特許

J-GLOBAL ID：202003008306847168

探索装置、探索方法及び探索プログラム

発明者： 篠宮 一真 ,  神谷 和憲
出願人/特許権者： 日本電信電話株式会社
代理人 (1件)： 特許業務法人酒井国際特許事務所
公報種別：公開公報
出願番号（国際出願番号）：特願2018-192103
公開番号（公開出願番号）：特開2020-060978
出願日： 2018年10月10日
公開日（公表日）： 2020年04月16日
要約：

【課題】悪性サーバの探索を効率的に行うことが可能な探索装置、探索方法及び探索プログラムを提供する。【解決手段】探索装置は、既知のマルウェアの通信データから、リクエストに対応する第1の通信データと、レスポンスに対応する第2の通信データと、の組み合わせであるフィンガープリントをプロトコル非依存で抽出する。探索装置は、フィンガープリントに対し、マルウェアの悪性度に応じた優先度を付与する。探索装置は、送出先の中から探索対象の送出先を決定する。探索装置は、フィンガープリントの第1の通信データに基づくプローブと、フィンガープリントの第2の通信データのペイロードに基づくシグネチャと、を生成する。探索装置は、探索対象の送出先に対し、優先度に応じた順序でプローブを送出する。探索装置は、レスポンス及びシグネチャを基に送出先が悪性であるか否かを判定する。【選択図】図6

請求項（抜粋）：

既知のマルウェアを実行して得た通信データから、リクエストに対応する第1の通信データと、当該リクエストに対するレスポンスに対応する第2の通信データと、の組み合わせであるフィンガープリントを抽出する抽出部と、 前記フィンガープリントに対し、前記マルウェアの悪性度に応じた優先度を付与する付与部と、 前記フィンガープリントに含まれる前記第1の通信データに基づくリクエストであるプローブと、前記フィンガープリントに含まれる前記第2の通信データに基づくシグネチャと、を生成する生成部と、 送出先の通信に関する情報を基に、前記送出先の中から探索対象の送出先を決定する決定部と、 前記決定部によって決定された探索対象の送出先に対し、前記付与部によって付与された優先度に応じた順序で、前記生成部によって生成されたプローブを送出する送出部と、 前記送出部によって送出されたプローブに対するレスポンスが、前記生成部によって生成されたシグネチャにマッチするか否かを基に、前記探索対象の送出先が悪性であるか否かを判定する判定部と、 を有することを特徴とする探索装置。

IPC (1件)：

G06F 21/56

FI (1件)：

G06F21/56

引用特許：

出願人引用 (3件)

• ブラックリストの管理方法
  公報種別：公開公報   出願番号：特願2015-023423   出願人：株式会社日立システムズ
• ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム
  公報種別：公開公報   出願番号：特願2014-056658   出願人：日本電信電話株式会社
• ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム
  公報種別：公開公報   出願番号：特願2013-109100   出願人：日本電信電話株式会社

引用文献：

出願人引用 (1件)

• 「通信先の悪性判定のための応答シグネチャ生成法の検討」