JP2011193343A - Communications network monitoring system - Google Patents

Communications network monitoring system Download PDF

Info

Publication number
JP2011193343A
JP2011193343A JP2010059274A JP2010059274A JP2011193343A JP 2011193343 A JP2011193343 A JP 2011193343A JP 2010059274 A JP2010059274 A JP 2010059274A JP 2010059274 A JP2010059274 A JP 2010059274A JP 2011193343 A JP2011193343 A JP 2011193343A
Authority
JP
Japan
Prior art keywords
information
threshold
communication network
determination
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2010059274A
Other languages
Japanese (ja)
Inventor
Akira Baba
昭 馬場
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2010059274A priority Critical patent/JP2011193343A/en
Publication of JP2011193343A publication Critical patent/JP2011193343A/en
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To detect a malignant host, using a simple method. <P>SOLUTION: A communications network monitoring system includes a receiving unit 11a for receiving from a DNS (domain name system) server 30 first information and second information specifying a terminal device; a storage section 11b for storing the received first information and second information in a database; a determining unit 13a for calculating the number of second information items corresponding to the first information, comparing the number of the second information items with a predetermined first threshold, if the number of the second information items is more than the first threshold, calculating average alive period of the second information, and comparing the average alive period with a predetermined second threshold; and a transmitting unit for transmitting a result of the determination to the terminal device that requests the determination. If the average alive period is smaller than the second threshold, the determining unit 13a determines that a host which is specified by the first information and the second information is a malignant host. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムに関する。   The present invention relates to a communication network monitoring system that detects a malicious host that provides an antisocial program including malware to a terminal device connected to a communication network.

近時、Web(World wide web)を経由したマルウェア(malware)の感染が拡大しており、大きな社会問題となっている。このマルウェアとは、コンピューターウイルスをはじめとする有害なソフトウェアの総称のことである。例えば、悪意を持って作られたソフトウェア、ワーム、スパイウェアなどに加え、初めから犯罪目的で作られたクライムウェアなども含まれる。この問題の対策として、マルウェアの配布などを行なう悪性のWebサイトをリスト化し、ユーザが誤ってその悪性のWebサイトにアクセスしないように制限を設ける対策が有望視されている。   Recently, malware infection via the Web (World wide web) has been increasing, which has become a major social problem. Malware is a general term for harmful software such as computer viruses. For example, in addition to malicious software, worms, and spyware, crimeware that was originally created for criminal purposes is also included. As a countermeasure against this problem, a promising measure is to list malicious websites that distribute malware and restrict the users from accidentally accessing the malicious websites.

マルウェアの配布などを行なう悪性ホストを検出する技術として、次のようなものが存在する。まず、パターンマッチングによりマルウェアを検出する技術がある。この技術では、Webサイトからダウンロードされたコンテンツについて、パターンマッチングを行ない、マルウェアの検出を行なう。そして、マルウェアが検出されたホストを悪性ホストと判定する。次に、挙動解析によりマルウェアを検出する技術がある。この技術では、Webサイトからダウンロードされるコンテンツについて、検証用に設置されたシステムでその挙動を監視し、不正なファイルやプロセス、レジストリ情報などの作成、変更などを検出することによって、対象となるホストを判定する。さらに、Webサイトを巡回する手法がある。この手法では、Webサイトを自動的に巡回し、コンテンツを収集し、上記のいずれかの手法を用いて悪性ホストの判定を行なうものである。また、例えば、特許文献1には、DNS(Domain Name System)の偽装をするトロイの木馬プログラムを検出するシステムが開示されている。   There are the following technologies for detecting malicious hosts that distribute malware. First, there is a technique for detecting malware by pattern matching. In this technique, the content downloaded from the website is subjected to pattern matching to detect malware. Then, the host where the malware is detected is determined as a malicious host. Next, there is a technology for detecting malware by behavior analysis. This technology is targeted by monitoring the behavior of content downloaded from websites with a system installed for verification and detecting the creation and modification of unauthorized files, processes, registry information, etc. Determine the host. In addition, there is a technique for patrol a Web site. In this method, a website is automatically visited, contents are collected, and a malicious host is determined using any one of the methods described above. Further, for example, Patent Document 1 discloses a system for detecting a Trojan horse program that disguises DNS (Domain Name System).

特表2008−532133号公報Special table 2008-532133

しかしながら、最近のマルウェアは短期間に大量に亜種が作られるため、パターンの作成が追いつかないことが多い。このため、パターンマッチングによりマルウェアを検出する手法では限界がある。挙動解析によりマルウェアを検出する手法では、OS(Operating System)やソフトウェアの環境によっては検出できないマルウェアが多く、この手法にも限界がある。Webサイトを巡回する手法では、大量のリソースを使うと共に、多くの時間を要するため、すべてのWebサイトを網羅することは困難である。また、悪性のWebサイトの中には、ある端末装置から一度アクセスされると、それ以降は、同じ端末装置からアクセスがあっても、無害なコンテンツを返すようなアクセス制限機能を具備したものもあるため、正しく悪性判定を行なうことが困難となっている。   However, recent malware often creates a large number of variants in a short period of time, so pattern creation often cannot keep up. For this reason, there is a limit to the method of detecting malware by pattern matching. In the method of detecting malware by behavior analysis, there are many malware that cannot be detected depending on the OS (Operating System) and software environment, and this method has its limitations. The technique of visiting Web sites uses a large amount of resources and requires a lot of time, so it is difficult to cover all Web sites. In addition, some malicious websites have an access restriction function that returns harmless content once accessed from a certain terminal device, even if accessed from the same terminal device thereafter. Therefore, it is difficult to correctly determine malignancy.

本発明は、このような事情に鑑みてなされたものであり、簡易な手法で悪性ホストを検出することができる通信ネットワーク監視システムを提供することを目的とする。   The present invention has been made in view of such circumstances, and an object thereof is to provide a communication network monitoring system capable of detecting a malicious host by a simple method.

(1)上記の目的を達成するために、本発明は、以下のような手段を講じた。すなわち、本発明の通信ネットワーク監視システムは、通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムであって、DNS(Domain Name System)サーバから、端末装置を特定する第1の情報および第2の情報を受信する受信部と、前記受信した第1の情報および第2の情報をデータベースに格納する格納部と、前記第1の情報に対応する前記第2の情報の数を算出し、前記第2の情報の数を予め定められた第1の閾値と比較し、前記第2の情報の数が前記第1の閾値よりも大きいときは、前記第2の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第2の閾値と比較する判定部と、前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、前記判定部は、前記平均生存期間が前記第2の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定することを特徴とする。   (1) In order to achieve the above object, the present invention takes the following measures. That is, the communication network monitoring system of the present invention is a communication network monitoring system that detects a malicious host that provides an antisocial program including malware to a terminal device connected to a communication network, and is a DNS (Domain A receiving unit for receiving first information and second information for identifying a terminal device from a (Name System) server; a storage unit for storing the received first information and second information in a database; The number of the second information corresponding to one information is calculated, the number of the second information is compared with a predetermined first threshold value, and the number of the second information is the first threshold value. Is greater than, a determination unit that calculates an average survival time of the second information and compares the average survival time with a predetermined second threshold, and the determination result is the end of the determination request. A transmission unit that transmits a device, and the determination unit determines that the host specified by the first information and the second information is malignant when the average lifetime is smaller than the second threshold. It is characterized by determining.

このように、第1の情報に対応する第2の情報の数を算出し、第2の情報の数を予め定められた第1の閾値と比較し、第2の情報の数が第1の閾値よりも大きいときは、第2の情報の平均生存期間を算定し、平均生存期間を予め定められた第2の閾値と比較し、平均生存期間が第2の閾値よりも小さい場合は、第1の情報および第2の情報で特定されるホストを悪性と判定するので、簡易な手法で悪性ホストを検出することができる。   In this manner, the number of second information corresponding to the first information is calculated, the number of second information is compared with a predetermined first threshold, and the number of second information is the first information When the average survival time is greater than the threshold, the average survival time of the second information is calculated, the average survival time is compared with a predetermined second threshold, and if the average survival time is less than the second threshold, Since the host specified by the first information and the second information is determined to be malignant, the malignant host can be detected by a simple method.

(2)また、本発明の通信ネットワーク監視システムは、通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムであって、DNS(Domain Name System)サーバから、端末装置を特定する第1の情報および第2の情報を受信する受信部と、前記受信した第1の情報および第2の情報をデータベースに格納する格納部と、前記第2の情報に対応する前記第1の情報の数を算出し、前記第1の情報の数を予め定められた第3の閾値と比較し、前記第1の情報の数が前記第3の閾値よりも大きいときは、前記第1の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第4の閾値と比較する判定部と、前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、前記判定部は、前記平均生存期間が前記第4の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定することを特徴とする。   (2) Moreover, the communication network monitoring system of the present invention is a communication network monitoring system for detecting a malicious host that provides an antisocial program including malware to a terminal device connected to the communication network, A receiving unit that receives first information and second information specifying a terminal device from a DNS (Domain Name System) server; and a storage unit that stores the received first information and second information in a database; The number of the first information corresponding to the second information is calculated, the number of the first information is compared with a predetermined third threshold, and the number of the first information is When the threshold value is greater than 3, the average lifetime of the first information is calculated, the determination unit that compares the average lifetime with a predetermined fourth threshold value, the determination result, the determination request Done A transmission unit that transmits a terminal device, and when the average lifetime is smaller than the fourth threshold, the determination unit determines a host specified by the first information and the second information. It is determined to be malignant.

このように、第2の情報に対応する第1の情報の数を算出し、第1の情報の数を予め定められた第3の閾値と比較し、第1の情報の数が第3の閾値よりも大きいときは、第1の情報の平均生存期間を算定し、平均生存期間を予め定められた第4の閾値と比較し、平均生存期間が第4の閾値よりも小さい場合は、第1の情報および第2の情報で特定されるホストを悪性と判定するので、簡易な手法で悪性ホストを検出することができる。   Thus, the number of first information corresponding to the second information is calculated, the number of first information is compared with a predetermined third threshold, and the number of first information is the third number. When larger than the threshold, the average survival time of the first information is calculated, the average survival time is compared with a predetermined fourth threshold, and if the average survival time is smaller than the fourth threshold, Since the host specified by the first information and the second information is determined to be malignant, the malignant host can be detected by a simple method.

(3)また、本発明の通信ネットワーク監視システムにおいて、前記判定部は、前記第1の情報に対応する前記第2の情報のばらつき、または前記第2の情報に対応する第1の情報のばらつきに基づいて、前記判定を行なうことを特徴とする。   (3) In the communication network monitoring system according to the present invention, the determination unit may vary the second information corresponding to the first information, or may vary the first information corresponding to the second information. Based on the above, the determination is performed.

このように、第1の情報に対応する第2の情報のばらつき、または第2の情報に対応する第1の情報のばらつきに基づいて、判定を行なうので、簡易な手法で悪性ホストを検出することができる。例えば、一般的に、同じドメイン名に関連付けられているIPアドレスは、アドレス空間が近くにあるため、ばらつきは小さい傾向にあるため、ばらつきが大きい場合は、悪性度が高いと判定することが可能となる。   As described above, since the determination is performed based on the variation of the second information corresponding to the first information or the variation of the first information corresponding to the second information, the malicious host is detected by a simple method. be able to. For example, generally, IP addresses associated with the same domain name tend to have a small variation because the address space is close, so if the variation is large, it can be determined that the malignancy is high It becomes.

(4)また、本発明の通信ネットワーク監視システムにおいて、前記閾値は、可変であることを特徴とする。   (4) In the communication network monitoring system of the present invention, the threshold value is variable.

このように、閾値が可変であるため、システムの運用状況に応じた閾値の設定をすることが可能となる。すなわち、同一ドメイン名と関連付けられたIPアドレス数(例えば、100個)と、そのIPアドレスの生存期間(例えば、1か月)、同一IPアドレスと関連付けられたドメイン数(例えば、50個)と、そのドメインの生存期間(例えば、1か月)としたときに、これらの閾値を運用状況に応じて調整可能となる。   Thus, since the threshold value is variable, it is possible to set the threshold value according to the operation status of the system. That is, the number of IP addresses associated with the same domain name (for example, 100), the lifetime of the IP address (for example, 1 month), the number of domains associated with the same IP address (for example, 50) When the lifetime of the domain is set (for example, one month), these threshold values can be adjusted according to the operation status.

(5)また、本発明の通信ネットワーク監視システムにおいて、前記第1の情報はドメイン名であり、前記第2の情報はIPアドレスであることを特徴とする。   (5) In the communication network monitoring system according to the present invention, the first information is a domain name, and the second information is an IP address.

このように、第1の情報はドメイン名であり、前記第2の情報はIPアドレスであるので、簡易な手法で悪性ホストを検出することができる。   Thus, since the first information is a domain name and the second information is an IP address, a malicious host can be detected by a simple method.

本発明によれば、第1の情報に対応する第2の情報の数を算出し、第2の情報の数を予め定められた第1の閾値と比較し、第2の情報の数が第1の閾値よりも大きいときは、第2の情報の平均生存期間を算定し、平均生存期間を予め定められた第2の閾値と比較し、平均生存期間が第2の閾値よりも小さい場合は、第1の情報および第2の情報で特定されるホストを悪性と判定するので、簡易な手法で悪性ホストを検出することができる。   According to the present invention, the number of second information corresponding to the first information is calculated, the number of second information is compared with a predetermined first threshold, and the number of second information is When the average lifetime is smaller than the first threshold, the average lifetime of the second information is calculated, the average lifetime is compared with a predetermined second threshold, and the average lifetime is smaller than the second threshold. Since the host specified by the first information and the second information is determined to be malignant, the malignant host can be detected by a simple method.

本実施形態に係る悪性ホスト判定システム(通信ネットワーク監視システム)の概要を示す図である。It is a figure which shows the outline | summary of the malicious host determination system (communication network monitoring system) which concerns on this embodiment. 本実施形態に係る悪性ホスト判定システム(通信ネットワーク監視システム)の動作の概念を示す図である。It is a figure which shows the concept of operation | movement of the malicious host determination system (communication network monitoring system) which concerns on this embodiment. DNS情報収集装置11の具体的な動作を示すフローチャートである。4 is a flowchart showing a specific operation of the DNS information collecting apparatus 11. 悪性ホスト判定装置13の具体的な動作を示すフローチャートである。3 is a flowchart showing a specific operation of a malicious host determination device 13. 悪性ホスト判定装置13の具体的な動作を示すフローチャートである。3 is a flowchart showing a specific operation of a malicious host determination device 13. IPアドレスについて、グループ化した例を示す図である。It is a figure which shows the example which grouped about the IP address. ドメイン名について、グループ化した例を示す図である。It is a figure which shows the example which grouped about the domain name.

本発明者らは、Webにおける調査および検証を繰り返し、マルウェアの配布などを行なう悪性ホストには、同じドメイン名に対し、複数のIPアドレスを設定し、これらを頻繁に変更したり、複数のドメイン名を単一のIPアドレスに設定し、これらを頻繁に変更したりする傾向があることに着目し、ドメイン名をキーとして関連付けられたIPアドレスを検索し、ある一定数以上のIPアドレスに関連付けられ、その生存期間の平均が一定時間以下である場合に悪性であると判定できることを見出し、本発明をするに至った。   The inventors of the present invention repeatedly set up a plurality of IP addresses for the same domain name for a malicious host that repeatedly conducts surveys and verifications on the Web and distributes malware, etc. Focusing on the tendency to set names to a single IP address and change them frequently, search for the associated IP address using the domain name as a key, and associate it with a certain number of IP addresses The inventors have found that malignancy can be determined when the average survival time is not more than a certain time, and have led to the present invention.

すなわち、本発明は、通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムであって、DNS(Domain Name System)サーバから、端末装置を特定する第1の情報および第2の情報を受信する受信部と、前記受信した第1の情報および第2の情報をデータベースに格納する格納部と、前記第1の情報に対応する前記第2の情報の数を算出し、前記第2の情報の数を予め定められた第1の閾値と比較し、前記第2の情報の数が前記第1の閾値よりも大きいときは、前記第2の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第2の閾値と比較する判定部と、前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、前記判定部は、前記平均生存期間が前記第2の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定することを特徴とする。   That is, the present invention is a communication network monitoring system for detecting a malicious host that provides an antisocial program including malware to a terminal device connected to a communication network, from a DNS (Domain Name System) server. A receiving unit for receiving first information and second information for specifying a terminal device, a storage unit for storing the received first information and second information in a database, and corresponding to the first information When the number of the second information is calculated, the number of the second information is compared with a predetermined first threshold, and the number of the second information is larger than the first threshold A determination unit that calculates an average lifetime of the second information and compares the average lifetime with a predetermined second threshold, and transmits the determination result to the terminal device that has made the determination request. And , The determination unit is configured when the average survival time is less than the second threshold value, and judging the host specified by the first information and the second information as malignant.

これにより、本発明者らは、簡易な手法で悪性ホストを検出することを可能とした。以下、本発明の実施形態について、図面を参照しながら説明する。   Thus, the present inventors have made it possible to detect a malignant host by a simple method. Hereinafter, embodiments of the present invention will be described with reference to the drawings.

図1は、本実施形態に係る悪性ホスト判定システム(通信ネットワーク監視システム)の概要を示す図である。この通信ネットワーク監視システム10は、トラヒック分岐装置20と接続しており、DNSサーバ30が管理するDNS情報を受信する。DNSサーバ30は、トラヒック分岐装置20を介して、ネットワーク40およびインターネット50に接続されている端末装置50a〜50cと情報の授受を行なう。   FIG. 1 is a diagram showing an overview of a malicious host determination system (communication network monitoring system) according to the present embodiment. The communication network monitoring system 10 is connected to the traffic branch device 20 and receives DNS information managed by the DNS server 30. The DNS server 30 exchanges information with the terminal devices 50 a to 50 c connected to the network 40 and the Internet 50 via the traffic branching device 20.

通信ネットワーク監視システムとしての悪性ホスト判定システム10は、DNS情報収集装置11、DB12および悪性ホスト判定装置13から構成されている。DNS情報収集装置11において、トラヒック分岐装置20からDNSサーバ30が有するDNS情報、すなわち、ドメイン名とIPアドレスを取得する。DB12は、DNS情報収集装置11が収集したDNS情報を格納する。悪性ホスト判定装置13は、端末装置50cからのリクエストに応じて、DB12に格納されているドメイン名とIPアドレスの組み合わせに基づいて、悪性ホストであるかどうかの判定を行なう。   A malicious host determination system 10 as a communication network monitoring system includes a DNS information collection device 11, a DB 12, and a malicious host determination device 13. In the DNS information collection device 11, the DNS information that the DNS server 30 has, that is, the domain name and IP address are acquired from the traffic branch device 20. The DB 12 stores DNS information collected by the DNS information collection device 11. In response to a request from the terminal device 50c, the malicious host determination device 13 determines whether the host is a malicious host based on the combination of the domain name and the IP address stored in the DB 12.

以上のように構成された通信ネットワーク監視システムは、ドメイン名とIPアドレスの関連付けを、その生存期間と共に管理する。そして、過去に遡ってその関連付けを検証する。本実施形態に係る通信ネットワーク監視システムは、ある一定規模(例えば、ユーザ数が1万人以上)のネットワークを対象とし、そのネットワークのDNSへの問い合わせ通信の内容に基づいて、情報を抽出する。これにより、既存のDNSサーバに改変を加えることなく、本発明を実施することが可能となる。なお、DB12における情報の格納形式は、例えば、次の表のようにすることができる。   The communication network monitoring system configured as described above manages association between domain names and IP addresses together with their lifetimes. Then, the association is verified retroactively. The communication network monitoring system according to the present embodiment targets a network of a certain scale (for example, the number of users is 10,000 or more), and extracts information based on the contents of inquiry communication to the DNS of the network. Thereby, it becomes possible to implement this invention, without adding a modification to the existing DNS server. The information storage format in the DB 12 can be as shown in the following table, for example.

Figure 2011193343
Figure 2011193343

図2は、本実施形態に係る通信ネットワーク監視システムの動作の概念を示す図である。トラヒック分岐装置20は、DNSサーバ30に対するDNS問い合わせ要求および、DNSサーバ30からのDNS問い合わせ返答をDNS情報収集装置に出力する。受信部11aは、DNS要求としてのホスト名および、DNS返答としてのIPアドレスを受信すると、格納部11bは、DB12にそのホスト名、IPアドレスおよび、受信時の時間情報を格納する。また、DNS情報収集装置11は、DB12に対して、新規レコードを作成したり、既存のレコードを更新したりする。また、悪性ホスト判定装置13は、受信部13bで端末装置50cからの判定要求(リクエスト)を受信し、判定部13aがDB12で検索を行ない、送信部13cが判定結果を端末装置50cに送信する。   FIG. 2 is a diagram illustrating a concept of operation of the communication network monitoring system according to the present embodiment. The traffic branching device 20 outputs a DNS inquiry request to the DNS server 30 and a DNS inquiry response from the DNS server 30 to the DNS information collecting device. When the receiving unit 11a receives a host name as a DNS request and an IP address as a DNS response, the storage unit 11b stores the host name, IP address, and time information at the time of reception in the DB 12. Also, the DNS information collection device 11 creates a new record or updates an existing record in the DB 12. Further, the malicious host determination device 13 receives a determination request (request) from the terminal device 50c by the reception unit 13b, the determination unit 13a searches the DB 12, and the transmission unit 13c transmits the determination result to the terminal device 50c. .

次に、DNS情報収集装置11が、DNS情報を収集・管理する動作について説明する。DNS情報収集装置11は、一定規模以上のネットワーク、例えば、1万人以上のユーザに利用されているDNSサーバを対象とする。DNSサーバへの問い合わせ通信内容を解析し、ドメイン名と、関連付けられているIPアドレス、および問い合わせのあった時間を収集する。DNS情報収集装置11が管理する情報としては、ドメイン名、IPアドレス、初問い合わせ時間、最終問い合わせ時間の4項目とする。なお、ドメイン名とIPアドレスの組み合わせが初めて出現した場合、最終問い合わせ時間を初問い合わせ時間とする。また、ドメイン名とIPアドレスの組み合わせが既に存在する場合、ここで観測した時間を最終問い合わせ時間として更新する。なお、DB12における情報の格納形式は、例えば、次の表のようにすることができる。   Next, an operation in which the DNS information collection device 11 collects and manages DNS information will be described. The DNS information collection device 11 targets a network of a certain scale or larger, for example, a DNS server used by 10,000 or more users. The contents of the inquiry communication to the DNS server are analyzed, and the domain name, the associated IP address, and the inquiry time are collected. Information managed by the DNS information collection device 11 includes four items: domain name, IP address, initial inquiry time, and final inquiry time. When a combination of a domain name and an IP address appears for the first time, the last inquiry time is set as the first inquiry time. If the combination of domain name and IP address already exists, the time observed here is updated as the last inquiry time. The information storage format in the DB 12 can be as shown in the following table, for example.

Figure 2011193343
Figure 2011193343

図3は、DNS情報収集装置11の具体的な動作を示すフローチャートである。まず、DNS問い合わせ通信を検出すると(ステップS1)、ドメイン名および時間情報を取得する(ステップS2)。次に、DNS応答通信を検出すると(ステップS3)、IPアドレスを取得する(ステップS4)。そして、上記のように取得したドメイン名およびIPアドレスに基づいて、DBを検索する(ステップS5)。DBにドメイン名およびIPアドレスの組み合わせが存在するかどうかを判断し(ステップS6)、ドメイン名およびIPアドレスの組み合わせが存在する場合は、対象レコードの最終時間を更新し(ステップS7)、ステップS1へ遷移する。一方、ステップS7において、ドメイン名およびIPアドレスの組み合わせが存在しない場合は、新規レコードを作成し(ステップS8)、取得したドメイン名、IPアドレスおよび時間情報をDBに登録する(ステップS9)。最終時間もここでの取得時間に設定し、ステップS1へ遷移する。   FIG. 3 is a flowchart showing a specific operation of the DNS information collecting apparatus 11. First, when a DNS inquiry communication is detected (step S1), a domain name and time information are acquired (step S2). Next, when DNS response communication is detected (step S3), an IP address is acquired (step S4). Then, the DB is searched based on the domain name and IP address acquired as described above (step S5). It is determined whether a combination of domain name and IP address exists in the DB (step S6). If a combination of domain name and IP address exists, the final time of the target record is updated (step S7), and step S1. Transition to. On the other hand, if the combination of domain name and IP address does not exist in step S7, a new record is created (step S8), and the acquired domain name, IP address and time information are registered in the DB (step S9). The final time is also set as the acquisition time here, and the process proceeds to step S1.

次に、悪性ホスト判定装置13が、悪性ホストを判定する動作について説明する。ここでは、頻繁に更新される複数のIPアドレスを持つ悪性ホスト(悪性ドメイン)の検出について説明する。悪性ホスト判定装置13は、ドメイン名をキーとして、関連付けられたIPアドレスを検索する。ここでは、ある一定数(例えば、50)以上のIPアドレスに関連付けられており、かつその生存期間の平均が一定時間以下の場合、悪性と判定するものとする。   Next, an operation in which the malicious host determination device 13 determines a malicious host will be described. Here, detection of a malicious host (malicious domain) having a plurality of frequently updated IP addresses will be described. The malicious host determination device 13 searches for an associated IP address using the domain name as a key. Here, it is determined that the IP address is associated with a certain number (for example, 50) or more of IP addresses, and the average of the lifetime is equal to or less than a certain time, it is determined as malignant.

図4は、悪性ホスト判定装置13の具体的な動作を示すフローチャートである。まず、検索キーとなるドメイン名が指定されると(ステップT1)、DBを検索する(ステップT2)。次に、IPアドレス数を抽出し(ステップT3)、IPアドレス数と閾値(第1の閾値)とを比較する(ステップT4)。この閾値は、例えば、50に設定することができる。この比較の結果、IPアドレス数が閾値よりも小さかった場合は、良性判定を行なう(ステップT5)。一方、ステップT4において、IPアドレス数が閾値よりも大きかった場合は、そのIPアドレスの平均生存時間を算出する(ステップT6)。そして、平均生存時間と閾値(第2の閾値)とを比較する(ステップT7)。この閾値は、例えば、1か月とすることができる。平均生存時間が閾値よりも大きかった場合は、良性判定を行なう(ステップT5)。一方、ステップT7において、平均生存時間が閾値よりも小さかった場合は、悪性判定を行なう(ステップT8)。   FIG. 4 is a flowchart showing a specific operation of the malicious host determination device 13. First, when a domain name serving as a search key is designated (step T1), the DB is searched (step T2). Next, the number of IP addresses is extracted (step T3), and the number of IP addresses is compared with a threshold (first threshold) (step T4). This threshold can be set to 50, for example. If the number of IP addresses is smaller than the threshold value as a result of this comparison, benign judgment is performed (step T5). On the other hand, if the number of IP addresses is larger than the threshold value in step T4, the average lifetime of the IP address is calculated (step T6). Then, the average survival time is compared with a threshold (second threshold) (step T7). This threshold can be, for example, one month. If the average survival time is greater than the threshold value, benign judgment is performed (step T5). On the other hand, if the average survival time is smaller than the threshold value in step T7, the malignancy is determined (step T8).

なお、IPアドレスのばらつきを判定基準に用いることもできる。一般的に、同じドメイン名に関連付けられているIPアドレスは、アドレス空間が近くにあるため、ばらつきは小さい傾向にある。例えば、3つのIPアドレスが次のようになっていれば、ばらつきは小さく、悪性度も小さいと考えられる。
aaa.bbb.ccc.200
aaa.bbb.ccc.202
aaa.bbb.ccc.205 Note that variations in IP addresses can also be used as criteria. In general, since IP addresses associated with the same domain name are close to each other, variation tends to be small. For example, if three IP addresses are as follows, it is considered that the variation is small and the malignancy is small.
aaa.bbb.ccc.200
aaa.bbb.ccc.202
aaa.bbb.ccc.205

一方、3つのIPアドレスが次のようになっていれば、ばらつきは大きく、悪性度は大きいと考えられる。
aaa.bbb.ccc.200
ddd.eee.fff.1
ggg.hhh.iii.90
また、誤検知を防ぐために、ホワイトリストを持たせることも可能である。 On the other hand, if the three IP addresses are as follows, the variation is large and the malignancy is considered large.
aaa.bbb.ccc.200
ddd.eee.fff.1
ggg.hhh.iii.90
It is also possible to have a white list to prevent false detection.

次に、悪性ホスト判定装置13が、悪性ホストを判定する動作について説明する。ここでは、頻繁に更新される複数のドメインを持つIPアドレスの検出について説明する。悪性ホスト判定装置13は、IPアドレスをキーとして、関連付けられたドメイン名を検索する。ある一定数(例えば、100)以上のドメイン名に関連付けられており、かつその生存期間の平均が一定時間以下である場合、悪性と判定する。なお、DB12における情報の格納形式は、例えば、次の表のようにすることができる。   Next, an operation in which the malicious host determination device 13 determines a malicious host will be described. Here, detection of an IP address having a plurality of domains that are frequently updated will be described. The malicious host determination device 13 searches for an associated domain name using the IP address as a key. If it is associated with a certain number (for example, 100) or more of domain names and the average of the lifetime is not more than a certain time, it is determined as malignant. The information storage format in the DB 12 can be as shown in the following table, for example.

Figure 2011193343
Figure 2011193343

図5は、悪性ホスト判定装置13の具体的な動作を示すフローチャートである。まず、検索キーとなるIPアドレスが指定されると(ステップR1)、DBを検索する(ステップR2)。次に、ドメイン数を抽出し(ステップR3)、ドメイン数と閾値(第3の閾値)とを比較する(ステップR4)。この閾値は、例えば、100とすることができる。この比較の結果、ドメイン数が閾値よりも小さかった場合は、良性判定を行なう(ステップR5)。一方、ステップR4において、ドメイン数が閾値よりも大きかった場合は、そのドメイン名の平均生存時間を算出する(ステップR6)。そして、平均生存時間と閾値(第4の閾値)とを比較する(ステップR7)。この閾値は、例えば、1か月とすることができる。平均生存時間が閾値よりも大きかった場合は、良性判定を行なう(ステップR5)。一方、ステップR7において、平均生存時間が閾値よりも小さかった場合は、悪性判定を行なう(ステップR8)。   FIG. 5 is a flowchart showing a specific operation of the malicious host determination device 13. First, when an IP address serving as a search key is designated (step R1), the DB is searched (step R2). Next, the number of domains is extracted (step R3), and the number of domains is compared with a threshold (third threshold) (step R4). This threshold value can be set to 100, for example. If the number of domains is smaller than the threshold value as a result of this comparison, benign judgment is performed (step R5). On the other hand, if the number of domains is larger than the threshold value in step R4, the average survival time of the domain name is calculated (step R6). Then, the average survival time is compared with a threshold (fourth threshold) (step R7). This threshold can be, for example, one month. If the average survival time is greater than the threshold value, benign judgment is performed (step R5). On the other hand, if the average survival time is smaller than the threshold value in step R7, malignancy is determined (step R8).

なお、ドメイン名の類似性を判定基準に用いることもできる。一般的に、同じIPアドレスに関連付けられているドメイン名は、上位のドメイン名は変わらず、サブドメイン名のみ異なるものが多い。例えば、3つのドメイン名が次のようになっていれば、類似性は大きく、悪性度も小さいと考えられる。
aaa.xxx.com
bbb.aaa.xxx.com
ccc.xxx.com Note that the similarity of domain names can also be used as a criterion. In general, the domain names associated with the same IP address are often the same, except that the upper domain name does not change and only the subdomain name is different. For example, if the three domain names are as follows, the similarity is large and the malignancy is small.
aaa.xxx.com
bbb.aaa.xxx.com
ccc.xxx.com

一方、3つのドメイン名が次のようになっていれば、類似性は小さく、悪性度は大きいと考えられる。
aaa.xxx.com
aaa.yyy.net
ddd.zzz.co.jp On the other hand, if the three domain names are as follows, the similarity is low and the malignancy is high.
aaa.xxx.com
aaa.yyy.net
ddd.zzz.co.jp

図6Aは、IPアドレスについて、グループ化した例を示す図であり、図6Bは、ドメイン名について、グループ化した例を示す図である。上記の類似度は、例えば、次のように算出することができる。すなわち、ホスト識別子(IPアドレスなど)、ホスト名が階層的な構成をとる場合、その末端部を除いた部分が同じものを、同じグループとして分類する。要素数の多い上位n個のグループについて、その要素数の合計がm以上の場合、類似度が高いと判定する。nは全構成要素数のxパーセント(小数点以下は切り上げ)とする。mは全構成要素数のyパーセントとする。xおよびyは変更可能とする。なお、誤検知を防ぐために、ホワイトリストを持たせることも可能である。   FIG. 6A is a diagram illustrating an example of grouping IP addresses, and FIG. 6B is a diagram illustrating an example of grouping domain names. The similarity can be calculated as follows, for example. That is, when the host identifier (IP address or the like) and the host name have a hierarchical structure, those having the same part except for the terminal part are classified as the same group. For the top n groups with the largest number of elements, if the total number of elements is greater than or equal to m, it is determined that the degree of similarity is high. n is x percent of the total number of components (rounded up after the decimal point). m is y percent of the total number of components. x and y can be changed. In order to prevent erroneous detection, it is possible to have a white list.

10 悪性ホスト判定システム(通信ネットワーク監視システム)
11 DNS情報収集装置
11a 受信部
11b 格納部
13 悪性ホスト判定装置
13a 判定部
13b 受信部
13c 送信部
20 トラヒック分岐装置
30 DNSサーバ
40 ネットワーク
50 インターネット
50a−50c 端末装置
10 Malicious host determination system (communication network monitoring system)
11 DNS information collecting device 11a receiving unit 11b storage unit 13 malicious host determining device 13a determining unit 13b receiving unit 13c transmitting unit 20 traffic branching device 30 DNS server 40 network 50 Internet 50a-50c terminal device

Claims (5)

通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムであって、
DNS(Domain Name System)サーバから、端末装置を特定する第1の情報および第2の情報を受信する受信部と、
前記受信した第1の情報および第2の情報をデータベースに格納する格納部と、
前記第1の情報に対応する前記第2の情報の数を算出し、前記第2の情報の数を予め定められた第1の閾値と比較し、前記第2の情報の数が前記第1の閾値よりも大きいときは、前記第2の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第2の閾値と比較する判定部と、
前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、
前記判定部は、前記平均生存期間が前記第2の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定することを特徴とする通信ネットワーク監視システム。 A communication network monitoring system for detecting a malicious host that provides an antisocial program including malware to a terminal device connected to a communication network,
A receiving unit that receives first information and second information identifying a terminal device from a DNS (Domain Name System) server;
A storage unit for storing the received first information and second information in a database;
The number of the second information corresponding to the first information is calculated, the number of the second information is compared with a predetermined first threshold, and the number of the second information is the first information. A determination unit that calculates an average survival time of the second information and compares the average survival time with a predetermined second threshold;
A transmission unit that transmits the determination result to the terminal device that has made the determination request;
The determination unit determines that the host specified by the first information and the second information is malignant when the average lifetime is smaller than the second threshold. system. 通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムであって、
DNS(Domain Name System)サーバから、端末装置を特定する第1の情報および第2の情報を受信する受信部と、
前記受信した第1の情報および第2の情報をデータベースに格納する格納部と、
前記第2の情報に対応する前記第1の情報の数を算出し、前記第1の情報の数を予め定められた第3の閾値と比較し、前記第1の情報の数が前記第3の閾値よりも大きいときは、前記第1の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第4の閾値と比較する判定部と、
前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、
前記判定部は、前記平均生存期間が前記第4の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定することを特徴とする通信ネットワーク監視システム。 A communication network monitoring system for detecting a malicious host that provides an antisocial program including malware to a terminal device connected to a communication network,
A receiving unit that receives first information and second information identifying a terminal device from a DNS (Domain Name System) server;
A storage unit for storing the received first information and second information in a database;
The number of the first information corresponding to the second information is calculated, the number of the first information is compared with a predetermined third threshold, and the number of the first information is the third information A determination unit that calculates an average lifetime of the first information and compares the average lifetime with a predetermined fourth threshold;
A transmission unit that transmits the determination result to the terminal device that has made the determination request;
The determination unit determines that the host specified by the first information and the second information is malignant when the average lifetime is smaller than the fourth threshold. system. 前記判定部は、前記第1の情報に対応する前記第2の情報のばらつき、または前記第2の情報に対応する第1の情報のばらつきに基づいて、前記判定を行なうことを特徴とする請求項1または請求項2記載の通信ネットワーク監視システム。   The determination unit performs the determination based on a variation in the second information corresponding to the first information or a variation in the first information corresponding to the second information. The communication network monitoring system according to claim 1 or 2. 前記閾値は、可変であることを特徴とする請求項1から請求項3のいずれかに記載の通信ネットワーク監視システム。   The communication network monitoring system according to any one of claims 1 to 3, wherein the threshold value is variable. 前記第1の情報はドメイン名であり、前記第2の情報はIPアドレスであることを特徴とする請求項1から請求項4のいずれかに記載の通信ネットワーク監視システム。


The communication network monitoring system according to any one of claims 1 to 4, wherein the first information is a domain name, and the second information is an IP address.


JP2010059274A 2010-03-16 2010-03-16 Communications network monitoring system Withdrawn JP2011193343A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010059274A JP2011193343A (en) 2010-03-16 2010-03-16 Communications network monitoring system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010059274A JP2011193343A (en) 2010-03-16 2010-03-16 Communications network monitoring system

Publications (1)

Publication Number Publication Date
JP2011193343A true JP2011193343A (en) 2011-09-29

Family

ID=44797790

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010059274A Withdrawn JP2011193343A (en) 2010-03-16 2010-03-16 Communications network monitoring system

Country Status (1)

Country Link
JP (1) JP2011193343A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014230139A (en) * 2013-05-23 2014-12-08 Kddi株式会社 Service estimation device and method
JP2015186001A (en) * 2014-03-24 2015-10-22 Kddi株式会社 Communication service classification device, method, and program
CN107682345A (en) * 2017-10-16 2018-02-09 北京奇艺世纪科技有限公司 Detection method, detection means and the electronic equipment of IP address
JP2018513592A (en) * 2015-04-03 2018-05-24 インフォブロックス・インコーポレーテッドInfoblox Incorporated Behavior analysis based DNS tunneling detection and classification framework for network security
JP2019528509A (en) * 2016-07-11 2019-10-10 ビットディフェンダー アイピーアール マネジメント リミテッド System and method for detecting online fraud
JP2020072384A (en) * 2018-10-31 2020-05-07 富士通株式会社 Cyber attack evaluation program, cyber attack evaluation method, and information processing device
JP2020119376A (en) * 2019-01-25 2020-08-06 富士通株式会社 Cyber attack evaluation program, cyber attack evaluation method and information processing device
US11916942B2 (en) 2020-12-04 2024-02-27 Infoblox Inc. Automated identification of false positives in DNS tunneling detectors

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014230139A (en) * 2013-05-23 2014-12-08 Kddi株式会社 Service estimation device and method
JP2015186001A (en) * 2014-03-24 2015-10-22 Kddi株式会社 Communication service classification device, method, and program
JP2018513592A (en) * 2015-04-03 2018-05-24 インフォブロックス・インコーポレーテッドInfoblox Incorporated Behavior analysis based DNS tunneling detection and classification framework for network security
US10270744B2 (en) 2015-04-03 2019-04-23 Infoblox Inc. Behavior analysis based DNS tunneling detection and classification framework for network security
JP2019528509A (en) * 2016-07-11 2019-10-10 ビットディフェンダー アイピーアール マネジメント リミテッド System and method for detecting online fraud
CN107682345B (en) * 2017-10-16 2020-03-06 北京奇艺世纪科技有限公司 IP address detection method and device and electronic equipment
CN107682345A (en) * 2017-10-16 2018-02-09 北京奇艺世纪科技有限公司 Detection method, detection means and the electronic equipment of IP address
JP2020072384A (en) * 2018-10-31 2020-05-07 富士通株式会社 Cyber attack evaluation program, cyber attack evaluation method, and information processing device
JP7115221B2 (en) 2018-10-31 2022-08-09 富士通株式会社 CYBER ATTACK EVALUATION PROGRAM, CYBER ATTACK EVALUATION METHOD, AND INFORMATION PROCESSING DEVICE
JP2020119376A (en) * 2019-01-25 2020-08-06 富士通株式会社 Cyber attack evaluation program, cyber attack evaluation method and information processing device
JP7120049B2 (en) 2019-01-25 2022-08-17 富士通株式会社 CYBER ATTACK EVALUATION PROGRAM, CYBER ATTACK EVALUATION METHOD, AND INFORMATION PROCESSING DEVICE
US11503046B2 (en) 2019-01-25 2022-11-15 Fujitsu Limited Cyber attack evaluation method and information processing apparatus
US11916942B2 (en) 2020-12-04 2024-02-27 Infoblox Inc. Automated identification of false positives in DNS tunneling detectors

Similar Documents

Publication Publication Date Title
EP3506141B1 (en) System for query injection detection using abstract syntax trees
US10237283B2 (en) Malware domain detection using passive DNS
CN106657044B (en) It is a kind of for improving the web page address jump method of web station system Prevention-Security
JP6408395B2 (en) Blacklist management method
JP2011193343A (en) Communications network monitoring system
Zhang et al. Arrow: Generating signatures to detect drive-by downloads
US9258289B2 (en) Authentication of IP source addresses
KR101391781B1 (en) Apparatus and Method for Detecting HTTP Botnet based on the Density of Web Transaction
US9654495B2 (en) System and method of analyzing web addresses
US9147071B2 (en) System and method for proactive detection of malware device drivers via kernel forensic behavioral monitoring and a back-end reputation system
US8205258B1 (en) Methods and apparatus for detecting web threat infection chains
US8474039B2 (en) System and method for proactive detection and repair of malware memory infection via a remote memory reputation system
US20100154055A1 (en) Prefix Domain Matching for Anti-Phishing Pattern Matching
US10666672B2 (en) Collecting domain name system traffic
KR101070184B1 (en) System and method for blocking execution of malicious code by automatically crawling and analyzing malicious code through multi-thread site-crawler, and by interworking with network security device
CN103701793B (en) The recognition methods of server broiler chicken and device
Kim et al. Malicious URL protection based on attackers' habitual behavioral analysis
WO2016140038A1 (en) Device for calculating maliciousness of communication destination, method for calculating maliciousness of communication destination, and program for calculating maliciousness of communication destination
JP5415390B2 (en) Filtering method, filtering system, and filtering program
WO2014103115A1 (en) Illicit intrusion sensing device, illicit intrusion sensing method, illicit intrusion sensing program, and recording medium
CN101901232A (en) Method and device for processing webpage data
JPWO2018163464A1 (en) Attack countermeasure determination apparatus, attack countermeasure determination method and attack countermeasure determination program
GB2545480A (en) Detection of coordinated cyber-attacks
JPWO2016121348A1 (en) Anti-malware device, anti-malware system, anti-malware method, and anti-malware program
Wu et al. Detect repackaged android application based on http traffic similarity

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20130604