手段>836で特定されるクライアント30上で動作する通信制御手段との通信に対応する、偽装度837を示す。
偽装度算出部13は、図7の例では、「1」から主要度825の平均値「0.25」を引いた値「0.75」を、偽装度837として算出する。尚、偽装度算出部13は、上述の例に係わらず、任意の適切な手法で、偽装度837を算出してよい。
図5に戻って、次に、偽装情報通知部15の偽装通信検出部14は、偽装度837に基づいて、偽装ユーザエージェントによる通信を検出する(ステップS13)。
例えば、偽装通信検出部14は、偽装度算出部13が算出した偽装度837が、予め定められた閾値を超えている場合に、そのサーバ識別子812のドメインへの通信を偽装ユーザエージェントによる通信であると判断する。
次に、偽装通信検出部14は、偽装ユーザエージェントによる通信に関する偽装情報を出力する(ステップS14)。その偽装情報は、例えば、サーバ識別子812を含む。
例えば、偽装通信検出部14は、その偽装情報を、図4に示す出力部705を介して、ログ解析システム101の管理を行っているオペレータに通知する。また、偽装通信検出部14は、その偽装情報を、プロキシサーバ20に通知してもよい。この場合、プロキシサーバ20は、通知されたその偽装情報に含まれるサーバ識別子812を、ブラックリストに登録し、そのサーバ識別子812に対応するサーバ50に対する以降の通信を、遮断してもよい。上述の構成により、オペレータの最終的な判断が得られるまでの、一時的な対応を可能にすることができる。
本実施形態のログ解析装置10は、主要ブラウザのユーザエージェント文字列813の偽装が困難であるほど、より好適に、偽装ユーザエージェントによる通信を検出する。例えば、利用シェアの高いInternet Explorer(登録商標)では、インストールされているプラグインやツールバーなどの情報が、ユーザエージェント文字列に付与される。このため、Internet Explorerのそのユーザエージェント文字列と完全に一致するように、偽装ユーザエージェントがそのユーザエージェント文字列を生成することは難しい。但し、マルウェアである偽装ユーザエージェントが、クライアント30の通信の盗聴やレジストリ情報の特定エントリの参照などを行い、それによって得た情報を利用して完全な偽装をすることは、不可能ではない。しかし、マルウェア(偽装ユーザエージェント)のこのような振る舞いは、ウィルス対策ソフトに実装される振る舞い型の検知手法によってマルウェア活動として検知される。本実施形態のログ解析装置10は、そのようなウィルス対策ソフトの手法に対して、補完的な役割を果たすものである、とも言える。
上述した本実施形態における第1の効果は、利用環境に係わらず、実用ユーザエージェントに偽装するマルウェアによる通信に関する情報を得ることが可能になる点である。
その理由は、主要度算出部12が主要度825を算出し、偽装情報通知部15が主要度825に基づいて偽装情報を出力するようにしたからである。
具体的には、ログ解析装置10は、あるサーバ50に対する通信の偽装度837の算出を、プロキシサーバ20を経由してそのサーバ50との通信を行う複数のクライアント30上の、主要度825に基づいて行う。そして、ログ解析装置10は、この偽装度837に基づいて、主要な実用ユーザエージェント以外によるアクセスを検出することができる。その主要な実用ユーザエージェントは、例えばクライアント30で主に利用されているウェブブラウザの実用ユーザエージェントである。その結果、ログ解析装置10は、ウェブブラウザの実用ユーザエージェントを偽装した偽装ユーザエージェントによる通信を検出できる。
上述した本実施形態における第2の効果は、実用ユーザエージェントに偽装するマルウェアによる通信の検出において、誤検出を防止することが可能になる点である。
その理由は、偽装情報通知部15が、サーバ識別子812に対応する偽装度837を、複数のクライアント30のそれぞれに対応する主要度825を、集計して算出するからである。
例えば、ログ解析装置10は、多くのクライアント30が主要なブラウザを利用してアクセスするサーバ50を、偽装ユーザエージェントによる通信の対象であるサーバ50として誤検出することを、抑制することができる。なぜならば、その主要なブラウザの実用ユーザエージェントは、比較的多数のクライアント30において、比較的高い主要度が算出されるからである。
<<<第1の実施形態の変形例>>>
主要度算出部12は、ユーザエージェント文字列813と、「Accept」ヘッダや「Accept−Language」ヘッダなど他のヘッダ情報とを組み合わせて、主要度825の算出を行う。
こうすることで、ログ解析装置10は、偽装ユーザエージェントによって偽装されたユーザエージェント文字列813が、実用ユーザエージェントのユーザエージェント文字列813と一致する場合でも、偽装ユーザエージェントによる通信を検出する。
<<<第2の実施形態>>>
次に、本発明の第2の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。
図8は、本発明の第2の実施形態に係るログ解析装置80の構成を示すブロック図である。図8に示すように、本実施形態におけるログ解析装置80は、第1の実施形態のログ解析装置10と比べて、主要度算出部12に替えて主要度算出部82を含む点が異なる。
図9は、ログ解析装置80を含むログ解析システム108の構成を示すブロック図である。図9に示すように、ログ解析システム108は、ログ解析装置80、プロキシサーバ60及びクライアント70を含む。また、プロキシサーバ60は、ネットワーク40を介してサーバ50と接続する。
尚、図9に示す例に係わらず、プロキシサーバ60及びクライアント70は任意の台数であってよい。
===クライアント70===
クライアント70は、プロキシサーバ60へのリクエストを送信する場合に、そのリクエストに含まれるリクエストヘッダに、実用ユーザエージェントからのアクセスであることを示すためのエージェントタグを付加する。
ここで、そのエージェントタグは偽装が困難な文字列であることが、好ましい。具体的には、そのエージェントタグは、クライアント70毎に異なり、ネットワーク40側からの推測が困難であることが、好ましい。
クライアント70は、例えばそのリクエストヘッダに含まれるユーザエージェント文字列に、そのエージェントタグを埋め込む。尚、クライアント70は、そのユーザエージェント文字列以外のそのリクエストヘッダの情報に、そのエージェントタグを埋め込んでもよい。
===プロキシサーバ60===
プロキシサーバ60は、そのリクエストに関する情報である、アクセスログを、例えば、ログ解析装置80に出力する。また、プロキシサーバ60は、そのアクセスログを、図示しない記憶手段に出力してよい。
そのアクセスログは、そのエージェントタグがそのユーザエージェント文字列に埋め込まれる場合は、図3に示す構造のアクセスログ810である。
図10は、そのエージェントタグがそのユーザエージェント文字列以外のそのリクエストヘッダの情報に埋め込まれる場合の、アクセスログ880の構造の一例を示す図である。図10に示すように、アクセスログ880は、少なくともクライアント識別子811、サーバ識別子812、ユーザエージェント文字列813及びエージェントタグ888を含む。
また、プロキシサーバ60は、クライアント70からリクエストを受信し、そのリクエストをサーバ50に中継する際に、そのリクエストに含まれるエージェントタグを削除してよい。
===主要度算出部82===
主要度算出部82は、アクセスログ810に基づいて、ユーザエージェント文字列813に対応する通信制御手段のそれぞれについて、主要度825を算出する。主要度825は、上述したように、クライアント70の一部として動作することを許容された実用ユーザエージェントであることの確度を示す。この場合、主要度算出部82は、そのエージェントタグを含むユーザエージェント文字列813に対応する通信制御手段のそれぞれについて、その主要度825を算出する。
また、主要度算出部82は、アクセスログ880に基づいて、ユーザエージェント文字列813に対応する通信制御手段のそれぞれについて、主要度825を算出する。この場合、主要度算出部82は、そのエージェントタグを含まないユーザエージェント文字列813とエージェントタグ888との組に対応する通信制御手段のそれぞれについて、その主要度825を算出する。
本実施形態のログ解析装置80は、図4に示すコンピュータ700で構成されてよい。この場合、CPU701は、その読み込んだプログラムに従って、またその読み込んだデータに基づいて、図8に示す主要度算出部82及び偽装情報通知部15として各種の処理を実行する。
次に、本実施形態の動作について図面を参照して、詳細に説明する。
図11は、本実施形態における、アクセスログ810及びアクセスログ880を生成する際の、ログ解析システム108の動作を示すシーケンス図である。
クライアント70は、サーバ50へのリクエストにエージェントタグを付加する(ステップS21)。
次に、クライアント70は、プロキシサーバ60にそのリクエストを送信する(ステップS22)。
次に、クライアント70からのリクエストを受信したプロキシサーバ60は、そのエージェントタグを削除する(ステップS23)。この時、プロキシサーバ60は、そのエージェントタグを削除していないそのリクエストを、例えば、図4に示す記憶部702に記録する。
次に、プロキシサーバ60は、そのエージェントタグを削除されたそのリクエストをサーバ50に中継する(ステップS24)。
次に、プロキシサーバ60は、サーバ50から送信されたレスポンスを受信する(ステップS25)。
次に、プロキシサーバ60は、そのレスポンスをクライアント70へ中継する(ステップS26)。
次に、プロキシサーバ60は、そのエージェントタグを削除される前のリクエスト情報に基づいて、アクセスログ810或いはアクセスログ880を出力する(ステップS27)。
尚、ログ解析装置80の動作は、図5に示すフローチャートの動作と同等である。
上述した本実施形態における第1の効果は、第1の実施形態の効果に加えて、ブラウザに偽装するマルウェアによる通信の検出精度を向上させることが可能になる点である。
その理由は、クライアント70がリクエストヘッダにエージェントタグを付加し、ログ解析装置80が、そのエージェントタグに更に基づいて、主要度825を算出するからである。
例えば、ウェブブラウザの中には、プラグインなどの情報がユーザエージェント文字列に反映されないウェブブラウザがある。そのため、そのようなウェブブラウザでは、マルウェアがそのような固定的なユーザエージェントヘッダを利用した場合でも、ユーザエージェント文字列が一致してしまい、偽装が見逃される可能性がある。本実施形態のログ解析システム108は、エージェントタグを付加することで、固定的なユーザエージェント文字列との一致を防ぐ効果がある。
上述した本実施形態における第2の効果は、エージェントタグがネットワーク40に送出されることを防ぎ、ネットワーク40側でのそのエージェントタグの推測をより困難することが可能になる点である。
その理由は、プロキシサーバ60が、リクエストからエージェントタグを削除し、そのエージェントタグが削除されたリクエストを転送するからである。
以上の各実施形態で説明した各構成要素は、必ずしも個々に独立した存在である必要はない。例えば、複数個の任意のその構成要素が1個のモジュールとして実現されてよい。また、その構成要素の内の任意のひとつが複数のモジュールで実現されてもよい。また、その構成要素の内の任意のひとつがその構成要素の内の任意の他のひとつであってよい。また、その構成要素の内の任意のひとつの一部と、その構成要素の内の任意の他のひとつの一部とが重複してもよい。
以上説明した各実施形態における各構成要素及び各構成要素を実現するモジュールは、必要に応じ、可能であれば、ハードウェア的に実現されてよい。また、各構成要素及び各構成要素を実現するモジュールは、コンピュータ及びプログラムで実現されてよい。また、各構成要素及び各構成要素を実現するモジュールは、ハードウェア的なモジュールとコンピュータ及びプログラムとの混在により実現されてもよい。
そのプログラムは、例えば、磁気ディスクや半導体メモリなど、コンピュータが読み取り可能な非一時的記録媒体に記録され、コンピュータに提供される。そして、そのプログラムは、コンピュータの立ち上げ時などに、非一時的記録媒体からコンピュータに読み取られる。この読み取られたプログラムは、そのコンピュータの動作を制御することにより、そのコンピュータを前述した各実施形態における構成要素として機能させる。
更に、以上説明した各実施形態では、複数の動作は個々に相違するタイミングで実行されることに限定されない。例えば、ある動作の実行中に他の動作が発生してよい。また、ある動作と他の動作との実行タイミングが部分的に乃至全部において重複してもよい。
以上、各実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しえる様々な変更をすることができる。
この出願は、2014年5月22日に出願された日本出願特願2014−106226を基礎とする優先権を主張し、その開示の全てをここに取り込む。
10 ログ解析装置
12 主要度算出部
13 偽装度算出部
14 偽装通信検出部
15 偽装情報通知部
20 プロキシサーバ
30 クライアント
40 ネットワーク
50 サーバ
60 プロキシサーバ
70 クライアント
80 ログ解析装置
82 主要度算出部
101 ログ解析システム
108 ログ解析システム
700 コンピュータ
701 CPU
702 記憶部
703 記憶装置
704 入力部
705 出力部
706 通信部
707 記録媒体
810 アクセスログ
811 クライアント識別子
812 サーバ識別子
813 ユーザエージェント文字列
824 ドメイン数
825 主要度
836 <クライアント、通信制御手段>
837 偽装度
880 アクセスログ
888 エージェントタグ

Claims (10)

  1. クライアントとサーバとの間の、前記クライアントから送信されるリクエストヘッダに含まれるユーザエージェント文字列と前記クライアントの識別子と前記サーバの識別子とを少なくとも含む、通信履歴に基づいて、前記クライアントと前記ユーザエージェント文字列に対応する通信制御手段との組のそれぞれについて前記クライアントのアクセス先のドメイン数を用いて算出される値であり前記通信制御手段が前記クライアントの一部として動作することを許容された実用ユーザエージェントであることの確度を示す、主要度を算出するための主要度算出手段と、
    前記主要度に基づいて、前記実用ユーザエージェントを偽装した偽装ユーザエージェントによる通信に関する情報である、偽装情報を出力するための偽装情報通知手段と、を含む
    情報処理装置。
  2. 前記偽装情報通知手段は、
    前記主要度に基づいて、前記サーバのそれぞれに対応する、前記通信が前記偽装ユーザエージェントにより実行された前記通信である確度を示す、偽装度を算出する偽装度算出手段と、
    前記偽装度が閾値以上の前記サーバを検出し、検出した前記サーバの識別子を含む前記偽装情報を出力する偽装通信検出手段と、を含む
    ことを特徴とする請求項1記載の情報処理装置。
  3. 前記偽装度算出手段は、前記サーバ毎に、前記サーバに対応する前記主要度が小さいほど、相対的に大きい前記偽装度を算出する
    ことを特徴とする請求項2記載の情報処理装置。
  4. 前記主要度算出手段は、前記ユーザエージェント文字列と前記クライアントの識別子と前記サーバの識別子とに基づいて、前記クライアントと前記通信制御手段との組のそれぞれに対応する前記主要度を算出する
    ことを特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。
  5. 前記通信履歴は、前記クライアントが付加する、前記実用ユーザエージェントからのアクセスであることを示す、エージェントタグを更に含み、
    前記主要度算出手段は、前記エージェントタグに更に基づいて、前記主要度を算出する
    ことを特徴とする請求項1乃至4のいずれか1項に記載の情報処理装置。
  6. ネットワークに接続され、クライアントからのサーバに対するリクエストを中継するプロキシサーバと、
    前記プロキシサーバと接続され、前記ネットワークに接続された前記サーバを、前記プロキシサーバを介してアクセスする前記クライアントと、
    前記プロキシサーバが生成する、前記クライアントから送信されるリクエストヘッダに含まれるユーザエージェント文字列と前記クライアントの識別子と前記サーバの識別子とを少なくとも含む、通信履歴を記憶するログ記憶手段と、
    前記通信履歴に基づいて、前記クライアントと前記ユーザエージェント文字列に対応する通信制御手段との組のそれぞれについて前記クライアントのアクセス先のドメイン数を用いて算出される値であり前記通信制御手段が前記クライアントの一部として動作することを許容された実用ユーザエージェントであることの確度を示す、主要度を算出するための主要度算出手段と、
    前記主要度に基づいて、前記実用ユーザエージェントを偽装した偽装ユーザエージェントによる通信に関する情報である、偽装情報を出力するための偽装情報通知手段と、を含む
    情報処理システム。
  7. 前記クライアントは、前記プロキシサーバへのリクエスト送信時に、前記実用ユーザエージェントからのアクセスであることを示す、エージェントタグを前記リクエストヘッダに付加し、
    前記通信履歴は、前記エージェントタグを更に含み、
    前記主要度算出手段は、前記ユーザエージェント文字列及び前記エージェントタグに基づいて、前記クライアントと前記ユーザエージェント文字列との組のそれぞれに対応する前記主要度を算出する
    ことを特徴とする請求項6記載の情報処理システム。
  8. 前記プロキシサーバは、前記リクエストを中継する際に、前記リクエストから前記エージェントタグを削除する
    ことを特徴とする請求項7記載の情報処理システム。
  9. クライアントとサーバとの間の、前記クライアントから送信されるリクエストヘッダに含まれるユーザエージェント文字列と前記クライアントの識別子と前記サーバの識別子とを少なくとも含む、通信履歴に基づいて、前記クライアントと前記ユーザエージェント文字列に対応する通信制御手段との組のそれぞれについて前記クライアントのアクセス先のドメイン数を用いて算出される値であり前記通信制御手段が前記クライアントの一部として動作することを許容された実用ユーザエージェントであることの確度を示す、主要度を算出し、
    前記主要度に基づいて、前記実用ユーザエージェントを偽装した偽装ユーザエージェントによる通信に関する情報である、偽装情報を出力する
    通信履歴解析方法。
  10. クライアントとサーバとの間の、前記クライアントから送信されるリクエストヘッダに含まれるユーザエージェント文字列と前記クライアントの識別子と前記サーバの識別子とを少なくとも含む、通信履歴に基づいて、前記クライアントと前記ユーザエージェント文字列に対応する通信制御手段との組のそれぞれについて前記クライアントのアクセス先のドメイン数を用いて算出される値であり前記通信制御手段が前記クライアントの一部として動作することを許容された実用ユーザエージェントであることの確度を示す、主要度を算出し、
    前記主要度に基づいて、前記実用ユーザエージェントを偽装した偽装ユーザエージェントによる通信に関する情報である、偽装情報を出力する処理をコンピュータに実行させる
    プログラム。
JP2016520932A 2014-05-22 2015-05-18 情報処理装置、情報処理システム及び通信履歴解析方法 Active JP6635029B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014106226 2014-05-22
JP2014106226 2014-05-22
PCT/JP2015/002476 WO2015178002A1 (ja) 2014-05-22 2015-05-18 情報処理装置、情報処理システム及び通信履歴解析方法

Publications (2)

Publication Number Publication Date
JPWO2015178002A1 JPWO2015178002A1 (ja) 2017-04-20
JP6635029B2 true JP6635029B2 (ja) 2020-01-22

Family

ID=54553684

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016520932A Active JP6635029B2 (ja) 2014-05-22 2015-05-18 情報処理装置、情報処理システム及び通信履歴解析方法

Country Status (3)

Country Link
US (1) US10250625B2 (ja)
JP (1) JP6635029B2 (ja)
WO (1) WO2015178002A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017214004A1 (en) * 2016-06-06 2017-12-14 Mastercard International Incorporated Method and system for dynamic display of personalized images
CN111125692B (zh) * 2019-12-05 2022-07-12 任子行网络技术股份有限公司 反爬虫方法及装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11306067A (ja) * 1998-04-21 1999-11-05 Osaka Gas Co Ltd プロキシーシステム
JP2002132739A (ja) * 2000-10-23 2002-05-10 Nec Corp スタブ検索ローディングシステム及び方法、サーバ装置、クライアント装置並びにコンピュータ可読記録媒体
JP2003280945A (ja) 2002-03-19 2003-10-03 Hitachi Information Systems Ltd ログ解析システム,該ログ解析システムによる解析対象抽出方法および解析対象抽出プログラム
JP2011233081A (ja) 2010-04-30 2011-11-17 Kddi Corp アプリケーション判定システムおよびプログラム
US20120143650A1 (en) * 2010-12-06 2012-06-07 Thomas Crowley Method and system of assessing and managing risk associated with compromised network assets
JP2013192019A (ja) 2012-03-13 2013-09-26 Kddi Corp マルウェア通信検知システム、マルウェア通信防止システム及びプログラム
GB2514796A (en) * 2013-06-04 2014-12-10 Ibm Web service testing

Also Published As

Publication number Publication date
US20170085586A1 (en) 2017-03-23
US10250625B2 (en) 2019-04-02
JPWO2015178002A1 (ja) 2017-04-20
WO2015178002A1 (ja) 2015-11-26

Similar Documents

Publication Publication Date Title
US10666686B1 (en) Virtualized exploit detection system
US10354072B2 (en) System and method for detection of malicious hypertext transfer protocol chains
RU2680736C1 (ru) Сервер и способ для определения вредоносных файлов в сетевом трафике
US10225280B2 (en) System and method for verifying and detecting malware
US8677493B2 (en) Dynamic cleaning for malware using cloud technology
US20160078229A1 (en) System And Method For Threat Risk Scoring Of Security Threats
US10216931B2 (en) Detecting an attempt to exploit a memory allocation vulnerability
US8955138B1 (en) Systems and methods for reevaluating apparently benign behavior on computing devices
KR20140045448A (ko) 프로토콜 핑거프린팅 및 평판 상관을 위한 시스템 및 방법
JP7386909B2 (ja) マルウェア検出のためのコンテキストプロファイリング
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
Arul et al. Supervised deep learning vector quantization to detect MemCached DDOS malware attack on cloud
JP6635029B2 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
JP7662267B2 (ja) インラインマルウェア検出
CN117955675A (zh) 一种网络攻击的防御方法、装置、电子设备及存储介质
CN117413490A (zh) 检测并减轻基于蓝牙的攻击
US20240333759A1 (en) Inline ransomware detection via server message block (smb) traffic
JP2024038058A (ja) 情報処理システム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161116

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180413

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190528

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190620

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191119

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191202

R150 Certificate of patent or registration of utility model

Ref document number: 6635029

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150