-
公开(公告)号:CN107209834A
公开(公告)日:2017-09-26
申请号:CN201680008361.8
申请日:2016-02-03
Applicant: 日本电信电话株式会社
IPC: G06F21/56
Abstract: 恶意通信模式提取装置(10)具备:统计值计算部(132),其由通信量日志(31)和通信量日志(21)计算对于字段及值的组即每个通信模式的出现频度的统计值,该通信量日志(31)是恶意软件所产生的通信量获得的,该通信量日志(21)是由规定的通信环境中的通信量获得的;恶意列表候选提取部(134),其根据通过统计值计算部(132)而计算的统计值,针对每个通信模式,比较通信量日志(21)的出现频度和通信量日志(31)的出现频度,在两者的出现频度之差为规定的阈值以上的情况下,将该通信模式作为恶意通信模式而提取;及阈值设定部(135),其以如下方式设定所述阈值:使错误地检测恶意软件所产生的通信量的概率即误检测率为一定值以下且使检测恶意软件所产生的通信量的概率即检测率为一定值以上。
-
公开(公告)号:CN106105112A
公开(公告)日:2016-11-09
申请号:CN201580013675.2
申请日:2015-03-16
Applicant: 日本电信电话株式会社
Abstract: 一种分析规则调整装置,对用于检测经由网络的非法通信的在通信日志的分析中使用的分析规则进行调整。分析规则调整装置具有日志获取部、日志分析部以及第1解析部。日志获取部获取经由防御对象网络的通信日志和因恶意软件而产生的通信日志。日志分析部根据规定的分析规则和整定条件对日志获取部获取的通信日志进行分析。第1解析部对日志分析部的分析结果进行解析而计算出在规定的分析规则的调整中使用的满足整定条件的整定推荐值。
-
公开(公告)号:CN107251037B
公开(公告)日:2021-02-12
申请号:CN201680010175.8
申请日:2016-02-10
Applicant: 日本电信电话株式会社
IPC: G06F21/56
Abstract: 黑名单生成装置(300)取得恶意通信日志(301a)和正常通信日志(301b)。并且,恶意通信规范提取功能(305)计算恶意通信日志(301a)中包含的通信模式的统计值,将满足规定的条件的通信模式作为黑名单候选(305a)输出。此外,正常通信规范提取功能(306)计算正常通信日志(301b)中包含的通信模式的统计值,将满足规定的条件的通信模式作为白名单(306a)输出。进而,黑名单制作功能(307)通过白名单(306a)的值来检索黑名单候选(305a)的值,将一致的通信模式从黑名单候选(305a)中除去而制作黑名单(307a)。
-
公开(公告)号:CN106105112B
公开(公告)日:2019-08-27
申请号:CN201580013675.2
申请日:2015-03-16
Applicant: 日本电信电话株式会社
Abstract: 一种分析规则调整装置,对用于检测经由网络的非法通信的在通信日志的分析中使用的分析规则进行调整。分析规则调整装置具有日志获取部、日志分析部以及第1解析部。日志获取部获取经由防御对象网络的通信日志和因恶意软件而产生的通信日志。日志分析部根据规定的分析规则和整定条件对日志获取部获取的通信日志进行分析。第1解析部对日志分析部的分析结果进行解析而计算出在规定的分析规则的调整中使用的满足整定条件的整定推荐值。
-
Patent Agency Ranking
公开(公告)号:CN107251037A
公开(公告)日:2017-10-13
申请号:CN201680010175.8
申请日:2016-02-10
Applicant: 日本电信电话株式会社
IPC: G06F21/56
Abstract: 黑名单生成装置(300)取得恶意通信日志(301a)和正常通信日志(301b)。并且,恶意通信规范提取功能(305)计算恶意通信日志(301a)中包含的通信模式的统计值,将满足规定的条件的通信模式作为黑名单候选(305a)输出。此外,正常通信规范提取功能(306)计算正常通信日志(301b)中包含的通信模式的统计值,将满足规定的条件的通信模式作为白名单(306a)输出。进而,黑名单制作功能(307)通过白名单(306a)的值来检索黑名单候选(305a)的值,将一致的通信模式从黑名单候选(305a)中除去而制作黑名单(307a)。
-
公开(公告)号:CN107209834B
公开(公告)日:2020-07-07
申请号:CN201680008361.8
申请日:2016-02-03
Applicant: 日本电信电话株式会社
IPC: G06F21/56
Abstract: 恶意通信模式提取装置(10)具备:统计值计算部(132),其由通信量日志(31)和通信量日志(21)计算对于字段及值的组即每个通信模式的出现频度的统计值,该通信量日志(31)是恶意软件所产生的通信量获得的,该通信量日志(21)是由规定的通信环境中的通信量获得的;恶意列表候选提取部(134),其根据通过统计值计算部(132)而计算的统计值,针对每个通信模式,比较通信量日志(21)的出现频度和通信量日志(31)的出现频度,在两者的出现频度之差为规定的阈值以上的情况下,将该通信模式作为恶意通信模式而提取;及阈值设定部(135),其以如下方式设定所述阈值:使错误地检测恶意软件所产生的通信量的概率即误检测率为一定值以下且使检测恶意软件所产生的通信量的概率即检测率为一定值以上。
-
公开(公告)号:CN107408181B
公开(公告)日:2020-04-07
申请号:CN201680015471.7
申请日:2016-03-08
Applicant: 日本电信电话株式会社
IPC: G06F21/56
Abstract: 检测装置(100)根据针对用于区分监视对象网络的终端或者恶意软件的每个识别符取得的事件,生成按照该事件的发生顺序形成的事件序列。之后,检测装置(100)在相似度在一定程度以上的各事件序列形成的类群中,取出属于同一类群的事件序列之间共同出现的事件,从相似的共同事件序列,提取由出现频度高的事件之间的关系构成的代表事件序列作为检测用事件序列。之后,检测装置(100)基于生成的基于监视对象网络的通信的事件序列和提取的检测用事件序列的匹配,检差出监视对象网络的终端被恶意软件感染。
-
公开(公告)号:CN107408181A
公开(公告)日:2017-11-28
申请号:CN201680015471.7
申请日:2016-03-08
Applicant: 日本电信电话株式会社
IPC: G06F21/56
Abstract: 检测装置(100)根据针对用于区分监视对象网络的终端或者恶意软件的每个识别符取得的事件,生成按照该事件的发生顺序形成的事件序列。之后,检测装置(100)在相似度在一定程度以上的各事件序列形成的类群中,取出属于同一类群的事件序列之间共同出现的事件,从相似的共同事件序列,提取由出现频度高的事件之间的关系构成的代表事件序列作为检测用事件序列。之后,检测装置(100)基于生成的基于监视对象网络的通信的事件序列和提取的检测用事件序列的匹配,检差出监视对象网络的终端被恶意软件感染。
-
公开(公告)号:CN106104550A
公开(公告)日:2016-11-09
申请号:CN201580013640.9
申请日:2015-03-17
Applicant: 日本电信电话株式会社
CPC classification number: H04L63/1425 , G06F21/44 , G06F2221/2119 , H04L12/6418 , H04L63/101 , H04L63/1408 , H04L67/02 , H04W12/06
Abstract: 恶性URL候选提取装置(40)从包含从管理对象网络访问的访问目的地URL的访问日志中提取出排除对已知的恶性URL的访问日志而得到的已知恶性URL排除完毕访问日志。而且,恶性URL候选提取装置(40)创建从已知恶性URL排除完毕访问日志所示出的URL中优先提取源自管理对象网络的访问数少的URL而得到的少用URL列表。另外,恶性URL候选提取装置(40)创建从规定期间内的源自管理对象网络的访问数多的URL开始优先排除的常用URL排除完毕列表。而且,恶性URL候选提取装置(40)输出这些列表作为恶性URL候选列表。
-
-
-
-
-
-
-
-
Search Results
9
records
(took 0.023 seconds)
