JP7413924B2 - 情報処理装置及び情報処理プログラム - Google Patents
情報処理装置及び情報処理プログラム Download PDFInfo
- Publication number
- JP7413924B2 JP7413924B2 JP2020090226A JP2020090226A JP7413924B2 JP 7413924 B2 JP7413924 B2 JP 7413924B2 JP 2020090226 A JP2020090226 A JP 2020090226A JP 2020090226 A JP2020090226 A JP 2020090226A JP 7413924 B2 JP7413924 B2 JP 7413924B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- destination host
- source terminal
- connection source
- learning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
- G06N3/0442—Recurrent networks, e.g. Hopfield networks characterised by memory or gating, e.g. long short-term memory [LSTM] or gated recurrent units [GRU]
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
- G06N3/0455—Auto-encoder networks; Encoder-decoder networks
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/088—Non-supervised learning, e.g. competitive learning
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/09—Supervised learning
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
- G06F18/2155—Generating training patterns; Bootstrap methods, e.g. bagging or boosting characterised by the incorporation of unlabelled data, e.g. multiple instance learning [MIL], semi-supervised techniques using expectation-maximisation [EM] or naïve labelling
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/50—Safety; Security of things, users, data or systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
請求項2に係る発明は、前記プロセッサは、前記対象接続先ホストの脅威度が脅威度閾値以上となった場合に、前記対象接続元端末から前記対象接続先ホストへの通信が不良通信であると判定し、前記対象接続元端末の通信異常度が大きい程、前記脅威度閾値が小さい、ことを特徴とする請求項1に記載の情報処理装置である。
請求項3に係る発明は、前記プロセッサは、
前記第1学習器が出力した前記対象接続先ホストの脅威度を所定時間保持し、保持した前記対象接続先ホストの脅威度に基づいて、前記対象接続元端末から前記対象接続先ホストへの通信が不良通信であるか否かの判定を間欠的に実行する、ことを特徴とする請求項1又は2に記載の情報処理装置である。
請求項4に係る発明は、前記プロセッサは、第2学習器が出力した前記対象接続元端末の通信異常度を所定時間保持し、保持した前記対象接続元端末の通信異常度に基づいて、前記対象接続元端末から前記対象接続先ホストへの通信が不良通信であるか否かの判定を間欠的に実行する、ことを特徴とする請求項1又は2に記載の情報処理装置である。
請求項5に係る発明は、前記第1学習器は、教師有り学習により学習され、前記第2学習器は、教師無し学習により学習される、ことを特徴とする請求項1から3のいずれか1項に記載の情報処理装置である。
請求項6に係る発明は、コンピュータに、接続先ホストを示す情報及び当該接続先ホストの脅威の有無を学習データとし、接続先ホストを示す情報が入力されたときに当該接続先ホストの脅威度を出力するように学習された第1学習器に対して、対象接続先ホストの情報を入力することで得られた前記対象接続先ホストの脅威度と、接続元端末からの通信の通信履歴を学習データとし、前記接続元端末からの通信の異常度である通信異常度を出力するように学習された第2学習器に対して、対象接続元端末の通信履歴を入力することで得られた前記対象接続元端末の通信異常度と、に基づいて、前記対象接続元端末から前記対象接続先ホストへの通信が不良通信であるか否かを判定断させる、ことを特徴とする情報処理プログラムである。
請求項2に係る発明によれば、対象接続元端末の通信異常度が大きい程、対象接続先ホストの脅威度がより低くても、対象接続元端末から対象接続先ホストへの通信が不良通信であると判定することができる。
請求項3に係る発明によれば、接続元端末から未知の接続先ホストへの通信が不良通信であるか否かを判定する際における、プロセッサ及び学習済みの第1学習器の処理量を低減することができる。
請求項4に係る発明によれば、接続元端末から未知の接続先ホストへの通信が不良通信であるか否かを判定する際における、プロセッサ及び学習済みの第2学習器の処理量を低減することができる。
Claims (6)
- プロセッサを備え、
前記プロセッサは、
接続先ホストを示す情報及び当該接続先ホストの脅威の有無を学習データとし、接続先ホストを示す情報が入力されたときに当該接続先ホストの脅威度を出力するように学習された第1学習器に対して、対象接続先ホストの情報を入力することで得られた前記対象接続先ホストの脅威度と、
接続元端末からの通信の通信履歴を学習データとし、前記接続元端末からの通信の異常度である通信異常度を出力するように学習された第2学習器に対して、対象接続元端末の通信履歴を入力することで得られた前記対象接続元端末の通信異常度と、
に基づいて、前記対象接続元端末から前記対象接続先ホストへの通信が不良通信であるか否かを判定する、
ことを特徴とする情報処理装置。 - 前記プロセッサは、前記対象接続先ホストの脅威度が脅威度閾値以上となった場合に、前記対象接続元端末から前記対象接続先ホストへの通信が不良通信であると判定し、
前記対象接続元端末の通信異常度が大きい程、前記脅威度閾値が小さい、
ことを特徴とする請求項1に記載の情報処理装置。 - 前記プロセッサは、
前記第1学習器が出力した前記対象接続先ホストの脅威度を所定時間保持し、
保持した前記対象接続先ホストの脅威度に基づいて、前記対象接続元端末から前記対象接続先ホストへの通信が不良通信であるか否かの判定を間欠的に実行する、
ことを特徴とする請求項1又は2に記載の情報処理装置。 - 前記プロセッサは、
第2学習器が出力した前記対象接続元端末の通信異常度を所定時間保持し、
保持した前記対象接続元端末の通信異常度に基づいて、前記対象接続元端末から前記対象接続先ホストへの通信が不良通信であるか否かの判定を間欠的に実行する、
ことを特徴とする請求項1又は2に記載の情報処理装置。 - 前記第1学習器は、教師有り学習により学習され、
前記第2学習器は、教師無し学習により学習される、
ことを特徴とする請求項1から3のいずれか1項に記載の情報処理装置。 - コンピュータに、
接続先ホストを示す情報及び当該接続先ホストの脅威の有無を学習データとし、接続先ホストを示す情報が入力されたときに当該接続先ホストの脅威度を出力するように学習された第1学習器に対して、対象接続先ホストの情報を入力することで得られた前記対象接続先ホストの脅威度と、
接続元端末からの通信の通信履歴を学習データとし、前記接続元端末からの通信の異常度である通信異常度を出力するように学習された第2学習器に対して、対象接続元端末の通信履歴を入力することで得られた前記対象接続元端末の通信異常度と、
に基づいて、前記対象接続元端末から前記対象接続先ホストへの通信が不良通信であるか否かを判定断させる、
ことを特徴とする情報処理プログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020090226A JP7413924B2 (ja) | 2020-05-25 | 2020-05-25 | 情報処理装置及び情報処理プログラム |
| US17/120,236 US20210367957A1 (en) | 2020-05-25 | 2020-12-13 | Information processing apparatus and non-transitory computer readable medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020090226A JP7413924B2 (ja) | 2020-05-25 | 2020-05-25 | 情報処理装置及び情報処理プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021185449A JP2021185449A (ja) | 2021-12-09 |
| JP7413924B2 true JP7413924B2 (ja) | 2024-01-16 |
Family
ID=78608565
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020090226A Active JP7413924B2 (ja) | 2020-05-25 | 2020-05-25 | 情報処理装置及び情報処理プログラム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20210367957A1 (ja) |
| JP (1) | JP7413924B2 (ja) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8881281B1 (en) | 2014-05-29 | 2014-11-04 | Singularity Networks, Inc. | Application and network abuse detection with adaptive mitigation utilizing multi-modal intelligence data |
| WO2016140038A1 (ja) | 2015-03-05 | 2016-09-09 | 日本電信電話株式会社 | 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム |
| WO2018008605A1 (ja) | 2016-07-04 | 2018-01-11 | 株式会社Seltech | 人工知能を有するシステム |
| JP2018133004A (ja) | 2017-02-16 | 2018-08-23 | 日本電信電話株式会社 | 異常検知システム及び異常検知方法 |
| WO2018236915A1 (en) | 2017-06-22 | 2018-12-27 | Oracle International Corporation | TECHNIQUES FOR MONITORING PRIVILEGED USERS AND DETECTING ABNORMAL ACTIVITIES IN A COMPUTER ENVIRONMENT |
| JP2019512761A (ja) | 2016-02-23 | 2019-05-16 | エヌチェーン ホールディングス リミテッドNchain Holdings Limited | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム |
| JP2019103069A (ja) | 2017-12-06 | 2019-06-24 | 日本電信電話株式会社 | 特定システム、特定方法及び特定プログラム |
| JP2019133470A (ja) | 2018-01-31 | 2019-08-08 | 株式会社Preferred Networks | 挙動判別方法、挙動判別装置及びプログラム |
| US10581885B1 (en) | 2018-11-28 | 2020-03-03 | Korea Internet & Security Agency | Reinforcement learning method in which discount factor is automatically adjusted |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9525696B2 (en) * | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
| WO2018159362A1 (ja) * | 2017-03-03 | 2018-09-07 | 日本電信電話株式会社 | ログ分析装置、ログ分析方法およびログ分析プログラム |
| US11165800B2 (en) * | 2017-08-28 | 2021-11-02 | Oracle International Corporation | Cloud based security monitoring using unsupervised pattern recognition and deep learning |
| US11310201B2 (en) * | 2018-10-23 | 2022-04-19 | Akamai Technologies, Inc. | Network security system with enhanced traffic analysis based on feedback loop |
-
2020
- 2020-05-25 JP JP2020090226A patent/JP7413924B2/ja active Active
- 2020-12-13 US US17/120,236 patent/US20210367957A1/en not_active Abandoned
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8881281B1 (en) | 2014-05-29 | 2014-11-04 | Singularity Networks, Inc. | Application and network abuse detection with adaptive mitigation utilizing multi-modal intelligence data |
| WO2016140038A1 (ja) | 2015-03-05 | 2016-09-09 | 日本電信電話株式会社 | 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム |
| JP2019512761A (ja) | 2016-02-23 | 2019-05-16 | エヌチェーン ホールディングス リミテッドNchain Holdings Limited | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム |
| WO2018008605A1 (ja) | 2016-07-04 | 2018-01-11 | 株式会社Seltech | 人工知能を有するシステム |
| JP2018133004A (ja) | 2017-02-16 | 2018-08-23 | 日本電信電話株式会社 | 異常検知システム及び異常検知方法 |
| WO2018236915A1 (en) | 2017-06-22 | 2018-12-27 | Oracle International Corporation | TECHNIQUES FOR MONITORING PRIVILEGED USERS AND DETECTING ABNORMAL ACTIVITIES IN A COMPUTER ENVIRONMENT |
| JP2019103069A (ja) | 2017-12-06 | 2019-06-24 | 日本電信電話株式会社 | 特定システム、特定方法及び特定プログラム |
| JP2019133470A (ja) | 2018-01-31 | 2019-08-08 | 株式会社Preferred Networks | 挙動判別方法、挙動判別装置及びプログラム |
| US10581885B1 (en) | 2018-11-28 | 2020-03-03 | Korea Internet & Security Agency | Reinforcement learning method in which discount factor is automatically adjusted |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210367957A1 (en) | 2021-11-25 |
| JP2021185449A (ja) | 2021-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8260914B1 (en) | Detecting DNS fast-flux anomalies | |
| US11606385B2 (en) | Behavioral DNS tunneling identification | |
| RU2495486C1 (ru) | Способ анализа и выявления вредоносных промежуточных узлов в сети | |
| US8516585B2 (en) | System and method for detection of domain-flux botnets and the like | |
| US8205258B1 (en) | Methods and apparatus for detecting web threat infection chains | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| CN111953673B (zh) | 一种dns隐蔽隧道检测方法及系统 | |
| US8516573B1 (en) | Method and apparatus for port scan detection in a network | |
| JP6397932B2 (ja) | エンドポイントからのネットワークリクエストに言語分析を適用するマルウェアに感染しているマシンを識別するためのシステム | |
| CN108270778B (zh) | 一种dns域名异常访问检测方法及装置 | |
| JP6483819B2 (ja) | ドメイン名システムのリソース枯渇攻撃を識別する装置及び方法 | |
| US12483532B2 (en) | Systems and methods for DNS smart access | |
| US12126639B2 (en) | System and method for locating DGA compromised IP addresses | |
| US11750562B2 (en) | System and method for leak prevention for domain name system requests | |
| CN107135238A (zh) | 一种dns反射放大攻击检测方法、装置及系统 | |
| US20240039890A1 (en) | Detecting shadowed domains | |
| CN108111548A (zh) | 一种域名系统攻击检测方法、装置及系统 | |
| US20250358263A1 (en) | System and method for dns tunneling protection | |
| CN105827599A (zh) | 一种基于dns报文深度解析的缓存中毒检测方法及装置 | |
| TWI677209B (zh) | 網名過濾方法 | |
| JP5568344B2 (ja) | 攻撃検出装置、攻撃検出方法、及びプログラム | |
| CN112839005A (zh) | Dns域名异常访问监控方法及装置 | |
| JP7413924B2 (ja) | 情報処理装置及び情報処理プログラム | |
| JP2021189658A (ja) | 情報処理装置及び情報処理プログラム | |
| EP4627765A1 (en) | Strategically aged domain detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230228 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20231115 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231128 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231211 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7413924 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |