Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6652525B2 - Blacklist setting device, blacklist setting method, and blacklist setting program - Google Patents
[go: Go Back, main page]

JP6652525B2 - Blacklist setting device, blacklist setting method, and blacklist setting program - Google Patents

Blacklist setting device, blacklist setting method, and blacklist setting program Download PDF

Info

Publication number
JP6652525B2
JP6652525B2 JP2017117906A JP2017117906A JP6652525B2 JP 6652525 B2 JP6652525 B2 JP 6652525B2 JP 2017117906 A JP2017117906 A JP 2017117906A JP 2017117906 A JP2017117906 A JP 2017117906A JP 6652525 B2 JP6652525 B2 JP 6652525B2
Authority
JP
Japan
Prior art keywords
attack
distribution
blacklist
attacks
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017117906A
Other languages
Japanese (ja)
Other versions
JP2019004339A (en
Inventor
泰大 寺本
泰大 寺本
永渕 幸雄
幸雄 永渕
高明 小山
高明 小山
一凡 張
一凡 張
拓也 佐伯
拓也 佐伯
博 胡
博 胡
三好 潤
潤 三好
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017117906A priority Critical patent/JP6652525B2/en
Publication of JP2019004339A publication Critical patent/JP2019004339A/en
Application granted granted Critical
Publication of JP6652525B2 publication Critical patent/JP6652525B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ブラックリスト設定装置、ブラックリスト設定方法及びブラックリスト設定プログラムに関する。   The present invention relates to a blacklist setting device, a blacklist setting method, and a blacklist setting program.

従来、既知の悪性IP、URL、シグネチャ(以降総称してブラックリストと呼ぶ)をファイヤーウォール等の機器に検知ルールとして設定することで、インターネットを介したサイバー攻撃を検知する手法が知られている。   Conventionally, there has been known a method of detecting a cyber attack via the Internet by setting a known malicious IP, a URL, and a signature (hereinafter, collectively referred to as a blacklist) as detection rules in a device such as a firewall. .

小山 高明 他、「グローバルな脅威情報基盤を用いたセキュリティオーケストレーションの実現」、NTT技術ジャーナルVol.27、No.10、2015.(http://www.ntt.co.jp/journal/1510/files/jn201510023.pdf)Takaaki Koyama et al., "Realization of Security Orchestration Using Global Threat Information Infrastructure," NTT Technical Journal Vol. 27, No. 10, 2015. (http://www.ntt.co.jp/journal/1510/ files / jn201510023.pdf)

しかしながら、従来の手法には、機器に設定可能なルール数が限られている場合に、検知率を大幅に低下させることなくルール数を削減したブラックリストを生成することができない場合があるという問題がある。   However, the conventional method has a problem that when the number of rules that can be set for a device is limited, a blacklist with a reduced number of rules may not be generated without significantly lowering a detection rate. There is.

例えば、機械的に攻撃全体から攻撃頻度の高い項目を選択する方法や、攻撃種別ごとに一定数ずつのルールを選択する方法が考えられるが、サイバー攻撃の攻撃種別は複数存在し、また攻撃種別ごとに脅威度や攻撃頻度が大きく異なるため、このような方法ではブラックリストによる検知率が大幅に低下する場合がある。   For example, a method of mechanically selecting items with a high attack frequency from the entire attack, or a method of selecting a fixed number of rules for each attack type can be considered, but there are multiple attack types of cyber attacks, and Since the threat level and attack frequency greatly differ from one another, the detection rate by the blacklist may significantly decrease in such a method.

本発明のブラックリスト設定装置は、インターネット上で観測されたサイバー攻撃についての、攻撃種別及び攻撃元のIPアドレスごとの攻撃回数を取得する取得部と、前記攻撃元のIPアドレスごとの前記攻撃回数の分布を、前記攻撃種別のそれぞれについて所定の分布関数で表した場合の、当該分布関数のパラメータを計算する計算部と、選択可能なIPアドレスの数が所定の上限値以下であるという制約条件のもと、前記分布関数及び前記分布のパラメータを基に予測されるサイバー攻撃に対する検知率が最大化されるように、ブラックリストに設定するIPアドレスを前記攻撃元のIPアドレスから選択する選択部と、を有することを特徴とする。   The blacklist setting device according to the present invention includes: an acquisition unit that acquires an attack type and the number of attacks for each IP address of an attack source for a cyber attack observed on the Internet; and the number of attacks for each IP address of the attack source. Where the distribution is represented by a predetermined distribution function for each of the attack types, a calculation unit for calculating parameters of the distribution function, and a constraint condition that the number of selectable IP addresses is equal to or less than a predetermined upper limit value A selection unit that selects an IP address to be set in a blacklist from the IP addresses of the attack sources such that a detection rate against a cyber attack predicted based on the distribution function and the parameters of the distribution is maximized. And the following.

本発明によれば、機器に設定可能なルール数が限られている場合に、検知率を大幅に低下させることなくルール数を削減したブラックリストを生成することができる。   According to the present invention, when the number of rules that can be set for a device is limited, it is possible to generate a blacklist in which the number of rules is reduced without significantly lowering the detection rate.

図1は、第1の実施形態に係るブラックリスト設定装置の構成の一例を示す図である。FIG. 1 is a diagram illustrating an example of a configuration of a blacklist setting device according to the first embodiment. 図2は、第1の実施形態に係るブラックリスト設定装置による処理の概要を説明するための図である。FIG. 2 is a diagram for explaining an outline of a process performed by the blacklist setting device according to the first embodiment. 図3は、第1の実施形態に係るブラックリスト設定装置による分布のパラメータの計算について説明するための図である。FIG. 3 is a diagram for explaining calculation of distribution parameters by the blacklist setting device according to the first embodiment. 図4は、第1の実施形態に係るブラックリスト設定装置によるIPアドレスの選択について説明するための図である。FIG. 4 is a diagram for describing selection of an IP address by the blacklist setting device according to the first embodiment. 図5は、第1の実施形態に係るブラックリスト設定装置の処理の流れを示すフローチャートである。FIG. 5 is a flowchart illustrating a flow of processing of the blacklist setting device according to the first embodiment. 図6は、ブラックリスト設定プログラムを実行するコンピュータの一例を示す図である。FIG. 6 is a diagram illustrating an example of a computer that executes a blacklist setting program.

以下に、本願に係るブラックリスト設定装置、ブラックリスト設定方法及びブラックリスト設定プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。   Hereinafter, embodiments of a blacklist setting device, a blacklist setting method, and a blacklist setting program according to the present application will be described in detail with reference to the drawings. Note that the present invention is not limited by the embodiments described below.

[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係るブラックリスト設定装置の構成について説明する。図1は、第1の実施形態に係るブラックリスト設定装置の構成の一例を示す図である。図1に示すように、ブラックリスト設定装置10は、入出力部11、通信部12、記憶部13及び制御部14を有する。
[Configuration of First Embodiment]
First, the configuration of the blacklist setting device according to the first embodiment will be described with reference to FIG. FIG. 1 is a diagram illustrating an example of a configuration of a blacklist setting device according to the first embodiment. As shown in FIG. 1, the blacklist setting device 10 includes an input / output unit 11, a communication unit 12, a storage unit 13, and a control unit 14.

入出力部11は、ユーザからのデータの入力を受け付け、及びデータの出力を行う。マウスやキーボード等の入力装置、及びディスプレイやタッチパネル等の表示装置を含む。通信部12は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部12はNIC(Network Interface Card)である。   The input / output unit 11 receives data input from a user and outputs data. It includes input devices such as a mouse and a keyboard, and display devices such as a display and a touch panel. The communication unit 12 performs data communication with another device via a network. For example, the communication unit 12 is a NIC (Network Interface Card).

記憶部13は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部13は、ブラックリスト設定装置10で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部13は、プログラムの実行で用いられる各種情報を記憶する。   The storage unit 13 is a storage device such as a hard disk drive (HDD), a solid state drive (SSD), and an optical disk. The storage unit 13 may be a rewritable semiconductor memory such as a random access memory (RAM), a flash memory, or a non-volatile random access memory (NVSRAM). The storage unit 13 stores an OS (Operating System) executed by the blacklist setting device 10 and various programs. Further, the storage unit 13 stores various information used in executing the program.

制御部14は、ブラックリスト設定装置10全体を制御する。制御部14は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部14は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部14は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部14は、取得部141、計算部142、選択部143及び生成部144を有する。   The control unit 14 controls the entire blacklist setting device 10. The control unit 14 is, for example, an electronic circuit such as a CPU (Central Processing Unit) or an MPU (Micro Processing Unit), or an integrated circuit such as an ASIC (Application Specific Integrated Circuit) or an FPGA (Field Programmable Gate Array). Further, the control unit 14 has an internal memory for storing programs and control data defining various processing procedures, and executes each process using the internal memory. The control unit 14 also functions as various processing units when various programs operate. For example, the control unit 14 includes an acquisition unit 141, a calculation unit 142, a selection unit 143, and a generation unit 144.

[処理の概要]
ここで、図2を用いて、ブラックリスト設定装置10の処理の概要を説明する。図2は、第1の実施形態に係るブラックリスト設定装置による処理の概要を説明するための図である。図2に示すように、ブラックリスト設定装置10は、まず、攻撃情報100aを取得する。攻撃情報100aは、例えば、インターネット経由で到達する攻撃に関する情報を収集する攻撃観測装置によって収集された情報である。
[Overview of processing]
Here, the outline of the processing of the blacklist setting device 10 will be described with reference to FIG. FIG. 2 is a diagram for explaining an outline of a process performed by the blacklist setting device according to the first embodiment. As shown in FIG. 2, the blacklist setting device 10 first obtains attack information 100a. The attack information 100a is, for example, information collected by an attack observation device that collects information on an attack arriving via the Internet.

攻撃情報には、少なくとも、攻撃種別、ユニークIP数、攻撃総数が含まれる。攻撃種別は、攻撃を識別し分類するための情報である。攻撃種別は、「shell」、「SQL」、「samba」といった名称であってもよい。ユニークIP数は、攻撃種別ごとの攻撃元のIPアドレスの数を、重複なく数えたものである。攻撃総数は、攻撃種別ごとの攻撃の回数である。攻撃情報100aには、例えば、攻撃種別が1のユニークIP数が「x」、攻撃総数が「X」であることが記載されている。以降の説明では、攻撃元のIPアドレスを単にIPアドレスとよぶ場合がある。   The attack information includes at least the attack type, the number of unique IPs, and the total number of attacks. The attack type is information for identifying and classifying an attack. The attack type may be a name such as "shell", "SQL", or "samba". The number of unique IPs is obtained by counting the number of attack source IP addresses for each attack type without duplication. The total number of attacks is the number of attacks for each attack type. The attack information 100a describes, for example, that the number of unique IPs with an attack type of 1 is “x” and the total number of attacks is “X”. In the following description, the IP address of the attack source may be simply referred to as an IP address.

次に、グラフ200aに示すように、ブラックリスト設定装置10は、IPアドレスごとの攻撃総数の分布を、攻撃種別ごとに分布関数で表す。例えば、ブラックリスト設定装置10は、対応する攻撃回数が多い順にIPアドレスをソートしたものをゼータ分布とみなし、ゼータ分布のパラメータを計算する。   Next, as shown in the graph 200a, the blacklist setting device 10 expresses the distribution of the total number of attacks for each IP address by a distribution function for each attack type. For example, the blacklist setting device 10 regards the IP addresses sorted in descending order of the number of corresponding attacks as a zeta distribution, and calculates parameters of the zeta distribution.

さらに、ブラックリスト設定装置10は、所定の制約条件のもと、防御の効果を最大化するようなIPアドレスの組み合わせを、分布関数を用いて行った計算の結果に基づいて選択する。例えば、グラフ300aに示すように、ブラックリスト設定装置10は、攻撃種別1のIPアドレスをa件選択し、攻撃種別2のIPアドレスをb件選択し、攻撃種別3のIPアドレスをc件選択する。このとき、選択可能なIPアドレスをN件とすると、制約条件a+b+c=Nのもと、a/x+b/y+c/zを最大化することで、防御の効果を最大化するようなIPアドレスの組み合わせを選択することができる。   Further, the blacklist setting device 10 selects a combination of IP addresses that maximizes the effect of the protection based on the result of the calculation performed using the distribution function under a predetermined constraint condition. For example, as shown in the graph 300a, the blacklist setting device 10 selects a IP address of the attack type 1, selects b IP addresses of the attack type 2, and selects c IP addresses of the attack type 3 I do. At this time, assuming that the number of IP addresses that can be selected is N, a combination of IP addresses that maximizes the effect of defense by maximizing a / x + b / y + c / z under the constraint condition a + b + c = N Can be selected.

[分布のパラメータの計算]
図3を用いて、ブラックリスト設定装置10による分布のパラメータの計算について説明する。図3は、第1の実施形態に係るブラックリスト設定装置による分布のパラメータの計算について説明するための図である。
[Calculation of distribution parameters]
The calculation of distribution parameters by the blacklist setting device 10 will be described with reference to FIG. FIG. 3 is a diagram for explaining calculation of distribution parameters by the blacklist setting device according to the first embodiment.

まず、取得部141は、インターネット上で観測されたサイバー攻撃についての、攻撃種別及び攻撃元のIPアドレスごとの攻撃回数を取得する。図3に示すように、取得部141は、IPアドレス、攻撃種別、及び攻撃回数が掲載された攻撃情報100を取得する。取得部141は、取得した攻撃情報の攻撃回数を、攻撃種別及びIPアドレスごとに集計することができる。また、取得部141は、攻撃種別及びIPアドレスごとに集計済みの攻撃回数を攻撃情報100として取得してもよい。   First, the obtaining unit 141 obtains, for a cyber attack observed on the Internet, an attack type and the number of attacks for each attack source IP address. As shown in FIG. 3, the acquisition unit 141 acquires the attack information 100 in which the IP address, the attack type, and the number of attacks are described. The acquisition unit 141 can count the number of attacks of the acquired attack information for each attack type and IP address. Further, the acquiring unit 141 may acquire, as the attack information 100, the number of attacks that have been counted for each attack type and IP address.

また、攻撃情報100は、1回の攻撃ごとの、攻撃種別、IPアドレス、及び情報の到達時刻が掲載された情報を攻撃情報100として取得してもよい。この場合、取得部141は、到達時間を基に、所定期間における攻撃種別及びIPアドレスごとの攻撃回数を集計する。   Further, the attack information 100 may acquire, as the attack information 100, information in which an attack type, an IP address, and an arrival time of the information are listed for each attack. In this case, the acquisition unit 141 totalizes the attack types and the number of attacks for each IP address during a predetermined period based on the arrival time.

計算部142は、攻撃元のIPアドレスごとの攻撃回数の分布を、攻撃種別のそれぞれについて所定の分布関数で表した場合の、当該分布関数の分布のパラメータを計算する。本実施形態では、計算部142は、攻撃元のIPアドレスを攻撃回数が多い順に並べた分布をゼータ分布で表した場合の、当該ゼータ分布のパラメータを計算する。なお、計算部142で用いられる分布はゼータ分布に限らず、指数分布等であってもよい。   The calculation unit 142 calculates distribution parameters of the distribution function when the distribution of the number of attacks for each IP address of the attack source is represented by a predetermined distribution function for each attack type. In the present embodiment, the calculation unit 142 calculates the parameters of the zeta distribution when the distribution in which the IP addresses of attack sources are arranged in descending order of the number of attacks is represented by a zeta distribution. Note that the distribution used in the calculation unit 142 is not limited to the zeta distribution, and may be an exponential distribution or the like.

ここで、攻撃回数が多い順に攻撃元のIPアドレスをソートした場合、攻撃元のIPアドレスと攻撃回数との関係は、べき乗則の一部であるジップの法則に近似できる場合がある。このため、計算部142は、IPアドレスごとの攻撃回数がべき乗則に従うと仮定する。つまり、計算部142は、i番目に攻撃回数が多いIPアドレスの攻撃回数が、最も攻撃回数が多いIPアドレスの攻撃回数の1/iになると仮定する。 Here, when the IP addresses of the attack source are sorted in descending order of the number of attacks, the relationship between the IP address of the attack source and the number of attacks may be approximated to Zip's law which is a part of the power law. Therefore, calculation unit 142 assumes that the number of attacks for each IP address follows a power law. In other words, calculation unit 142 assumes that i-th number of attacks number of attacks often IP address becomes the 1 / i k of number of attacks most number of attacks often IP address.

そこで、まず、計算部142は、グラフ201に示すように、対応する攻撃回数が多い順にIPアドレスをソートする。グラフ201は、例えば、攻撃種別1の攻撃回数が最も多かったIPアドレスがIP1であり、二番目に多かったIPアドレスがIP2であることを示している。そして、べき乗則に従うデータは、確率分布としてはゼータ分布に従うことから、計算部142は、グラフ301に示すように、ソート済みのIPアドレスと攻撃回数との関係をゼータ分布とみなす。   Therefore, first, as shown in the graph 201, the calculation unit 142 sorts the IP addresses in descending order of the number of corresponding attacks. The graph 201 indicates that, for example, the IP address having the highest number of attacks of attack type 1 is IP1, and the IP address having the second highest number of attacks is IP2. Since the data according to the power law follows the zeta distribution as the probability distribution, the calculation unit 142 regards the relationship between the sorted IP addresses and the number of attacks as the zeta distribution as shown in the graph 301.

ここで、べき乗則に従うデータからn件のデータを取得した場合に、そのデータが全体のデータに占める割合は、全体のデータが十分に大きい場合に、ゼータ分布の累積分布関数を使って、式(1)に近似される。また、計算部142は、攻撃情報100等に基づいて、既知のパラメータ計算手法により、攻撃種別ごとのゼータ分布のパラメータkを計算することができる。   Here, when n pieces of data are obtained from data that obeys the power law, the ratio of the data to the entire data is calculated by using the cumulative distribution function of the zeta distribution when the entire data is sufficiently large. It is approximated by (1). Further, the calculation unit 142 can calculate the parameter k of the zeta distribution for each attack type by a known parameter calculation method based on the attack information 100 and the like.

Figure 0006652525
Figure 0006652525

また、ζ(k)は、リーマンのゼータ関数であり、式(2)で表される。   Ζ (k) is the Riemann zeta function and is expressed by equation (2).

Figure 0006652525
Figure 0006652525

[IPアドレスの選択]
図4を用いて、ブラックリスト設定装置10によるIPアドレスの選択について説明する。図4は、第1の実施形態に係るブラックリスト設定装置によるIPアドレスの選択について説明するための図である。
[Select IP address]
The selection of an IP address by the blacklist setting device 10 will be described with reference to FIG. FIG. 4 is a diagram for describing selection of an IP address by the blacklist setting device according to the first embodiment.

選択部143は、選択可能なIPアドレスの数が所定の上限値以下であるという制約条件のもと、分布関数及び分布のパラメータを基に予測されるサイバー攻撃に対する検知率が最大化されるように、ブラックリストに設定するIPアドレスを攻撃元のIPアドレスから選択する。本実施形態では、選択部143は、攻撃種別のそれぞれに対する検知率が最大化されるように、ブラックリストに設定するIPアドレスを選択する。 The selection unit 143 maximizes the detection rate for a cyber attack predicted based on the distribution function and the distribution parameters under the constraint that the number of selectable IP addresses is equal to or less than a predetermined upper limit. Next, the IP address to be set in the blacklist is selected from the attacking IP addresses. In the present embodiment, the selection unit 143, the detection rate against each attack type is to be maximized, selecting the IP address set in the blacklist.

ここで、Sをブラックリストに掲載なIPアドレスの上限とし、選択部143が、攻撃種別1のIPアドレスから攻撃回数の上位p件、攻撃種別2のIPアドレスから攻撃回数の上位q件、攻撃種別3のIPアドレスから攻撃回数の上位r件のIPアドレスを選択することを考える。   Here, S is the upper limit of the IP addresses on the blacklist, and the selecting unit 143 determines that the top p items of the number of attacks from the IP address of attack type 1, the top q items of the number of attacks from the IP address of attack type 2, Consider selecting the top r IP addresses with the highest number of attacks from type 3 IP addresses.

このとき、選択部143は、f(p,q,r)を最大化するようなp、q、rを計算する。ここで、計算部142は、攻撃種別1の分布のパラメータを1.52、攻撃種別2の分布のパラメータを1.01、攻撃種別3の分布のパラメータを1.30と計算したとする。f(p,q,r)は、式(3)のように表される At this time, the selection unit 143 calculates p, q, and r that maximize f (p, q, r). Here, it is assumed that the calculation unit 142 calculates the distribution parameter of the attack type 1 as 1.52, the distribution parameter of the attack type 2 as 1.01, and the distribution parameter of the attack type 3 as 1.30. f (p, q, r) is represented as in equation (3) .

Figure 0006652525
Figure 0006652525

また、このとき、選択部143は、Sをブラックリストに掲載なIPアドレスの上限とし、式(4)を制約条件とする。   At this time, the selecting unit 143 sets S as the upper limit of the IP addresses on the blacklist, and sets Expression (4) as a constraint.

Figure 0006652525
Figure 0006652525

選択部143は、式(4)を制約条件とする式(3)の最大化をラグランジュ未定乗数法を用いて解くことができる。この場合のラグランジュ未定乗数法は、式(5−1)、式(5−2)、式(5−3)及び式(5−4)のように表される。   The selecting unit 143 can solve the maximization of Expression (3) using Expression (4) as a constraint condition using the Lagrange undetermined multiplier method. The Lagrange undetermined multiplier method in this case is represented by Expression (5-1), Expression (5-2), Expression (5-3), and Expression (5-4).

Figure 0006652525
Figure 0006652525

ここで、式(5−4)は、式(6)のように表される。   Here, equation (5-4) is expressed as equation (6).

Figure 0006652525
Figure 0006652525

また、総和で表されている項を積分に置き換えると、式(6)は式(7)のように表される。   In addition, when the term represented by the sum is replaced by integration, Expression (6) is expressed as Expression (7).

Figure 0006652525
Figure 0006652525

この置き換えは、式(8−1)の後退差分が、式(8−2)の微分に等しいことに基づいている。   This replacement is based on the fact that the backward difference of equation (8-1) is equal to the derivative of equation (8-2).

Figure 0006652525
Figure 0006652525

式(9−1)から式(9−5)のように偏微分の計算を行うことで、λはpを使って式(9−6)のように表される。   Calculating the partial differential from Expression (9-1) to Expression (9-5), λ is expressed as Expression (9-6) using p.

Figure 0006652525
Figure 0006652525

q及びrについても同様の計算を行うと、λは、式(10)のようになる。   When the same calculation is performed for q and r, λ becomes as shown in Expression (10).

Figure 0006652525
Figure 0006652525

また、式(10)は、式(11)のように変形することができる。式(11)は、p+q+rを一定に保ったときに、攻撃のカバー率を最大にするような、p、q、rの関係式である。   Equation (10) can be modified as in equation (11). Equation (11) is a relational expression of p, q, and r that maximizes the attack coverage when p + q + r is kept constant.

Figure 0006652525
Figure 0006652525

式(12−1)及び式(12−2)の計算により、λを使ってpを式(12−3)のように表すことができる。   By calculation of Expressions (12-1) and (12-2), p can be expressed as Expression (12-3) using λ.

Figure 0006652525
Figure 0006652525

同様に、λを使って、q及びrを、それぞれ式(13−1)及び式(13−2)のように表すことができる。   Similarly, using λ, q and r can be expressed as in equations (13-1) and (13-2), respectively.

Figure 0006652525
Figure 0006652525

これより、式(14−1)は、式(14−2)のように表すことができる。ここで、式(14−2)におけるλを、Sを用いて表すことができれば、本最大化問題を解くことができる。   Thus, equation (14-1) can be expressed as equation (14-2). Here, if λ in Expression (14-2) can be expressed by using S, this maximization problem can be solved.

Figure 0006652525
Figure 0006652525

式(14−2)におけるλを、Sを用いて表す方法としては、式(15)のように、p、q、rのいずれか1つを固定して、残りの2つを計算する方法がある。   As a method of expressing λ in Expression (14-2) using S, a method of fixing one of p, q, and r and calculating the remaining two as in Expression (15) There is.

Figure 0006652525
Figure 0006652525

また、式(14−2)におけるλを、Sを用いて表すその他の方法としては、f´(λ)=0の計算が容易であることから、式(16)のようにニュートン法を用いて数値的にf(λ)=0の解を計算する方法がある。   Further, as another method of expressing λ in Expression (14-2) using S, the calculation of f ′ (λ) = 0 is easy, and the Newton method is used as in Expression (16). There is a method of numerically calculating a solution of f (λ) = 0.

Figure 0006652525
Figure 0006652525

ここで、式(15)において、pを固定した場合、p、q及びrについてのゼータ関数の値は、それぞれ式(17−1)、式(17−2)及び式(17−3)で表されるので、q及びrをpを使って表すと、それぞれ式(18−1)及び式(18−2)のようになる。なお、この場合、pを500件に固定すると、qは301件、rは1021件となる。   Here, in Equation (15), when p is fixed, the values of the zeta function for p, q, and r are expressed by Equations (17-1), (17-2), and (17-3), respectively. Therefore, if q and r are represented using p, they are as shown in Expression (18-1) and Expression (18-2), respectively. In this case, if p is fixed to 500, q becomes 301 and r becomes 1021.

Figure 0006652525
Figure 0006652525

Figure 0006652525
Figure 0006652525

これにより、選択部143は、図4のグラフ301及び302に基づいて、グラフ401及びグラフ402に示すように、IPアドレスを選択する。例えば、グラフ401に示すように、選択部143は、攻撃種別1について、IPアドレスIP1、IP2、IP3、IP4及びIP5を選択する。また、グラフ402に示すように、選択部143は、攻撃種別2について、IPアドレスIP8及びIP9を選択する。   Thus, the selection unit 143 selects an IP address based on the graphs 301 and 302 in FIG. For example, as shown in the graph 401, the selecting unit 143 selects the IP addresses IP1, IP2, IP3, IP4, and IP5 for the attack type 1. As shown in the graph 402, the selecting unit 143 selects the IP addresses IP8 and IP9 for the attack type 2.

また、生成部144は、選択部143によって選択されたIPアドレスを掲載したブラックリスト500を生成する。このとき、ブラックリスト500による、攻撃種別1の攻撃の予測カバー率は60%であり、攻撃種別2の攻撃の予測カバー率は40%であり、攻撃種別全体の予測平均カバー率は50%である。なお、カバー率は、ブラックリスト500によって検知可能であることが推定される攻撃数の、攻撃数全体に対する割合であり、検知率ということができる。   Further, the generation unit 144 generates a blacklist 500 listing the IP addresses selected by the selection unit 143. At this time, the predicted coverage of the attack of the attack type 1 according to the blacklist 500 is 60%, the predicted coverage of the attack of the attack type 2 is 40%, and the predicted average coverage of the entire attack type is 50%. is there. The cover rate is a ratio of the number of attacks estimated to be detectable by the blacklist 500 to the total number of attacks, and can be referred to as a detection rate.

[第1の実施形態の処理]
図5を用いて、ブラックリスト設定装置10の処理の流れについて説明する。図5は、第1の実施形態に係るブラックリスト設定装置の処理の流れを示すフローチャートである。
[Processing of First Embodiment]
The flow of processing of the blacklist setting device 10 will be described with reference to FIG. FIG. 5 is a flowchart illustrating a flow of processing of the blacklist setting device according to the first embodiment.

図5に示すように、まず、取得部141は、攻撃情報を取得する(ステップS101)。攻撃情報は、例えば、攻撃観測装置によって収集された情報である。攻撃情報は、例えば攻撃種別、攻撃元のIPアドレス、及び攻撃回数を含む。   As shown in FIG. 5, first, the obtaining unit 141 obtains attack information (step S101). The attack information is, for example, information collected by an attack observation device. The attack information includes, for example, an attack type, an attack source IP address, and the number of attacks.

次に、計算部142は、攻撃種別ごとの攻撃回数の分布のパラメータを計算する(ステップS102)。計算部142は、例えば、攻撃種別ごとの攻撃回数の分布をゼータ分布で表し、ゼータ分布のパラメータを計算する。   Next, the calculation unit 142 calculates a parameter of the distribution of the number of attacks for each attack type (step S102). The calculation unit 142 represents, for example, the distribution of the number of attacks for each attack type as a zeta distribution, and calculates parameters of the zeta distribution.

そして、選択部143は、攻撃種別のそれぞれに対する検知率が最大化されるようにIPアドレスを選択する(ステップS103)。選択部143は、例えば、選択可能なIPアドレスの上限数を制約条件とし、攻撃種別ごとのゼータ分布の累積分布関数の合計を最大化することにより選択するIPアドレスを決定することができる。 Then, the selection unit 143 selects an IP address such that the detection rate for each of the attack types is maximized (Step S103). The selecting unit 143 can determine the IP address to be selected by maximizing the sum of the cumulative distribution functions of the zeta distribution for each attack type, with the upper limit number of selectable IP addresses as a constraint, for example.

そして、生成部144は、選択部143によって選択されたIPアドレスを基にブラックリストを生成する(ステップS104)。例えば、生成部144によって生成されたブラックリストには、選択部143によって選択されたIPアドレスが掲載される。   Then, the generation unit 144 generates a blacklist based on the IP address selected by the selection unit 143 (Step S104). For example, the IP address selected by the selection unit 143 is listed in the blacklist generated by the generation unit 144.

[第1の実施形態の効果]
取得部141は、インターネット上で観測されたサイバー攻撃についての、攻撃種別及び攻撃元のIPアドレスごとの攻撃回数を取得する。また、計算部142は、攻撃元のIPアドレスごとの攻撃回数の分布を、攻撃種別のそれぞれについて所定の分布関数で表した場合の、当該分布関数のパラメータを計算する。また、選択部143は、選択可能なIPアドレスの数が所定の上限値以下であるという制約条件のもと、分布関数及び分布のパラメータを基に予測されるサイバー攻撃に対する検知率が最大化されるように、ブラックリストに設定するIPアドレスを攻撃元のIPアドレスから選択する。このように、本実施形態では、IPアドレスごとの攻撃回数の分布を分布関数で表すため、生成されるブラックリストの検知率等を容易に予測することができる。また、本実施形態では、ブラックリストに設定可能なIPアドレスの上限数を制約条件として、攻撃種別ごとの検知率を最大化するため、機器に設定可能なルール数が限られている場合であっても、検知率を大幅に低下させることなくルール数を削減することができる。
[Effect of First Embodiment]
The acquisition unit 141 acquires an attack type and the number of attacks per IP address of an attack source regarding a cyber attack observed on the Internet. Further, the calculation unit 142 calculates the parameters of the distribution function when the distribution of the number of attacks for each IP address of the attack source is represented by a predetermined distribution function for each of the attack types. Further, under the constraint that the number of selectable IP addresses is equal to or less than a predetermined upper limit, the selection unit 143 maximizes the detection rate for a cyber attack predicted based on the distribution function and the parameters of the distribution. As described above, the IP address to be set in the black list is selected from the IP addresses of the attack sources. As described above, in the present embodiment, since the distribution of the number of attacks for each IP address is represented by the distribution function, the detection rate of the generated blacklist can be easily predicted. Also, in the present embodiment, the maximum number of IP addresses that can be set in the blacklist is set as a constraint, and the detection rate for each attack type is maximized, so that the number of rules that can be set for the device is limited. However, the number of rules can be reduced without significantly lowering the detection rate.

計算部142は、攻撃元のIPアドレスを攻撃回数が多い順に並べた分布をゼータ分布で表した場合の、当該ゼータ分布のパラメータを計算する。これにより、検知率の最大化を、ラグランジュ未定乗数法を用いて解くことができる。   The calculation unit 142 calculates the parameters of the zeta distribution when the distribution in which the attacking IP addresses are arranged in descending order of the number of attacks is represented by a zeta distribution. Thus, the maximization of the detection rate can be solved by using the Lagrange undetermined multiplier method.

選択部143は、攻撃種別のそれぞれに対する検知率が最大化されるように、ブラックリストに設定するIPアドレスを選択する。サイバー攻撃の攻撃種別は複数存在し、また攻撃種別ごとに脅威度や攻撃頻度が大きく異なる。このため、ブラックリストは、観測された攻撃回数が少ない攻撃種別の攻撃についても、高い検知率を持つことが望ましい。本実施形態によれば、攻撃種別ごとの検知率を等しい重みで平均することができるため、攻撃種別ごとに検知率の偏りのないブラックリストを生成することができる。 Selecting unit 143, the detection rate against each attack type is to be maximized, selecting the IP address set in the blacklist. There are a plurality of types of cyber attacks, and the degree of threat and the frequency of attacks vary greatly for each type of attack. For this reason, it is desirable that the blacklist has a high detection rate even for attacks of the attack type in which the observed number of attacks is small. According to this embodiment, since the detection rates for each attack type can be averaged with equal weights, it is possible to generate a blacklist in which the detection rates are not biased for each attack type.

[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[System configuration, etc.]
Each component of each device illustrated is a functional concept and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed / arbitrarily divided into arbitrary units according to various loads and usage conditions. Can be integrated and configured. Further, all or any part of each processing function performed by each device can be realized by a CPU and a program analyzed and executed by the CPU, or can be realized as hardware by wired logic.

また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。   Further, of the processes described in the present embodiment, all or a part of the processes described as being performed automatically can be manually performed, or the processes described as being performed manually can be performed. All or part can be performed automatically by a known method. In addition, the processing procedures, control procedures, specific names, and information including various data and parameters shown in the above documents and drawings can be arbitrarily changed unless otherwise specified.

[プログラム]
一実施形態として、ブラックリスト設定装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記のブラックリストの生成を実行するブラックリスト設定プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のブラックリスト設定プログラムを情報処理装置に実行させることにより、情報処理装置をブラックリスト設定装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
[program]
As one embodiment, the blacklist setting device 10 can be implemented by installing a blacklist setting program for executing the above blacklist generation as package software or online software on a desired computer. For example, by causing the information processing apparatus to execute the above blacklist setting program, the information processing apparatus can function as the blacklist setting apparatus 10. The information processing apparatus referred to here includes a desktop or notebook personal computer. In addition, the information processing apparatus includes mobile communication terminals such as a smartphone, a mobile phone, and a PHS (Personal Handyphone System), and a slate terminal such as a PDA (Personal Digital Assistant).

また、ブラックリスト設定装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記のブラックリストの生成に関するサービスを提供する生成サーバ装置として実装することもできる。例えば、生成サーバ装置は、攻撃情報を入力とし、ブラックリストを出力とする生成サービスを提供するサーバ装置として実装される。この場合、生成サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記のブラックリストの生成に関するサービスを提供するクラウドとして実装することとしてもかまわない。   In addition, the blacklist setting device 10 may be implemented as a generation server device that provides a terminal device used by a user as a client and provides the client with a service related to the generation of the blacklist. For example, the generation server device is implemented as a server device that provides a generation service that receives attack information as input and outputs a blacklist. In this case, the generation server device may be implemented as a Web server, or may be implemented as a cloud that provides a service related to the above blacklist generation by outsourcing.

図6は、ブラックリスト設定プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。   FIG. 6 is a diagram illustrating an example of a computer that executes a blacklist setting program. The computer 1000 has, for example, a memory 1010 and a CPU 1020. The computer 1000 has a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network interface 1070. These components are connected by a bus 1080.

メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。   The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM 1012. The ROM 1011 stores, for example, a boot program such as a BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1090. The disk drive interface 1040 is connected to the disk drive 1100. For example, a removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1100. The serial port interface 1050 is connected to, for example, a mouse 1110 and a keyboard 1120. The video adapter 1060 is connected to the display 1130, for example.

ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、ブラックリスト設定装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、ブラックリスト設定装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。   The hard disk drive 1090 stores, for example, the OS 1091, the application program 1092, the program module 1093, and the program data 1094. That is, a program that defines each process of the blacklist setting device 10 is implemented as a program module 1093 in which codes executable by a computer are described. The program module 1093 is stored in, for example, the hard disk drive 1090. For example, a program module 1093 for executing the same processing as the functional configuration of the blacklist setting device 10 is stored in the hard disk drive 1090. Note that the hard disk drive 1090 may be replaced by an SSD.

また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。   The setting data used in the processing of the above-described embodiment is stored as the program data 1094 in, for example, the memory 1010 or the hard disk drive 1090. Then, the CPU 1020 reads out the program module 1093 and the program data 1094 stored in the memory 1010 and the hard disk drive 1090 to the RAM 1012 as needed, and executes them.

なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。   The program module 1093 and the program data 1094 are not limited to being stored in the hard disk drive 1090, but may be stored in, for example, a removable storage medium and read out by the CPU 1020 via the disk drive 1100 or the like. Alternatively, the program module 1093 and the program data 1094 may be stored in another computer connected via a network (LAN (Local Area Network), WAN (Wide Area Network), or the like). Then, the program module 1093 and the program data 1094 may be read from another computer by the CPU 1020 via the network interface 1070.

10 ブラックリスト設定装置
11 入出力部
12 通信部
13 記憶部
14 制御部
141 取得部
142 計算部
143 選択部
144 生成部
Reference Signs List 10 blacklist setting device 11 input / output unit 12 communication unit 13 storage unit 14 control unit 141 acquisition unit 142 calculation unit 143 selection unit 144 generation unit

Claims (4)

インターネット上で観測されたサイバー攻撃についての、攻撃種別及び攻撃元のIPアドレスごとの攻撃回数を取得する取得部と、
前記攻撃元のIPアドレスごとの前記攻撃回数の分布を、前記攻撃種別のそれぞれについて所定の分布関数で表した場合の、当該分布関数のパラメータを計算する計算部と、
選択可能なIPアドレスの数が所定の上限値以下であるという制約条件のもと、前記分布関数及び前記分布のパラメータを基に計算される検知率であって、攻撃種別のそれぞれに対する検知率が最大化されるように、ブラックリストに設定するIPアドレスを前記攻撃元のIPアドレスから選択する選択部と、
を有することを特徴とするブラックリスト設定装置。
An acquisition unit that acquires the number of attacks for each type of attack and the source IP address of the cyber attack observed on the Internet;
A calculation unit that calculates a parameter of the distribution function when the distribution of the number of attacks for each of the attack source IP addresses is represented by a predetermined distribution function for each of the attack types;
Under the constraint that the number of selectable IP addresses is equal to or less than a predetermined upper limit, the detection rate is a detection rate calculated based on the distribution function and the parameters of the distribution. A selector for selecting an IP address to be set in a blacklist from the IP addresses of the attack sources so as to be maximized;
A blacklist setting device, comprising:
前記計算部は、前記攻撃元のIPアドレスを前記攻撃回数が多い順に並べた分布をゼータ分布で表した場合の、当該ゼータ分布のパラメータを計算することを特徴とする請求項1に記載のブラックリスト設定装置。   The black calculator according to claim 1, wherein the calculation unit calculates a parameter of the zeta distribution when a distribution in which the IP addresses of the attack sources are arranged in descending order of the number of attacks is represented by a zeta distribution. List setting device. ブラックリスト設定装置によって実行されるブラックリスト設定方法であって、
インターネット上で観測されたサイバー攻撃についての、攻撃種別及び攻撃元のIPアドレスごとの攻撃回数を取得する取得工程と、
前記攻撃元のIPアドレスごとの前記攻撃回数の分布を、前記攻撃種別のそれぞれについて所定の分布関数で表した場合の、当該分布関数のパラメータを計算する計算工程と、
選択可能なIPアドレスの数が所定の上限値以下であるという制約条件のもと、前記分布関数及び前記分布のパラメータを基に計算される検知率であって、攻撃種別のそれぞれに対する検知率が最大化されるように、ブラックリストに設定するIPアドレスを前記攻撃元のIPアドレスから選択する選択工程と、
を含んだことを特徴とするブラックリスト設定方法。
A blacklist setting method executed by a blacklist setting device,
An acquisition step of acquiring the number of attacks for each type of attack and the IP address of the attack source for cyber attacks observed on the Internet;
A calculating step of calculating parameters of the distribution function when the distribution of the number of attacks for each IP address of the attack source is represented by a predetermined distribution function for each of the attack types;
Under the constraint that the number of selectable IP addresses is equal to or less than a predetermined upper limit, the detection rate is a detection rate calculated based on the distribution function and the parameters of the distribution. A selecting step of selecting an IP address to be set in a blacklist from the attacking IP addresses so as to be maximized;
A blacklist setting method comprising:
インターネット上で観測されたサイバー攻撃についての、攻撃種別及び攻撃元のIPアドレスごとの攻撃回数を取得する取得ステップと、
前記攻撃元のIPアドレスごとの前記攻撃回数の分布を、前記攻撃種別のそれぞれについて所定の分布関数で表した場合の、当該分布関数のパラメータを計算する計算ステップと、
選択可能なIPアドレスの数が所定の上限値以下であるという制約条件のもと、前記分布関数及び前記分布のパラメータを基に計算される検知率であって、攻撃種別のそれぞれに対する検知率が最大化されるように、ブラックリストに設定するIPアドレスを前記攻撃元のIPアドレスから選択する選択ステップと、
をコンピュータに実行させることを特徴とするブラックリスト設定プログラム。
An acquisition step of acquiring the number of attacks for each type of attack and the IP address of the attack source for cyber attacks observed on the Internet;
A calculating step of calculating parameters of the distribution function when the distribution of the number of attacks for each IP address of the attack source is represented by a predetermined distribution function for each of the attack types;
Under the constraint that the number of selectable IP addresses is equal to or less than a predetermined upper limit, the detection rate is a detection rate calculated based on the distribution function and the parameters of the distribution. A selecting step of selecting an IP address to be set in a blacklist from the IP addresses of the attack sources so as to be maximized;
A blacklist setting program for causing a computer to execute the program.
JP2017117906A 2017-06-15 2017-06-15 Blacklist setting device, blacklist setting method, and blacklist setting program Active JP6652525B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017117906A JP6652525B2 (en) 2017-06-15 2017-06-15 Blacklist setting device, blacklist setting method, and blacklist setting program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017117906A JP6652525B2 (en) 2017-06-15 2017-06-15 Blacklist setting device, blacklist setting method, and blacklist setting program

Publications (2)

Publication Number Publication Date
JP2019004339A JP2019004339A (en) 2019-01-10
JP6652525B2 true JP6652525B2 (en) 2020-02-26

Family

ID=65008117

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017117906A Active JP6652525B2 (en) 2017-06-15 2017-06-15 Blacklist setting device, blacklist setting method, and blacklist setting program

Country Status (1)

Country Link
JP (1) JP6652525B2 (en)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5178573B2 (en) * 2009-02-17 2013-04-10 株式会社Kddi研究所 Communication system and communication method
JP5015279B2 (en) * 2010-02-23 2012-08-29 日本電信電話株式会社 Cause identification system, method, apparatus, and program linked with traffic volume change detection

Also Published As

Publication number Publication date
JP2019004339A (en) 2019-01-10

Similar Documents

Publication Publication Date Title
CA2998749C (en) Systems and methods for security and risk assessment and testing of applications
US20200336503A1 (en) Detecting behavior anomalies of cloud users for outlier actions
US10437648B2 (en) Guided load balancing of graph processing workloads on heterogeneous clusters
JP6499380B2 (en) Log analysis apparatus, log analysis method, and log analysis program
US11563654B2 (en) Detection device and detection method
US10938783B2 (en) Cluster-based determination of signatures for detection of anomalous data traffic
CN113728581B (en) System and method for SIEM rule classification and condition execution
US20240356935A1 (en) Event-based threat detection with weak learner models data signal aggregation
CN115956234A (en) Detection and Handling of Excessive Resource Usage in Distributed Computing Environments
EP3799367B1 (en) Generation device, generation method, and generation program
US10423514B1 (en) Automated classification of mobile app battery consumption using simulation
US11928208B2 (en) Calculation device, calculation method, and calculation program
WO2020175165A1 (en) Identification device and identification program
JP6652525B2 (en) Blacklist setting device, blacklist setting method, and blacklist setting program
JP5885631B2 (en) Attack host behavior analysis apparatus, method and program
JP6487820B2 (en) Risk assessment device, risk assessment method, and risk assessment program
JP7405162B2 (en) Analytical systems, methods and programs
US9741059B1 (en) System and method for managing website scripts
Walkup Mac Malware Detection via Static File Structure Analysis
JP2019174988A (en) Threat information evaluation apparatus, threat information evaluation method and program
Yuvaraj et al. Optimizing best cloud service using the Bayesian personalized ranking framework
WO2025141836A1 (en) Countermeasure assistance device, countermeasure assistance method, and storage medium
Khalid Implementation of load balancing algorithms to evaluate performance degradation factors in cloud computing
CN113051128A (en) Power consumption detection method and device, electronic equipment and storage medium
Ismailov ANALYSIS OF MODELLING RESULTS OF INFORMATION PROTECTION SYSTEM IN DISTRIBUTIVE SERVICE NETWORKS

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181016

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190712

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190723

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190924

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200121

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200123

R150 Certificate of patent or registration of utility model

Ref document number: 6652525

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350