JP2010009187A - Information processor, information processing system, program, and recording medium - Google Patents

Information processor, information processing system, program, and recording medium Download PDF

Info

Publication number
JP2010009187A
JP2010009187A JP2008165749A JP2008165749A JP2010009187A JP 2010009187 A JP2010009187 A JP 2010009187A JP 2008165749 A JP2008165749 A JP 2008165749A JP 2008165749 A JP2008165749 A JP 2008165749A JP 2010009187 A JP2010009187 A JP 2010009187A
Authority
JP
Japan
Prior art keywords
communication
port number
communication history
time
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008165749A
Other languages
Japanese (ja)
Other versions
JP5119059B2 (en
Inventor
Keisuke Takemori
敬祐 竹森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Research Inc
Original Assignee
KDDI R&D Laboratories Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI R&D Laboratories Inc filed Critical KDDI R&D Laboratories Inc
Priority to JP2008165749A priority Critical patent/JP5119059B2/en
Publication of JP2010009187A publication Critical patent/JP2010009187A/en
Application granted granted Critical
Publication of JP5119059B2 publication Critical patent/JP5119059B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To detect communication to be performed by a bot-infected device with a command server. <P>SOLUTION: An already known information storage part 100 stores a port number to be used for transmitting an attack packet. A communication history storage part 102 stores a communication history including a communication process started when executing communication as the object of monitoring and a port number used by communication by the communication process. A time decision part 107a decides whether or not the creation time or update time of the execution file of the communication processor is included in a prescribed period based on an attack time. A port number decision part 107b decides whether or not the port numbers are matched. A communication history extraction part 107c extracts the communication history including the communication process in which the creation time or update time of the execution file is decided to be included in the prescribed period and the port number decided not to be matched with the port number stored in the already known information storage part 100 from among the communication histories. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、通信に係る情報を処理する情報処理装置および情報処理システムに関する。また、本発明は、情報処理装置としてコンピュータを機能させるためのプログラム、およびそのプログラムを記録した記録媒体にも関する。   The present invention relates to an information processing apparatus and an information processing system for processing information related to communication. The present invention also relates to a program for causing a computer to function as an information processing apparatus, and a recording medium on which the program is recorded.

近年、ウィルスに感染したコンピュータに悪質な動作を実行させる、ボットと呼ばれるウィルスによる被害が拡大している。ボットは、外部の指令サーバに通信セッションを確立して新たなコードをダウンロードする機能や、攻撃のための指令を受ける機能、指令に従って攻撃する機能などを持つ悪意のコードで構成されている。ボットに感染して加害者として攻撃を行うことになった加害者装置や上記の指令サーバを撲滅することは重要であり、被害者装置から通信経路を辿って攻撃元を追跡するIPトレースバック技術が注目されている。   In recent years, damage caused by viruses called bots that cause a computer infected with a virus to perform malicious operations has been increasing. The bot is composed of malicious code having a function of establishing a communication session with an external command server and downloading a new code, a function of receiving a command for an attack, and a function of attacking according to the command. It is important to eradicate the perpetrator device that was infected by the bot and attacked as the perpetrator, and the command server mentioned above, and the IP traceback technology that traces the attack source by tracing the communication path from the victim device Is attracting attention.

IPトレースバックとは、送信元のIPアドレスを詐称して行う攻撃を、パケット中のIPレイヤの情報を用いて追跡する手法である。IPトレースバックの代表的な方式として、通過するパケットのハッシュ値を通信経路上の専用の装置で保存しておき、被害者側に届いた攻撃パケットのハッシュ値を、装置に残された情報から追跡するハッシュ方式がある(非特許文献1,2参照)。   IP traceback is a technique for tracking an attack performed by spoofing a source IP address using information of an IP layer in a packet. As a typical method of IP traceback, the hash value of the passing packet is stored in a dedicated device on the communication path, and the hash value of the attack packet that reaches the victim is determined from the information left in the device. There is a hash method for tracking (see Non-Patent Documents 1 and 2).

この他、ルータを通過するパケットをサンプリングして、パケット情報とルータ情報をICMPパケットに載せて、Destination IP(被害者のIPアドレス)へ送付するICMP方式がある(非特許文献3参照)。また、通過するパケットをサンプリングして、ルーティングに影響のないヘッダ領域にルータ情報を書き込むパケットマーキング方式もあり、被害者側でマーキング情報を組み立てることで、通信経路を追跡することができる(非特許文献4参照)。
Strayer, W. T. Jones, C. E. Tchakountio, F. Snoeren, A. C. Schwartz, B. Clements, R. C. Condell, M. Partridge, “Traceback of single IP packets using SPIE, ” DARPA Information Survivability Conference and Exposition, Proceedings, Vol. 2, pp. 266-270, April 2003. A. C. Snoeren, C. Partridge, L. A. Sanchez, C. E. Jones, F. Tchakountio, S. T. Kent, and W. T. Strayer“Hash-Based IP Traceback,”Proceeding or SIGCOMM ’01, August 2001. Steven Bellovin, and Marcus Leech, Tom Taylor, “ICMP Traceback Messages,” IETF, Internet Draft, draft-ietf-itrace-04.txt, Aug. 2003. D. Song and A Perrig, “Advanced and Authenticated Marking Schemes for IP Traceback,” Proc. of IEEE Inforcom, April, 2001. In addition, there is an ICMP system in which a packet passing through a router is sampled, packet information and router information are placed in an ICMP packet, and sent to Destination IP (victim's IP address) (see Non-Patent Document 3). There is also a packet marking method that samples passing packets and writes router information in a header area that does not affect routing. By assembling the marking information on the victim side, the communication path can be traced (non-patented) Reference 4).
Strayer, WT Jones, CE Tchakountio, F. Snoeren, AC Schwartz, B. Clements, RC Condell, M. Partridge, “Traceback of single IP packets using SPIE,” DARPA Information Survivability Conference and Exposition, Proceedings, Vol. 2, pp 266-270, April 2003. AC Snoeren, C. Partridge, LA Sanchez, CE Jones, F. Tchakountio, ST Kent, and WT Strayer “Hash-Based IP Traceback,” Proceeding or SIGCOMM '01, August 2001. Steven Bellovin, and Marcus Leech, Tom Taylor, “ICMP Traceback Messages,” IETF, Internet Draft, draft-ietf-itrace-04.txt, Aug. 2003. D. Song and A Perrig, “Advanced and Authenticated Marking Schemes for IP Traceback,” Proc. Of IEEE Inforcom, April, 2001.

図4は、ボットによる通信のモデルを示している。ボットによる通信には、攻撃を行う加害者PC(Personal Computer)400,401と、攻撃を受ける被害者PC410,411,412,413と、攻撃コード(実行ファイル)の配信や攻撃指示を行う指令サーバ420,421とが関係している。外部の加害者PC400は、ボットをダウンロードする初期コードを加害者PC401に埋め込む。加害者PC401は、この初期コードに従って指令サーバ420から新たなコードを受信する。さらに、加害者PC401は、指令サーバ421から指令を受け取り、被害者PCに対して各種攻撃を行う。   FIG. 4 shows a model of communication by bots. In the communication by the bot, the perpetrator PCs (Personal Computers) 400 and 401 performing the attack, the victim PCs 410, 411, 412 and 413 subjected to the attack, and the command server for delivering the attack code (executable file) and the attack instruction 420 and 421 are related. The external perpetrator PC 400 embeds an initial code for downloading the bot in the perpetrator PC 401. The perpetrator PC 401 receives a new code from the command server 420 according to the initial code. Further, the perpetrator PC 401 receives a command from the command server 421 and performs various attacks on the victim PC.

本発明者らは、通信プロセスと通信の宛先をモニタするツールを実装し、加害者PCの通信挙動をモニタした。図5はこの様子を示している。加害者PCは初期のコード“^21.tmp.exe”を起動すると、新たにコード“nbin.exe”を取得した(時刻14:06:51)。この53秒後、加害者PCはコード“nbin.exe”により外部サーバとの通信を開始してコード“EventLogger.exe”を取得した(時刻14:07:44)。また、90秒後には加害者PCはコード“EventLogger.exe”により新たな通信を開始した(時刻14:08:21)。上記の3種類のコードによる通信が指令サーバとの通信である。   The inventors implemented a tool for monitoring a communication process and a communication destination, and monitored the communication behavior of the perpetrator PC. FIG. 5 shows this state. When the perpetrator PC starts the initial code “^ 21.tmp.exe”, the code “nbin.exe” is newly acquired (time 14:06:51). After 53 seconds, the perpetrator PC started communication with the external server using the code “nbin.exe” and acquired the code “EventLogger.exe” (time 14:07:44). After 90 seconds, the perpetrator PC started a new communication with the code “EventLogger.exe” (time 14:08:21). Communication with the above three types of codes is communication with the command server.

上記のようにボットに感染した加害者PCが指令サーバと行う通信と、加害者PCが被害者PCと行う攻撃のための通信は別個の通信であり、通信に使用するパケットも異なる。このため、従来のIPトレースバック方式では、被害者PCに到着したパケットの情報に基づいて被害者PCから加害者PCまでの通信を追跡することはできるが、被害者PCに到着したパケットとは異なるパケットを用いている指令サーバまでの通信を追跡することはできなかった。   As described above, the communication performed by the perpetrator PC infected with the bot with the command server and the communication for the attack performed by the perpetrator PC with the victim PC are separate communications, and the packets used for the communication are also different. For this reason, with the conventional IP traceback method, communication from the victim PC to the victim PC can be traced based on the information of the packet that arrived at the victim PC. Communication to the command server using different packets could not be traced.

本発明は、上述した課題に鑑みてなされたものであって、ボットに感染した装置が指令サーバと行う通信を検出することができる情報処理装置、情報処理システム、プログラム、および記録媒体を提供することを目的とする。   The present invention has been made in view of the above-described problems, and provides an information processing apparatus, an information processing system, a program, and a recording medium that can detect communication performed by a device infected with a bot with a command server. For the purpose.

本発明は、上記の課題を解決するためになされたもので、攻撃パケットの送信に利用されるポート番号を記憶する既知情報記憶手段と、監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、前記通信履歴に含まれる通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する時刻判定手段と、前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、前記通信履歴の中から、前記時刻判定手段による判定の結果、実行ファイルの生成時刻または更新時刻が前記所定期間に含まれると判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する抽出手段とを備えたことを特徴とする情報処理装置である。   The present invention has been made in order to solve the above-described problem, and known information storage means for storing a port number used for transmission of an attack packet, and communication started when communication to be monitored is executed. A communication history storage unit that stores a communication history including a process and a port number used for communication by the communication process, and a generation time or an update time of an execution file of the communication process included in the communication history is based on an attack time Time determination means for determining whether or not a predetermined period is included, and port number determination means for determining whether or not a port number included in the communication history matches a port number stored in the known information storage means From the communication history, as a result of the determination by the time determination means, it is determined that the execution time of the execution file or the update time is included in the predetermined period. An extraction unit that includes a communication process and extracts the communication history including a port number that is determined not to match the port number stored in the known information storage unit as a result of the determination by the port number determination unit Is an information processing apparatus characterized by

ボットには、新たな実行ファイルを次々に取得して通信プロセスを起動するという特徴がある。また、本発明者は、Webブラウザに寄生して新たな実行ファイルを取得し、その後Webブラウザを元の状態に戻すという特徴を有するボットを確認した。これらの特徴を有するボットによって起動する通信プロセスの実行ファイルの生成時刻または更新時刻は攻撃時刻に近いという特徴がある。このため、通信プロセスの実行ファイルの生成時刻または更新時刻が攻撃時刻に基づく所定期間に含まれる通信プロセスが実行した通信は指令サーバとの通信である可能性がある。   The bot has a feature of starting a communication process by acquiring new executable files one after another. In addition, the present inventor has confirmed a bot having a feature of acquiring a new executable file infested with a Web browser and then returning the Web browser to the original state. The generation time or update time of the execution file of the communication process activated by the bot having these characteristics is characterized by being close to the attack time. For this reason, there is a possibility that the communication executed by the communication process whose generation time or update time of the execution file of the communication process is included in a predetermined period based on the attack time is communication with the command server.

しかし、当該通信の中には、被害者の装置を宛先とし、攻撃パケットの送信に利用した通信が含まれている可能性がある。そこで、攻撃パケットの送信に利用されることが既知であるポート番号を用いた判定を行うことにより、被害者の装置を宛先とする通信を除外することが可能となる。すなわち、通信履歴に含まれるポート番号が、攻撃パケットの送信に利用されるポート番号と一致した場合、当該ポート番号を利用した通信は、攻撃パケットの送信に利用した通信であると判定することができる。また、通信履歴に含まれるポート番号が、攻撃パケットの送信に利用されるポート番号と一致しなかった場合、当該ポート番号を利用した通信は指令サーバとの通信である可能性がある。   However, there is a possibility that the communication includes communication used for sending attack packets with the victim's device as the destination. Therefore, by making a determination using a port number that is known to be used for transmission of attack packets, it is possible to exclude communication destined for the victim's device. That is, when the port number included in the communication history matches the port number used for sending the attack packet, it is possible to determine that the communication using the port number is the communication used for sending the attack packet. it can. Further, when the port number included in the communication history does not match the port number used for transmission of the attack packet, there is a possibility that the communication using the port number is communication with the command server.

したがって、通信プロセスの実行ファイルの生成時刻または更新時刻に関する判定と、通信に利用したポート番号に関する判定とを組み合わせることによって、攻撃パケットの送信に利用した通信を除外し、指令サーバとの通信を検出することができる。   Therefore, by combining the determination regarding the generation time or update time of the execution file of the communication process and the determination regarding the port number used for communication, the communication used for sending the attack packet is excluded, and communication with the command server is detected. can do.

また、本発明の情報処理装置において、前記通信履歴はさらに、前記通信プロセスが実行した通信の宛先の識別情報を含み、攻撃パケットを受信した装置の識別情報を含むメッセージを他の装置から受信する受信手段と、前記通信履歴に含まれる識別情報が、前記メッセージに含まれる識別情報と一致するか否かを判定する識別情報判定手段とをさらに備え、前記抽出手段は、前記識別情報判定手段による判定の結果、前記メッセージに含まれる識別情報と一致する識別情報が前記通信履歴に含まれる場合に前記通信履歴の抽出を行うことを特徴とする。   In the information processing apparatus of the present invention, the communication history further includes identification information of a destination of communication executed by the communication process, and receives a message including identification information of the apparatus that has received the attack packet from another apparatus. Receiving means; and identification information determination means for determining whether or not the identification information included in the communication history matches the identification information included in the message, wherein the extraction means is determined by the identification information determination means. As a result of the determination, the communication history is extracted when the identification information matching the identification information included in the message is included in the communication history.

本発明では、指令サーバから指令を受けて被害者の装置へ攻撃パケットを送信した加害者の装置の通信履歴を処理対象とすることが特に効果的である。加害者の装置の通信履歴には、被害者の装置へ攻撃パケットを送信した通信に係る通信履歴が含まれている。したがって、攻撃パケットを受信した装置の識別情報と一致する識別情報が通信履歴に含まれる場合に通信履歴の抽出を行うことによって、指令サーバとの通信の検出精度を向上することができる。   In the present invention, it is particularly effective to set the communication history of the perpetrator device that has received the command from the command server and transmitted the attack packet to the victim device as a processing target. The communication history of the perpetrator device includes a communication history related to communication in which an attack packet is transmitted to the victim device. Therefore, when the communication history includes identification information that matches the identification information of the device that received the attack packet, the detection accuracy of communication with the command server can be improved by extracting the communication history.

また、本発明は、上記の情報処理装置としてコンピュータを機能させるためのプログラムである。   The present invention is also a program for causing a computer to function as the information processing apparatus.

また、本発明は、上記のプログラムを格納したコンピュータ読み取り可能な記録媒体である。   Further, the present invention is a computer-readable recording medium storing the above program.

また、本発明は、第1の情報処理装置および第2の情報処理装置を備えた情報処理システムであって、前記第1の情報処理装置は、攻撃パケットの送信に利用されるポート番号を記憶する既知情報記憶手段と、監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信の宛先の識別情報と、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、前記通信履歴に含まれる通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する時刻判定手段と、前記通信履歴記憶手段が記憶する前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、前記通信履歴の中から、前記時刻判定手段による判定の結果、実行ファイルの生成時刻または更新時刻が前記所定期間に含まれると判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する第1の抽出手段と、前記第1の抽出手段が抽出した前記通信履歴を前記第2の情報処理装置へ送信する送信手段とを備え、前記第2の情報処理装置は、複数の前記第1の情報処理装置から前記通信履歴を受信する受信手段と、前記受信手段が受信した前記通信履歴の中から、共通の識別情報を有する前記通信履歴を抽出する第2の抽出手段とを備えたことを特徴とする情報処理システムである。   The present invention is an information processing system including a first information processing apparatus and a second information processing apparatus, and the first information processing apparatus stores a port number used for transmission of an attack packet. Communication including a known information storage means, a communication process activated when the monitored communication is executed, identification information of a communication destination by the communication process, and a port number used by communication by the communication process A communication history storage unit for storing a history, a time determination unit for determining whether a generation time or an update time of an execution file of a communication process included in the communication history is included in a predetermined period based on an attack time; A port for determining whether or not the port number included in the communication history stored in the communication history storage unit matches the port number stored in the known information storage unit And a port number determination unit including a communication process in which the execution time of the execution file is determined to be included in the predetermined period as a result of the determination by the time determination unit from the communication history determination unit As a result of determination by means, first extraction means for extracting the communication history including the port number determined not to match the port number stored in the known information storage means, and the first extraction means extracted the first extraction means Transmitting means for transmitting a communication history to the second information processing apparatus, wherein the second information processing apparatus receives the communication history from a plurality of the first information processing apparatuses; An information processing system comprising: second extraction means for extracting the communication history having common identification information from the communication history received by the means.

ボットでは、加害者として機能する複数の装置が同一の指令サーバと通信を行う特徴がある。この特徴を利用して、複数の第1の通信装置で抽出した通信履歴の中から共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信の検出精度を向上することができる。   The bot is characterized in that a plurality of devices functioning as perpetrators communicate with the same command server. By using this feature to extract a communication history having common identification information from communication histories extracted by a plurality of first communication devices, it is possible to improve the detection accuracy of communication with the command server. .

本発明によれば、ボットに感染した装置が指令サーバと行う通信を検出することができるという効果が得られる。   According to the present invention, it is possible to obtain an effect that a device infected with a bot can detect communication performed with a command server.

以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態による情報処理システムの構成を示している。本情報処理システムは、ボットによる被害者または加害者となる端末装置1(例えばPC)と、端末装置1から受信する通信履歴に基づいて通信の解析を行うサーバ2とを備えている。本情報処理システムでは複数台の端末装置1が存在しているが、図1では1台のみを図示し、他の端末装置1の図示を省略している。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 shows the configuration of an information processing system according to an embodiment of the present invention. The information processing system includes a terminal device 1 (for example, a PC) that is a victim or a perpetrator of a bot, and a server 2 that analyzes communication based on a communication history received from the terminal device 1. In this information processing system, a plurality of terminal devices 1 exist, but only one device is illustrated in FIG. 1 and the other terminal devices 1 are not shown.

以下、端末装置1が備える構成およびその動作を説明する。端末装置1は、既知情報記憶部100、通信監視部101、通信履歴記憶部102、被害報告部103、被害情報受信部104、被害情報記憶部105、加害者判定部106、通信解析部107、通信履歴報告部108、操作検出部109、および操作時刻記憶部110を備えている。端末装置1は被害者にも加害者にもなり得ることから、端末装置1は、被害者としての処理構成(被害報告部103)と、加害者としての処理構成(既知情報記憶部100、通信解析部107、通信履歴報告部108、操作検出部109、操作時刻記憶部110)との両方を備えている。既知情報記憶部100、通信履歴記憶部102、被害情報記憶部105、および操作時刻記憶部110は、異なる記録媒体で構成されていてもよいし、同一の記録媒体上の異なる記憶領域で構成されていてもよい。   Hereinafter, the configuration and operation of the terminal device 1 will be described. The terminal device 1 includes a known information storage unit 100, a communication monitoring unit 101, a communication history storage unit 102, a damage report unit 103, a damage information reception unit 104, a damage information storage unit 105, an perpetrator determination unit 106, a communication analysis unit 107, A communication history report unit 108, an operation detection unit 109, and an operation time storage unit 110 are provided. Since the terminal device 1 can be a victim or a perpetrator, the terminal device 1 has a processing configuration as a victim (damage report unit 103) and a processing configuration as a perpetrator (known information storage unit 100, communication An analysis unit 107, a communication history report unit 108, an operation detection unit 109, and an operation time storage unit 110) are provided. The known information storage unit 100, the communication history storage unit 102, the damage information storage unit 105, and the operation time storage unit 110 may be configured with different recording media, or may be configured with different storage areas on the same recording medium. It may be.

既知情報記憶部100は、予め得られている既知情報を記憶する。サーバ2などの他の装置から既知情報を受信することによって端末装置1が既知情報を取得してもよいし、既知情報が格納された記録媒体から既知情報を読み出すことによって端末装置1が既知情報を取得してもよい。既知情報の詳細については後述する。   The known information storage unit 100 stores known information obtained in advance. The terminal device 1 may acquire the known information by receiving the known information from another device such as the server 2, or the terminal device 1 may read the known information from the recording medium in which the known information is stored. May be obtained. Details of the known information will be described later.

通信監視部101は、端末装置1が他の装置と行う通信を監視し、通信結果を通信履歴として通信履歴記憶部102に格納する。通信監視部101の機能は、例えばMicrosoft(登録商標)社から提供されているPort Reporterというツールにより実現することが可能である。あるいは、Windows(登録商標) XP標準のIPHLPAPI.DLLで、TCPについてはAllocateAndGetTcpExTableFromStack()、UDPについてはUDP:AllocateAndGetUdpExTableFromStack()というAPIを100msec程度の周期で呼び出すことによっても、通信監視部101の機能を実現することが可能である。   The communication monitoring unit 101 monitors communication performed by the terminal device 1 with another device, and stores a communication result in the communication history storage unit 102 as a communication history. The function of the communication monitoring unit 101 can be realized by a tool called Port Reporter provided by Microsoft (registered trademark), for example. Alternatively, the function of the communication monitoring unit 101 can be obtained by calling the API of Windows (registered trademark) XP standard IPHLPAPI.DLL, AllocateAndGetTcpExTableFromStack () for TCP and UDP: AllocateAndGetUdpExTableFromStack () for UDP at a cycle of about 100 msec. It is possible to realize.

通信履歴記憶部102は通信履歴を記憶する。この通信履歴には、監視対象となった通信の宛先を識別する識別情報と、監視対象となった通信を実行したときに起動した通信プロセスを識別する情報(本実施形態では通信プロセス名)と、監視対象となった通信が利用したポート番号と、監視対象となった通信を行った時刻(通信時刻)とが含まれる。識別情報は、IPアドレスまたはドメイン名、もしくはその両方であり、ドメイン名はFQDN(Fully Qualified Domain Name)であってもよい。以下に登場する他の識別情報についても同様である。識別情報を構成するIPアドレスとドメイン名とを関連付けるには、通信時にDNSサーバに名前解決を依頼した後、DNSサーバから返信されるパケットにIPアドレスとドメイン名の両者が含まれていることを利用すればよい。   The communication history storage unit 102 stores a communication history. The communication history includes identification information for identifying the destination of the communication to be monitored, information for identifying the communication process started when executing the communication to be monitored (communication process name in this embodiment), The port number used by the monitored communication and the time (communication time) at which the monitored communication was performed are included. The identification information may be an IP address and / or a domain name, and the domain name may be an FQDN (Fully Qualified Domain Name). The same applies to other identification information appearing below. To associate the IP address that constitutes the identification information with the domain name, after requesting the DNS server to resolve the name during communication, the packet returned from the DNS server must contain both the IP address and the domain name. Use it.

被害報告部103は、端末装置1がボットによる攻撃パケットを受信し被害者となった場合に、攻撃パケットの受信に係る通信履歴を含むメッセージをサーバ2へ送信することによって、サーバ2に被害を報告する。サーバ2へ送信する通信履歴には、端末装置1の識別情報と攻撃パケットの受信時刻(攻撃時刻とする)が含まれる。この通信履歴を含むメッセージの送信は、例えば攻撃を受けたことを認識したユーザが端末装置1に入力した指示に基づいて行われる。   When the terminal device 1 receives an attack packet by the bot and becomes a victim, the damage report unit 103 transmits a message including a communication history related to the reception of the attack packet to the server 2, thereby damaging the server 2. Report. The communication history transmitted to the server 2 includes the identification information of the terminal device 1 and the attack packet reception time (attack time). The message including the communication history is transmitted based on, for example, an instruction input to the terminal device 1 by a user who has recognized that an attack has occurred.

ボットによる攻撃に関する通信履歴を各端末装置1から受信したサーバ2は、各端末装置1の通信履歴を統合した被害情報を生成し、被害情報を含むメッセージを端末装置1へ送信する。この被害情報には、攻撃パケットを受信した端末装置1の識別情報と攻撃時刻(あるいは攻撃時刻を含む時間範囲でもよい)が含まれている。被害情報受信部104は、被害情報を含むサーバ2からのメッセージを受信し、メッセージに含まれる被害情報を被害情報記憶部105に格納する。被害情報記憶部105は被害情報を記憶する。   The server 2 that has received the communication history regarding the attack by the bot from each terminal device 1 generates damage information that integrates the communication history of each terminal device 1, and transmits a message including the damage information to the terminal device 1. The damage information includes identification information of the terminal device 1 that has received the attack packet and an attack time (or a time range including the attack time). The damage information receiving unit 104 receives a message from the server 2 including damage information, and stores the damage information included in the message in the damage information storage unit 105. The damage information storage unit 105 stores damage information.

加害者判定部106は、端末装置1が加害者であるか否かを判定する。この判定には、被害情報記憶部105が記憶する被害情報に含まれる識別情報および攻撃時刻と、通信履歴記憶部102が記憶する通信履歴に含まれる識別情報および通信時刻とが用いられる。具体的には、加害者判定部106は、まず被害情報記憶部105から被害情報を読み出すと共に、通信履歴記憶部102から通信履歴を読み出す。続いて、加害者判定部106は、被害情報に含まれる攻撃時刻と、通信履歴に含まれる通信時刻とを比較し、攻撃時刻を基準とする前後の所定時間以内の通信時刻を含む通信履歴を以降の処理対象とする。   The perpetrator determination unit 106 determines whether or not the terminal device 1 is a perpetrator. For this determination, identification information and attack time included in the damage information stored in the damage information storage unit 105 and identification information and communication time included in the communication history stored in the communication history storage unit 102 are used. Specifically, the perpetrator determination unit 106 first reads the damage information from the damage information storage unit 105 and also reads the communication history from the communication history storage unit 102. Subsequently, the perpetrator determination unit 106 compares the attack time included in the damage information with the communication time included in the communication history, and obtains a communication history including communication times within a predetermined time before and after the attack time. The subsequent processing target.

続いて、加害者判定部106は、被害情報に含まれる識別情報(攻撃パケットを受信した端末装置1の識別情報)と、通信履歴に含まれる識別情報(通信の宛先の装置の識別情報)とが一致するか否かを判定する。被害情報に含まれる識別情報が、通信履歴に含まれるいずれかの識別情報と一致した場合、自身の端末装置1が加害者であると判断することが可能である。また、被害情報に含まれる識別情報が、通信履歴に含まれるどの識別情報とも一致しなかった場合、自身の端末装置1が加害者ではないと判断することが可能である。   Subsequently, the perpetrator determination unit 106 includes identification information included in the damage information (identification information of the terminal device 1 that has received the attack packet), identification information included in the communication history (identification information of the communication destination device), and It is determined whether or not. When the identification information included in the damage information matches any of the identification information included in the communication history, it is possible to determine that the terminal device 1 is the perpetrator. In addition, when the identification information included in the damage information does not match any identification information included in the communication history, it is possible to determine that the terminal device 1 is not the perpetrator.

続いて、加害者判定部106は判定結果および攻撃時刻を通信解析部107に通知する。本実施形態では、端末装置1が加害者であると判断された場合に通信解析部107は以降の処理を行い、端末装置1が加害者ではないと判断された場合に通信解析部107は以降の処理を行わない。   Subsequently, the perpetrator determination unit 106 notifies the communication analysis unit 107 of the determination result and the attack time. In this embodiment, when it is determined that the terminal device 1 is the perpetrator, the communication analysis unit 107 performs the subsequent processing, and when it is determined that the terminal device 1 is not the perpetrator, the communication analysis unit 107 performs the subsequent processing. Do not perform the process.

通信解析部107は、既知情報記憶部100が記憶する既知情報と、通信履歴記憶部102が記憶する通信履歴と、操作時刻記憶部110が記憶する操作時刻とに基づいて、端末装置1が行った通信を解析し、指令サーバとの通信に係る通信履歴を抽出する。通信解析部107のより具体的な動作については後述する。通信履歴報告部108は、通信解析部107が抽出した通信履歴を含むメッセージをサーバ2へ送信する。   The communication analysis unit 107 is performed by the terminal device 1 based on the known information stored in the known information storage unit 100, the communication history stored in the communication history storage unit 102, and the operation time stored in the operation time storage unit 110. The communication history related to communication with the command server is extracted. More specific operation of the communication analysis unit 107 will be described later. The communication history report unit 108 transmits a message including the communication history extracted by the communication analysis unit 107 to the server 2.

操作検出部109は、端末装置1に対するユーザの操作を検出し、検出を行った時刻を操作時刻として操作時刻記憶部110に格納する。操作時刻記憶部110は操作時刻を記憶する。上記の構成のほか、端末装置1は、ユーザが操作入力を行う入力装置や、通信プロセスの実行ファイル等を記憶する記憶装置等を備えているが、図示を省略している。   The operation detection unit 109 detects a user operation on the terminal device 1 and stores the detected time in the operation time storage unit 110 as an operation time. The operation time storage unit 110 stores the operation time. In addition to the above configuration, the terminal device 1 includes an input device for a user to input an operation, a storage device for storing an execution file of a communication process, and the like, but is not illustrated.

次に、サーバ2が備える構成およびその動作を説明する。サーバ2は、被害情報受信部200、被害情報記憶部201、被害情報配信部202、通信履歴受信部203、通信履歴記憶部204、および通信解析部205を備えている。被害情報記憶部201と通信履歴記憶部204は、異なる記録媒体で構成されていてもよいし、同一の記録媒体上の異なる記憶領域で構成されていてもよい。   Next, the configuration and operation of the server 2 will be described. The server 2 includes a damage information reception unit 200, a damage information storage unit 201, a damage information distribution unit 202, a communication history reception unit 203, a communication history storage unit 204, and a communication analysis unit 205. The damage information storage unit 201 and the communication history storage unit 204 may be configured with different recording media, or may be configured with different storage areas on the same recording medium.

被害情報受信部200は、各端末装置1から送信された、被害情報を含むメッセージを受信し、メッセージに含まれる各被害情報を統合して被害情報記憶部201に格納する。被害情報記憶部201は被害情報を記憶する。被害情報配信部202は、被害情報記憶部201から被害情報を読み出し、被害情報を含むメッセージを端末装置1へ送信することによって、被害情報を各端末装置1に配信する。   The damage information receiving unit 200 receives a message including damage information transmitted from each terminal device 1, integrates the damage information included in the message, and stores the integrated damage information in the damage information storage unit 201. The damage information storage unit 201 stores damage information. The damage information distribution unit 202 reads the damage information from the damage information storage unit 201 and transmits a message including the damage information to the terminal device 1 to distribute the damage information to each terminal device 1.

通信履歴受信部203は、端末装置1から送信された、通信履歴を含むメッセージを受信し、メッセージに含まれる通信履歴を通信履歴記憶部204に格納する。通信履歴記憶部204は通信履歴を記憶する。通信解析部205は、通信履歴記憶部204が記憶する通信履歴に基づいて、各端末装置1が行った通信を解析する。通信解析部205のより具体的な動作については後述する。   The communication history receiving unit 203 receives a message including a communication history transmitted from the terminal device 1 and stores the communication history included in the message in the communication history storage unit 204. The communication history storage unit 204 stores a communication history. The communication analysis unit 205 analyzes the communication performed by each terminal device 1 based on the communication history stored in the communication history storage unit 204. More specific operation of the communication analysis unit 205 will be described later.

次に、端末装置1が備える通信解析部107のより具体的な構成および動作を説明する。図2は通信解析部107の構成を示している。通信解析部107は、時刻判定部107a、ポート番号判定部107b、および通信履歴抽出部107cを備えている。通信解析部107による通信の解析には、既知情報記憶部100に格納されている既知情報と、通信履歴記憶部102に格納されている通信履歴と、操作時刻記憶部110に格納されている操作時刻とが用いられる。   Next, a more specific configuration and operation of the communication analysis unit 107 included in the terminal device 1 will be described. FIG. 2 shows the configuration of the communication analysis unit 107. The communication analysis unit 107 includes a time determination unit 107a, a port number determination unit 107b, and a communication history extraction unit 107c. The communication analysis performed by the communication analysis unit 107 includes known information stored in the known information storage unit 100, a communication history stored in the communication history storage unit 102, and an operation stored in the operation time storage unit 110. Time is used.

既知情報記憶部100は、通信解析部107が参照する既知情報として、ポート番号リストを記憶する。ポート番号リストは、攻撃パケットの送信に利用されるポート番号をリスト化したものである。ポート番号リストには、攻撃に頻繁に利用されるTCP-Port 25,TCP-Port 135-139,UDP-Port 53が含まれる。   The known information storage unit 100 stores a port number list as known information referred to by the communication analysis unit 107. The port number list is a list of port numbers used for sending attack packets. The port number list includes TCP-Port 25, TCP-Port 135-139, and UDP-Port 53 that are frequently used for attacks.

時刻判定部107aは、通信履歴記憶部102から通信履歴を読み出し、通信履歴に含まれる通信プロセス名を取得する。続いて、時刻判定部107aは、取得した通信プロセス名を有する通信プロセスの実行ファイルの生成時刻または更新時刻を取得する。ボットには、新たな実行ファイルを次々に取得して通信プロセスを起動するという特徴や、Webブラウザに寄生して新たな実行ファイルを取得し、その後Webブラウザを元の状態に戻すという特徴を有している。これらの特徴を有するボットによって起動する通信プロセスの実行ファイルの生成時刻または更新時刻は新しく、攻撃時刻に近い。   The time determination unit 107a reads the communication history from the communication history storage unit 102, and acquires the communication process name included in the communication history. Subsequently, the time determination unit 107a acquires the generation time or update time of the execution file of the communication process having the acquired communication process name. The bot has the feature of acquiring new executable files one after another and starting the communication process, and acquiring the new executable file by parasitizing the web browser and then returning the web browser to its original state. is doing. The creation time or update time of the execution file of the communication process activated by the bot having these characteristics is new and close to the attack time.

このため、時刻判定部107aは、加害者判定部106から通知された攻撃時刻を基準とする所定期間(攻撃時刻の1時間前など)を設定し、上記の生成時刻または更新時刻が所定期間に含まれるか否かを判定する。生成時刻または更新時刻が所定期間に含まれない場合、実行ファイルの正常な生成または更新が行われたと判定することができる。これに対して、生成時刻または更新時刻が所定期間に含まれる場合、該当する通信プロセスが実行した通信は指令サーバとの通信である可能性がある。したがって、時刻判定部107aによる判定の結果から、指令サーバとの通信に係る通信履歴の候補を特定することが可能である。   Therefore, the time determination unit 107a sets a predetermined period (such as one hour before the attack time) based on the attack time notified from the perpetrator determination unit 106, and the generation time or update time is set to the predetermined period. It is determined whether or not it is included. When the generation time or the update time is not included in the predetermined period, it can be determined that the execution file is normally generated or updated. On the other hand, when the generation time or the update time is included in the predetermined period, the communication performed by the corresponding communication process may be communication with the command server. Therefore, it is possible to specify communication history candidates related to communication with the command server from the result of determination by the time determination unit 107a.

ただし、ボットに感染する直前に、Windows(登録商標) Updateなどの機能により、端末装置1が実行ファイルの正規な生成または更新を行う可能性があるため、これに係る通信履歴を除外することがより望ましい。実行ファイルの正規な生成または更新はユーザの操作に基づいて行われるので、実行ファイルの生成時刻または更新時刻がユーザの操作時刻を基準とする所定期間内の場合には、その実行ファイルの生成または更新は正常であるものとする。   However, immediately before the bot is infected, there is a possibility that the terminal device 1 may properly generate or update the executable file by a function such as Windows (registered trademark) Update. More desirable. Since regular generation or update of an executable file is performed based on a user operation, if the generation time or update time of the execution file is within a predetermined period based on the user operation time, the generation or update of the execution file is performed. The update shall be normal.

上記に基づき、時刻判定部107aは、操作時刻記憶部110から操作時刻を読み出し、操作時刻を基準とする所定期間(操作時刻の数分後など)を設定する。また、時刻判定部107aは、操作時刻を基準とする所定期間を含まないように、攻撃時刻を基準とする所定期間を設定した上で、上記の判定を行う。これによって、ユーザの操作に基づく実行ファイルの正常な生成または更新に係る通信履歴を除外し、指令サーバとの通信に係る通信履歴の候補を特定することが可能となる。   Based on the above, the time determination unit 107a reads the operation time from the operation time storage unit 110, and sets a predetermined period (such as a few minutes after the operation time) based on the operation time. The time determination unit 107a performs the above determination after setting a predetermined period based on the attack time so as not to include the predetermined period based on the operation time. As a result, it is possible to exclude communication histories related to normal generation or update of executable files based on user operations, and specify communication history candidates related to communication with the command server.

時刻判定部107aは、実行ファイルの生成時刻または更新時刻が攻撃時刻に基づく所定期間に含まれた通信プロセス名を判定結果として通信履歴抽出部107cに通知する。この通信プロセス名を含む通信履歴は、指令サーバとの通信に係る通信履歴の候補であるが、ボットは指令サーバとの通信以外に被害者への攻撃も行うため、上記の通信履歴の候補から、被害者への攻撃に係る通信履歴を除外する必要がある。ポート番号判定部107bは、このための判定を行う。   The time determination unit 107a notifies the communication history extraction unit 107c of a communication process name included in a predetermined period in which the execution time or update time of the execution file is based on the attack time as a determination result. The communication history including the communication process name is a communication history candidate related to the communication with the command server, but since the bot also attacks the victim in addition to the communication with the command server, It is necessary to exclude communication history related to attacks on victims. The port number determination unit 107b performs determination for this purpose.

ポート番号判定部107bは、既知情報記憶部100からポート番号リストを読み出すと共に、通信履歴記憶部102から通信履歴を読み出す。続いて、ポート番号判定部107bは、通信履歴に含まれるポート番号がポート番号リスト内のポート番号と一致するか否かを判定する。通信履歴に含まれるポート番号がポート番号リスト内のいずれかのポート番号と一致した場合、このポート番号を利用した通信は、攻撃パケットの送信に利用した通信であると判定することができる。また、通信履歴に含まれるポート番号がポート番号リスト内のどのポート番号とも一致しなかった場合、このポート番号を利用した通信は指令サーバとの通信である可能性がある。したがって、ポート番号判定部107bによる判定の結果から、被害者を宛先とする通信を除外し、指令サーバとの通信に係る通信履歴の候補を特定することが可能である。ポート番号判定部107bは、ポート番号リスト内のどのポート番号とも一致しなかったポート番号を判定結果として通信履歴抽出部107cに通知する。   The port number determination unit 107 b reads the port number list from the known information storage unit 100 and reads the communication history from the communication history storage unit 102. Subsequently, the port number determination unit 107b determines whether or not the port number included in the communication history matches the port number in the port number list. When the port number included in the communication history matches one of the port numbers in the port number list, it can be determined that the communication using this port number is the communication used for sending the attack packet. If the port number included in the communication history does not match any port number in the port number list, there is a possibility that communication using this port number is communication with the command server. Therefore, it is possible to exclude communication destined for the victim from the result of determination by the port number determination unit 107b, and specify communication history candidates related to communication with the command server. The port number determination unit 107b notifies the communication history extraction unit 107c of a port number that does not match any port number in the port number list as a determination result.

通信履歴抽出部107cは、通信履歴記憶部102から通信履歴を読み出し、時刻判定部107aによる判定の結果と、ポート番号判定部107bによる判定の結果とに基づいて、指令サーバとの通信に係る通信履歴を抽出する。具体的には、通信履歴抽出部107cは、時刻判定部107aによる判定の結果、実行ファイルの生成時刻または更新時刻が攻撃時刻に基づく所定期間に含まれると判定された通信プロセス名を含み、かつポート番号判定部107bによる判定の結果、ポート番号リスト内のどのポート番号とも一致しないと判定されたポート番号を含む通信履歴を抽出する。上記のようにして抽出された通信履歴が、指令サーバとの通信に係る通信履歴として特定されたものである。また、抽出された通信履歴に含まれる識別情報が指令サーバの識別情報となる。上記の通信履歴の抽出の際に、被害情報に含まれる攻撃時刻を基準とした前後の所定時間以内の通信時刻を含む通信履歴を処理対象としてもよい。   The communication history extraction unit 107c reads the communication history from the communication history storage unit 102, and performs communication related to communication with the command server based on the determination result by the time determination unit 107a and the determination result by the port number determination unit 107b. Extract history. Specifically, the communication history extraction unit 107c includes a communication process name determined as a result of determination by the time determination unit 107a that the execution time or update time of the execution file is included in a predetermined period based on the attack time, and As a result of the determination by the port number determination unit 107b, a communication history including a port number determined not to match any port number in the port number list is extracted. The communication history extracted as described above is specified as the communication history related to communication with the command server. Also, the identification information included in the extracted communication history becomes the identification information of the command server. When the communication history is extracted, a communication history including communication times within a predetermined time before and after the attack time included in the damage information may be set as a processing target.

次に、サーバ2が備える通信解析部205のより具体的な動作を説明する。サーバ2の通信履歴記憶部204には、指令サーバとの通信に係る通信履歴として各端末装置1で抽出された通信履歴が格納されている。各通信履歴は、端末装置1毎に区別できるようになっている。通信解析部205は、通信履歴記憶部204から複数の端末装置1についての通信履歴を読み出し、それらに共通する識別情報があるか否かを判定する。   Next, a more specific operation of the communication analysis unit 205 provided in the server 2 will be described. The communication history storage unit 204 of the server 2 stores a communication history extracted by each terminal device 1 as a communication history related to communication with the command server. Each communication history can be distinguished for each terminal device 1. The communication analysis unit 205 reads communication histories for a plurality of terminal devices 1 from the communication history storage unit 204, and determines whether there is identification information common to them.

より具体的には、通信解析部205はまず、1つの端末装置1についての通信履歴から、互いに異なる1または複数の識別情報を抽出し、各識別情報と出現頻度のペアを記憶装置に格納する。ここで、「互いに異なる」と記載したのは、1つの端末装置1についての通信履歴が複数のレコードからなり、同一の識別情報が複数レコードに記録されている場合に、同一の識別情報を1回だけ抽出する(その結果、抽出された識別情報は全て異なる)ことを明示するためである。最初の端末装置1についての通信履歴を処理したときには各識別情報の出現頻度は1にセットされる。   More specifically, the communication analysis unit 205 first extracts one or a plurality of different identification information from the communication history for one terminal device 1, and stores each pair of identification information and appearance frequency in the storage device. . Here, “different from each other” is described when the communication history for one terminal device 1 is composed of a plurality of records, and the same identification information is set to 1 when the same identification information is recorded in the plurality of records. This is to clearly indicate that extraction is performed only once (as a result, all the extracted identification information is different). When the communication history for the first terminal device 1 is processed, the appearance frequency of each identification information is set to 1.

続いて、通信解析部205は、他の1つの端末装置1についての通信履歴から、互いに異なる1または複数の識別情報を抽出し、記憶装置に格納されている各識別情報と比較する。通信履歴から抽出した識別情報が、記憶装置に格納されているいずれかの識別情報と一致した場合、その識別情報の出現頻度に1が加算される。また、通信履歴から抽出した識別情報が、記憶装置に格納されているどの識別情報とも一致しなかった場合、新たな識別情報と出現頻度(値は1)のペアが記憶装置に格納される。通信解析部205は、全ての端末装置1についての通信履歴を処理するまで上記の処理を繰り返す。上記の処理が終了したら、通信解析部205は記憶装置から出現頻度を読み出し、その出現頻度が所定値N(Nは2以上)以上である場合に、その出現頻度とペアになっている識別情報を記憶装置から読み出す。この識別情報は、指令サーバの識別情報として信頼度が高いものとなる。   Subsequently, the communication analysis unit 205 extracts one or a plurality of pieces of identification information that are different from each other from the communication history of the other terminal device 1 and compares the extracted identification information with each piece of identification information stored in the storage device. When the identification information extracted from the communication history matches any identification information stored in the storage device, 1 is added to the appearance frequency of the identification information. When the identification information extracted from the communication history does not match any identification information stored in the storage device, a pair of new identification information and appearance frequency (value is 1) is stored in the storage device. The communication analysis unit 205 repeats the above processing until the communication history for all the terminal devices 1 is processed. When the above processing ends, the communication analysis unit 205 reads the appearance frequency from the storage device, and when the appearance frequency is a predetermined value N (N is 2 or more), the identification information paired with the appearance frequency From the storage device. This identification information has high reliability as the identification information of the command server.

ボットでは、加害者として機能する複数の端末装置1が同一の指令サーバと通信を行う特徴がある。したがって、複数の端末装置1で抽出した通信履歴の中から、共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信に係る通信履歴の抽出精度を高めることができる。   The bot is characterized in that a plurality of terminal devices 1 functioning as perpetrators communicate with the same command server. Therefore, by extracting the communication history having common identification information from the communication histories extracted by the plurality of terminal devices 1, it is possible to improve the accuracy of extracting the communication history related to the communication with the command server.

図3は、共通の識別情報を有する通信履歴が抽出される様子を示している。加害者となった端末装置1a,1b,1c,1dから通信履歴がサーバ2に報告される。4つの端末装置の通信履歴のうち、端末装置1b,1cからの通信履歴が、共通する識別情報を有している。この識別情報は、指令サーバの識別情報として、より信頼度が高いものとなる。通信プロセス名(図3の「nbin.exe」)も取得されている場合には、共通する通信プロセス名を有する通信履歴を抽出することによって、指令サーバとの通信に係る通信履歴の抽出精度をより高めることができる。   FIG. 3 shows how communication histories having common identification information are extracted. The communication history is reported to the server 2 from the terminal devices 1a, 1b, 1c, and 1d that are the perpetrators. Of the communication histories of the four terminal devices, the communication histories from the terminal devices 1b and 1c have common identification information. This identification information has higher reliability as the identification information of the command server. When the communication process name (“nbin.exe” in FIG. 3) is also acquired, the communication history having the common communication process name is extracted, thereby improving the communication history extraction accuracy related to communication with the command server. Can be increased.

上述したように、本実施形態によれば、通信プロセスの実行ファイルの生成時刻または更新時刻に関する判定と、通信に利用したポート番号に関する判定とを組み合わせることによって、既知の正常な通信と、攻撃パケットの送信に利用した通信とを除外し、指令サーバとの通信を検出することができる。   As described above, according to the present embodiment, the known normal communication and the attack packet are combined by combining the determination on the generation time or update time of the execution file of the communication process and the determination on the port number used for communication. Communication with the command server can be detected.

また、加害者判定部106による判定の結果、端末装置1が加害者であると判断された場合に通信履歴の抽出を行うことによって、指令サーバとの通信の検出精度を向上することができる。さらに、加害者であると判断された端末装置1が、指令サーバ2との通信に係る通信履歴のみをサーバ2に報告することによって、端末装置1の正常な通信履歴の漏洩を防止することができる。   Also, as a result of determination by the perpetrator determination unit 106, when the terminal device 1 is determined to be the perpetrator, the communication history is extracted, so that the detection accuracy of communication with the command server can be improved. Furthermore, the terminal device 1 determined to be the perpetrator reports only the communication history related to communication with the command server 2 to the server 2, thereby preventing the normal communication history of the terminal device 1 from being leaked. it can.

また、複数の端末装置1で抽出した通信履歴の中から、共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信の検出精度を向上することができる。   Further, by extracting a communication history having common identification information from the communication histories extracted by the plurality of terminal devices 1, it is possible to improve the detection accuracy of communication with the command server.

以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態による端末装置1の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。   As described above, the embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the above-described embodiments, and includes design changes and the like without departing from the gist of the present invention. . For example, a program for realizing the operation and function of the terminal device 1 according to the above-described embodiment may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read and executed by the computer. Good.

ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。   Here, the “computer” includes a homepage providing environment (or display environment) if the WWW system is used. The “computer-readable recording medium” refers to a storage device such as a portable medium such as a flexible disk, a magneto-optical disk, a ROM, and a CD-ROM, and a hard disk built in the computer. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.

また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。   The program described above may be transmitted from a computer storing the program in a storage device or the like to another computer via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting a program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the above-described program may be for realizing a part of the above-described function. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer, what is called a difference file (difference program) may be sufficient.

本発明の一実施形態による情報処理システムの構成を示すブロック図である。It is a block diagram which shows the structure of the information processing system by one Embodiment of this invention. 本発明の一実施形態による端末装置が備える通信解析部の構成を示すブロック図である。It is a block diagram which shows the structure of the communication analysis part with which the terminal device by one Embodiment of this invention is provided. 本発明の一実施形態によるサーバが備える通信解析部の動作を説明するための参考図である。It is a reference figure for demonstrating operation | movement of the communication analysis part with which the server by one Embodiment of this invention is provided. ボットによる通信のモデルを示す参考図である。It is a reference figure which shows the model of the communication by a bot. ボットによる通信をモニタした結果を示す参考図である。It is a reference figure showing the result of having monitored communication by a bot.

符号の説明Explanation of symbols

1・・・端末装置(第1の情報処理装置)、2・・・サーバ(第2の情報処理装置)、100・・・既知情報記憶部(既知情報記憶手段)、101・・・通信監視部、102,204・・・通信履歴記憶部(通信履歴記憶手段)、103・・・被害報告部(送信手段)、104,200・・・被害情報受信部(受信手段)、105,201・・・被害情報記憶部、106・・・加害者判定部、107,205・・・通信解析部(第1の抽出手段、第2の抽出手段)、107a・・・時刻判定部(時刻判定手段)、107b・・・ポート番号判定部(ポート番号判定手段)、107c・・・通信履歴抽出部(抽出手段)、108・・・通信履歴報告部、109・・・操作検出部、110・・・操作時刻記憶部、202・・・被害情報配信部、203・・・通信履歴受信部(受信手段)   DESCRIPTION OF SYMBOLS 1 ... Terminal device (1st information processing apparatus), 2 ... Server (2nd information processing apparatus), 100 ... Known information storage part (known information storage means), 101 ... Communication monitoring , 102, 204 ... communication history storage (communication history storage means), 103 ... damage report part (transmission means), 104, 200 ... damage information reception part (reception means), 105, 201 ..Damage information storage unit, 106 ... Perpetrator determination unit, 107, 205 ... Communication analysis unit (first extraction means, second extraction unit), 107a ... Time determination unit (time determination unit) 107b ... Port number determination unit (port number determination unit), 107c ... Communication history extraction unit (extraction unit), 108 ... Communication history report unit, 109 ... Operation detection unit, 110 ... Operation time storage unit, 202 ... Damage information distribution unit, 2 3 ... the communication history receiving unit (receiving means)

Claims (5)

攻撃パケットの送信に利用されるポート番号を記憶する既知情報記憶手段と、
監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、
前記通信履歴に含まれる通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する時刻判定手段と、
前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、
前記通信履歴の中から、前記時刻判定手段による判定の結果、実行ファイルの生成時刻または更新時刻が前記所定期間に含まれると判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する抽出手段と、
を備えたことを特徴とする情報処理装置。 Known information storage means for storing a port number used for transmission of an attack packet;
A communication history storage means for storing a communication history including a communication process started when executing the communication to be monitored and a port number used by communication by the communication process;
Time determination means for determining whether the generation time or update time of the execution file of the communication process included in the communication history is included in a predetermined period based on the attack time;
Port number determination means for determining whether a port number included in the communication history matches a port number stored in the known information storage means;
The communication history includes a communication process in which the execution file generation time or update time is determined to be included in the predetermined period as a result of the determination by the time determination unit, and the determination result by the port number determination unit Extracting means for extracting the communication history including the port number determined not to match the port number stored in the known information storage unit;
An information processing apparatus comprising: 前記通信履歴はさらに、前記通信プロセスが実行した通信の宛先の識別情報を含み、
攻撃パケットを受信した装置の識別情報を含むメッセージを他の装置から受信する受信手段と、
前記通信履歴に含まれる識別情報が、前記メッセージに含まれる識別情報と一致するか否かを判定する識別情報判定手段とをさらに備え、
前記抽出手段は、前記識別情報判定手段による判定の結果、前記メッセージに含まれる識別情報と一致する識別情報が前記通信履歴に含まれる場合に前記通信履歴の抽出を行う
ことを特徴とする請求項1に記載の情報処理装置。 The communication history further includes identification information of a destination of communication executed by the communication process,
Receiving means for receiving a message including identification information of the device that received the attack packet from another device;
Identification information determination means for determining whether or not the identification information included in the communication history matches the identification information included in the message;
The extraction means extracts the communication history when the identification information matching the identification information included in the message is included in the communication history as a result of the determination by the identification information determination means. The information processing apparatus according to 1. 請求項1または請求項2に記載の情報処理装置としてコンピュータを機能させるためのプログラム。   A program for causing a computer to function as the information processing apparatus according to claim 1. 請求項3に記載のプログラムを格納したコンピュータ読み取り可能な記録媒体。   A computer-readable recording medium storing the program according to claim 3. 第1の情報処理装置および第2の情報処理装置を備えた情報処理システムであって、
前記第1の情報処理装置は、
攻撃パケットの送信に利用されるポート番号を記憶する既知情報記憶手段と、
監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信の宛先の識別情報と、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、
前記通信履歴に含まれる通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する時刻判定手段と、
前記通信履歴記憶手段が記憶する前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、
前記通信履歴の中から、前記時刻判定手段による判定の結果、実行ファイルの生成時刻または更新時刻が前記所定期間に含まれると判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する第1の抽出手段と、
前記第1の抽出手段が抽出した前記通信履歴を前記第2の情報処理装置へ送信する送信手段とを備え、
前記第2の情報処理装置は、
複数の前記第1の情報処理装置から前記通信履歴を受信する受信手段と、
前記受信手段が受信した前記通信履歴の中から、共通の識別情報を有する前記通信履歴を抽出する第2の抽出手段とを備えた
ことを特徴とする情報処理システム。 An information processing system comprising a first information processing device and a second information processing device,
The first information processing apparatus includes:
Known information storage means for storing a port number used for transmission of an attack packet;
A communication history storage that stores a communication history including a communication process started when the monitored communication is executed, communication destination identification information by the communication process, and a port number used by communication by the communication process. Means,
Time determination means for determining whether the generation time or update time of the execution file of the communication process included in the communication history is included in a predetermined period based on the attack time;
Port number determination means for determining whether a port number included in the communication history stored in the communication history storage means matches a port number stored in the known information storage means;
The communication history includes a communication process in which the execution file generation time or update time is determined to be included in the predetermined period as a result of the determination by the time determination unit, and the determination result by the port number determination unit First extraction means for extracting the communication history including the port number determined not to match the port number stored in the known information storage means;
Transmission means for transmitting the communication history extracted by the first extraction means to the second information processing apparatus,
The second information processing apparatus
Receiving means for receiving the communication history from a plurality of the first information processing devices;
An information processing system comprising: a second extraction unit that extracts the communication history having common identification information from the communication history received by the reception unit.
JP2008165749A 2008-06-25 2008-06-25 Information processing apparatus, information processing system, program, and recording medium Expired - Fee Related JP5119059B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008165749A JP5119059B2 (en) 2008-06-25 2008-06-25 Information processing apparatus, information processing system, program, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008165749A JP5119059B2 (en) 2008-06-25 2008-06-25 Information processing apparatus, information processing system, program, and recording medium

Publications (2)

Publication Number Publication Date
JP2010009187A true JP2010009187A (en) 2010-01-14
JP5119059B2 JP5119059B2 (en) 2013-01-16

Family

ID=41589632

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008165749A Expired - Fee Related JP5119059B2 (en) 2008-06-25 2008-06-25 Information processing apparatus, information processing system, program, and recording medium

Country Status (1)

Country Link
JP (1) JP5119059B2 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014219741A (en) * 2013-05-01 2014-11-20 エヌ・ティ・ティ・コミュニケーションズ株式会社 Command source identification device, command source identification method, and command source identification program
CN104935592A (en) * 2015-06-16 2015-09-23 上海斐讯数据通信技术有限公司 System and method for preventing DoS (Denial of Service) attacks
JP2016181191A (en) * 2015-03-25 2016-10-13 富士通株式会社 Management program, management unit and management method
KR101713907B1 (en) * 2015-10-05 2017-03-09 주식회사 윈스 Method and system for providing traffic correlation analysis service based on event generating time security network
JP2019525314A (en) * 2017-06-27 2019-09-05 シマンテック コーポレーションSymantec Corporation Mitigation of malicious activity related to graphical user interface elements
WO2021144978A1 (en) * 2020-01-17 2021-07-22 三菱電機株式会社 Attack estimation device, attack estimation method, and attack estimation program
WO2022195728A1 (en) * 2021-03-16 2022-09-22 日本電信電話株式会社 Activity trace extraction device, activity trace extraction method and activity trace extraction program
JP7478085B2 (en) 2020-12-03 2024-05-02 フォルシアクラリオン・エレクトロニクス株式会社 In-vehicle security device, vehicle security system, and vehicle management method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006350561A (en) * 2005-06-14 2006-12-28 Matsushita Electric Ind Co Ltd Attack detection device
JP2007323428A (en) * 2006-06-01 2007-12-13 Hitachi Ltd Bot detection apparatus, bot detection method and program
JP2008021274A (en) * 2006-06-15 2008-01-31 Interlex Inc Process monitoring device and method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006350561A (en) * 2005-06-14 2006-12-28 Matsushita Electric Ind Co Ltd Attack detection device
JP2007323428A (en) * 2006-06-01 2007-12-13 Hitachi Ltd Bot detection apparatus, bot detection method and program
JP2008021274A (en) * 2006-06-15 2008-01-31 Interlex Inc Process monitoring device and method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
竹森 敬祐: "セキュリティインシデントをトリガとしたボット検知方式:宛先IPとドメインに注目した不正検知", コンピュータセキュリティシンポジウム2007 論文集, vol. 第2007巻 第10号, JPN6012049474, 31 October 2007 (2007-10-31), JP, pages 253 - 258, ISSN: 0002335860 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014219741A (en) * 2013-05-01 2014-11-20 エヌ・ティ・ティ・コミュニケーションズ株式会社 Command source identification device, command source identification method, and command source identification program
JP2016181191A (en) * 2015-03-25 2016-10-13 富士通株式会社 Management program, management unit and management method
CN104935592A (en) * 2015-06-16 2015-09-23 上海斐讯数据通信技术有限公司 System and method for preventing DoS (Denial of Service) attacks
KR101713907B1 (en) * 2015-10-05 2017-03-09 주식회사 윈스 Method and system for providing traffic correlation analysis service based on event generating time security network
JP2019525314A (en) * 2017-06-27 2019-09-05 シマンテック コーポレーションSymantec Corporation Mitigation of malicious activity related to graphical user interface elements
WO2021144978A1 (en) * 2020-01-17 2021-07-22 三菱電機株式会社 Attack estimation device, attack estimation method, and attack estimation program
JP7478085B2 (en) 2020-12-03 2024-05-02 フォルシアクラリオン・エレクトロニクス株式会社 In-vehicle security device, vehicle security system, and vehicle management method
WO2022195728A1 (en) * 2021-03-16 2022-09-22 日本電信電話株式会社 Activity trace extraction device, activity trace extraction method and activity trace extraction program

Also Published As

Publication number Publication date
JP5119059B2 (en) 2013-01-16

Similar Documents

Publication Publication Date Title
JP5119059B2 (en) Information processing apparatus, information processing system, program, and recording medium
Antonakakis et al. Understanding the mirai botnet
Pa et al. IoTPOT: A novel honeypot for revealing current IoT threats
EP3507964B1 (en) Malware detection for proxy server networks
Wagner et al. Experiences with worm propagation simulations
JP5917573B2 (en) Real-time data awareness and file tracking system and method
US8566946B1 (en) Malware containment on connection
JP4755658B2 (en) Analysis system, analysis method and analysis program
US8561188B1 (en) Command and control channel detection with query string signature
US8635697B2 (en) Method and system for operating system identification in a network based security monitoring solution
JP5713445B2 (en) Communication monitoring system and method, communication monitoring device, virtual host device, and communication monitoring program
JP5009244B2 (en) Malware detection system, malware detection method, and malware detection program
US10218733B1 (en) System and method for detecting a malicious activity in a computing environment
US7873998B1 (en) Rapidly propagating threat detection
US20120117652A1 (en) Network-Based Binary File Extraction and Analysis for Malware Detection
CN110166480B (en) Data packet analysis method and device
US20180083987A1 (en) System and method for generating rules for attack detection feedback system
US20190230097A1 (en) Bot Characteristic Detection Method and Apparatus
CN107682470B (en) Method and device for detecting public network IP availability in NAT address pool
JP5389855B2 (en) Analysis system, analysis method and analysis program
JP5116578B2 (en) Information processing apparatus, information processing system, program, and recording medium
WO2011000297A1 (en) Method and device for detecting botnets
KR101072981B1 (en) Protection system against DDoS
JP5116577B2 (en) Information processing apparatus, information processing system, program, and recording medium
US9160765B1 (en) Method for securing endpoints from onslaught of network attacks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110131

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110201

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120912

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120925

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121022

R150 Certificate of patent or registration of utility model

Ref document number: 5119059

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151026

Year of fee payment: 3

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees