特許
J-GLOBAL ID:201103077009584338
通信ネットワーク監視システム
発明者:
出願人/特許権者:
代理人 (2件):
福地 武雄
, 白川 洋一
公報種別:公開公報
出願番号(国際出願番号):特願2010-059274
公開番号(公開出願番号):特開2011-193343
出願日: 2010年03月16日
公開日(公表日): 2011年09月29日
要約:
【課題】簡易な手法で悪性ホストを検出する。【解決手段】DNS(Domain Name System)サーバ30から、端末装置を特定する第1の情報および第2の情報を受信する受信部11aと、前記受信した第1の情報および第2の情報をデータベースに格納する格納部11bと、前記第1の情報に対応する前記第2の情報の数を算出し、前記第2の情報の数を予め定められた第1の閾値と比較し、前記第2の情報の数が前記第1の閾値よりも大きいときは、前記第2の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第2の閾値と比較する判定部13aと、前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、前記判定部13aは、前記平均生存期間が前記第2の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定する。【選択図】図2
請求項(抜粋):
通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムであって、
DNS(Domain Name System)サーバから、端末装置を特定する第1の情報および第2の情報を受信する受信部と、
前記受信した第1の情報および第2の情報をデータベースに格納する格納部と、
前記第1の情報に対応する前記第2の情報の数を算出し、前記第2の情報の数を予め定められた第1の閾値と比較し、前記第2の情報の数が前記第1の閾値よりも大きいときは、前記第2の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第2の閾値と比較する判定部と、
前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、
前記判定部は、前記平均生存期間が前記第2の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定することを特徴とする通信ネットワーク監視システム。
IPC (1件):
FI (2件):
H04L12/56 400Z
, H04L12/56 B
5K030GA15
, 5K030HA08
, 5K030HD09
, 5K030JA10
, 5K030JT02
, 5K030KA05
, 5K030KA07
, 5K030LC13
, 5K030MA13
, 5K030MB18
, 5K030MC07
, 5K030MD08
