JP2010009187A - Information processor, information processing system, program, and recording medium - Google Patents
Information processor, information processing system, program, and recording medium Download PDFInfo
- Publication number
- JP2010009187A JP2010009187A JP2008165749A JP2008165749A JP2010009187A JP 2010009187 A JP2010009187 A JP 2010009187A JP 2008165749 A JP2008165749 A JP 2008165749A JP 2008165749 A JP2008165749 A JP 2008165749A JP 2010009187 A JP2010009187 A JP 2010009187A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- port number
- communication history
- time
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、通信に係る情報を処理する情報処理装置および情報処理システムに関する。また、本発明は、情報処理装置としてコンピュータを機能させるためのプログラム、およびそのプログラムを記録した記録媒体にも関する。 The present invention relates to an information processing apparatus and an information processing system for processing information related to communication. The present invention also relates to a program for causing a computer to function as an information processing apparatus, and a recording medium on which the program is recorded.
近年、ウィルスに感染したコンピュータに悪質な動作を実行させる、ボットと呼ばれるウィルスによる被害が拡大している。ボットは、外部の指令サーバに通信セッションを確立して新たなコードをダウンロードする機能や、攻撃のための指令を受ける機能、指令に従って攻撃する機能などを持つ悪意のコードで構成されている。ボットに感染して加害者として攻撃を行うことになった加害者装置や上記の指令サーバを撲滅することは重要であり、被害者装置から通信経路を辿って攻撃元を追跡するIPトレースバック技術が注目されている。 In recent years, damage caused by viruses called bots that cause a computer infected with a virus to perform malicious operations has been increasing. The bot is composed of malicious code having a function of establishing a communication session with an external command server and downloading a new code, a function of receiving a command for an attack, and a function of attacking according to the command. It is important to eradicate the perpetrator device that was infected by the bot and attacked as the perpetrator, and the command server mentioned above, and the IP traceback technology that traces the attack source by tracing the communication path from the victim device Is attracting attention.
IPトレースバックとは、送信元のIPアドレスを詐称して行う攻撃を、パケット中のIPレイヤの情報を用いて追跡する手法である。IPトレースバックの代表的な方式として、通過するパケットのハッシュ値を通信経路上の専用の装置で保存しておき、被害者側に届いた攻撃パケットのハッシュ値を、装置に残された情報から追跡するハッシュ方式がある(非特許文献1,2参照)。 IP traceback is a technique for tracking an attack performed by spoofing a source IP address using information of an IP layer in a packet. As a typical method of IP traceback, the hash value of the passing packet is stored in a dedicated device on the communication path, and the hash value of the attack packet that reaches the victim is determined from the information left in the device. There is a hash method for tracking (see Non-Patent Documents 1 and 2).
この他、ルータを通過するパケットをサンプリングして、パケット情報とルータ情報をICMPパケットに載せて、Destination IP(被害者のIPアドレス)へ送付するICMP方式がある(非特許文献3参照)。また、通過するパケットをサンプリングして、ルーティングに影響のないヘッダ領域にルータ情報を書き込むパケットマーキング方式もあり、被害者側でマーキング情報を組み立てることで、通信経路を追跡することができる(非特許文献4参照)。
図4は、ボットによる通信のモデルを示している。ボットによる通信には、攻撃を行う加害者PC(Personal Computer)400,401と、攻撃を受ける被害者PC410,411,412,413と、攻撃コード(実行ファイル)の配信や攻撃指示を行う指令サーバ420,421とが関係している。外部の加害者PC400は、ボットをダウンロードする初期コードを加害者PC401に埋め込む。加害者PC401は、この初期コードに従って指令サーバ420から新たなコードを受信する。さらに、加害者PC401は、指令サーバ421から指令を受け取り、被害者PCに対して各種攻撃を行う。
FIG. 4 shows a model of communication by bots. In the communication by the bot, the perpetrator PCs (Personal Computers) 400 and 401 performing the attack, the
本発明者らは、通信プロセスと通信の宛先をモニタするツールを実装し、加害者PCの通信挙動をモニタした。図5はこの様子を示している。加害者PCは初期のコード“^21.tmp.exe”を起動すると、新たにコード“nbin.exe”を取得した(時刻14:06:51)。この53秒後、加害者PCはコード“nbin.exe”により外部サーバとの通信を開始してコード“EventLogger.exe”を取得した(時刻14:07:44)。また、90秒後には加害者PCはコード“EventLogger.exe”により新たな通信を開始した(時刻14:08:21)。上記の3種類のコードによる通信が指令サーバとの通信である。 The inventors implemented a tool for monitoring a communication process and a communication destination, and monitored the communication behavior of the perpetrator PC. FIG. 5 shows this state. When the perpetrator PC starts the initial code “^ 21.tmp.exe”, the code “nbin.exe” is newly acquired (time 14:06:51). After 53 seconds, the perpetrator PC started communication with the external server using the code “nbin.exe” and acquired the code “EventLogger.exe” (time 14:07:44). After 90 seconds, the perpetrator PC started a new communication with the code “EventLogger.exe” (time 14:08:21). Communication with the above three types of codes is communication with the command server.
上記のようにボットに感染した加害者PCが指令サーバと行う通信と、加害者PCが被害者PCと行う攻撃のための通信は別個の通信であり、通信に使用するパケットも異なる。このため、従来のIPトレースバック方式では、被害者PCに到着したパケットの情報に基づいて被害者PCから加害者PCまでの通信を追跡することはできるが、被害者PCに到着したパケットとは異なるパケットを用いている指令サーバまでの通信を追跡することはできなかった。 As described above, the communication performed by the perpetrator PC infected with the bot with the command server and the communication for the attack performed by the perpetrator PC with the victim PC are separate communications, and the packets used for the communication are also different. For this reason, with the conventional IP traceback method, communication from the victim PC to the victim PC can be traced based on the information of the packet that arrived at the victim PC. Communication to the command server using different packets could not be traced.
本発明は、上述した課題に鑑みてなされたものであって、ボットに感染した装置が指令サーバと行う通信を検出することができる情報処理装置、情報処理システム、プログラム、および記録媒体を提供することを目的とする。 The present invention has been made in view of the above-described problems, and provides an information processing apparatus, an information processing system, a program, and a recording medium that can detect communication performed by a device infected with a bot with a command server. For the purpose.
本発明は、上記の課題を解決するためになされたもので、攻撃パケットの送信に利用されるポート番号を記憶する既知情報記憶手段と、監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、前記通信履歴に含まれる通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する時刻判定手段と、前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、前記通信履歴の中から、前記時刻判定手段による判定の結果、実行ファイルの生成時刻または更新時刻が前記所定期間に含まれると判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する抽出手段とを備えたことを特徴とする情報処理装置である。 The present invention has been made in order to solve the above-described problem, and known information storage means for storing a port number used for transmission of an attack packet, and communication started when communication to be monitored is executed. A communication history storage unit that stores a communication history including a process and a port number used for communication by the communication process, and a generation time or an update time of an execution file of the communication process included in the communication history is based on an attack time Time determination means for determining whether or not a predetermined period is included, and port number determination means for determining whether or not a port number included in the communication history matches a port number stored in the known information storage means From the communication history, as a result of the determination by the time determination means, it is determined that the execution time of the execution file or the update time is included in the predetermined period. An extraction unit that includes a communication process and extracts the communication history including a port number that is determined not to match the port number stored in the known information storage unit as a result of the determination by the port number determination unit Is an information processing apparatus characterized by
ボットには、新たな実行ファイルを次々に取得して通信プロセスを起動するという特徴がある。また、本発明者は、Webブラウザに寄生して新たな実行ファイルを取得し、その後Webブラウザを元の状態に戻すという特徴を有するボットを確認した。これらの特徴を有するボットによって起動する通信プロセスの実行ファイルの生成時刻または更新時刻は攻撃時刻に近いという特徴がある。このため、通信プロセスの実行ファイルの生成時刻または更新時刻が攻撃時刻に基づく所定期間に含まれる通信プロセスが実行した通信は指令サーバとの通信である可能性がある。 The bot has a feature of starting a communication process by acquiring new executable files one after another. In addition, the present inventor has confirmed a bot having a feature of acquiring a new executable file infested with a Web browser and then returning the Web browser to the original state. The generation time or update time of the execution file of the communication process activated by the bot having these characteristics is characterized by being close to the attack time. For this reason, there is a possibility that the communication executed by the communication process whose generation time or update time of the execution file of the communication process is included in a predetermined period based on the attack time is communication with the command server.
しかし、当該通信の中には、被害者の装置を宛先とし、攻撃パケットの送信に利用した通信が含まれている可能性がある。そこで、攻撃パケットの送信に利用されることが既知であるポート番号を用いた判定を行うことにより、被害者の装置を宛先とする通信を除外することが可能となる。すなわち、通信履歴に含まれるポート番号が、攻撃パケットの送信に利用されるポート番号と一致した場合、当該ポート番号を利用した通信は、攻撃パケットの送信に利用した通信であると判定することができる。また、通信履歴に含まれるポート番号が、攻撃パケットの送信に利用されるポート番号と一致しなかった場合、当該ポート番号を利用した通信は指令サーバとの通信である可能性がある。 However, there is a possibility that the communication includes communication used for sending attack packets with the victim's device as the destination. Therefore, by making a determination using a port number that is known to be used for transmission of attack packets, it is possible to exclude communication destined for the victim's device. That is, when the port number included in the communication history matches the port number used for sending the attack packet, it is possible to determine that the communication using the port number is the communication used for sending the attack packet. it can. Further, when the port number included in the communication history does not match the port number used for transmission of the attack packet, there is a possibility that the communication using the port number is communication with the command server.
したがって、通信プロセスの実行ファイルの生成時刻または更新時刻に関する判定と、通信に利用したポート番号に関する判定とを組み合わせることによって、攻撃パケットの送信に利用した通信を除外し、指令サーバとの通信を検出することができる。 Therefore, by combining the determination regarding the generation time or update time of the execution file of the communication process and the determination regarding the port number used for communication, the communication used for sending the attack packet is excluded, and communication with the command server is detected. can do.
また、本発明の情報処理装置において、前記通信履歴はさらに、前記通信プロセスが実行した通信の宛先の識別情報を含み、攻撃パケットを受信した装置の識別情報を含むメッセージを他の装置から受信する受信手段と、前記通信履歴に含まれる識別情報が、前記メッセージに含まれる識別情報と一致するか否かを判定する識別情報判定手段とをさらに備え、前記抽出手段は、前記識別情報判定手段による判定の結果、前記メッセージに含まれる識別情報と一致する識別情報が前記通信履歴に含まれる場合に前記通信履歴の抽出を行うことを特徴とする。 In the information processing apparatus of the present invention, the communication history further includes identification information of a destination of communication executed by the communication process, and receives a message including identification information of the apparatus that has received the attack packet from another apparatus. Receiving means; and identification information determination means for determining whether or not the identification information included in the communication history matches the identification information included in the message, wherein the extraction means is determined by the identification information determination means. As a result of the determination, the communication history is extracted when the identification information matching the identification information included in the message is included in the communication history.
本発明では、指令サーバから指令を受けて被害者の装置へ攻撃パケットを送信した加害者の装置の通信履歴を処理対象とすることが特に効果的である。加害者の装置の通信履歴には、被害者の装置へ攻撃パケットを送信した通信に係る通信履歴が含まれている。したがって、攻撃パケットを受信した装置の識別情報と一致する識別情報が通信履歴に含まれる場合に通信履歴の抽出を行うことによって、指令サーバとの通信の検出精度を向上することができる。 In the present invention, it is particularly effective to set the communication history of the perpetrator device that has received the command from the command server and transmitted the attack packet to the victim device as a processing target. The communication history of the perpetrator device includes a communication history related to communication in which an attack packet is transmitted to the victim device. Therefore, when the communication history includes identification information that matches the identification information of the device that received the attack packet, the detection accuracy of communication with the command server can be improved by extracting the communication history.
また、本発明は、上記の情報処理装置としてコンピュータを機能させるためのプログラムである。 The present invention is also a program for causing a computer to function as the information processing apparatus.
また、本発明は、上記のプログラムを格納したコンピュータ読み取り可能な記録媒体である。 Further, the present invention is a computer-readable recording medium storing the above program.
また、本発明は、第1の情報処理装置および第2の情報処理装置を備えた情報処理システムであって、前記第1の情報処理装置は、攻撃パケットの送信に利用されるポート番号を記憶する既知情報記憶手段と、監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信の宛先の識別情報と、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、前記通信履歴に含まれる通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する時刻判定手段と、前記通信履歴記憶手段が記憶する前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、前記通信履歴の中から、前記時刻判定手段による判定の結果、実行ファイルの生成時刻または更新時刻が前記所定期間に含まれると判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する第1の抽出手段と、前記第1の抽出手段が抽出した前記通信履歴を前記第2の情報処理装置へ送信する送信手段とを備え、前記第2の情報処理装置は、複数の前記第1の情報処理装置から前記通信履歴を受信する受信手段と、前記受信手段が受信した前記通信履歴の中から、共通の識別情報を有する前記通信履歴を抽出する第2の抽出手段とを備えたことを特徴とする情報処理システムである。 The present invention is an information processing system including a first information processing apparatus and a second information processing apparatus, and the first information processing apparatus stores a port number used for transmission of an attack packet. Communication including a known information storage means, a communication process activated when the monitored communication is executed, identification information of a communication destination by the communication process, and a port number used by communication by the communication process A communication history storage unit for storing a history, a time determination unit for determining whether a generation time or an update time of an execution file of a communication process included in the communication history is included in a predetermined period based on an attack time; A port for determining whether or not the port number included in the communication history stored in the communication history storage unit matches the port number stored in the known information storage unit And a port number determination unit including a communication process in which the execution time of the execution file is determined to be included in the predetermined period as a result of the determination by the time determination unit from the communication history determination unit As a result of determination by means, first extraction means for extracting the communication history including the port number determined not to match the port number stored in the known information storage means, and the first extraction means extracted the first extraction means Transmitting means for transmitting a communication history to the second information processing apparatus, wherein the second information processing apparatus receives the communication history from a plurality of the first information processing apparatuses; An information processing system comprising: second extraction means for extracting the communication history having common identification information from the communication history received by the means.
ボットでは、加害者として機能する複数の装置が同一の指令サーバと通信を行う特徴がある。この特徴を利用して、複数の第1の通信装置で抽出した通信履歴の中から共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信の検出精度を向上することができる。 The bot is characterized in that a plurality of devices functioning as perpetrators communicate with the same command server. By using this feature to extract a communication history having common identification information from communication histories extracted by a plurality of first communication devices, it is possible to improve the detection accuracy of communication with the command server. .
本発明によれば、ボットに感染した装置が指令サーバと行う通信を検出することができるという効果が得られる。 According to the present invention, it is possible to obtain an effect that a device infected with a bot can detect communication performed with a command server.
以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態による情報処理システムの構成を示している。本情報処理システムは、ボットによる被害者または加害者となる端末装置1(例えばPC)と、端末装置1から受信する通信履歴に基づいて通信の解析を行うサーバ2とを備えている。本情報処理システムでは複数台の端末装置1が存在しているが、図1では1台のみを図示し、他の端末装置1の図示を省略している。
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 shows the configuration of an information processing system according to an embodiment of the present invention. The information processing system includes a terminal device 1 (for example, a PC) that is a victim or a perpetrator of a bot, and a
以下、端末装置1が備える構成およびその動作を説明する。端末装置1は、既知情報記憶部100、通信監視部101、通信履歴記憶部102、被害報告部103、被害情報受信部104、被害情報記憶部105、加害者判定部106、通信解析部107、通信履歴報告部108、操作検出部109、および操作時刻記憶部110を備えている。端末装置1は被害者にも加害者にもなり得ることから、端末装置1は、被害者としての処理構成(被害報告部103)と、加害者としての処理構成(既知情報記憶部100、通信解析部107、通信履歴報告部108、操作検出部109、操作時刻記憶部110)との両方を備えている。既知情報記憶部100、通信履歴記憶部102、被害情報記憶部105、および操作時刻記憶部110は、異なる記録媒体で構成されていてもよいし、同一の記録媒体上の異なる記憶領域で構成されていてもよい。
Hereinafter, the configuration and operation of the terminal device 1 will be described. The terminal device 1 includes a known
既知情報記憶部100は、予め得られている既知情報を記憶する。サーバ2などの他の装置から既知情報を受信することによって端末装置1が既知情報を取得してもよいし、既知情報が格納された記録媒体から既知情報を読み出すことによって端末装置1が既知情報を取得してもよい。既知情報の詳細については後述する。
The known
通信監視部101は、端末装置1が他の装置と行う通信を監視し、通信結果を通信履歴として通信履歴記憶部102に格納する。通信監視部101の機能は、例えばMicrosoft(登録商標)社から提供されているPort Reporterというツールにより実現することが可能である。あるいは、Windows(登録商標) XP標準のIPHLPAPI.DLLで、TCPについてはAllocateAndGetTcpExTableFromStack()、UDPについてはUDP:AllocateAndGetUdpExTableFromStack()というAPIを100msec程度の周期で呼び出すことによっても、通信監視部101の機能を実現することが可能である。
The
通信履歴記憶部102は通信履歴を記憶する。この通信履歴には、監視対象となった通信の宛先を識別する識別情報と、監視対象となった通信を実行したときに起動した通信プロセスを識別する情報(本実施形態では通信プロセス名)と、監視対象となった通信が利用したポート番号と、監視対象となった通信を行った時刻(通信時刻)とが含まれる。識別情報は、IPアドレスまたはドメイン名、もしくはその両方であり、ドメイン名はFQDN(Fully Qualified Domain Name)であってもよい。以下に登場する他の識別情報についても同様である。識別情報を構成するIPアドレスとドメイン名とを関連付けるには、通信時にDNSサーバに名前解決を依頼した後、DNSサーバから返信されるパケットにIPアドレスとドメイン名の両者が含まれていることを利用すればよい。
The communication
被害報告部103は、端末装置1がボットによる攻撃パケットを受信し被害者となった場合に、攻撃パケットの受信に係る通信履歴を含むメッセージをサーバ2へ送信することによって、サーバ2に被害を報告する。サーバ2へ送信する通信履歴には、端末装置1の識別情報と攻撃パケットの受信時刻(攻撃時刻とする)が含まれる。この通信履歴を含むメッセージの送信は、例えば攻撃を受けたことを認識したユーザが端末装置1に入力した指示に基づいて行われる。
When the terminal device 1 receives an attack packet by the bot and becomes a victim, the
ボットによる攻撃に関する通信履歴を各端末装置1から受信したサーバ2は、各端末装置1の通信履歴を統合した被害情報を生成し、被害情報を含むメッセージを端末装置1へ送信する。この被害情報には、攻撃パケットを受信した端末装置1の識別情報と攻撃時刻(あるいは攻撃時刻を含む時間範囲でもよい)が含まれている。被害情報受信部104は、被害情報を含むサーバ2からのメッセージを受信し、メッセージに含まれる被害情報を被害情報記憶部105に格納する。被害情報記憶部105は被害情報を記憶する。
The
加害者判定部106は、端末装置1が加害者であるか否かを判定する。この判定には、被害情報記憶部105が記憶する被害情報に含まれる識別情報および攻撃時刻と、通信履歴記憶部102が記憶する通信履歴に含まれる識別情報および通信時刻とが用いられる。具体的には、加害者判定部106は、まず被害情報記憶部105から被害情報を読み出すと共に、通信履歴記憶部102から通信履歴を読み出す。続いて、加害者判定部106は、被害情報に含まれる攻撃時刻と、通信履歴に含まれる通信時刻とを比較し、攻撃時刻を基準とする前後の所定時間以内の通信時刻を含む通信履歴を以降の処理対象とする。
The
続いて、加害者判定部106は、被害情報に含まれる識別情報(攻撃パケットを受信した端末装置1の識別情報)と、通信履歴に含まれる識別情報(通信の宛先の装置の識別情報)とが一致するか否かを判定する。被害情報に含まれる識別情報が、通信履歴に含まれるいずれかの識別情報と一致した場合、自身の端末装置1が加害者であると判断することが可能である。また、被害情報に含まれる識別情報が、通信履歴に含まれるどの識別情報とも一致しなかった場合、自身の端末装置1が加害者ではないと判断することが可能である。
Subsequently, the
続いて、加害者判定部106は判定結果および攻撃時刻を通信解析部107に通知する。本実施形態では、端末装置1が加害者であると判断された場合に通信解析部107は以降の処理を行い、端末装置1が加害者ではないと判断された場合に通信解析部107は以降の処理を行わない。
Subsequently, the
通信解析部107は、既知情報記憶部100が記憶する既知情報と、通信履歴記憶部102が記憶する通信履歴と、操作時刻記憶部110が記憶する操作時刻とに基づいて、端末装置1が行った通信を解析し、指令サーバとの通信に係る通信履歴を抽出する。通信解析部107のより具体的な動作については後述する。通信履歴報告部108は、通信解析部107が抽出した通信履歴を含むメッセージをサーバ2へ送信する。
The
操作検出部109は、端末装置1に対するユーザの操作を検出し、検出を行った時刻を操作時刻として操作時刻記憶部110に格納する。操作時刻記憶部110は操作時刻を記憶する。上記の構成のほか、端末装置1は、ユーザが操作入力を行う入力装置や、通信プロセスの実行ファイル等を記憶する記憶装置等を備えているが、図示を省略している。
The
次に、サーバ2が備える構成およびその動作を説明する。サーバ2は、被害情報受信部200、被害情報記憶部201、被害情報配信部202、通信履歴受信部203、通信履歴記憶部204、および通信解析部205を備えている。被害情報記憶部201と通信履歴記憶部204は、異なる記録媒体で構成されていてもよいし、同一の記録媒体上の異なる記憶領域で構成されていてもよい。
Next, the configuration and operation of the
被害情報受信部200は、各端末装置1から送信された、被害情報を含むメッセージを受信し、メッセージに含まれる各被害情報を統合して被害情報記憶部201に格納する。被害情報記憶部201は被害情報を記憶する。被害情報配信部202は、被害情報記憶部201から被害情報を読み出し、被害情報を含むメッセージを端末装置1へ送信することによって、被害情報を各端末装置1に配信する。
The damage
通信履歴受信部203は、端末装置1から送信された、通信履歴を含むメッセージを受信し、メッセージに含まれる通信履歴を通信履歴記憶部204に格納する。通信履歴記憶部204は通信履歴を記憶する。通信解析部205は、通信履歴記憶部204が記憶する通信履歴に基づいて、各端末装置1が行った通信を解析する。通信解析部205のより具体的な動作については後述する。
The communication
次に、端末装置1が備える通信解析部107のより具体的な構成および動作を説明する。図2は通信解析部107の構成を示している。通信解析部107は、時刻判定部107a、ポート番号判定部107b、および通信履歴抽出部107cを備えている。通信解析部107による通信の解析には、既知情報記憶部100に格納されている既知情報と、通信履歴記憶部102に格納されている通信履歴と、操作時刻記憶部110に格納されている操作時刻とが用いられる。
Next, a more specific configuration and operation of the
既知情報記憶部100は、通信解析部107が参照する既知情報として、ポート番号リストを記憶する。ポート番号リストは、攻撃パケットの送信に利用されるポート番号をリスト化したものである。ポート番号リストには、攻撃に頻繁に利用されるTCP-Port 25,TCP-Port 135-139,UDP-Port 53が含まれる。
The known
時刻判定部107aは、通信履歴記憶部102から通信履歴を読み出し、通信履歴に含まれる通信プロセス名を取得する。続いて、時刻判定部107aは、取得した通信プロセス名を有する通信プロセスの実行ファイルの生成時刻または更新時刻を取得する。ボットには、新たな実行ファイルを次々に取得して通信プロセスを起動するという特徴や、Webブラウザに寄生して新たな実行ファイルを取得し、その後Webブラウザを元の状態に戻すという特徴を有している。これらの特徴を有するボットによって起動する通信プロセスの実行ファイルの生成時刻または更新時刻は新しく、攻撃時刻に近い。
The
このため、時刻判定部107aは、加害者判定部106から通知された攻撃時刻を基準とする所定期間(攻撃時刻の1時間前など)を設定し、上記の生成時刻または更新時刻が所定期間に含まれるか否かを判定する。生成時刻または更新時刻が所定期間に含まれない場合、実行ファイルの正常な生成または更新が行われたと判定することができる。これに対して、生成時刻または更新時刻が所定期間に含まれる場合、該当する通信プロセスが実行した通信は指令サーバとの通信である可能性がある。したがって、時刻判定部107aによる判定の結果から、指令サーバとの通信に係る通信履歴の候補を特定することが可能である。
Therefore, the
ただし、ボットに感染する直前に、Windows(登録商標) Updateなどの機能により、端末装置1が実行ファイルの正規な生成または更新を行う可能性があるため、これに係る通信履歴を除外することがより望ましい。実行ファイルの正規な生成または更新はユーザの操作に基づいて行われるので、実行ファイルの生成時刻または更新時刻がユーザの操作時刻を基準とする所定期間内の場合には、その実行ファイルの生成または更新は正常であるものとする。 However, immediately before the bot is infected, there is a possibility that the terminal device 1 may properly generate or update the executable file by a function such as Windows (registered trademark) Update. More desirable. Since regular generation or update of an executable file is performed based on a user operation, if the generation time or update time of the execution file is within a predetermined period based on the user operation time, the generation or update of the execution file is performed. The update shall be normal.
上記に基づき、時刻判定部107aは、操作時刻記憶部110から操作時刻を読み出し、操作時刻を基準とする所定期間(操作時刻の数分後など)を設定する。また、時刻判定部107aは、操作時刻を基準とする所定期間を含まないように、攻撃時刻を基準とする所定期間を設定した上で、上記の判定を行う。これによって、ユーザの操作に基づく実行ファイルの正常な生成または更新に係る通信履歴を除外し、指令サーバとの通信に係る通信履歴の候補を特定することが可能となる。
Based on the above, the
時刻判定部107aは、実行ファイルの生成時刻または更新時刻が攻撃時刻に基づく所定期間に含まれた通信プロセス名を判定結果として通信履歴抽出部107cに通知する。この通信プロセス名を含む通信履歴は、指令サーバとの通信に係る通信履歴の候補であるが、ボットは指令サーバとの通信以外に被害者への攻撃も行うため、上記の通信履歴の候補から、被害者への攻撃に係る通信履歴を除外する必要がある。ポート番号判定部107bは、このための判定を行う。
The
ポート番号判定部107bは、既知情報記憶部100からポート番号リストを読み出すと共に、通信履歴記憶部102から通信履歴を読み出す。続いて、ポート番号判定部107bは、通信履歴に含まれるポート番号がポート番号リスト内のポート番号と一致するか否かを判定する。通信履歴に含まれるポート番号がポート番号リスト内のいずれかのポート番号と一致した場合、このポート番号を利用した通信は、攻撃パケットの送信に利用した通信であると判定することができる。また、通信履歴に含まれるポート番号がポート番号リスト内のどのポート番号とも一致しなかった場合、このポート番号を利用した通信は指令サーバとの通信である可能性がある。したがって、ポート番号判定部107bによる判定の結果から、被害者を宛先とする通信を除外し、指令サーバとの通信に係る通信履歴の候補を特定することが可能である。ポート番号判定部107bは、ポート番号リスト内のどのポート番号とも一致しなかったポート番号を判定結果として通信履歴抽出部107cに通知する。
The port
通信履歴抽出部107cは、通信履歴記憶部102から通信履歴を読み出し、時刻判定部107aによる判定の結果と、ポート番号判定部107bによる判定の結果とに基づいて、指令サーバとの通信に係る通信履歴を抽出する。具体的には、通信履歴抽出部107cは、時刻判定部107aによる判定の結果、実行ファイルの生成時刻または更新時刻が攻撃時刻に基づく所定期間に含まれると判定された通信プロセス名を含み、かつポート番号判定部107bによる判定の結果、ポート番号リスト内のどのポート番号とも一致しないと判定されたポート番号を含む通信履歴を抽出する。上記のようにして抽出された通信履歴が、指令サーバとの通信に係る通信履歴として特定されたものである。また、抽出された通信履歴に含まれる識別情報が指令サーバの識別情報となる。上記の通信履歴の抽出の際に、被害情報に含まれる攻撃時刻を基準とした前後の所定時間以内の通信時刻を含む通信履歴を処理対象としてもよい。
The communication
次に、サーバ2が備える通信解析部205のより具体的な動作を説明する。サーバ2の通信履歴記憶部204には、指令サーバとの通信に係る通信履歴として各端末装置1で抽出された通信履歴が格納されている。各通信履歴は、端末装置1毎に区別できるようになっている。通信解析部205は、通信履歴記憶部204から複数の端末装置1についての通信履歴を読み出し、それらに共通する識別情報があるか否かを判定する。
Next, a more specific operation of the
より具体的には、通信解析部205はまず、1つの端末装置1についての通信履歴から、互いに異なる1または複数の識別情報を抽出し、各識別情報と出現頻度のペアを記憶装置に格納する。ここで、「互いに異なる」と記載したのは、1つの端末装置1についての通信履歴が複数のレコードからなり、同一の識別情報が複数レコードに記録されている場合に、同一の識別情報を1回だけ抽出する(その結果、抽出された識別情報は全て異なる)ことを明示するためである。最初の端末装置1についての通信履歴を処理したときには各識別情報の出現頻度は1にセットされる。
More specifically, the
続いて、通信解析部205は、他の1つの端末装置1についての通信履歴から、互いに異なる1または複数の識別情報を抽出し、記憶装置に格納されている各識別情報と比較する。通信履歴から抽出した識別情報が、記憶装置に格納されているいずれかの識別情報と一致した場合、その識別情報の出現頻度に1が加算される。また、通信履歴から抽出した識別情報が、記憶装置に格納されているどの識別情報とも一致しなかった場合、新たな識別情報と出現頻度(値は1)のペアが記憶装置に格納される。通信解析部205は、全ての端末装置1についての通信履歴を処理するまで上記の処理を繰り返す。上記の処理が終了したら、通信解析部205は記憶装置から出現頻度を読み出し、その出現頻度が所定値N(Nは2以上)以上である場合に、その出現頻度とペアになっている識別情報を記憶装置から読み出す。この識別情報は、指令サーバの識別情報として信頼度が高いものとなる。
Subsequently, the
ボットでは、加害者として機能する複数の端末装置1が同一の指令サーバと通信を行う特徴がある。したがって、複数の端末装置1で抽出した通信履歴の中から、共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信に係る通信履歴の抽出精度を高めることができる。 The bot is characterized in that a plurality of terminal devices 1 functioning as perpetrators communicate with the same command server. Therefore, by extracting the communication history having common identification information from the communication histories extracted by the plurality of terminal devices 1, it is possible to improve the accuracy of extracting the communication history related to the communication with the command server.
図3は、共通の識別情報を有する通信履歴が抽出される様子を示している。加害者となった端末装置1a,1b,1c,1dから通信履歴がサーバ2に報告される。4つの端末装置の通信履歴のうち、端末装置1b,1cからの通信履歴が、共通する識別情報を有している。この識別情報は、指令サーバの識別情報として、より信頼度が高いものとなる。通信プロセス名(図3の「nbin.exe」)も取得されている場合には、共通する通信プロセス名を有する通信履歴を抽出することによって、指令サーバとの通信に係る通信履歴の抽出精度をより高めることができる。
FIG. 3 shows how communication histories having common identification information are extracted. The communication history is reported to the
上述したように、本実施形態によれば、通信プロセスの実行ファイルの生成時刻または更新時刻に関する判定と、通信に利用したポート番号に関する判定とを組み合わせることによって、既知の正常な通信と、攻撃パケットの送信に利用した通信とを除外し、指令サーバとの通信を検出することができる。 As described above, according to the present embodiment, the known normal communication and the attack packet are combined by combining the determination on the generation time or update time of the execution file of the communication process and the determination on the port number used for communication. Communication with the command server can be detected.
また、加害者判定部106による判定の結果、端末装置1が加害者であると判断された場合に通信履歴の抽出を行うことによって、指令サーバとの通信の検出精度を向上することができる。さらに、加害者であると判断された端末装置1が、指令サーバ2との通信に係る通信履歴のみをサーバ2に報告することによって、端末装置1の正常な通信履歴の漏洩を防止することができる。
Also, as a result of determination by the
また、複数の端末装置1で抽出した通信履歴の中から、共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信の検出精度を向上することができる。 Further, by extracting a communication history having common identification information from the communication histories extracted by the plurality of terminal devices 1, it is possible to improve the detection accuracy of communication with the command server.
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態による端末装置1の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。 As described above, the embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the above-described embodiments, and includes design changes and the like without departing from the gist of the present invention. . For example, a program for realizing the operation and function of the terminal device 1 according to the above-described embodiment may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read and executed by the computer. Good.
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。 Here, the “computer” includes a homepage providing environment (or display environment) if the WWW system is used. The “computer-readable recording medium” refers to a storage device such as a portable medium such as a flexible disk, a magneto-optical disk, a ROM, and a CD-ROM, and a hard disk built in the computer. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 The program described above may be transmitted from a computer storing the program in a storage device or the like to another computer via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting a program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the above-described program may be for realizing a part of the above-described function. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer, what is called a difference file (difference program) may be sufficient.
1・・・端末装置(第1の情報処理装置)、2・・・サーバ(第2の情報処理装置)、100・・・既知情報記憶部(既知情報記憶手段)、101・・・通信監視部、102,204・・・通信履歴記憶部(通信履歴記憶手段)、103・・・被害報告部(送信手段)、104,200・・・被害情報受信部(受信手段)、105,201・・・被害情報記憶部、106・・・加害者判定部、107,205・・・通信解析部(第1の抽出手段、第2の抽出手段)、107a・・・時刻判定部(時刻判定手段)、107b・・・ポート番号判定部(ポート番号判定手段)、107c・・・通信履歴抽出部(抽出手段)、108・・・通信履歴報告部、109・・・操作検出部、110・・・操作時刻記憶部、202・・・被害情報配信部、203・・・通信履歴受信部(受信手段) DESCRIPTION OF SYMBOLS 1 ... Terminal device (1st information processing apparatus), 2 ... Server (2nd information processing apparatus), 100 ... Known information storage part (known information storage means), 101 ... Communication monitoring , 102, 204 ... communication history storage (communication history storage means), 103 ... damage report part (transmission means), 104, 200 ... damage information reception part (reception means), 105, 201 ..Damage information storage unit, 106 ... Perpetrator determination unit, 107, 205 ... Communication analysis unit (first extraction means, second extraction unit), 107a ... Time determination unit (time determination unit) 107b ... Port number determination unit (port number determination unit), 107c ... Communication history extraction unit (extraction unit), 108 ... Communication history report unit, 109 ... Operation detection unit, 110 ... Operation time storage unit, 202 ... Damage information distribution unit, 2 3 ... the communication history receiving unit (receiving means)
Claims (5)
監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、
前記通信履歴に含まれる通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する時刻判定手段と、
前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、
前記通信履歴の中から、前記時刻判定手段による判定の結果、実行ファイルの生成時刻または更新時刻が前記所定期間に含まれると判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する抽出手段と、
を備えたことを特徴とする情報処理装置。 Known information storage means for storing a port number used for transmission of an attack packet;
A communication history storage means for storing a communication history including a communication process started when executing the communication to be monitored and a port number used by communication by the communication process;
Time determination means for determining whether the generation time or update time of the execution file of the communication process included in the communication history is included in a predetermined period based on the attack time;
Port number determination means for determining whether a port number included in the communication history matches a port number stored in the known information storage means;
The communication history includes a communication process in which the execution file generation time or update time is determined to be included in the predetermined period as a result of the determination by the time determination unit, and the determination result by the port number determination unit Extracting means for extracting the communication history including the port number determined not to match the port number stored in the known information storage unit;
An information processing apparatus comprising:
攻撃パケットを受信した装置の識別情報を含むメッセージを他の装置から受信する受信手段と、
前記通信履歴に含まれる識別情報が、前記メッセージに含まれる識別情報と一致するか否かを判定する識別情報判定手段とをさらに備え、
前記抽出手段は、前記識別情報判定手段による判定の結果、前記メッセージに含まれる識別情報と一致する識別情報が前記通信履歴に含まれる場合に前記通信履歴の抽出を行う
ことを特徴とする請求項1に記載の情報処理装置。 The communication history further includes identification information of a destination of communication executed by the communication process,
Receiving means for receiving a message including identification information of the device that received the attack packet from another device;
Identification information determination means for determining whether or not the identification information included in the communication history matches the identification information included in the message;
The extraction means extracts the communication history when the identification information matching the identification information included in the message is included in the communication history as a result of the determination by the identification information determination means. The information processing apparatus according to 1.
前記第1の情報処理装置は、
攻撃パケットの送信に利用されるポート番号を記憶する既知情報記憶手段と、
監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信の宛先の識別情報と、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、
前記通信履歴に含まれる通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する時刻判定手段と、
前記通信履歴記憶手段が記憶する前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、
前記通信履歴の中から、前記時刻判定手段による判定の結果、実行ファイルの生成時刻または更新時刻が前記所定期間に含まれると判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する第1の抽出手段と、
前記第1の抽出手段が抽出した前記通信履歴を前記第2の情報処理装置へ送信する送信手段とを備え、
前記第2の情報処理装置は、
複数の前記第1の情報処理装置から前記通信履歴を受信する受信手段と、
前記受信手段が受信した前記通信履歴の中から、共通の識別情報を有する前記通信履歴を抽出する第2の抽出手段とを備えた
ことを特徴とする情報処理システム。 An information processing system comprising a first information processing device and a second information processing device,
The first information processing apparatus includes:
Known information storage means for storing a port number used for transmission of an attack packet;
A communication history storage that stores a communication history including a communication process started when the monitored communication is executed, communication destination identification information by the communication process, and a port number used by communication by the communication process. Means,
Time determination means for determining whether the generation time or update time of the execution file of the communication process included in the communication history is included in a predetermined period based on the attack time;
Port number determination means for determining whether a port number included in the communication history stored in the communication history storage means matches a port number stored in the known information storage means;
The communication history includes a communication process in which the execution file generation time or update time is determined to be included in the predetermined period as a result of the determination by the time determination unit, and the determination result by the port number determination unit First extraction means for extracting the communication history including the port number determined not to match the port number stored in the known information storage means;
Transmission means for transmitting the communication history extracted by the first extraction means to the second information processing apparatus,
The second information processing apparatus
Receiving means for receiving the communication history from a plurality of the first information processing devices;
An information processing system comprising: a second extraction unit that extracts the communication history having common identification information from the communication history received by the reception unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008165749A JP5119059B2 (en) | 2008-06-25 | 2008-06-25 | Information processing apparatus, information processing system, program, and recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008165749A JP5119059B2 (en) | 2008-06-25 | 2008-06-25 | Information processing apparatus, information processing system, program, and recording medium |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010009187A true JP2010009187A (en) | 2010-01-14 |
JP5119059B2 JP5119059B2 (en) | 2013-01-16 |
Family
ID=41589632
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008165749A Expired - Fee Related JP5119059B2 (en) | 2008-06-25 | 2008-06-25 | Information processing apparatus, information processing system, program, and recording medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5119059B2 (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014219741A (en) * | 2013-05-01 | 2014-11-20 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Command source identification device, command source identification method, and command source identification program |
CN104935592A (en) * | 2015-06-16 | 2015-09-23 | 上海斐讯数据通信技术有限公司 | System and method for preventing DoS (Denial of Service) attacks |
JP2016181191A (en) * | 2015-03-25 | 2016-10-13 | 富士通株式会社 | Management program, management unit and management method |
KR101713907B1 (en) * | 2015-10-05 | 2017-03-09 | 주식회사 윈스 | Method and system for providing traffic correlation analysis service based on event generating time security network |
JP2019525314A (en) * | 2017-06-27 | 2019-09-05 | シマンテック コーポレーションSymantec Corporation | Mitigation of malicious activity related to graphical user interface elements |
WO2021144978A1 (en) * | 2020-01-17 | 2021-07-22 | 三菱電機株式会社 | Attack estimation device, attack estimation method, and attack estimation program |
WO2022195728A1 (en) * | 2021-03-16 | 2022-09-22 | 日本電信電話株式会社 | Activity trace extraction device, activity trace extraction method and activity trace extraction program |
JP7478085B2 (en) | 2020-12-03 | 2024-05-02 | フォルシアクラリオン・エレクトロニクス株式会社 | In-vehicle security device, vehicle security system, and vehicle management method |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006350561A (en) * | 2005-06-14 | 2006-12-28 | Matsushita Electric Ind Co Ltd | Attack detection device |
JP2007323428A (en) * | 2006-06-01 | 2007-12-13 | Hitachi Ltd | Bot detection apparatus, bot detection method and program |
JP2008021274A (en) * | 2006-06-15 | 2008-01-31 | Interlex Inc | Process monitoring device and method |
-
2008
- 2008-06-25 JP JP2008165749A patent/JP5119059B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006350561A (en) * | 2005-06-14 | 2006-12-28 | Matsushita Electric Ind Co Ltd | Attack detection device |
JP2007323428A (en) * | 2006-06-01 | 2007-12-13 | Hitachi Ltd | Bot detection apparatus, bot detection method and program |
JP2008021274A (en) * | 2006-06-15 | 2008-01-31 | Interlex Inc | Process monitoring device and method |
Non-Patent Citations (1)
Title |
---|
竹森 敬祐: "セキュリティインシデントをトリガとしたボット検知方式:宛先IPとドメインに注目した不正検知", コンピュータセキュリティシンポジウム2007 論文集, vol. 第2007巻 第10号, JPN6012049474, 31 October 2007 (2007-10-31), JP, pages 253 - 258, ISSN: 0002335860 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014219741A (en) * | 2013-05-01 | 2014-11-20 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Command source identification device, command source identification method, and command source identification program |
JP2016181191A (en) * | 2015-03-25 | 2016-10-13 | 富士通株式会社 | Management program, management unit and management method |
CN104935592A (en) * | 2015-06-16 | 2015-09-23 | 上海斐讯数据通信技术有限公司 | System and method for preventing DoS (Denial of Service) attacks |
KR101713907B1 (en) * | 2015-10-05 | 2017-03-09 | 주식회사 윈스 | Method and system for providing traffic correlation analysis service based on event generating time security network |
JP2019525314A (en) * | 2017-06-27 | 2019-09-05 | シマンテック コーポレーションSymantec Corporation | Mitigation of malicious activity related to graphical user interface elements |
WO2021144978A1 (en) * | 2020-01-17 | 2021-07-22 | 三菱電機株式会社 | Attack estimation device, attack estimation method, and attack estimation program |
JP7478085B2 (en) | 2020-12-03 | 2024-05-02 | フォルシアクラリオン・エレクトロニクス株式会社 | In-vehicle security device, vehicle security system, and vehicle management method |
WO2022195728A1 (en) * | 2021-03-16 | 2022-09-22 | 日本電信電話株式会社 | Activity trace extraction device, activity trace extraction method and activity trace extraction program |
Also Published As
Publication number | Publication date |
---|---|
JP5119059B2 (en) | 2013-01-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5119059B2 (en) | Information processing apparatus, information processing system, program, and recording medium | |
Antonakakis et al. | Understanding the mirai botnet | |
Pa et al. | IoTPOT: A novel honeypot for revealing current IoT threats | |
EP3507964B1 (en) | Malware detection for proxy server networks | |
Wagner et al. | Experiences with worm propagation simulations | |
JP5917573B2 (en) | Real-time data awareness and file tracking system and method | |
US8566946B1 (en) | Malware containment on connection | |
JP4755658B2 (en) | Analysis system, analysis method and analysis program | |
US8561188B1 (en) | Command and control channel detection with query string signature | |
US8635697B2 (en) | Method and system for operating system identification in a network based security monitoring solution | |
JP5713445B2 (en) | Communication monitoring system and method, communication monitoring device, virtual host device, and communication monitoring program | |
JP5009244B2 (en) | Malware detection system, malware detection method, and malware detection program | |
US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
US7873998B1 (en) | Rapidly propagating threat detection | |
US20120117652A1 (en) | Network-Based Binary File Extraction and Analysis for Malware Detection | |
CN110166480B (en) | Data packet analysis method and device | |
US20180083987A1 (en) | System and method for generating rules for attack detection feedback system | |
US20190230097A1 (en) | Bot Characteristic Detection Method and Apparatus | |
CN107682470B (en) | Method and device for detecting public network IP availability in NAT address pool | |
JP5389855B2 (en) | Analysis system, analysis method and analysis program | |
JP5116578B2 (en) | Information processing apparatus, information processing system, program, and recording medium | |
WO2011000297A1 (en) | Method and device for detecting botnets | |
KR101072981B1 (en) | Protection system against DDoS | |
JP5116577B2 (en) | Information processing apparatus, information processing system, program, and recording medium | |
US9160765B1 (en) | Method for securing endpoints from onslaught of network attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110131 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110201 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120912 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120925 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121022 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5119059 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151026 Year of fee payment: 3 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |