JP2007323428A - Bot detection apparatus, bot detection method and program - Google Patents
Bot detection apparatus, bot detection method and program Download PDFInfo
- Publication number
- JP2007323428A JP2007323428A JP2006153795A JP2006153795A JP2007323428A JP 2007323428 A JP2007323428 A JP 2007323428A JP 2006153795 A JP2006153795 A JP 2006153795A JP 2006153795 A JP2006153795 A JP 2006153795A JP 2007323428 A JP2007323428 A JP 2007323428A
- Authority
- JP
- Japan
- Prior art keywords
- inward
- data
- bot
- time
- data acquisition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、不正なプログラムが埋め込まれたコンピュータを検出する技術に関する。 The present invention relates to a technique for detecting a computer in which an illegal program is embedded.
特許文献1には、現在知られているコンピュータウイルスの全データパターンを保持し、通信データを受信した場合に、受信した通信データを一旦バッファに取り込み、取り込んだ通信データを、保持しているコンピュータウイルスのデータパターンと比較することによって、コンピュータ内にコンピュータウイルスが侵入しないようにする技術が開示されている。この技術では、新しいコンピュータウイルスが出現した場合に、対応する新しいデータパターンを入手することにより、新たなコンピュータウイルスの侵入を防止することができる。 Japanese Patent Application Laid-Open No. 2004-151867 holds all currently known computer virus data patterns, and when communication data is received, the received communication data is once taken into a buffer, and the acquired communication data is held in the computer A technique for preventing a computer virus from entering a computer by comparing with a virus data pattern is disclosed. With this technique, when a new computer virus appears, it is possible to prevent the invasion of a new computer virus by obtaining a corresponding new data pattern.
また、特許文献2には、監視対象となるネットワークにIDS(侵入検知装置)を設置し、当該IDS内に予め不正侵入の複数のパターン(手口)を登録しておき、ネットワークを流れる通信データを監視して、登録されている不正侵入パターンと一致する場合に、不正侵入者からの通信を遮断したり、管理者に警告を通知したりする技術が開示されている。 Further, in Patent Document 2, an IDS (intrusion detection device) is installed in a network to be monitored, and a plurality of unauthorized intrusion patterns (methods) are registered in advance in the IDS, and communication data flowing through the network is recorded. There is disclosed a technique for monitoring and intercepting communication from an unauthorized intruder or notifying an administrator of a warning when it matches a registered unauthorized intrusion pattern.
また、コンピュータに対して不正な処理を行うプログラムとしては、ウイルスやワーム等が知られているが、近年、ボットと呼ばれる新たな不正プログラムが出現してきている。ボットは、隠匿機能や自己更新機能を有するという特徴や、感染規模が小さい、亜種が多い、悪意を持った指令者によって遠隔操作されるといった特徴がある。ボットに感染したコンピュータは、指令者が操作するコンピュータによって、スパムメールの送信や中継、DoS(Denial of Services)やDDoS(Distributed Denial of Service)攻撃、あるいはフィッシングサイトを公開するためのwebサーバに扮したりする等の不正行為に使われるため、大きな社会的な問題となっている。 Viruses, worms, and the like are known as programs that perform unauthorized processing on computers. In recent years, new malicious programs called bots have appeared. The bot has a feature of having a concealment function and a self-updating function, and a feature that the scale of infection is small, there are many variants, and it is remotely operated by a malicious commander. Computers infected with bots can be used as a web server for publishing spam mail transmission and relay, DoS (Denial of Services) and DDoS (Distributed Denial of Service) attacks, or phishing sites, depending on the computer operated by the commander. It is a big social problem because it is used for fraudulent acts.
ボットを検知するためには、日々大量に発生する亜種に対応したデータパターンを作成する必要がある。データパターンを作成するためにはボットの検体が必要となる場合が多いが、感染規模の小さいことを特徴とするボットは検体の提供が少なく、数多くの亜種を検出するためのデータパターンが提供されないという問題がある。そのため、データパターンの作成がボット発生の後手に回ってしまい、データパターンが作成された頃には、ボットは自己を新しいボットに更新している場合があり、そのデータパターンでは検出できなくなってしまう。このように、従来のウイルスやワームと同様の対策では、ボットに感染したコンピュータを発見することができない場合があった。 In order to detect a bot, it is necessary to create a data pattern corresponding to a large number of variants that occur daily. Bot specimens are often required to create data patterns, but bots characterized by a small scale of infection provide few specimens and provide data patterns for detecting many variants. There is a problem that it is not. As a result, the creation of the data pattern goes after the occurrence of the bot, and when the data pattern is created, the bot may have updated itself to a new bot, and the data pattern cannot be detected. . As described above, there are cases where a computer infected with a bot cannot be found with the same countermeasures as those of conventional viruses and worms.
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、ボットに感染している可能性の高いコンピュータを確実に検出することにある。 The present invention has been made in view of the above circumstances, and an object of the present invention is to reliably detect a computer having a high possibility of being infected with a bot.
上記課題を解決するために、本発明は、外部ネットワークから内部ネットワークへ同時期に流入した通信データであって、同一の送信元から複数のコンピュータへ送信された通信データを仮の指令通信情報として保持し、保持した仮の指令通信情報の宛先となっているコンピュータの中で、内部ネットワークから外部ネットワークへ同時期に通信データを送信したコンピュータをボットに感染している可能性の高いコンピュータと判定する。 In order to solve the above problem, the present invention provides communication data that has flowed from an external network to an internal network at the same time, and communication data transmitted from the same transmission source to a plurality of computers as temporary command communication information. Among the computers that are the destinations of the stored temporary command communication information, the computer that sent the communication data from the internal network to the external network at the same time is determined as the computer that is likely to be infected with the bot To do.
例えば、本発明の第1の態様は、外部のネットワークと内部のネットワークとの間に設けられるボット検知装置であって、外部ネットワークから内部ネットワークへ流入する通信データである内向きデータを取得し、取得した内向きデータを、当該内向きデータを取得した日時を示す情報である内向きデータ取得日時と共に出力する内向きデータ取得手段と、同一の送信元から所定の時間差以内に送信された内向きデータをグループ化して、当該内向きデータに含まれる宛先IPアドレスである内向き宛先アドレスを、グループを識別するグループIDに対応付けて格納する内向き通信情報格納手段と、内部ネットワークから外部ネットワークへ流出する通信データである外向きデータを取得し、取得した外向きデータを、当該外向きデータを取得した日時を示す情報である外向きデータ取得日時と共に出力する外内向きデータ取得手段と、外向きデータ取得手段から外向きデータおよび外向きデータ取得日時が出力された場合に、内向き通信情報格納手段を参照して、外向きデータに含まれる送信元IPアドレスが内向き通信情報格納手段内に内向き宛先アドレスとして格納されている場合に、当該内向き宛先アドレスと共に格納されている内向きデータ取得日時と、当該外向きデータ取得日時との差である応答時間を算出する応答時間算出手段と、算出された応答時間を、当該内向き宛先アドレス、当該外向きデータの宛先を示す情報を含む外向き宛先情報、および当該内向き宛先アドレスに対応付けられて内向き通信情報格納手段内に格納されているグループIDに対応付けて格納する応答時間格納手段と、応答時間格納手段を参照して、グループIDおよび外向き宛先情報が同一であり、かつ、応答時間の差が所定値以内の内向き宛先アドレスを抽出し、抽出した内向き宛先アドレスを、ボットに感染している可能性の高いコンピュータであるボット感染コンピュータのIPアドレスとして出力するボット情報出力手段とを備えることを特徴とするボット検知装置を提供する。 For example, the first aspect of the present invention is a bot detection device provided between an external network and an internal network, and acquires inward data that is communication data flowing from the external network into the internal network. The inward data acquisition means for outputting the acquired inward data together with the inward data acquisition date and time that is information indicating the date and time when the inward data is acquired, and the inward direction transmitted from the same transmission source within a predetermined time difference Inward communication information storage means for grouping data and storing inward destination addresses, which are destination IP addresses included in the inward data, in association with a group ID for identifying the group, from the internal network to the external network Obtain outgoing data that is outflow communication data, and use the obtained outgoing data as the outgoing data. The inward communication information when the outward data acquisition means outputs the outgoing data together with the outward data acquisition date that is information indicating the acquired date, and when the outward data and the outward data acquisition date are output from the outward data acquisition means. Referring to the storage means, when the source IP address included in the outward data is stored as the inward destination address in the inward communication information storage means, the inward stored together with the inward destination address Response time calculation means for calculating a response time that is the difference between the data acquisition date and the outward data acquisition date, the calculated response time, the inward destination address, and information indicating the destination of the outward data Including outgoing destination information and the group ID stored in the inward communication information storage means in association with the inward destination address. With reference to the response time storage means to store and the response time storage means, the inbound destination address in which the group ID and the outward destination information are the same and the difference in response time is within a predetermined value is extracted and extracted There is provided a bot detection device comprising: bot information output means for outputting an inward destination address as an IP address of a bot-infected computer which is a computer having a high possibility of being infected with a bot.
また、本発明の第2の態様は、外部のネットワークと内部のネットワークとの間に設けられるボット検知装置におけるボット検出方法であって、ボット検出装置は、外部ネットワークから内部ネットワークへ流入する通信データである内向きデータを取得し、取得した内向きデータを、当該内向きデータを取得した日時を示す情報である内向きデータ取得日時と共に出力する内向きデータ取得ステップと、同一の送信元から所定の時間差以内に送信された内向きデータをグループ化して、当該内向きデータに含まれる宛先IPアドレスである内向き宛先アドレスを、グループを識別するグループIDに対応付けて内向き通信情報格納手段に格納する内向き通信情報格納ステップと、内部ネットワークから外部ネットワークへ流出する通信データである外向きデータを取得し、取得した外向きデータを、当該外向きデータを取得した日時を示す情報である外向きデータ取得日時と共に出力する外内向きデータ取得ステップと、外向きデータ取得ステップにおいて外向きデータおよび外向きデータ取得日時を出力した場合に、内向き通信情報格納手段を参照して、外向きデータに含まれる送信元IPアドレスが内向き通信情報格納手段内に内向き宛先アドレスとして格納されている場合に、当該内向き宛先アドレスと共に格納されている内向きデータ取得日時と、当該外向きデータ取得日時との差である応答時間を算出する応答時間算出ステップと、算出した応答時間を、当該内向き宛先アドレス、当該外向きデータの宛先を示す情報を含む外向き宛先情報、および当該内向き宛先アドレスに対応付けられて内向き通信情報格納手段内に格納されているグループIDに対応付けて応答時間格納手段に格納する応答時間格納ステップと、応答時間格納手段を参照して、グループIDおよび外向き宛先情報が同一であり、かつ、応答時間の差が所定値以内の内向き宛先アドレスを抽出し、抽出した内向き宛先アドレスを、ボットに感染している可能性の高いコンピュータのIPアドレスとして出力するボット情報出力ステップとを実行することを特徴とするボット検知方法を提供する。 According to a second aspect of the present invention, there is provided a bot detection method in a bot detection device provided between an external network and an internal network, wherein the bot detection device transmits communication data flowing from the external network into the internal network. And an inward data acquisition step of outputting the acquired inward data together with an inward data acquisition date and time, which is information indicating the date and time when the inward data is acquired, from the same source. Are grouped and the inbound destination address, which is the destination IP address included in the inbound data, is associated with the group ID for identifying the group in the inbound communication information storage means. Inbound communication information storage step to store and communication data that flows from the internal network to the external network And the outward data acquisition step for outputting the acquired outward data together with the outward data acquisition date and time, which is information indicating the date and time when the outward data was acquired, and the outward data acquisition step. When the outgoing data and the outgoing data acquisition date and time are output, the inbound communication information storage means is referred to, and the source IP address included in the outward data is stored in the inward communication information storage means. A response time calculating step for calculating a response time that is a difference between the inward data acquisition date and time stored together with the inward destination address and the outward data acquisition date and time, and the calculated response The time, the inbound destination address, the outbound destination information including information indicating the destination of the outbound data, and the inbound destination address. A response time storage step of storing in the response time storage means in association with the group ID stored in the inward communication information storage means in association with the response time storage means, and referring to the response time storage means. An inward destination address having the same direction destination information and a response time difference within a predetermined value is extracted, and the extracted inbound destination address is used as an IP address of a computer that is likely to be infected with the bot. There is provided a bot detection method characterized by executing an output bot information output step.
また、本発明の第3の態様は、外部のネットワークと内部のネットワークとの間に設けられるボット検知装置を制御するプログラムであって、ボット検知装置を、外部ネットワークから内部ネットワークへ流入する通信データである内向きデータを取得し、取得した内向きデータを、当該内向きデータを取得した日時を示す情報である内向きデータ取得日時と共に出力する内向きデータ取得手段、同一の送信元から所定の時間差以内に送信された内向きデータをグループ化して、当該内向きデータに含まれる宛先IPアドレスである内向き宛先アドレスを、グループを識別するグループIDに対応付けて格納する内向き通信情報格納手段、内部ネットワークから外部ネットワークへ流出する通信データである外向きデータを取得し、取得した外向きデータを、当該外向きデータを取得した日時を示す情報である外向きデータ取得日時と共に出力する外内向きデータ取得手段、外向きデータ取得手段から外向きデータおよび外向きデータ取得日時が出力された場合に、内向き通信情報格納手段を参照して、外向きデータに含まれる送信元IPアドレスが内向き通信情報格納手段内に内向き宛先アドレスとして格納されている場合に、当該内向き宛先アドレスと共に格納されている内向きデータ取得日時と、当該外向きデータ取得日時との差である応答時間を算出する応答時間算出手段、算出された応答時間を、当該内向き宛先アドレス、当該外向きデータの宛先を示す情報を含む外向き宛先情報、および当該内向き宛先アドレスに対応付けられて内向き通信情報格納手段内に格納されているグループIDに対応付けて格納する応答時間格納手段、および応答時間格納手段を参照して、グループIDおよび外向き宛先情報が同一であり、かつ、応答時間の差が所定値以内の内向き宛先アドレスを抽出し、抽出した内向き宛先アドレスを、ボットに感染している可能性の高いコンピュータであるボット感染コンピュータのIPアドレスとして出力するボット情報出力手段として機能させることを特徴とするプログラムを提供する。 According to a third aspect of the present invention, there is provided a program for controlling a bot detection device provided between an external network and an internal network, the communication data flowing from the external network to the internal network. Inward data acquisition means for acquiring the inward data, and outputting the acquired inward data together with the inward data acquisition date and time, which is information indicating the date and time when the inward data is acquired, from the same source Inward communication information storage means for grouping inward data transmitted within a time difference and storing an inbound destination address that is a destination IP address included in the inward data in association with a group ID for identifying the group Obtained and acquired outward data, which is communication data that flows from the internal network to the external network The outward data and the outward data acquisition date are output from the outward and inward data acquisition means for outputting the orientation data together with the outward data acquisition date and time that is information indicating the date and time when the outward data is acquired. If the source IP address included in the outward data is stored as the inward destination address in the inward communication information storage means with reference to the inward communication information storage means, Response time calculation means for calculating a response time that is a difference between the inward data acquisition date and time stored together with the address and the outward data acquisition date and time, and the calculated response time as the inward destination address and the outward direction Outbound destination information including information indicating the destination of the data and the inbound communication information storage means in association with the inbound destination address Referring to the response time storage means for storing the information in association with the group ID and the response time storage means, the group ID and the outward destination information are the same, and the inbound destination is within a predetermined value in the response time difference. A program is provided that functions as a bot information output unit that extracts an address and outputs the extracted inward destination address as an IP address of a bot-infected computer that is likely to be infected with a bot To do.
本発明によれば、ボットに感染している可能性の高いコンピュータを確実に検出することができる。 According to the present invention, it is possible to reliably detect a computer that is likely to be infected with a bot.
以下に、本発明の実施の形態について説明する。 Embodiments of the present invention will be described below.
図1は、本発明の一実施形態に係る通信システム10の構成を例示するシステム構成図である。通信システム10は、インターネット等の外部ネットワーク12と社内LAN(Local Area Network)等の内部ネットワーク14との間に設けられるボット検知装置20を備える。内部ネットワーク14には、複数のコンピュータ15が接続され、それぞれのコンピュータ15は、内部ネットワーク14およびボット検知装置20を介して、外部ネットワーク12に接続された他の通信機器と通信データの送受信を行う。
FIG. 1 is a system configuration diagram illustrating the configuration of a communication system 10 according to an embodiment of the present invention. The communication system 10 includes a
指令コンピュータ11は、外部ネットワーク12を介して、ボットを埋め込むためのプログラムを含む通信データをコンピュータ15に送り込むことにより、コンピュータ15をボットに感染させる。また、指令コンピュータ11は、外部ネットワーク12を介してIRC(Internet Relay Chat)サーバ13等を不正に制御し、不正な処理を開始させるための指令を含む通信データをボットに感染しているコンピュータ15に送信する。なお、指令コンピュータ11は、IRCサーバ13以外のWebサーバ等を不正に制御することにより、ボットに感染しているコンピュータに指令を送る指令サーバに仕立てる場合もある。
The
ボットに感染したコンピュータ15は、ボットのプログラムに従って所定のIRCサーバ13にアクセスすることにより、指令コンピュータ11からの指令を待ち受ける。そして、ボットに感染したコンピュータ15は、指令コンピュータ11からの指令に応じて、他のコンピュータ15をボットに感染させる、特定のWebサーバに対するDoS攻撃をおこなう、または不特定の電子メールアドレス宛にスパムメールを送信する等の不正な行為を実行する。
The
ボット検知装置20は、外部ネットワーク12と内部ネットワーク14との間の通信データを監視することにより、外部ネットワーク12から内部ネットワーク14へ流入する指令通信と、当該指令通信に応答して内部ネットワーク14から外部ネットワーク12へ流出する応答通信との関係から、ボットに感染している可能性の高いコンピュータ15を検知し、検知結果を出力する。
The
図2は、ボット検知装置20の詳細な機能構成を例示するブロック図である。ボット検知装置20は、内向きデータ取得部21、通信情報登録部22、通信情報格納部23、外向きデータ取得部24、応答時間算出部25、応答時間格納部26、およびボット情報出力部27を備える。
FIG. 2 is a block diagram illustrating a detailed functional configuration of the
内向きデータ取得部21は、外部ネットワーク12から内部ネットワーク14へ流入する通信データである内向きデータを取得し、取得した内向きデータを、当該内向きデータを取得した日時を示す情報である内向きデータ取得日時と共に通信情報登録部22へ出力する。
The inward
通信情報格納部23は、例えば図3に示すように、内向きの通信をグループ化するための識別子であるID230および内向きデータの送信元を示す情報を含む内向き送信元情報231毎に、内向きデータ取得日時232および内向きデータに含まれる宛先IPアドレスである内向き宛先アドレス233を1つ以上格納する。
For example, as illustrated in FIG. 3, the communication
本実施形態において、内向き送信元情報には、内向きデータに含まれる送信元IPアドレスである内向き送信元アドレス、内向きデータに含まれる送信元ポート番号である内向き送信元ポート番号、および当該内向きデータに含まれるペイロードに関する情報である内向きデータ情報が含まれる。内向きデータ情報とは、内向きデータに含まれるペイロードの先頭から所定量(例えば5バイト)のデータである。 In the present embodiment, the inbound transmission source information includes an inward transmission source address that is a transmission source IP address included in the inward data, an inward transmission source port number that is a transmission source port number included in the inward data, And inward data information that is information related to the payload included in the inward data. Inward data information is data of a predetermined amount (for example, 5 bytes) from the beginning of the payload included in the inward data.
通信情報登録部22は、内向きデータ取得部21から内向きデータおよび内向きデータ取得日時を取得した場合に、通信情報格納部23を参照して、当該データ取得日時との時間差が所定値(本例では5秒)以内の内向きデータ取得日時が通信情報格納部23内に格納されているか否かを判定する。
When the communication
内向きデータ取得部21から取得したデータ取得日時との時間差が所定値以内の内向きデータ取得日時が通信情報格納部23内に格納されている場合、通信情報登録部22は、当該内向きデータ取得日時に対応付けられて通信情報格納部23に格納されている内向き送信元情報が、内向きデータ取得部21から取得した内向きデータに含まれる内向き送信元情報と一致するか否かを判定する。
When an inward data acquisition date and time within which the time difference from the data acquisition date and time acquired from the inward
通信情報格納部23に格納されている内向き送信元情報が、内向きデータ取得部21から取得した内向きデータに含まれる内向き送信元情報と一致する場合、通信情報登録部22は、内向きデータ取得部21から取得した内向きデータに含まれる内向き送信元情報および当該内向き送信元情報に対応するIDに対応付けて、当該内向きデータと共に受信した内向きデータ取得日時および当該内向きデータに含まれる内向き宛先アドレスを通信情報格納部23内に追加登録する。
When the inward transmission source information stored in the communication
一方、内向きデータ取得部21から取得したデータ取得日時との時間差が所定値以内の内向きデータ取得日時が通信情報格納部23内に格納されていない場合、または、通信情報格納部23に格納されている内向き送信元情報が、内向きデータ取得部21から取得した内向きデータに含まれる内向き送信元情報と一致しない場合、通信情報登録部22は、内向きデータ取得部21から取得した内向きデータ取得日時および内向きデータに含まれる内向き宛先アドレスを、内向きデータ取得部21から取得した内向きデータに含まれる内向き送信元情報および新たに割り当てたIDに対応付けて通信情報格納部23に新規登録する。
On the other hand, when the inward data acquisition date and time within a predetermined value is not stored in the communication
このように、通信情報登録部22は、同時期に外部ネットワーク12から内部ネットワーク14へ流入した、内向き送信元情報が等しい内向きデータの内向きデータ取得日時および内向き宛先アドレスを、共通のIDでグループ化する。これにより、通信情報登録部22は、同一の送信元から同時期に内部ネットワーク14内のコンピュータ15へ送信された内向きデータに関する情報を収集することができる。このようにして収集された情報の中には、IRCサーバ13からボットに感染したコンピュータ15へ送信された指令情報が含まれている可能性が高い。以下では、通信情報格納部23に格納された情報を基に、さらにボットに感染している可能性の高いコンピュータ15を検出するための処理が行われる。
In this way, the communication
なお、本実施形態では、内向きデータに含まれるペイロードの先頭から所定量(例えば5バイト)のデータを、内向きデータ情報の一例として説明している。これは、ペイロードの先頭数バイトには、バージョン情報等のアプリケーション毎に決まったデータが格納されることが多く、ペイロードの先頭から所定量のデータが一致するということは、同質の通信データである可能性が高いという理由からである。 In the present embodiment, a predetermined amount (for example, 5 bytes) of data from the beginning of the payload included in the inward data is described as an example of the inward data information. This is because the first bytes of the payload often store data determined for each application such as version information, and the fact that a predetermined amount of data matches from the beginning of the payload is homogeneous communication data. This is because the possibility is high.
また、他の例として、内向きデータ情報は、内向きデータのペイロードの一部のデータ、内向きデータのペイロードの全データ、内向きデータのペイロードの全データに所定の演算を施すことによって得られた特徴値(例えばハッシュ値)、または内向きデータのペイロードのデータ量を示す値等であってもよい。 As another example, inward data information is obtained by performing predetermined operations on a part of inward data payload data, all inward data payload data, and inward data payload data. It may be a characteristic value (for example, a hash value) or a value indicating the data amount of the payload of inward data.
また、本実施形態において、内向き送信元情報には、内向き送信元アドレス、内向き送信元ポート番号、および内向きデータ情報が含まれるが、他の例として、内向き送信元情報には、内向きデータ情報が含まれないようにしてもよい。これにより、ペイロードの一部を変えることにより、異なる通信データであることを偽装した場合であっても、通信情報登録部22は、同時期に外部ネットワーク12から内部ネットワーク14へ流入した、内向き送信元アドレスおよび内向き送信元ポート番号が等しい内向きデータを、同一の送信元から送信された通信データとしてグループ化することができる。
In the present embodiment, the inward source information includes an inward source address, an inward source port number, and inward data information. As another example, the inward source information The inward data information may not be included. Thereby, even if it is a case where it is camouflaged that it is different communication data by changing a part of payload, communication
外向きデータ取得部24は、内部ネットワーク14から外部ネットワーク12へ流出する通信データである外向きデータを取得し、取得した外向きデータを、当該外向きデータを取得した日時を示す情報である外向きデータ取得日時と共に応答時間算出部25へ出力する。
The outward
応答時間算出部25は、外向きデータ取得部24から外向きデータおよび外向きデータ取得日時を取得した場合に、通信情報格納部23を参照して、取得した外向きデータに含まれる送信元IPアドレスが通信情報格納部23に内向き宛先アドレスとして格納されているか否かを判定する。
When the response
取得した外向きデータに含まれる送信元IPアドレスが通信情報格納部23に内向き宛先アドレスとして格納されている場合、応答時間算出部25は、当該内向き宛先アドレスに対応付けられて通信情報格納部23に格納されている内向きデータ取得日時と、当該外向きデータ取得日時との差である応答時間を算出する。
When the transmission source IP address included in the acquired outward data is stored as the inward destination address in the communication
そして、応答時間算出部25は、算出した応答時間を、当該内向き宛先アドレス、当該外向きデータの宛先を示す情報を含む外向き宛先情報、当該内向き宛先アドレスに対応付けられて内向き通信情報格納手段23内に格納されているID、および外向きデータ取得日時と共に応答時間格納部26に格納する。
Then, the response
応答時間格納部26は、例えば図4に示すように、複数のレコード265を有する。それぞれのレコード265は、IDを格納するフィールド260、内向き宛先アドレスを格納するフィールド261、外向き宛先情報を格納するフィールド262、応答時間を格納するフィールド263、および外向きデータ取得日時を格納するフィールド264を有する。なお、応答時間格納部26には、外向きデータ取得日時の古い順に各レコードが格納されている。
The response
本実施形態において、外向き宛先情報には、外向きデータに含まれる宛先IPアドレスである外向き宛先アドレス、外向きデータに含まれる宛先ポート番号である外向き宛先ポート番号、および当該外向きデータに含まれるペイロードに関する情報である外向きデータ情報が含まれる。外向きデータ情報とは、外向きデータに含まれるペイロードの先頭から所定量(例えば5バイト)のデータである。 In this embodiment, the outward destination information includes an outward destination address that is a destination IP address included in the outward data, an outward destination port number that is a destination port number included in the outward data, and the outward data. Outbound data information that is information related to the payload included in is included. The outward data information is a predetermined amount (for example, 5 bytes) of data from the beginning of the payload included in the outward data.
ボット情報出力部27は、応答時間格納部26を参照して、IDおよび外向き宛先情報が同一であり、かつ、応答時間の差が所定値以内(例えば5秒以内)のレコードに格納されている内向き宛先アドレスを抽出し、抽出した内向き宛先アドレスを、ボットに感染している可能性の高いコンピュータ15であるボット感染コンピュータのIPアドレスとして、内部ネットワーク14の管理者等へ出力する。
The bot
ボット情報出力部27は、例えば、表示装置への表示、印字装置を介した紙等への印字、またはハードディスク等の外部記録装置への格納等により、ボット感染コンピュータのIPアドレスを外部へ出力してもよい。
The bot
このように、ボット検知装置20は、同時期に同一の送信元から内向きデータを受信したコンピュータ15の中で、同時期に、同一の宛先へ外向きデータを送信するコンピュータ15をボット感染コンピュータと判定する。これにより、ボット検知装置20は、指令を受けてから、特定のサーバに対してDoS攻撃を行う等の、ボット感染コンピュータに特有の挙動を示すコンピュータ15を特定することができる。
As described above, the
なお、本実施形態では、外向きデータに含まれるペイロードの先頭から所定量(例えば5バイト)のデータを、外向きデータ情報の一例として説明したが、本発明はこれに限られない。外向きデータ情報は、例えば、外向きデータのペイロードの一部のデータ、外向きデータのペイロードの全データ、外向きデータのペイロードの全データに所定の演算を施すことによって得られた特徴値(例えばハッシュ値)、または外向きデータのペイロードのデータ量を示す値等であってもよい。 In the present embodiment, a predetermined amount (for example, 5 bytes) of data from the beginning of the payload included in the outward data has been described as an example of outward data information, but the present invention is not limited to this. The outward data information is, for example, a characteristic value obtained by performing a predetermined operation on partial data of the outward data payload, all data of the outward data payload, and all data of the outward data payload ( For example, it may be a hash value) or a value indicating the data amount of the payload of outward data.
また、本実施形態において、外向き宛先情報には、外向き宛先アドレス、外向き宛先ポート番号、および外向きデータ情報が含まれるが、他の例として、外向き宛先情報には、外向きデータ情報が含まれないようにしてもよい。これにより、ペイロードの一部を変えることにより、異なる通信データであることを偽装した場合や、特定のサーバに対してパスワードの入力を複数回試みるパスワード総当り攻撃等であっても、ボット情報出力部27は、外向き宛先アドレスおよび外向き宛先ポート番号が一致した外向きデータを、ボット感染コンピュータから同一の宛先へ送信された外向きデータとして判定することができる。
In this embodiment, the outward destination information includes an outward destination address, an outward destination port number, and outward data information. As another example, the outward destination information includes outward data. Information may not be included. This makes it possible to output bot information even if it is disguised as different communication data by changing part of the payload, or even a password brute force attack that attempts to input a password multiple times against a specific server. The
また、本実施形態において、ボット情報出力部27は、IDおよび外向き宛先情報が同一であり、かつ、応答時間の差が所定値以内の内向き宛先アドレスをボット感染コンピュータのIPアドレスとして判定したが、他の例として、ボット情報出力部27は、IDが同一であり、かつ、応答時間の差が所定値以内の内向き宛先アドレスをボット感染コンピュータのIPアドレスとして判定してもよい。これにより、複数のボット感染コンピュータが、それぞれ異なるメールサーバを介してスパムメールを送信する場合であっても、ボット情報出力部27は、ボット感染コンピュータのIPアドレスを検出することができる。
In the present embodiment, the bot
図5は、ボット検知装置20の機能を実現する情報処理装置30のハードウェア構成を例示するハードウェア構成図である。情報処理装置30は、CPU(Central Processing Unit)31、RAM(Random Access Memory)32、ROM(Read Only Memory)33、HDD(Hard Disk Drive)34、通信インターフェイス35、入出力インターフェイス36、メディアインターフェイス37を備える。
FIG. 5 is a hardware configuration diagram illustrating a hardware configuration of the information processing device 30 that realizes the function of the
CPU31は、ROM33およびHDD34に格納されたプログラムに基づいて動作し、各部の制御を行う。ROM33は、情報処理装置30の起動時にCPU31が実行するブートプログラムや、情報処理装置30のハードウェアに依存するプログラム等を格納する。
The
HDD34は、CPU31が実行するプログラムおよびCPU31が使用するデータ等を格納する。通信インターフェイス35は、外部ネットワーク12または内部ネットワーク14を介して他の機器からデータを受信してCPU31へ送ると共に、CPU31が生成したデータを、これらのネットワークを介して他の機器へ送信する。
The
CPU31は、入出力インターフェイス36を介して、キーボードやマウス、LCD(Liquid Crystal Display)等の入出力装置を制御する。CPU31は、入出力インターフェイス36を介して、キーボードやマウス等からデータを取得する。また、CPU31は、生成したデータを、入出力インターフェイス36を介してLCD等へ出力する。
The
メディアインターフェイス37は、記録媒体38に格納されたプログラムまたはデータを読み取り、RAM32に提供する。RAM32を介してCPU31に提供されるプログラムは、記録媒体38に格納されている。当該プログラムは、記録媒体38から読み出されて、RAM32を介して情報処理装置30にインストールされ、CPU31によって実行される。
The
HDD34には、通信情報格納部23および応答時間格納部26内のデータが格納される。情報処理装置30にインストールされて実行されるプログラムは、情報処理装置30を、内向きデータ取得部21、通信情報登録部22、外向きデータ取得部24、応答時間算出部25、およびボット情報出力部27として機能させる。
The
記録媒体38は、例えばDVD、PD等の光学記録媒体、MO等の光磁気記録媒体、テープ媒体、磁気記録媒体、または半導体メモリ等である。情報処理装置30は、これらのプログラムを、記録媒体38から読み取って実行するが、他の例として、他の装置から、通信媒体を介して、これらのプログラムを取得してもよい。通信媒体とは、外部ネットワーク12または内部ネットワーク14、またはこれらを伝搬するディジタル信号または搬送波を指す。
The
図6は、ボット検知装置20による内向きデータ登録処理を例示するフローチャートである。例えば、電源を投入される等の所定のタイミングで、ボット検知装置20は、本フローチャートに示す内向きデータ登録処理を開始する。
FIG. 6 is a flowchart illustrating inward data registration processing by the
まず、内向きデータ取得部21は、内向きデータを受信したか否かを判定する(S100)。内向きデータを受信していない場合(S100:No)、内向きデータ取得部21は、内向きデータを受信するまでステップ100を繰り返す。内向きデータを受信した場合(S100:Yes)、内向きデータ取得部21は、受信した内向きデータと共に、内向きデータ取得日時を通信情報登録部22へ出力する(S101)。
First, the inward
次に、通信情報登録部22は、内向きデータ取得部21から受信した内向きデータ取得日時に基づいて通信情報格納部23を参照し、当該内向きデータ取得日時との時間差が所定値(例えば5秒)以内のデータ取得日時が存在するか否かを判定する(S102)。内向きデータ取得部21から取得した内向きデータ取得日時との時間差が所定値以内のデータ取得日時が通信情報格納部23内に存在する場合(S102:Yes)、通信情報登録部22は、当該内向きデータ取得日時に対応付けられて通信情報格納部23に格納されている内向き送信元情報が、内向きデータ取得部21から取得した内向きデータに含まれる内向き送信元情報と一致するか否かを判定する(S103)。
Next, the communication
通信情報格納部23に格納されている内向き送信元情報が、内向きデータ取得部21から取得した内向きデータに含まれる内向き送信元情報と一致する場合(S103:Yes)、通信情報登録部22は、内向きデータ取得部21から取得した内向きデータに含まれる内向き送信元情報および当該内向き送信元情報に対応するIDに対応付けて、当該内向きデータと共に受信した内向きデータ取得日時および当該内向きデータに含まれる内向き宛先アドレスを、通信情報格納部23内に追加登録し(S104)、内向きデータ取得部21は、再びステップ100に示した処理を実行する。
When the inward transmission source information stored in the communication
一方、内向きデータ取得部21から取得した内向きデータ取得日時との時間差が所定値以内のデータ取得日時が通信情報格納部23内に存在しない場合(S102:No)、または、通信情報格納部23に格納されている内向き送信元情報が、内向きデータ取得部21から取得した内向きデータに含まれる内向き送信元情報と一致しない場合(S103:No)、通信情報登録部22は、内向きデータ取得部21から取得した内向きデータ取得日時および内向きデータに含まれる内向き宛先アドレスを、内向きデータ取得部21から取得した内向きデータに含まれる内向き送信元情報および新たに割り当てたIDに対応付けて通信情報格納部23に新規登録し(S107)、内向きデータ取得部21は、再びステップ100に示した処理を実行する。
On the other hand, when there is no data acquisition date / time within the communication
図7は、ボット検知装置20による応答時間算出処理を例示するフローチャートである。例えば、電源を投入される等の所定のタイミングで、ボット検知装置20は、本フローチャートに示す応答時間算出処理を開始する。
FIG. 7 is a flowchart illustrating response time calculation processing by the
まず、外向きデータ取得部24は、外向きデータを受信したか否かを判定する(S200)。外向きデータを受信していない場合(S200:No)、外向きデータ取得部24は、外向きデータを受信するまでステップ200を繰り返す。外向きデータを受信した場合(S200:Yes)、外向きデータ取得部24は、受信した外向きデータと共に、外向きデータ取得日時を応答時間算出部25へ出力する(S201)。
First, the outward
次に、応答時間算出部25は、通信情報格納部23を参照して、外向きデータ取得部24から取得した外向きデータに含まれる送信元IPアドレスが通信情報格納部23に内向き宛先アドレスとして格納されているか否かを判定する(S202)。外向きデータ取得部24から取得した外向きデータに含まれる送信元IPアドレスが通信情報格納部23に内向き宛先アドレスとして格納されていない場合(S202:No)、外向きデータ取得部24は、再びステップ200に示した処理を実行する。
Next, the response
外向きデータ取得部24から取得した外向きデータに含まれる送信元IPアドレスが通信情報格納部23に内向き宛先アドレスとして格納されている場合(S202:Yes)、応答時間算出部25は、当該内向き宛先アドレスに対応付けられて通信情報格納部23に格納されている内向きデータ取得日時と、当該外向きデータ取得日時との差である応答時間を算出する(S203)。
When the transmission source IP address included in the outward data acquired from the outward
そして、応答時間算出部25は、算出した応答時間を、当該内向き宛先アドレス、当該外向きデータの宛先を示す情報を含む外向き宛先情報、当該内向き宛先アドレスに対応付けられて内向き通信情報格納手段23内に格納されているID、および外向きデータ取得日時と共に応答時間格納部26に格納し(S204)、外向きデータ取得部24は、再びステップ200に示した処理を実行する。
Then, the response
図8は、ボット検知装置20によるボット判定処理を例示するフローチャートである。所定時間(1時間)毎、または、応答時間格納部26内のデータ量が所定値(応答時間格納部26の記憶容量の80%)以上になった場合等の所定のタイミングで、ボット検知装置20は、本フローチャートに示すボット判定処理を開始する。
FIG. 8 is a flowchart illustrating bot determination processing by the
まず、ボット情報出力部27は、応答時間格納部26に格納されているそれぞれのレコードの外向きデータ取得日時を参照して、前回応答時間格納部26から読み出したレコードの中で、最新のレコードから所定時間(例えば5秒)以内のレコードを特定する(S300)。そして、ボット情報出力部27は、特定したレコードの中で最も古いレコードから所定数のレコードを応答時間格納部26から読み出す(S301)。
First, the bot
このように、所定時間分さかのぼってレコードを読み出すことにより、ボット情報出力部27は、応答時間の差が所定時間以内のレコードを確実に検出することができる。なお、最新のレコードから所定時間(例えば5秒)以内のレコードが存在しない場合、ボット情報出力部27は、ステップ301において、前回読み出したレコードの中の最新のレコードから所定数のレコードを読み出す。
In this way, by reading the record back by a predetermined time, the bot
次に、ボット情報出力部27は、読み出したレコードの中で、未選択のレコードを1つ選択し(S302)、選択したレコードに含まれる応答時間との差が所定値(例えば5秒)以内の応答時間を有するレコードが応答時間格納部26内に存在するか否かを判定する(S303)。選択したレコードに含まれる応答時間との差が所定値以内の応答時間を有するレコードが応答時間格納部26内に存在しない場合(S303:No)、ボット情報出力部27は、ステップ307に示す処理を実行する。
Next, the bot
選択したレコードに含まれる応答時間との差が所定値以内の応答時間を有するレコードが応答時間格納部26内に存在する場合(S303:Yes)、ボット情報出力部27は、該当するレコードを抽出し(S304)、抽出したレコードが、ステップ302において選択したレコードと同一のIDおよび外向き宛先情報を有するか否かを判定する(S305)。抽出したレコードが、ステップ302において選択したレコードと同一のIDおよび外向き宛先情報を有しない場合(S305:No)、ボット情報出力部27は、ステップ307に示す処理を実行する。
If there is a record in the response
抽出したレコードが、ステップ302において選択したレコードと同一のIDおよび外向き宛先情報を有する場合(S305:Yes)、ボット情報出力部27は、該当するレコードに含まれる内向き宛先アドレスをボット感染コンピュータのIPアドレスとして出力し(S306)、ステップ301において読み出したレコードの中に未選択のレコードが存在するか否かを判定する(S307)。
If the extracted record has the same ID and outward destination information as the record selected in step 302 (S305: Yes), the bot
ステップ301において読み出したレコードの中に未選択のレコードが存在する場合(S307:Yes)、ボット情報出力部27は、再びステップ302に示した処理を実行する。未選択のレコードが存在しない場合(S307:No)、ボット検知装置20は、本フローチャートに示すボット判定処理を終了する。
If there is an unselected record among the records read in step 301 (S307: Yes), the bot
上記説明から明らかなように、本実施形態の通信システム10によれば、ボットに感染している可能性の高いコンピュータを確実に検出することができる。 As is clear from the above description, according to the communication system 10 of this embodiment, it is possible to reliably detect a computer that is highly likely to be infected with a bot.
なお、本発明は、上記の各実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。 The present invention is not limited to the above-described embodiments, and various modifications are possible within the scope of the gist.
図9は、通信システム10の他の形態を例示するシステム構成図である。なお、以下に説明する点を除き、図9において、図1と同じ符号を付した構成は、図1における構成と同一または同様の機能を有するため説明を省略する。 FIG. 9 is a system configuration diagram illustrating another form of the communication system 10. Except for the points described below, in FIG. 9, the components denoted by the same reference numerals as those in FIG. 1 have the same or similar functions as those in FIG.
複数のデータ収集装置50は、内部ネットワーク14毎に設けられ、対応する内部ネットワーク14と外部ネットワーク12との間の通信データを監視する。ボット判定装置40は、外部ネットワーク12を介してそれぞれのデータ収集装置50から受信した情報に基づいて、ボット感染コンピュータのIPアドレスを特定する。
The plurality of
図10は、データ収集装置50の詳細な機能構成を例示するブロック図である。データ収集装置50は、内向きデータ取得部51および外向きデータ取得部52を有する。
FIG. 10 is a block diagram illustrating a detailed functional configuration of the
内向きデータ取得部51は、外部ネットワーク12から内部ネットワーク14へ流入する内向きデータを取得し、取得した内向きデータを、当該内向きデータに対応する内向きデータ取得日時と共に、外部ネットワーク12を介してボット判定装置40へ送信する。
The inward
外向きデータ取得部52は、内部ネットワーク14から外部ネットワーク12へ流出する外向きデータを取得し、取得した外向きデータを、当該外向きデータに対応する外向きデータ取得日時と共に、外部ネットワーク12を介してボット判定装置40へ送信する。
The outward
図11は、ボット判定装置40の詳細な機能構成を例示するブロック図である。ボット判定装置40は、通信情報登録部22、通信情報格納部23、応答時間算出部25、応答時間格納部26、およびボット情報出力部27を有する。なお、以下に説明する点を除き、図11において、図2と同じ符号を付した構成は、図2における構成と同一または同様の機能を有するため説明を省略する。
FIG. 11 is a block diagram illustrating a detailed functional configuration of the
通信情報登録部22は、外部ネットワーク12を介して、それぞれのデータ収集装置50から内向きデータおよび内向きデータ取得日時を受信する。そして、通信情報登録部22は、図2において説明したように、受信した内向きデータおよび内向きデータ取得日時を通信情報格納部23に登録する処理を行う。
The communication
応答時間算出部25は、外部ネットワーク12を介して、それぞれのデータ収集装置50から外向きデータおよび外向きデータ取得日時を受信する。そして、応答時間算出部25は、図2において説明したように、受信した外向きデータおよび外向きデータ取得日時を用いて、応答時間算出処理を行う。
The response
本実施形態では、複数のデータ収集装置50から取得した情報に基づいて、ボット感染コンピュータのIPアドレスを検出するので、それぞれの内部ネットワーク14内にボット感染コンピュータが1台しか存在しない場合であっても、通信システム10全体でボット感染コンピュータが複数台存在する場合には、ボット判定装置40は、ボット感染コンピュータのIPアドレスを検出することができる。
In this embodiment, since the IP address of the bot-infected computer is detected based on the information acquired from the plurality of
なお、上記した実施形態において、ボット情報出力部27は、ボット感染コンピュータのIPアドレスを出力したが、他の例として、ボット情報出力部27は、当該IPアドレスと共に応答時間格納部26内に格納されているIDに基づいて通信情報格納部23を参照し、当該IDに対応付けられて通信情報格納部23内に格納されている内向き送信元情報に含まれる内向き送信元アドレスを、指令コンピュータ11または指令コンピュータ11に制御されているIRCサーバ13のIPアドレスとしてさらに出力するようにしてもよい。
In the above-described embodiment, the bot
また、この場合、ボット検知装置20は、外部ネットワーク12と内部ネットワーク14との間に設けられたファイアウォールに指示して、指令コンピュータ11または指令コンピュータ11に制御されているIRCサーバ13のIPアドレスを送信元とする内向きデータを遮断させるように、当該ファイアウォールの通信制御ルールを変更させる内向きルール変更機能をさらに備えるようにしてもよい。これにより、ボット検知装置20は、指令コンピュータからボット感染コンピュータへ送信される指令通信を遮断することができ、ボット感染コンピュータを無害化することができる。
In this case, the
また、ボット検知装置20は、外部ネットワーク12と内部ネットワーク14との間に設けられたファイアウォールに指示して、ボット感染コンピュータから外部ネットワーク12へ送信される外向けデータを遮断させるように、当該ファイアウォールの通信制御ルールを変更させる外向きルール変更機能をさらに備えるようにしてもよい。これにより、ボット検知装置20は、指令コンピュータからの指示に応じてボット感染コンピュータから送信された外向きデータを遮断することができ、ボット感染コンピュータを無害化することができる。
In addition, the
また、他の例として、ボット検知装置20は、ボット情報出力部27からボット感染コンピュータのIPアドレスが出力された場合に、当該IPアドレスに対応するコンピュータへ、ボットに感染している旨を示す警告メッセージを通知する警告機能をさらに備えるようにしてもよい。内部ネットワーク内のコンピュータは、例えば、Windows(登録商標)の標準機能であるメッセンジャーサービスを常時起動しておくことにより、ボット検知装置20から送信された警告メッセージを画面に表示することができる。これにより、ボット感染コンピュータのユーザは、自分が使用しているコンピュータがボットに感染していることを知ることができ、通信ケーブルを外すことにより、ボットに起因する不正アクセスを防止する、あるいは、ハードディスクをフォーマットして、OSやアプリケーションソフトウェア等を再インストールすることによってボットを駆除する等の対策を実施することができる。
As another example, when the IP address of the bot-infected computer is output from the bot
また、上記した実施形態では、ボット検知装置20が、外部ネットワーク12と内部ネットワーク14との間に設けられる構成を例に説明したが、本発明はこれに限られない。他の形態として、ボット検知装置20は、内部ネットワークにのみ接続され、内部ネットワーク内を流れる通信データをモニタリングすることにより、ボットに感染している可能性の高いコンピュータ15を検知するようにしてもよい。これにより、ボット検知装置20の処理性能がボトルネックとなることによる通信速度の低下やボット検知装置20の故障による外部ネットワーク12と内部ネットワーク14との間の通信の遮断等のリスクを回避することができる。
In the above-described embodiment, the configuration in which the
10・・・通信システム、11・・・指令コンピュータ、12・・・外部ネットワーク、13・・・IRCサーバ、14・・・内部ネットワーク、15・・・コンピュータ、20・・・ボット検知装置、21・・・内向きデータ取得部、22・・・通信情報登録部、23・・・通信情報格納部、230・・・ID、231・・・内向き送信元情報、232・・・内向きデータ取得日時、233・・・内向き宛先アドレス、24・・・外向きデータ取得部、25・・・応答時間算出部、26・・・応答時間格納部、27・・・ボット情報出力部、30・・・情報処理装置、31・・・CPU、32・・・RAM、33・・・ROM、34・・・HDD、35・・・通信インターフェイス、36・・・入出力インターフェイス、37・・・メディアインターフェイス、38・・・記録媒体、40・・・ボット判定装置、50・・・データ収集装置、51・・・内向きデータ取得部、52・・・外向きデータ取得部
DESCRIPTION OF SYMBOLS 10 ... Communication system, 11 ... Command computer, 12 ... External network, 13 ... IRC server, 14 ... Internal network, 15 ... Computer, 20 ... Bot detection apparatus, 21 ... Inward data acquisition unit, 22 ... Communication information registration unit, 23 ... Communication information storage unit, 230 ... ID, 231 ... Inward transmission source information, 232 ... Inward data Acquisition date and time, 233 ... Inward destination address, 24 ... Outward data acquisition unit, 25 ... Response time calculation unit, 26 ... Response time storage unit, 27 ... Bot information output unit, 30 ...
Claims (11)
前記外部ネットワークから前記内部ネットワークへ流入する通信データである内向きデータを取得し、取得した内向きデータを、当該内向きデータを取得した日時を示す情報である内向きデータ取得日時と共に出力する内向きデータ取得手段と、
同一の送信元から所定の時間差以内に送信された内向きデータをグループ化して、当該内向きデータに含まれる宛先IPアドレスである内向き宛先アドレスを、グループを識別するグループIDに対応付けて格納する内向き通信情報格納手段と、
前記内部ネットワークから前記外部ネットワークへ流出する通信データである外向きデータを取得し、取得した外向きデータを、当該外向きデータを取得した日時を示す情報である外向きデータ取得日時と共に出力する外内向きデータ取得手段と、
前記外向きデータ取得手段から前記外向きデータおよび前記外向きデータ取得日時が出力された場合に、前記内向き通信情報格納手段を参照して、前記外向きデータに含まれる送信元IPアドレスが前記内向き通信情報格納手段内に内向き宛先アドレスとして格納されている場合に、当該内向き宛先アドレスと共に格納されている内向きデータ取得日時と、当該外向きデータ取得日時との差である応答時間を算出する応答時間算出手段と、
算出された応答時間を、当該内向き宛先アドレス、当該外向きデータの宛先を示す情報を含む外向き宛先情報、および当該内向き宛先アドレスに対応付けられて前記内向き通信情報格納手段内に格納されているグループIDに対応付けて格納する応答時間格納手段と、
前記応答時間格納手段を参照して、前記グループIDおよび前記外向き宛先情報が同一であり、かつ、応答時間の差が所定値以内の内向き宛先アドレスを抽出し、抽出した内向き宛先アドレスを、ボットに感染している可能性の高いコンピュータであるボット感染コンピュータのIPアドレスとして出力するボット情報出力手段と
を備えることを特徴とするボット検知装置。 A bot detection device provided between an external network and an internal network,
The inward data that is communication data flowing into the internal network from the external network is acquired, and the acquired inward data is output together with the inward data acquisition date and time that is information indicating the date and time when the inward data is acquired. Orientation data acquisition means;
Inbound data transmitted from the same source within a predetermined time difference is grouped, and the inbound destination address that is the destination IP address included in the inbound data is stored in association with the group ID for identifying the group. Inward communication information storage means,
External data that is communication data flowing out from the internal network to the external network is acquired, and the acquired external data is output together with the external data acquisition date and time that is information indicating the date and time when the external data is acquired Inward data acquisition means;
When the outward data and the outward data acquisition date and time are output from the outward data acquisition means, the source IP address included in the outward data is referred to by referring to the inward communication information storage means Response time that is the difference between the inward data acquisition date and time stored together with the inward destination address and the outward data acquisition date and time when stored as an inward destination address in the inward communication information storage means A response time calculating means for calculating
The calculated response time is stored in the inbound communication information storage unit in association with the inbound destination address, the outbound destination information including information indicating the destination of the outbound data, and the inbound destination address. Response time storage means for storing in association with the group ID being performed;
With reference to the response time storage means, the inbound destination address having the same group ID and the outward destination information and having a response time difference within a predetermined value is extracted, and the extracted inbound destination address is A bot detection device comprising: bot information output means for outputting as an IP address of a bot-infected computer, which is a computer likely to be infected with a bot.
前記内向き通信情報格納手段は、
前記内向き宛先アドレスと共に、当該内向き宛先アドレスが含まれる内向きデータの送信元を示す情報を含む内向き送信元情報を、グループIDに対応付けてさらに格納し、
ボット検知装置は、
前記内向きデータ取得手段から前記内向きデータおよび前記内向きデータ取得日時が出力された場合に、前記内向き通信情報格納手段を参照して、
前記内向きデータの内向き送信元情報が前記内向き通信情報格納手段内に存在し、かつ、前記内向きデータ取得日時と、当該内向き送信元情報に対応付けられて前記内向き通信情報格納手段に格納されている内向きデータ取得日時のいずれかとの差が所定値以内の場合に、前記内向きデータに含まれる内向き宛先アドレスおよび内向きデータ取得日時を、当該内向きデータの内向き送信元情報および当該内向き送信元情報に対応するグループIDに対応付けて前記内向き通信情報格納手段に追加登録し、
前記内向きデータの内向き送信元情報が前記内向き通信情報格納手段内に存在しない場合、または、前記内向きデータ取得日時と、当該内向き送信元情報に対応付けられて前記内向き通信情報格納手段に格納されている内向きデータ取得日時のいずれとの差も所定値以内にない場合のいずれかの場合に、前記内向きデータに含まれる内向き宛先アドレスおよび内向きデータ取得日時を、当該内向きデータの内向き送信元情報および新たに割り当てたグループIDに対応付けて前記内向き通信情報格納手段内に新規に登録する内向き通信情報登録手段をさらに備えることを特徴とするボット検知装置。 The bot detection device according to claim 1,
The inward communication information storage means includes
In addition to the inward destination address, inward source information including information indicating the source of inward data including the inward destination address is further stored in association with the group ID,
The bot detection device
When the inward data and the inward data acquisition date and time are output from the inward data acquisition means, refer to the inward communication information storage means,
The inward transmission information of the inward data exists in the inward communication information storage means, and the inward communication information is stored in association with the inward data acquisition date and time and the inward transmission source information. When the difference between the inward data acquisition date and time stored in the means is within a predetermined value, the inward destination address and the inward data acquisition date and time included in the inward data are set to the inward data of the inward data. In association with the transmission source information and the group ID corresponding to the inward transmission source information, additionally register in the inward communication information storage means,
When the inward transmission information of the inward data does not exist in the inward communication information storage means, or the inward communication information associated with the inward data acquisition date and time and the inward transmission source information In any case where the difference with any of the inward data acquisition date and time stored in the storage means is not within a predetermined value, the inward destination address and the inward data acquisition date and time included in the inward data, The bot detection further comprising inward communication information registration means for newly registering in the inward communication information storage means in association with the inward transmission source information of the inward data and the newly assigned group ID apparatus.
前記内向き送信元情報は、
前記内向きデータの送信元IPアドレスおよび送信元ポート番号を含むこと
を特徴とするボット検知装置。 The bot detection device according to claim 2,
The inward source information is
A bot detection device comprising a source IP address and a source port number of the inward data.
前記内向き送信元情報は、
前記内向きデータの送信元IPアドレス、送信元ポート番号、および、当該内向きデータのペイロードの一部または特徴値を含むこと
を特徴とするボット検知装置。 The bot detection device according to claim 2,
The inward source information is
A bot detection device comprising: a source IP address of the inward data, a source port number, and a part or feature value of the payload of the inward data.
前記ボット情報出力手段は、
当該IPアドレスと共に前記応答時間格納手段内に格納されているグループIDに対応付けられて、前記内向き通信情報格納手段内に格納されている内向き送信元情報に含まれる送信元IPアドレスを、前記ボット感染コンピュータを制御する指令コンピュータのIPアドレスとしてさらに出力すること
を特徴とするボット検知装置。 The bot detection device according to claim 3 or 4,
The bot information output means includes
The transmission source IP address included in the inbound transmission source information stored in the inbound communication information storage unit in association with the group ID stored in the response time storage unit together with the IP address, A bot detection device further outputting the IP address of a command computer for controlling the bot-infected computer.
前記ボット情報出力手段から前記指令コンピュータのIPアドレスが出力された場合に、前記外部ネットワークと前記内部ネットワークとの間に設けられたファイアウォールに指示して、当該IPアドレスを送信元とする内向きデータを遮断させるように前記ファイアウォールの通信制御ルールを変更させる内向きルール変更手段をさらに備えることを特徴とするボット検知装置。 The bot detection device according to claim 5,
When the IP address of the command computer is output from the bot information output means, instructing a firewall provided between the external network and the internal network to send inward data with the IP address as a transmission source The bot detection device further comprising inward rule changing means for changing the communication control rule of the firewall so as to block the firewall.
前記外向き宛先情報は、
前記外向きデータの宛先IPアドレス、宛先ポート番号、および、当該外向きデータペイロードの一部または特徴値を含むこと
を特徴とするボット検知装置。 The bot detection device according to any one of claims 1 to 6,
The outward destination information is
A bot detection device comprising a destination IP address, a destination port number of the outward data, and a part or feature value of the outward data payload.
前記ボット情報出力手段から前記ボット感染コンピュータのIPアドレスが出力された場合に、当該IPアドレスに対応するコンピュータへ、ボットに感染している旨を示す警告メッセージを通知する警告手段をさらに備えることを特徴とするボット検知装置。 The bot detection device according to any one of claims 1 to 7,
When the IP address of the bot-infected computer is output from the bot information output means, it further comprises warning means for notifying a warning message indicating that the bot is infected to the computer corresponding to the IP address. A featured bot detection device.
前記ボット情報出力手段から前記ボット感染コンピュータのIPアドレスが出力された場合に、前記外部ネットワークと前記内部ネットワークとの間に設けられたファイアウォールに指示して、当該IPアドレスを送信元とする外向きデータを遮断させるように前記ファイアウォールの通信制御ルールを変更させる外向きルール変更手段をさらに備えることを特徴とするボット検知装置。 The bot detection device according to any one of claims 1 to 8,
When the IP address of the bot-infected computer is output from the bot information output means, it instructs a firewall provided between the external network and the internal network, and uses the IP address as a transmission source. The bot detection device further comprising outward rule changing means for changing the communication control rule of the firewall so as to block data.
前記ボット検出装置は、
前記外部ネットワークから前記内部ネットワークへ流入する通信データである内向きデータを取得し、取得した内向きデータを、当該内向きデータを取得した日時を示す情報である内向きデータ取得日時と共に出力する内向きデータ取得ステップと、
同一の送信元から所定の時間差以内に送信された内向きデータをグループ化して、当該内向きデータに含まれる宛先IPアドレスである内向き宛先アドレスを、グループを識別するグループIDに対応付けて内向き通信情報格納手段に1つ以上格納する内向き通信情報格納ステップと、
前記内部ネットワークから前記外部ネットワークへ流出する通信データである外向きデータを取得し、取得した外向きデータを、当該外向きデータを取得した日時を示す情報である外向きデータ取得日時と共に出力する外内向きデータ取得ステップと、
前記外向きデータ取得ステップにおいて前記外向きデータおよび前記外向きデータ取得日時を出力した場合に、前記内向き通信情報格納手段を参照して、前記外向きデータに含まれる送信元IPアドレスが前記内向き通信情報格納手段内に内向き宛先アドレスとして格納されている場合に、当該内向き宛先アドレスと共に格納されている内向きデータ取得日時と、当該外向きデータ取得日時との差である応答時間を算出する応答時間算出ステップと、
算出した応答時間を、当該内向き宛先アドレス、当該外向きデータの宛先を示す情報を含む外向き宛先情報、および当該内向き宛先アドレスに対応付けられて前記内向き通信情報格納手段内に格納されているグループIDに対応付けて応答時間格納手段に格納する応答時間格納ステップと、
前記応答時間格納手段を参照して、前記グループIDおよび前記外向き宛先情報が同一であり、かつ、応答時間の差が所定値以内の内向き宛先アドレスを抽出し、抽出した内向き宛先アドレスを、ボットに感染している可能性の高いコンピュータのIPアドレスとして出力するボット情報出力ステップと
を実行することを特徴とするボット検知方法。 A bot detection method in a bot detection device provided between an external network and an internal network,
The bot detection device includes:
The inward data that is communication data flowing into the internal network from the external network is acquired, and the acquired inward data is output together with the inward data acquisition date and time that is information indicating the date and time when the inward data is acquired. An orientation data acquisition step;
Inward data transmitted from the same source within a predetermined time difference is grouped, and the inbound destination address that is the destination IP address included in the inward data is associated with the group ID that identifies the group. An inward communication information storage step of storing one or more in the direction communication information storage means;
External data that is communication data flowing out from the internal network to the external network is acquired, and the acquired external data is output together with the external data acquisition date and time that is information indicating the date and time when the external data is acquired An inward data acquisition step;
When the outward data and the outward data acquisition date / time are output in the outward data acquisition step, a source IP address included in the outward data is referred to by referring to the inward communication information storage unit. When stored as an inward destination address in the direction communication information storage means, a response time that is a difference between the inward data acquisition date and time stored together with the inward destination address and the outward data acquisition date and time A response time calculating step to calculate;
The calculated response time is stored in the inbound communication information storage unit in association with the inbound destination address, outbound destination information including information indicating the destination of the outbound data, and the inbound destination address. A response time storage step of storing in the response time storage means in association with the group ID being
With reference to the response time storage means, the inbound destination address having the same group ID and the outward destination information and having a response time difference within a predetermined value is extracted, and the extracted inbound destination address is And a bot information output step of outputting as an IP address of a computer having a high possibility of being infected with the bot.
前記ボット検知装置を、
前記外部ネットワークから前記内部ネットワークへ流入する通信データである内向きデータを取得し、取得した内向きデータを、当該内向きデータを取得した日時を示す情報である内向きデータ取得日時と共に出力する内向きデータ取得手段、
同一の送信元から所定の時間差以内に送信された内向きデータをグループ化して、当該内向きデータに含まれる宛先IPアドレスである内向き宛先アドレスを、グループを識別するグループIDに対応付けて格納する内向き通信情報格納手段、
前記内部ネットワークから前記外部ネットワークへ流出する通信データである外向きデータを取得し、取得した外向きデータを、当該外向きデータを取得した日時を示す情報である外向きデータ取得日時と共に出力する外内向きデータ取得手段、
前記外向きデータ取得手段から前記外向きデータおよび前記外向きデータ取得日時が出力された場合に、前記内向き通信情報格納手段を参照して、前記外向きデータに含まれる送信元IPアドレスが前記内向き通信情報格納手段内に内向き宛先アドレスとして格納されている場合に、当該内向き宛先アドレスと共に格納されている内向きデータ取得日時と、当該外向きデータ取得日時との差である応答時間を算出する応答時間算出手段、
算出された応答時間を、当該内向き宛先アドレス、当該外向きデータの宛先を示す情報を含む外向き宛先情報、および当該内向き宛先アドレスに対応付けられて前記内向き通信情報格納手段内に格納されているグループIDに対応付けて格納する応答時間格納手段、および
前記応答時間格納手段を参照して、前記グループIDおよび前記外向き宛先情報が同一であり、かつ、応答時間の差が所定値以内の内向き宛先アドレスを抽出し、抽出した内向き宛先アドレスを、ボットに感染している可能性の高いコンピュータであるボット感染コンピュータのIPアドレスとして出力するボット情報出力手段
として機能させることを特徴とするプログラム。 A program for controlling a bot detection device provided between an external network and an internal network,
The bot detection device;
The inward data that is communication data flowing into the internal network from the external network is acquired, and the acquired inward data is output together with the inward data acquisition date and time that is information indicating the date and time when the inward data is acquired. Orientation data acquisition means,
Inbound data transmitted from the same source within a predetermined time difference is grouped, and the inbound destination address that is the destination IP address included in the inbound data is stored in association with the group ID for identifying the group. Inward communication information storage means,
External data that is communication data flowing out from the internal network to the external network is acquired, and the acquired external data is output together with the external data acquisition date and time that is information indicating the date and time when the external data is acquired Inward data acquisition means,
When the outward data and the outward data acquisition date and time are output from the outward data acquisition means, the source IP address included in the outward data is referred to by referring to the inward communication information storage means Response time that is the difference between the inward data acquisition date and time stored together with the inward destination address and the outward data acquisition date and time when stored as an inward destination address in the inward communication information storage means Response time calculating means for calculating
The calculated response time is stored in the inbound communication information storage unit in association with the inbound destination address, the outbound destination information including information indicating the destination of the outbound data, and the inbound destination address. A response time storage unit that stores the group ID in association with the group ID, and the response time storage unit, the group ID and the outward destination information are the same, and the difference between the response times is a predetermined value Inward destination address is extracted, and the extracted inward destination address is made to function as a bot information output means for outputting the IP address of a bot-infected computer that is a computer likely to be infected with a bot. Program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006153795A JP2007323428A (en) | 2006-06-01 | 2006-06-01 | Bot detection apparatus, bot detection method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006153795A JP2007323428A (en) | 2006-06-01 | 2006-06-01 | Bot detection apparatus, bot detection method and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007323428A true JP2007323428A (en) | 2007-12-13 |
Family
ID=38856169
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006153795A Pending JP2007323428A (en) | 2006-06-01 | 2006-06-01 | Bot detection apparatus, bot detection method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007323428A (en) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009110270A (en) * | 2007-10-30 | 2009-05-21 | Fujitsu Ltd | Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method |
JP2010009185A (en) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | Information processor, information processing system, program, and recording medium |
JP2010009187A (en) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | Information processor, information processing system, program, and recording medium |
JP2010009186A (en) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | Information processor, information processing system, program, and recording medium |
JP2011076188A (en) * | 2009-09-29 | 2011-04-14 | Nippon Telegr & Teleph Corp <Ntt> | Method and system for detecting bot infected person using dns traffic data |
JP2012083909A (en) * | 2010-10-08 | 2012-04-26 | Kddi Corp | Application characteristic analysis device and program |
JP2015015581A (en) * | 2013-07-04 | 2015-01-22 | 富士通株式会社 | Monitoring device, monitoring method, and program |
US9548989B2 (en) | 2014-01-09 | 2017-01-17 | Fujitsu Limited | Network monitoring apparatus and method |
CN111447118A (en) * | 2020-03-27 | 2020-07-24 | 中国工商银行股份有限公司 | Data transmission method and device based on data transmission stream |
-
2006
- 2006-06-01 JP JP2006153795A patent/JP2007323428A/en active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009110270A (en) * | 2007-10-30 | 2009-05-21 | Fujitsu Ltd | Malware detecting apparatus, monitoring apparatus, malware detecting program, and malware detecting method |
JP2010009185A (en) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | Information processor, information processing system, program, and recording medium |
JP2010009187A (en) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | Information processor, information processing system, program, and recording medium |
JP2010009186A (en) * | 2008-06-25 | 2010-01-14 | Kddi R & D Laboratories Inc | Information processor, information processing system, program, and recording medium |
JP2011076188A (en) * | 2009-09-29 | 2011-04-14 | Nippon Telegr & Teleph Corp <Ntt> | Method and system for detecting bot infected person using dns traffic data |
JP2012083909A (en) * | 2010-10-08 | 2012-04-26 | Kddi Corp | Application characteristic analysis device and program |
JP2015015581A (en) * | 2013-07-04 | 2015-01-22 | 富士通株式会社 | Monitoring device, monitoring method, and program |
US9548989B2 (en) | 2014-01-09 | 2017-01-17 | Fujitsu Limited | Network monitoring apparatus and method |
CN111447118A (en) * | 2020-03-27 | 2020-07-24 | 中国工商银行股份有限公司 | Data transmission method and device based on data transmission stream |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4480422B2 (en) | Unauthorized access prevention method, apparatus, system, and program | |
TWI627553B (en) | Detection of advanced persistent threat attack on a private computer network | |
JP4088082B2 (en) | Apparatus and program for preventing infection by unknown computer virus | |
WO2011027496A1 (en) | Unauthorized process detection method and unauthorized process detection system | |
JP2007323428A (en) | Bot detection apparatus, bot detection method and program | |
JP5518594B2 (en) | Internal network management system, internal network management method and program | |
JP4072150B2 (en) | Host-based network intrusion detection system | |
US8495739B2 (en) | System and method for ensuring scanning of files without caching the files to network device | |
JP4327698B2 (en) | Network type virus activity detection program, processing method and system | |
US20160028747A1 (en) | Propagation Of Viruses Through An Information Technology Network | |
US20170070518A1 (en) | Advanced persistent threat identification | |
JP2014086821A (en) | Unauthorized connection detection method, network monitoring device, and program | |
JP2008054204A (en) | Connection device, terminal device, and data confirmation program | |
JP5980968B2 (en) | Information processing apparatus, information processing method, and program | |
JP4680931B2 (en) | Unauthorized access program monitoring processing method, unauthorized access program monitoring program, and unauthorized access program monitoring apparatus | |
JP2017130921A (en) | Technique for detecting malicious electronic message | |
KR101047382B1 (en) | Method and system for preventing file takeover using malicious code and recording medium | |
JP2005005927A (en) | Network system, unauthorized access control method, and program | |
JP2008011008A (en) | Unauthorized access prevention system | |
WO2015178002A1 (en) | Information processing device, information processing system, and communication history analysis method | |
JP2008165601A (en) | Communication monitoring system, communication monitoring device and communication control device | |
JP5952220B2 (en) | File monitoring cycle calculation device, file monitoring cycle calculation system, file monitoring cycle calculation method, and file monitoring cycle calculation program | |
US10757078B2 (en) | Systems and methods for providing multi-level network security | |
JP4084317B2 (en) | Worm detection method | |
US20230137747A1 (en) | Detection, isolation, and mitigation of attacks on a file system |