JP6652525B2 - Blacklist setting device, blacklist setting method, and blacklist setting program - Google Patents
Blacklist setting device, blacklist setting method, and blacklist setting program Download PDFInfo
- Publication number
- JP6652525B2 JP6652525B2 JP2017117906A JP2017117906A JP6652525B2 JP 6652525 B2 JP6652525 B2 JP 6652525B2 JP 2017117906 A JP2017117906 A JP 2017117906A JP 2017117906 A JP2017117906 A JP 2017117906A JP 6652525 B2 JP6652525 B2 JP 6652525B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- distribution
- blacklist
- attacks
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ブラックリスト設定装置、ブラックリスト設定方法及びブラックリスト設定プログラムに関する。 The present invention relates to a blacklist setting device, a blacklist setting method, and a blacklist setting program.
従来、既知の悪性IP、URL、シグネチャ(以降総称してブラックリストと呼ぶ)をファイヤーウォール等の機器に検知ルールとして設定することで、インターネットを介したサイバー攻撃を検知する手法が知られている。 Conventionally, there has been known a method of detecting a cyber attack via the Internet by setting a known malicious IP, a URL, and a signature (hereinafter, collectively referred to as a blacklist) as detection rules in a device such as a firewall. .
しかしながら、従来の手法には、機器に設定可能なルール数が限られている場合に、検知率を大幅に低下させることなくルール数を削減したブラックリストを生成することができない場合があるという問題がある。 However, the conventional method has a problem that when the number of rules that can be set for a device is limited, a blacklist with a reduced number of rules may not be generated without significantly lowering a detection rate. There is.
例えば、機械的に攻撃全体から攻撃頻度の高い項目を選択する方法や、攻撃種別ごとに一定数ずつのルールを選択する方法が考えられるが、サイバー攻撃の攻撃種別は複数存在し、また攻撃種別ごとに脅威度や攻撃頻度が大きく異なるため、このような方法ではブラックリストによる検知率が大幅に低下する場合がある。 For example, a method of mechanically selecting items with a high attack frequency from the entire attack, or a method of selecting a fixed number of rules for each attack type can be considered, but there are multiple attack types of cyber attacks, and Since the threat level and attack frequency greatly differ from one another, the detection rate by the blacklist may significantly decrease in such a method.
本発明のブラックリスト設定装置は、インターネット上で観測されたサイバー攻撃についての、攻撃種別及び攻撃元のIPアドレスごとの攻撃回数を取得する取得部と、前記攻撃元のIPアドレスごとの前記攻撃回数の分布を、前記攻撃種別のそれぞれについて所定の分布関数で表した場合の、当該分布関数のパラメータを計算する計算部と、選択可能なIPアドレスの数が所定の上限値以下であるという制約条件のもと、前記分布関数及び前記分布のパラメータを基に予測されるサイバー攻撃に対する検知率が最大化されるように、ブラックリストに設定するIPアドレスを前記攻撃元のIPアドレスから選択する選択部と、を有することを特徴とする。 The blacklist setting device according to the present invention includes: an acquisition unit that acquires an attack type and the number of attacks for each IP address of an attack source for a cyber attack observed on the Internet; and the number of attacks for each IP address of the attack source. Where the distribution is represented by a predetermined distribution function for each of the attack types, a calculation unit for calculating parameters of the distribution function, and a constraint condition that the number of selectable IP addresses is equal to or less than a predetermined upper limit value A selection unit that selects an IP address to be set in a blacklist from the IP addresses of the attack sources such that a detection rate against a cyber attack predicted based on the distribution function and the parameters of the distribution is maximized. And the following.
本発明によれば、機器に設定可能なルール数が限られている場合に、検知率を大幅に低下させることなくルール数を削減したブラックリストを生成することができる。 According to the present invention, when the number of rules that can be set for a device is limited, it is possible to generate a blacklist in which the number of rules is reduced without significantly lowering the detection rate.
以下に、本願に係るブラックリスト設定装置、ブラックリスト設定方法及びブラックリスト設定プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。 Hereinafter, embodiments of a blacklist setting device, a blacklist setting method, and a blacklist setting program according to the present application will be described in detail with reference to the drawings. Note that the present invention is not limited by the embodiments described below.
[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係るブラックリスト設定装置の構成について説明する。図1は、第1の実施形態に係るブラックリスト設定装置の構成の一例を示す図である。図1に示すように、ブラックリスト設定装置10は、入出力部11、通信部12、記憶部13及び制御部14を有する。
[Configuration of First Embodiment]
First, the configuration of the blacklist setting device according to the first embodiment will be described with reference to FIG. FIG. 1 is a diagram illustrating an example of a configuration of a blacklist setting device according to the first embodiment. As shown in FIG. 1, the blacklist setting device 10 includes an input / output unit 11, a communication unit 12, a storage unit 13, and a
入出力部11は、ユーザからのデータの入力を受け付け、及びデータの出力を行う。マウスやキーボード等の入力装置、及びディスプレイやタッチパネル等の表示装置を含む。通信部12は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部12はNIC(Network Interface Card)である。 The input / output unit 11 receives data input from a user and outputs data. It includes input devices such as a mouse and a keyboard, and display devices such as a display and a touch panel. The communication unit 12 performs data communication with another device via a network. For example, the communication unit 12 is a NIC (Network Interface Card).
記憶部13は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部13は、ブラックリスト設定装置10で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部13は、プログラムの実行で用いられる各種情報を記憶する。 The storage unit 13 is a storage device such as a hard disk drive (HDD), a solid state drive (SSD), and an optical disk. The storage unit 13 may be a rewritable semiconductor memory such as a random access memory (RAM), a flash memory, or a non-volatile random access memory (NVSRAM). The storage unit 13 stores an OS (Operating System) executed by the blacklist setting device 10 and various programs. Further, the storage unit 13 stores various information used in executing the program.
制御部14は、ブラックリスト設定装置10全体を制御する。制御部14は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部14は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部14は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部14は、取得部141、計算部142、選択部143及び生成部144を有する。
The
[処理の概要]
ここで、図2を用いて、ブラックリスト設定装置10の処理の概要を説明する。図2は、第1の実施形態に係るブラックリスト設定装置による処理の概要を説明するための図である。図2に示すように、ブラックリスト設定装置10は、まず、攻撃情報100aを取得する。攻撃情報100aは、例えば、インターネット経由で到達する攻撃に関する情報を収集する攻撃観測装置によって収集された情報である。
[Overview of processing]
Here, the outline of the processing of the blacklist setting device 10 will be described with reference to FIG. FIG. 2 is a diagram for explaining an outline of a process performed by the blacklist setting device according to the first embodiment. As shown in FIG. 2, the blacklist setting device 10 first obtains
攻撃情報には、少なくとも、攻撃種別、ユニークIP数、攻撃総数が含まれる。攻撃種別は、攻撃を識別し分類するための情報である。攻撃種別は、「shell」、「SQL」、「samba」といった名称であってもよい。ユニークIP数は、攻撃種別ごとの攻撃元のIPアドレスの数を、重複なく数えたものである。攻撃総数は、攻撃種別ごとの攻撃の回数である。攻撃情報100aには、例えば、攻撃種別が1のユニークIP数が「x」、攻撃総数が「X」であることが記載されている。以降の説明では、攻撃元のIPアドレスを単にIPアドレスとよぶ場合がある。
The attack information includes at least the attack type, the number of unique IPs, and the total number of attacks. The attack type is information for identifying and classifying an attack. The attack type may be a name such as "shell", "SQL", or "samba". The number of unique IPs is obtained by counting the number of attack source IP addresses for each attack type without duplication. The total number of attacks is the number of attacks for each attack type. The
次に、グラフ200aに示すように、ブラックリスト設定装置10は、IPアドレスごとの攻撃総数の分布を、攻撃種別ごとに分布関数で表す。例えば、ブラックリスト設定装置10は、対応する攻撃回数が多い順にIPアドレスをソートしたものをゼータ分布とみなし、ゼータ分布のパラメータを計算する。
Next, as shown in the
さらに、ブラックリスト設定装置10は、所定の制約条件のもと、防御の効果を最大化するようなIPアドレスの組み合わせを、分布関数を用いて行った計算の結果に基づいて選択する。例えば、グラフ300aに示すように、ブラックリスト設定装置10は、攻撃種別1のIPアドレスをa件選択し、攻撃種別2のIPアドレスをb件選択し、攻撃種別3のIPアドレスをc件選択する。このとき、選択可能なIPアドレスをN件とすると、制約条件a+b+c=Nのもと、a/x+b/y+c/zを最大化することで、防御の効果を最大化するようなIPアドレスの組み合わせを選択することができる。
Further, the blacklist setting device 10 selects a combination of IP addresses that maximizes the effect of the protection based on the result of the calculation performed using the distribution function under a predetermined constraint condition. For example, as shown in the
[分布のパラメータの計算]
図3を用いて、ブラックリスト設定装置10による分布のパラメータの計算について説明する。図3は、第1の実施形態に係るブラックリスト設定装置による分布のパラメータの計算について説明するための図である。
[Calculation of distribution parameters]
The calculation of distribution parameters by the blacklist setting device 10 will be described with reference to FIG. FIG. 3 is a diagram for explaining calculation of distribution parameters by the blacklist setting device according to the first embodiment.
まず、取得部141は、インターネット上で観測されたサイバー攻撃についての、攻撃種別及び攻撃元のIPアドレスごとの攻撃回数を取得する。図3に示すように、取得部141は、IPアドレス、攻撃種別、及び攻撃回数が掲載された攻撃情報100を取得する。取得部141は、取得した攻撃情報の攻撃回数を、攻撃種別及びIPアドレスごとに集計することができる。また、取得部141は、攻撃種別及びIPアドレスごとに集計済みの攻撃回数を攻撃情報100として取得してもよい。
First, the obtaining
また、攻撃情報100は、1回の攻撃ごとの、攻撃種別、IPアドレス、及び情報の到達時刻が掲載された情報を攻撃情報100として取得してもよい。この場合、取得部141は、到達時間を基に、所定期間における攻撃種別及びIPアドレスごとの攻撃回数を集計する。
Further, the
計算部142は、攻撃元のIPアドレスごとの攻撃回数の分布を、攻撃種別のそれぞれについて所定の分布関数で表した場合の、当該分布関数の分布のパラメータを計算する。本実施形態では、計算部142は、攻撃元のIPアドレスを攻撃回数が多い順に並べた分布をゼータ分布で表した場合の、当該ゼータ分布のパラメータを計算する。なお、計算部142で用いられる分布はゼータ分布に限らず、指数分布等であってもよい。 The calculation unit 142 calculates distribution parameters of the distribution function when the distribution of the number of attacks for each IP address of the attack source is represented by a predetermined distribution function for each attack type. In the present embodiment, the calculation unit 142 calculates the parameters of the zeta distribution when the distribution in which the IP addresses of attack sources are arranged in descending order of the number of attacks is represented by a zeta distribution. Note that the distribution used in the calculation unit 142 is not limited to the zeta distribution, and may be an exponential distribution or the like.
ここで、攻撃回数が多い順に攻撃元のIPアドレスをソートした場合、攻撃元のIPアドレスと攻撃回数との関係は、べき乗則の一部であるジップの法則に近似できる場合がある。このため、計算部142は、IPアドレスごとの攻撃回数がべき乗則に従うと仮定する。つまり、計算部142は、i番目に攻撃回数が多いIPアドレスの攻撃回数が、最も攻撃回数が多いIPアドレスの攻撃回数の1/ikになると仮定する。 Here, when the IP addresses of the attack source are sorted in descending order of the number of attacks, the relationship between the IP address of the attack source and the number of attacks may be approximated to Zip's law which is a part of the power law. Therefore, calculation unit 142 assumes that the number of attacks for each IP address follows a power law. In other words, calculation unit 142 assumes that i-th number of attacks number of attacks often IP address becomes the 1 / i k of number of attacks most number of attacks often IP address.
そこで、まず、計算部142は、グラフ201に示すように、対応する攻撃回数が多い順にIPアドレスをソートする。グラフ201は、例えば、攻撃種別1の攻撃回数が最も多かったIPアドレスがIP1であり、二番目に多かったIPアドレスがIP2であることを示している。そして、べき乗則に従うデータは、確率分布としてはゼータ分布に従うことから、計算部142は、グラフ301に示すように、ソート済みのIPアドレスと攻撃回数との関係をゼータ分布とみなす。
Therefore, first, as shown in the
ここで、べき乗則に従うデータからn件のデータを取得した場合に、そのデータが全体のデータに占める割合は、全体のデータが十分に大きい場合に、ゼータ分布の累積分布関数を使って、式(1)に近似される。また、計算部142は、攻撃情報100等に基づいて、既知のパラメータ計算手法により、攻撃種別ごとのゼータ分布のパラメータkを計算することができる。
Here, when n pieces of data are obtained from data that obeys the power law, the ratio of the data to the entire data is calculated by using the cumulative distribution function of the zeta distribution when the entire data is sufficiently large. It is approximated by (1). Further, the calculation unit 142 can calculate the parameter k of the zeta distribution for each attack type by a known parameter calculation method based on the
また、ζ(k)は、リーマンのゼータ関数であり、式(2)で表される。 Ζ (k) is the Riemann zeta function and is expressed by equation (2).
[IPアドレスの選択]
図4を用いて、ブラックリスト設定装置10によるIPアドレスの選択について説明する。図4は、第1の実施形態に係るブラックリスト設定装置によるIPアドレスの選択について説明するための図である。
[Select IP address]
The selection of an IP address by the blacklist setting device 10 will be described with reference to FIG. FIG. 4 is a diagram for describing selection of an IP address by the blacklist setting device according to the first embodiment.
選択部143は、選択可能なIPアドレスの数が所定の上限値以下であるという制約条件のもと、分布関数及び分布のパラメータを基に予測されるサイバー攻撃に対する検知率が最大化されるように、ブラックリストに設定するIPアドレスを攻撃元のIPアドレスから選択する。本実施形態では、選択部143は、攻撃種別のそれぞれに対する検知率が最大化されるように、ブラックリストに設定するIPアドレスを選択する。 The selection unit 143 maximizes the detection rate for a cyber attack predicted based on the distribution function and the distribution parameters under the constraint that the number of selectable IP addresses is equal to or less than a predetermined upper limit. Next, the IP address to be set in the blacklist is selected from the attacking IP addresses. In the present embodiment, the selection unit 143, the detection rate against each attack type is to be maximized, selecting the IP address set in the blacklist.
ここで、Sをブラックリストに掲載なIPアドレスの上限とし、選択部143が、攻撃種別1のIPアドレスから攻撃回数の上位p件、攻撃種別2のIPアドレスから攻撃回数の上位q件、攻撃種別3のIPアドレスから攻撃回数の上位r件のIPアドレスを選択することを考える。 Here, S is the upper limit of the IP addresses on the blacklist, and the selecting unit 143 determines that the top p items of the number of attacks from the IP address of attack type 1, the top q items of the number of attacks from the IP address of attack type 2, Consider selecting the top r IP addresses with the highest number of attacks from type 3 IP addresses.
このとき、選択部143は、f(p,q,r)を最大化するようなp、q、rを計算する。ここで、計算部142は、攻撃種別1の分布のパラメータを1.52、攻撃種別2の分布のパラメータを1.01、攻撃種別3の分布のパラメータを1.30と計算したとする。f(p,q,r)は、式(3)のように表される。 At this time, the selection unit 143 calculates p, q, and r that maximize f (p, q, r). Here, it is assumed that the calculation unit 142 calculates the distribution parameter of the attack type 1 as 1.52, the distribution parameter of the attack type 2 as 1.01, and the distribution parameter of the attack type 3 as 1.30. f (p, q, r) is represented as in equation (3) .
また、このとき、選択部143は、Sをブラックリストに掲載なIPアドレスの上限とし、式(4)を制約条件とする。 At this time, the selecting unit 143 sets S as the upper limit of the IP addresses on the blacklist, and sets Expression (4) as a constraint.
選択部143は、式(4)を制約条件とする式(3)の最大化をラグランジュ未定乗数法を用いて解くことができる。この場合のラグランジュ未定乗数法は、式(5−1)、式(5−2)、式(5−3)及び式(5−4)のように表される。 The selecting unit 143 can solve the maximization of Expression (3) using Expression (4) as a constraint condition using the Lagrange undetermined multiplier method. The Lagrange undetermined multiplier method in this case is represented by Expression (5-1), Expression (5-2), Expression (5-3), and Expression (5-4).
ここで、式(5−4)は、式(6)のように表される。 Here, equation (5-4) is expressed as equation (6).
また、総和で表されている項を積分に置き換えると、式(6)は式(7)のように表される。 In addition, when the term represented by the sum is replaced by integration, Expression (6) is expressed as Expression (7).
この置き換えは、式(8−1)の後退差分が、式(8−2)の微分に等しいことに基づいている。 This replacement is based on the fact that the backward difference of equation (8-1) is equal to the derivative of equation (8-2).
式(9−1)から式(9−5)のように偏微分の計算を行うことで、λはpを使って式(9−6)のように表される。 Calculating the partial differential from Expression (9-1) to Expression (9-5), λ is expressed as Expression (9-6) using p.
q及びrについても同様の計算を行うと、λは、式(10)のようになる。 When the same calculation is performed for q and r, λ becomes as shown in Expression (10).
また、式(10)は、式(11)のように変形することができる。式(11)は、p+q+rを一定に保ったときに、攻撃のカバー率を最大にするような、p、q、rの関係式である。 Equation (10) can be modified as in equation (11). Equation (11) is a relational expression of p, q, and r that maximizes the attack coverage when p + q + r is kept constant.
式(12−1)及び式(12−2)の計算により、λを使ってpを式(12−3)のように表すことができる。 By calculation of Expressions (12-1) and (12-2), p can be expressed as Expression (12-3) using λ.
同様に、λを使って、q及びrを、それぞれ式(13−1)及び式(13−2)のように表すことができる。 Similarly, using λ, q and r can be expressed as in equations (13-1) and (13-2), respectively.
これより、式(14−1)は、式(14−2)のように表すことができる。ここで、式(14−2)におけるλを、Sを用いて表すことができれば、本最大化問題を解くことができる。 Thus, equation (14-1) can be expressed as equation (14-2). Here, if λ in Expression (14-2) can be expressed by using S, this maximization problem can be solved.
式(14−2)におけるλを、Sを用いて表す方法としては、式(15)のように、p、q、rのいずれか1つを固定して、残りの2つを計算する方法がある。 As a method of expressing λ in Expression (14-2) using S, a method of fixing one of p, q, and r and calculating the remaining two as in Expression (15) There is.
また、式(14−2)におけるλを、Sを用いて表すその他の方法としては、f´(λ)=0の計算が容易であることから、式(16)のようにニュートン法を用いて数値的にf(λ)=0の解を計算する方法がある。 Further, as another method of expressing λ in Expression (14-2) using S, the calculation of f ′ (λ) = 0 is easy, and the Newton method is used as in Expression (16). There is a method of numerically calculating a solution of f (λ) = 0.
ここで、式(15)において、pを固定した場合、p、q及びrについてのゼータ関数の値は、それぞれ式(17−1)、式(17−2)及び式(17−3)で表されるので、q及びrをpを使って表すと、それぞれ式(18−1)及び式(18−2)のようになる。なお、この場合、pを500件に固定すると、qは301件、rは1021件となる。 Here, in Equation (15), when p is fixed, the values of the zeta function for p, q, and r are expressed by Equations (17-1), (17-2), and (17-3), respectively. Therefore, if q and r are represented using p, they are as shown in Expression (18-1) and Expression (18-2), respectively. In this case, if p is fixed to 500, q becomes 301 and r becomes 1021.
これにより、選択部143は、図4のグラフ301及び302に基づいて、グラフ401及びグラフ402に示すように、IPアドレスを選択する。例えば、グラフ401に示すように、選択部143は、攻撃種別1について、IPアドレスIP1、IP2、IP3、IP4及びIP5を選択する。また、グラフ402に示すように、選択部143は、攻撃種別2について、IPアドレスIP8及びIP9を選択する。
Thus, the selection unit 143 selects an IP address based on the
また、生成部144は、選択部143によって選択されたIPアドレスを掲載したブラックリスト500を生成する。このとき、ブラックリスト500による、攻撃種別1の攻撃の予測カバー率は60%であり、攻撃種別2の攻撃の予測カバー率は40%であり、攻撃種別全体の予測平均カバー率は50%である。なお、カバー率は、ブラックリスト500によって検知可能であることが推定される攻撃数の、攻撃数全体に対する割合であり、検知率ということができる。
Further, the generation unit 144 generates a
[第1の実施形態の処理]
図5を用いて、ブラックリスト設定装置10の処理の流れについて説明する。図5は、第1の実施形態に係るブラックリスト設定装置の処理の流れを示すフローチャートである。
[Processing of First Embodiment]
The flow of processing of the blacklist setting device 10 will be described with reference to FIG. FIG. 5 is a flowchart illustrating a flow of processing of the blacklist setting device according to the first embodiment.
図5に示すように、まず、取得部141は、攻撃情報を取得する(ステップS101)。攻撃情報は、例えば、攻撃観測装置によって収集された情報である。攻撃情報は、例えば攻撃種別、攻撃元のIPアドレス、及び攻撃回数を含む。
As shown in FIG. 5, first, the obtaining
次に、計算部142は、攻撃種別ごとの攻撃回数の分布のパラメータを計算する(ステップS102)。計算部142は、例えば、攻撃種別ごとの攻撃回数の分布をゼータ分布で表し、ゼータ分布のパラメータを計算する。 Next, the calculation unit 142 calculates a parameter of the distribution of the number of attacks for each attack type (step S102). The calculation unit 142 represents, for example, the distribution of the number of attacks for each attack type as a zeta distribution, and calculates parameters of the zeta distribution.
そして、選択部143は、攻撃種別のそれぞれに対する検知率が最大化されるようにIPアドレスを選択する(ステップS103)。選択部143は、例えば、選択可能なIPアドレスの上限数を制約条件とし、攻撃種別ごとのゼータ分布の累積分布関数の合計を最大化することにより選択するIPアドレスを決定することができる。 Then, the selection unit 143 selects an IP address such that the detection rate for each of the attack types is maximized (Step S103). The selecting unit 143 can determine the IP address to be selected by maximizing the sum of the cumulative distribution functions of the zeta distribution for each attack type, with the upper limit number of selectable IP addresses as a constraint, for example.
そして、生成部144は、選択部143によって選択されたIPアドレスを基にブラックリストを生成する(ステップS104)。例えば、生成部144によって生成されたブラックリストには、選択部143によって選択されたIPアドレスが掲載される。 Then, the generation unit 144 generates a blacklist based on the IP address selected by the selection unit 143 (Step S104). For example, the IP address selected by the selection unit 143 is listed in the blacklist generated by the generation unit 144.
[第1の実施形態の効果]
取得部141は、インターネット上で観測されたサイバー攻撃についての、攻撃種別及び攻撃元のIPアドレスごとの攻撃回数を取得する。また、計算部142は、攻撃元のIPアドレスごとの攻撃回数の分布を、攻撃種別のそれぞれについて所定の分布関数で表した場合の、当該分布関数のパラメータを計算する。また、選択部143は、選択可能なIPアドレスの数が所定の上限値以下であるという制約条件のもと、分布関数及び分布のパラメータを基に予測されるサイバー攻撃に対する検知率が最大化されるように、ブラックリストに設定するIPアドレスを攻撃元のIPアドレスから選択する。このように、本実施形態では、IPアドレスごとの攻撃回数の分布を分布関数で表すため、生成されるブラックリストの検知率等を容易に予測することができる。また、本実施形態では、ブラックリストに設定可能なIPアドレスの上限数を制約条件として、攻撃種別ごとの検知率を最大化するため、機器に設定可能なルール数が限られている場合であっても、検知率を大幅に低下させることなくルール数を削減することができる。
[Effect of First Embodiment]
The
計算部142は、攻撃元のIPアドレスを攻撃回数が多い順に並べた分布をゼータ分布で表した場合の、当該ゼータ分布のパラメータを計算する。これにより、検知率の最大化を、ラグランジュ未定乗数法を用いて解くことができる。 The calculation unit 142 calculates the parameters of the zeta distribution when the distribution in which the attacking IP addresses are arranged in descending order of the number of attacks is represented by a zeta distribution. Thus, the maximization of the detection rate can be solved by using the Lagrange undetermined multiplier method.
選択部143は、攻撃種別のそれぞれに対する検知率が最大化されるように、ブラックリストに設定するIPアドレスを選択する。サイバー攻撃の攻撃種別は複数存在し、また攻撃種別ごとに脅威度や攻撃頻度が大きく異なる。このため、ブラックリストは、観測された攻撃回数が少ない攻撃種別の攻撃についても、高い検知率を持つことが望ましい。本実施形態によれば、攻撃種別ごとの検知率を等しい重みで平均することができるため、攻撃種別ごとに検知率の偏りのないブラックリストを生成することができる。 Selecting unit 143, the detection rate against each attack type is to be maximized, selecting the IP address set in the blacklist. There are a plurality of types of cyber attacks, and the degree of threat and the frequency of attacks vary greatly for each type of attack. For this reason, it is desirable that the blacklist has a high detection rate even for attacks of the attack type in which the observed number of attacks is small. According to this embodiment, since the detection rates for each attack type can be averaged with equal weights, it is possible to generate a blacklist in which the detection rates are not biased for each attack type.
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[System configuration, etc.]
Each component of each device illustrated is a functional concept and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed / arbitrarily divided into arbitrary units according to various loads and usage conditions. Can be integrated and configured. Further, all or any part of each processing function performed by each device can be realized by a CPU and a program analyzed and executed by the CPU, or can be realized as hardware by wired logic.
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 Further, of the processes described in the present embodiment, all or a part of the processes described as being performed automatically can be manually performed, or the processes described as being performed manually can be performed. All or part can be performed automatically by a known method. In addition, the processing procedures, control procedures, specific names, and information including various data and parameters shown in the above documents and drawings can be arbitrarily changed unless otherwise specified.
[プログラム]
一実施形態として、ブラックリスト設定装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記のブラックリストの生成を実行するブラックリスト設定プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のブラックリスト設定プログラムを情報処理装置に実行させることにより、情報処理装置をブラックリスト設定装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
[program]
As one embodiment, the blacklist setting device 10 can be implemented by installing a blacklist setting program for executing the above blacklist generation as package software or online software on a desired computer. For example, by causing the information processing apparatus to execute the above blacklist setting program, the information processing apparatus can function as the blacklist setting apparatus 10. The information processing apparatus referred to here includes a desktop or notebook personal computer. In addition, the information processing apparatus includes mobile communication terminals such as a smartphone, a mobile phone, and a PHS (Personal Handyphone System), and a slate terminal such as a PDA (Personal Digital Assistant).
また、ブラックリスト設定装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記のブラックリストの生成に関するサービスを提供する生成サーバ装置として実装することもできる。例えば、生成サーバ装置は、攻撃情報を入力とし、ブラックリストを出力とする生成サービスを提供するサーバ装置として実装される。この場合、生成サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記のブラックリストの生成に関するサービスを提供するクラウドとして実装することとしてもかまわない。 In addition, the blacklist setting device 10 may be implemented as a generation server device that provides a terminal device used by a user as a client and provides the client with a service related to the generation of the blacklist. For example, the generation server device is implemented as a server device that provides a generation service that receives attack information as input and outputs a blacklist. In this case, the generation server device may be implemented as a Web server, or may be implemented as a cloud that provides a service related to the above blacklist generation by outsourcing.
図6は、ブラックリスト設定プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
FIG. 6 is a diagram illustrating an example of a computer that executes a blacklist setting program. The
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
The
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、ブラックリスト設定装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、ブラックリスト設定装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
The hard disk drive 1090 stores, for example, the
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
The setting data used in the processing of the above-described embodiment is stored as the
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
The
10 ブラックリスト設定装置
11 入出力部
12 通信部
13 記憶部
14 制御部
141 取得部
142 計算部
143 選択部
144 生成部
Reference Signs List 10 blacklist setting device 11 input / output unit 12 communication unit 13
Claims (4)
前記攻撃元のIPアドレスごとの前記攻撃回数の分布を、前記攻撃種別のそれぞれについて所定の分布関数で表した場合の、当該分布関数のパラメータを計算する計算部と、
選択可能なIPアドレスの数が所定の上限値以下であるという制約条件のもと、前記分布関数及び前記分布のパラメータを基に計算される検知率であって、攻撃種別のそれぞれに対する検知率が最大化されるように、ブラックリストに設定するIPアドレスを前記攻撃元のIPアドレスから選択する選択部と、
を有することを特徴とするブラックリスト設定装置。 An acquisition unit that acquires the number of attacks for each type of attack and the source IP address of the cyber attack observed on the Internet;
A calculation unit that calculates a parameter of the distribution function when the distribution of the number of attacks for each of the attack source IP addresses is represented by a predetermined distribution function for each of the attack types;
Under the constraint that the number of selectable IP addresses is equal to or less than a predetermined upper limit, the detection rate is a detection rate calculated based on the distribution function and the parameters of the distribution. A selector for selecting an IP address to be set in a blacklist from the IP addresses of the attack sources so as to be maximized;
A blacklist setting device, comprising:
インターネット上で観測されたサイバー攻撃についての、攻撃種別及び攻撃元のIPアドレスごとの攻撃回数を取得する取得工程と、
前記攻撃元のIPアドレスごとの前記攻撃回数の分布を、前記攻撃種別のそれぞれについて所定の分布関数で表した場合の、当該分布関数のパラメータを計算する計算工程と、
選択可能なIPアドレスの数が所定の上限値以下であるという制約条件のもと、前記分布関数及び前記分布のパラメータを基に計算される検知率であって、攻撃種別のそれぞれに対する検知率が最大化されるように、ブラックリストに設定するIPアドレスを前記攻撃元のIPアドレスから選択する選択工程と、
を含んだことを特徴とするブラックリスト設定方法。 A blacklist setting method executed by a blacklist setting device,
An acquisition step of acquiring the number of attacks for each type of attack and the IP address of the attack source for cyber attacks observed on the Internet;
A calculating step of calculating parameters of the distribution function when the distribution of the number of attacks for each IP address of the attack source is represented by a predetermined distribution function for each of the attack types;
Under the constraint that the number of selectable IP addresses is equal to or less than a predetermined upper limit, the detection rate is a detection rate calculated based on the distribution function and the parameters of the distribution. A selecting step of selecting an IP address to be set in a blacklist from the attacking IP addresses so as to be maximized;
A blacklist setting method comprising:
前記攻撃元のIPアドレスごとの前記攻撃回数の分布を、前記攻撃種別のそれぞれについて所定の分布関数で表した場合の、当該分布関数のパラメータを計算する計算ステップと、
選択可能なIPアドレスの数が所定の上限値以下であるという制約条件のもと、前記分布関数及び前記分布のパラメータを基に計算される検知率であって、攻撃種別のそれぞれに対する検知率が最大化されるように、ブラックリストに設定するIPアドレスを前記攻撃元のIPアドレスから選択する選択ステップと、
をコンピュータに実行させることを特徴とするブラックリスト設定プログラム。 An acquisition step of acquiring the number of attacks for each type of attack and the IP address of the attack source for cyber attacks observed on the Internet;
A calculating step of calculating parameters of the distribution function when the distribution of the number of attacks for each IP address of the attack source is represented by a predetermined distribution function for each of the attack types;
Under the constraint that the number of selectable IP addresses is equal to or less than a predetermined upper limit, the detection rate is a detection rate calculated based on the distribution function and the parameters of the distribution. A selecting step of selecting an IP address to be set in a blacklist from the IP addresses of the attack sources so as to be maximized;
A blacklist setting program for causing a computer to execute the program.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017117906A JP6652525B2 (en) | 2017-06-15 | 2017-06-15 | Blacklist setting device, blacklist setting method, and blacklist setting program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017117906A JP6652525B2 (en) | 2017-06-15 | 2017-06-15 | Blacklist setting device, blacklist setting method, and blacklist setting program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019004339A JP2019004339A (en) | 2019-01-10 |
| JP6652525B2 true JP6652525B2 (en) | 2020-02-26 |
Family
ID=65008117
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017117906A Active JP6652525B2 (en) | 2017-06-15 | 2017-06-15 | Blacklist setting device, blacklist setting method, and blacklist setting program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6652525B2 (en) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5178573B2 (en) * | 2009-02-17 | 2013-04-10 | 株式会社Kddi研究所 | Communication system and communication method |
| JP5015279B2 (en) * | 2010-02-23 | 2012-08-29 | 日本電信電話株式会社 | Cause identification system, method, apparatus, and program linked with traffic volume change detection |
-
2017
- 2017-06-15 JP JP2017117906A patent/JP6652525B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019004339A (en) | 2019-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2998749C (en) | Systems and methods for security and risk assessment and testing of applications | |
| US20200336503A1 (en) | Detecting behavior anomalies of cloud users for outlier actions | |
| US10437648B2 (en) | Guided load balancing of graph processing workloads on heterogeneous clusters | |
| JP6499380B2 (en) | Log analysis apparatus, log analysis method, and log analysis program | |
| US11563654B2 (en) | Detection device and detection method | |
| US10938783B2 (en) | Cluster-based determination of signatures for detection of anomalous data traffic | |
| CN113728581B (en) | System and method for SIEM rule classification and condition execution | |
| US20240356935A1 (en) | Event-based threat detection with weak learner models data signal aggregation | |
| CN115956234A (en) | Detection and Handling of Excessive Resource Usage in Distributed Computing Environments | |
| EP3799367B1 (en) | Generation device, generation method, and generation program | |
| US10423514B1 (en) | Automated classification of mobile app battery consumption using simulation | |
| US11928208B2 (en) | Calculation device, calculation method, and calculation program | |
| WO2020175165A1 (en) | Identification device and identification program | |
| JP6652525B2 (en) | Blacklist setting device, blacklist setting method, and blacklist setting program | |
| JP5885631B2 (en) | Attack host behavior analysis apparatus, method and program | |
| JP6487820B2 (en) | Risk assessment device, risk assessment method, and risk assessment program | |
| JP7405162B2 (en) | Analytical systems, methods and programs | |
| US9741059B1 (en) | System and method for managing website scripts | |
| Walkup | Mac Malware Detection via Static File Structure Analysis | |
| JP2019174988A (en) | Threat information evaluation apparatus, threat information evaluation method and program | |
| Yuvaraj et al. | Optimizing best cloud service using the Bayesian personalized ranking framework | |
| WO2025141836A1 (en) | Countermeasure assistance device, countermeasure assistance method, and storage medium | |
| Khalid | Implementation of load balancing algorithms to evaluate performance degradation factors in cloud computing | |
| CN113051128A (en) | Power consumption detection method and device, electronic equipment and storage medium | |
| Ismailov | ANALYSIS OF MODELLING RESULTS OF INFORMATION PROTECTION SYSTEM IN DISTRIBUTIVE SERVICE NETWORKS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181016 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190712 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190723 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190924 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200121 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200123 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6652525 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |