JP2009223375A - 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム - Google Patents
悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム Download PDFInfo
- Publication number
- JP2009223375A JP2009223375A JP2008064119A JP2008064119A JP2009223375A JP 2009223375 A JP2009223375 A JP 2009223375A JP 2008064119 A JP2008064119 A JP 2008064119A JP 2008064119 A JP2008064119 A JP 2008064119A JP 2009223375 A JP2009223375 A JP 2009223375A
- Authority
- JP
- Japan
- Prior art keywords
- malignant
- website
- determination
- database
- web site
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 230000008859 change Effects 0.000 claims abstract description 41
- 230000003211 malignant effect Effects 0.000 claims description 76
- 238000012423 maintenance Methods 0.000 claims description 24
- 206010028980 Neoplasm Diseases 0.000 claims description 18
- 201000011510 cancer Diseases 0.000 claims description 18
- 230000036210 malignancy Effects 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 15
- 238000012790 confirmation Methods 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 abstract description 18
- 230000006870 function Effects 0.000 description 14
- 241000700605 Viruses Species 0.000 description 11
- 238000001514 detection method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000009385 viral infection Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 235000014510 cooky Nutrition 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【課題】従来技術では検知・防御できない新たな攻撃に対して検知・防御を行いユーザが悪性Webサイトを閲覧することを防ぐ、悪性Webサイト判定装置・方法を実現する。
【解決手段】本発明の悪性Webサイト判定装置10は、ユーザPC100がアクセスを試みるWebサイトのURL等の情報を装置内に取り込む入力部11と、装置内に実現された仮想環境の下で上記URLに代理アクセスして代理アクセス前後のOSのパラメータの変更内容を検知して変更内容リストを作成する代理アクセス実行部12と、良性の変更内容がリスト化されたホワイトリストが登録された判定データベース13と、変更内容リストとホワイトリストとを照合して判定結果を出力する判定部14と、判定結果が良性の場合にはWebサイトへのアクセスを許可し、悪性の場合にはアクセスを許可せずに警告情報をユーザ端末100に通知する許可部15とを備える。
【選択図】図1
Description
本発明は、情報セキュリティ技術の応用技術に関し、詳しくは、ユーザ端末からオペレーションシステム、アプリケーションを介してWebサイトに安全にアクセスするための、悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、及びプログラムに関する。
ユーザのPCからWebサイトにアクセスする際には、PCから対象のURLに向けてリクエストを送信し、そのレスポンスとして各種ファイルがダウンロードされる。このようにダウンロードされるファイルの中には、時にコンピュータウイルスやボットその他の不正プログラムが存在し、これらがPCに侵入することにより、情報の漏洩やPCの異常動作など様々なセキュリティ上の問題を引き起こす。このような問題を回避するための技術として、主に以下のものが用いられている。
(1)ウイルス検知技術
代表的なものとして、コンピュータウイルス等の不正プログラムのコード内の特徴的な部分をパターンファイル化し、これとダウンロードされたファイルの内容とを照合する技術がある(非特許文献1参照)。この技術は、ネット上でやり取りされる実際のファイルを解析してパターンファイルと照合するため、誤警告の確率が低いというメリットがある。
代表的なものとして、コンピュータウイルス等の不正プログラムのコード内の特徴的な部分をパターンファイル化し、これとダウンロードされたファイルの内容とを照合する技術がある(非特許文献1参照)。この技術は、ネット上でやり取りされる実際のファイルを解析してパターンファイルと照合するため、誤警告の確率が低いというメリットがある。
(2)IDS/IPS技術
IDS(不正侵入検知システム)は、ネットワークを流れる通信パケットを監視することによって不正侵入や攻撃がないかをチェックするシステムである(非特許文献2参照)。IDSの方式には、攻撃パターンの特徴を表すデータと照合して攻撃や侵入を検出するシグネチャ・マッチング方式や、プロトコル・データが異常な値を取ることを検出して攻撃であると判断するアノーマリ方式がある。またIPS(不正侵入防御システム)は、IDSの検出機能に加え、攻撃と思われる通信を自動的に遮断する機能を付加したシステムである。これらの技術は、ファイアウォールで遮断できなかった不正侵入についてもパケットを追跡監視することによって防御することができるというメリットがある。
IDS(不正侵入検知システム)は、ネットワークを流れる通信パケットを監視することによって不正侵入や攻撃がないかをチェックするシステムである(非特許文献2参照)。IDSの方式には、攻撃パターンの特徴を表すデータと照合して攻撃や侵入を検出するシグネチャ・マッチング方式や、プロトコル・データが異常な値を取ることを検出して攻撃であると判断するアノーマリ方式がある。またIPS(不正侵入防御システム)は、IDSの検出機能に加え、攻撃と思われる通信を自動的に遮断する機能を付加したシステムである。これらの技術は、ファイアウォールで遮断できなかった不正侵入についてもパケットを追跡監視することによって防御することができるというメリットがある。
(3)レピュテーションDB技術
フィッシングやウイルス感染に繋がる悪性Webサイトを、運用の安定性や信頼性、送り元の共通性等、所定の評価基準の下でデータベース化し、アクセス前にそのデータベースに問い合わせることで悪性Webサイトへのアクセスを防ぐ技術である(非特許文献1参照)。この技術は、パターンファイルに依存しないため、多くの亜種を持つ不正プログラムの連鎖的な侵入を防御できる等のメリットがあり、ウイルス検知技術やIDS/IPS技術等を補完する技術として複合的に用いられることが多い。
平原 伸明、"脅威、すべてはWebアクセスから始まる 第5回 パターン照合だけではだめ、力を合わせてディフェンスを固める"、[online]、平成19年10月19日、株式会社日経BP、[平成20年2月26日検索]、インターネット<URL: http://itpro.nikkeibp.co.jp/article/COLUMN/20071005/283934/?ST=web_threat> 横森 利裕、"知ってるつもり?「セキュリティの常識」を再確認 第4回 不正侵入に対抗するIDS/IPSの常識"、[online]、平成16年12月10日、アイティメディア株式会社、[平成20年2月26日検索]、インターネット<URL: http://www.itmedia.co.jp/enterprise/articles/0412/10/news068.html > 山口 哲弘、"仮想化技術を学ぶ"、[online]、平成19年1月26日、株式会社日経BP、[平成19年12月27日検索]、インターネット<URL: http://itpro.nikkeibp.co.jp/article/lecture/20061228/258010/>
フィッシングやウイルス感染に繋がる悪性Webサイトを、運用の安定性や信頼性、送り元の共通性等、所定の評価基準の下でデータベース化し、アクセス前にそのデータベースに問い合わせることで悪性Webサイトへのアクセスを防ぐ技術である(非特許文献1参照)。この技術は、パターンファイルに依存しないため、多くの亜種を持つ不正プログラムの連鎖的な侵入を防御できる等のメリットがあり、ウイルス検知技術やIDS/IPS技術等を補完する技術として複合的に用いられることが多い。
平原 伸明、"脅威、すべてはWebアクセスから始まる 第5回 パターン照合だけではだめ、力を合わせてディフェンスを固める"、[online]、平成19年10月19日、株式会社日経BP、[平成20年2月26日検索]、インターネット<URL: http://itpro.nikkeibp.co.jp/article/COLUMN/20071005/283934/?ST=web_threat> 横森 利裕、"知ってるつもり?「セキュリティの常識」を再確認 第4回 不正侵入に対抗するIDS/IPSの常識"、[online]、平成16年12月10日、アイティメディア株式会社、[平成20年2月26日検索]、インターネット<URL: http://www.itmedia.co.jp/enterprise/articles/0412/10/news068.html > 山口 哲弘、"仮想化技術を学ぶ"、[online]、平成19年1月26日、株式会社日経BP、[平成19年12月27日検索]、インターネット<URL: http://itpro.nikkeibp.co.jp/article/lecture/20061228/258010/>
背景技術に示したウイルス検知技術やIDS/IPS技術においては、既知のウイルスや攻撃パターンに基づいてパターンファイルやシグネチャ等を作成し、それを用いて防御を行うため、出現したばかりのウイルスや亜種、新たな攻撃パターン等に対する防御が困難である。また、悪性Webサイトは一般に生成・消滅のサイクルが早いため、鮮度の良いレピュテーションDBを維持することが困難である。
本発明の目的は、従来技術では検知・防御できない新たな攻撃に対して検知・防御を行い、ユーザが悪性Webサイトを閲覧することを防ぐ、悪性Webサイト判定装置・方法等の実現にある。
本発明の悪性Webサイト判定装置は、任意のWebサイトへアクセスするための入力情報を装置内に取り込む入力部と、装置内に仮想環境を実現し、その仮想環境下で起動されたオペレーションシステムの配下で上記Webサイトに代理アクセスし、代理アクセス前後の当該オペレーションシステムの所定のパラメータの変更内容を検知する代理アクセス実行部と、上記パラメータの変更内容に基づき上記Webサイトの良性・悪性を判定する判定部とを備える。
本発明の悪性Webサイト判定装置・方法によれば、従来技術では検知・防御できない新たな攻撃に対する検知・防御が可能となり、ユーザが悪性Webサイトを閲覧することを防ぐことができる。その結果、ウイルス感染、ボット感染、1クリック詐欺、フィッシング等の被害に遭うことなくWebサイトを安全に閲覧することができる。
〔第1実施形態〕
図1は、第1実施形態の悪性Webサイト判定装置10のブロック図、図2はその処理フローである。悪性Webサイト判定装置10は、入力部11と代理アクセス実行部12と判定データベース13と判定部14と許可部15とを備える。
図1は、第1実施形態の悪性Webサイト判定装置10のブロック図、図2はその処理フローである。悪性Webサイト判定装置10は、入力部11と代理アクセス実行部12と判定データベース13と判定部14と許可部15とを備える。
入力部11は、ユーザの端末であるユーザPC100から出力された、アクセスを試みるWebサイト300のURL情報とユーザPC100のオペレーションシステム(以下、OSという。)の種別情報と当該OS上で動作しWebサイト300と情報のやりとりをするアプリケーションの種別情報とを装置内に取り込む(S1)。ここで、OSの種別は例えばWindows(登録商標)2000、WindowsXP等のことであり、アプリケーションの種別はInternetExploreやFirefox等のブラウザだけでなくWindows Media PlayerやAcrobat ReaderやWord・Excel等のWebサイトとの情報のやりとりが可能なアプリケーションも含む。
代理アクセス実行部12は、ユーザPC100がWebサイト300にアクセスするのに先立ち代理アクセスを行い、OSのパラメータに変更が生じた場合は変更内容リストを生成し出力する(S2)。代理アクセス実行部12は公知技術である仮想化技術(例えば、非特許文献3参照)を用いて装置内に構築された仮想環境であり、この仮想環境において、ユーザPC100のOS種別に等しい仮想OSとアプリケーション種別に等しいアプリケーションとを起動し(予め起動しておいてもよい)、そのアプリケーションにより対象のURLに代理アクセスを行う。仮想OSはインターネット200へのHTTP及びHTTPSプロトコルによるアクセスのみが許可され、仮想OS外(例えばホストOSや他の仮想OS)へのアクセスはできない設定とする。また、代理アクセス実行部12は、代理アクセスによる仮想OS内の各パラメータ(ファイル・レジストリ・プロセス・メモリ等)の変更内容を検出し、変更内容リストを生成・出力する変更検出機能を有する。変更検出機能は例えばドライバソフトウェアとして実装され、仮想OS内の変更をリアルタイムでキャッチできるものとする。変更内容リストの作成例を図3に示す。この作成例は、あるURLにアクセスしたところcookieが設定されinstall.exeプロセスが立ち上がった場合の変更内容を示すものである。なお、仮想OS内の各パラメータが変更された場合には、変更内容リストを生成次第、次のWebアクセスに備え、仮想化技術のスナップショット機能等を用いて仮想OSの各パラメータを初期状態に戻しておく。以上のような環境下で代理アクセスを行うことで、ユーザPC100がWebサイト300にアクセスした場合のOSの挙動を的確に把握できるとともに、代理アクセス時にウイルス感染しても仮想OS外への感染を回避することができる。
判定データベース13には、ホワイトリストが記憶されている。ホワイトリストは、Webサイトに接続した場合に生じうる各パラメータの変更内容のうち、ウイルス感染等ではない正常なWebサイトの閲覧時やアプリケーションの起動時等に生じる良性の変更内容がアプリケーション種別やパラメータ種別と関連付けられてリスト化されたものである。ホワイトリストの作成例を図4に示す。ホワイトリストは予め作成しておく必要があるが、ホワイトリストの内容はOSやブラウザ・アプリケーションの構成に依存し、新たなウイルスや新たな攻撃パターンが出現してもそれらには依存しないため、構成が大きく変更されない限り基本的に変更の必要は無い。
判定部14は、代理アクセス実行部12で生成された変更内容リストと判定データベース13に記憶されているホワイトリストとを照合し、変更内容リスト上のすべての変更内容がホワイトリストにあった場合には良性と判定し、そうでない場合には悪性と判定して、判定結果を出力する(S3)。例えば、変更内容リストとホワイトリストがそれぞれ図3、図4に示したものである場合、cookieの設定についてはホワイトリストにあるがinstall.exe生成については無いため悪性と判定される。
許可部15は、判定部14での判定結果が良性であった場合には、ユーザPC100がWebサイト300へアクセスすることを許可し、悪性であった場合にはユーザPC100に警告情報(警告画面等)を通知する(S4)。
Webサイトへのアクセスによりウイルスが侵入したり攻撃が開始される際には、ウイルスや攻撃方法の新旧を問わず、OS内のいずれかのパラメータにほぼ必ず異常な変更が加えられる。そこで本発明ではそれに着目し、Webサイトへの代理アクセスの結果生じたパラメータの変更内容のリスト(変更内容リスト)と正常なWebサイト閲覧やアプリケーションの起動時等に生じる良性のパラメータの変更内容のリスト(ホワイトリスト)とを照合し、良性と判断されたWebサイトへのアクセスのみを許可する。このように許否判断をすることで、従来のようにパターンファイルやシグネチャ等の準備で後手に回ることなく、出現したばかりのウイルスや新たな攻撃パターン等に対しても即座に検知し、防御することが可能となる。
〔第2実施形態〕
図5は、第2実施形態の悪性Webサイト判定装置20のブロック図、図6はその処理フローである。悪性Webサイト判定装置20は、入力部11と代理アクセス実行部12と判定データベース23と判定部24と許可部25とを備える。入力部11と代理アクセス実行部12は第1実施形態と同様のものであるため同じ符号を付し、説明は省略する。以下の実施形態でもこのように構成要素・機能が共通する場合は同じ符号を付し、基本的に説明は省略する。
図5は、第2実施形態の悪性Webサイト判定装置20のブロック図、図6はその処理フローである。悪性Webサイト判定装置20は、入力部11と代理アクセス実行部12と判定データベース23と判定部24と許可部25とを備える。入力部11と代理アクセス実行部12は第1実施形態と同様のものであるため同じ符号を付し、説明は省略する。以下の実施形態でもこのように構成要素・機能が共通する場合は同じ符号を付し、基本的に説明は省略する。
判定データベース23には、第1実施形態で用いたホワイトリストに加え、ブラックリストも記憶されている。ブラックリストは、ウイルス感染等が疑われる悪性の変更内容がアプリケーション種別やパラメータ種別と関連付けられてリスト化されたものである。また、ブラックリストの各変更内容にはそれぞれ悪性の程度を示す悪性スコア(例えば、悪性度が高いほど大きな値)を付与されている。ブラックリストの作成例を図7に示す。なお、判定データベース23内でのホワイトリストとブラックリストの構成方法は、図4、図7のように別々に構成する方法のほか、図8(a)のようなソースリストを構成し、そこからリレーションを取る形でホワイトリスト(図8(b))とブラックリスト(図8(c))を構成しても構わない。
判定部24は、まず、代理アクセス実行部12で生成された変更内容リストと判定データベース23に記憶されているホワイトリストとを照合し、変更内容リスト上の変更内容のうちホワイトリストにないものがあれば、その時点で変更内容リストに対して所定の基礎悪性スコア(例えば10)を付与する。次に、ホワイトリストになかった変更内容リスト上の残りの変更内容とブラックリストとを照合し、一致するものがあればその悪性スコア(複数の変更内容が一致した場合はそれらの悪性スコアの合計)を基礎悪性スコアに加算し、総合悪性スコアを求める。そして、総合悪性スコアが所定のしきい値(例えば0)より大きい場合は悪性と判定して総合悪性スコアを含めて判定結果を出力し、しきい値以下の場合(例えば、総合悪性スコアが0の場合)は良性と判定して判定結果を出力する(S5)。例えば、変更内容リスト、ホワイトリスト、ブラックリストがそれぞれ図3、図4、図7に示したものである場合、まず変更内容リストとホワイトリストとが照合され、cookieの設定についてはホワイトリストにあるがinstall.exe生成については無いため、変更内容リストに対し基礎悪性スコア(例えば10)が付与される。続いてホワイトリストになかったinstall.exe生成をブラックリストと照合すると、*.exeファイル生成に該当するため、基礎悪性スコアに悪性スコア80が加算され、総合悪性スコアは90となる。そして、所定のしきい値が0であるとすると、それより大きいため悪性と判定され、悪性・スコア90という判定結果が出力される。
許可部25は、判定部24での判定結果が良性であった場合には、ユーザPC100がWebサイト300へアクセスすることを許可し、悪性であった場合にはユーザPC100に総合悪性スコアに応じた警告情報(警告画面等)を通知する(S6)。
このように、ホワイトリストだけでなくブラックリストを用いて判定を行うことで、Webサイトが悪性と判定された場合にその悪性度合いに応じた警告情報をユーザPCに向けて提供することが可能となる。
〔第3実施形態〕
図9は、第3実施形態の悪性Webサイト判定装置30のブロック図、図10はその処理フローである。悪性Webサイト判定装置30は、入力部11と悪性Webサイトデータベース31とデータベース確認部32と代理アクセス実行部12と判定データベース13(又は23)と判定部34と許可部15(又は25)とを備える。入力部11、代理アクセス実行部12、判定データベース13(又は23)、及び許可部15(又は25)は第1(又は第2)実施形態と同様のものである。
図9は、第3実施形態の悪性Webサイト判定装置30のブロック図、図10はその処理フローである。悪性Webサイト判定装置30は、入力部11と悪性Webサイトデータベース31とデータベース確認部32と代理アクセス実行部12と判定データベース13(又は23)と判定部34と許可部15(又は25)とを備える。入力部11、代理アクセス実行部12、判定データベース13(又は23)、及び許可部15(又は25)は第1(又は第2)実施形態と同様のものである。
悪性Webサイトデータベース31には、予め判明している悪性WebサイトのURLが記憶されている。このデータベースは、上記背景技術の(3)で説明したレピュテーションDB技術に基づき構築すると更に効果的である。
データベース確認部32は、代理アクセス実行部12での代理アクセス実行に先立ち、入力部11で取り込んだWebサイト300のURLが悪性Webサイトデータベース31に存在するか否かを照会し、存在した場合には判定部34にその旨を通知し、代理アクセスは行わない。存在しなかった場合には第1(又は第2)実施形態と同様に代理アクセスを行う(S7)。
判定部34は、代理アクセスを行った場合には第1(又は第2)実施形態の判定部14(又は24)と同様な処理を行うほか、もし悪性と判定した場合(総合悪性スコアが所定の値より大きい場合)には、そのWebサイトのURLを悪性Webサイトデータベース31に追記する。また、代理アクセスを行わなかった場合、つまり、データベース確認部32からWebサイト300のURLが悪性Webサイトデータベース31に存在した旨の通知があった場合には悪性と判定し、判定結果を(判定部24の場合は、所定の総合悪性スコア(例えば10)を含めて)出力する(S8)。
このように、悪性Webサイトデータベース31を設け、代理アクセス実行に先立ち照会することで、予め判明している悪性Webサイトの場合には代理アクセスを省略することができるため、判定を高速化することができる。
〔第4実施形態〕
図11は、第4実施形態の悪性Webサイト判定装置40のブロック図である。悪性Webサイト判定装置40は、第3実施形態の悪性Webサイト判定装置30にデータベース維持管理部41を追加した構成である。
図11は、第4実施形態の悪性Webサイト判定装置40のブロック図である。悪性Webサイト判定装置40は、第3実施形態の悪性Webサイト判定装置30にデータベース維持管理部41を追加した構成である。
悪性Webサイトデータベース31を維持管理することなく放置した場合、データベース容量が不足してくるとともに、容量の肥大化により検索速度が低下する場合がある。一方、悪性Webサイトは一般にライフサイクルが短いため、消滅したWebサイトのURLを順次削除すればデータベースを有効利用できる。
そこで、本実施形態では第3実施形態の構成に加えデータベース維持管理部41を設け、このデータベース維持管理部41が悪性Webサイトデータベース31に記憶されたURLに定期的にアクセスして良性・悪性の判定を行い、良性となったURLについては悪性Webサイトデータベース31から順次削除する。なお、データベース維持管理部41の代理アクセス・判定機能は、上記各実施形態の代理アクセス実行部及び判定部の機能と同様であることから、これらと同様な構成をデータベース維持管理部41内に実装することにより実現することができる。
このように、データベース維持管理部41を設けることで、悪性Webサイトデータベース31の記憶領域の有効活用を図ることができるとともに、検索速度の低下を防ぐことができる。
〔第5実施形態〕
図12は、第5実施形態の悪性Webサイト判定システム50のブロック図である。悪性Webサイト判定システム50は、本体装置60と外部装置70とから構成される。本体装置60は、第4実施形態の悪性Webサイト判定装置40の悪性Webサイトデータベース31とデータベース維持管理部41とを、それぞれ悪性Webサイトキャッシュ61とキャッシュ維持管理部62とに置き換えた構成であり、外部装置70は、悪性Webサイト外部データベース71と外部データベース維持管理部72とから構成される。
図12は、第5実施形態の悪性Webサイト判定システム50のブロック図である。悪性Webサイト判定システム50は、本体装置60と外部装置70とから構成される。本体装置60は、第4実施形態の悪性Webサイト判定装置40の悪性Webサイトデータベース31とデータベース維持管理部41とを、それぞれ悪性Webサイトキャッシュ61とキャッシュ維持管理部62とに置き換えた構成であり、外部装置70は、悪性Webサイト外部データベース71と外部データベース維持管理部72とから構成される。
第4実施形態の構成では、代理アクセス実行部12とデータベース維持管理部41が共に代理アクセスが可能なように、装置内に仮想環境を2つ構築する(またはそれを実質的に実現可能な構成とする)必要があった。これに対し、第5実施形態は、代理アクセス実行部とデータベース維持管理部とを別の装置に分離可能とするものである。
本実施形態では、外部装置70の悪性Webサイト外部データベース71と外部データベース維持管理部72とが、第4実施形態の悪性Webサイト判定装置40の悪性Webサイトデータベース31とデータベース維持管理部41と同様な、データベースの直接的な維持管理機能を実現する。つまり、悪性Webサイト外部データベース71には、予め判明している悪性WebサイトのURLが記憶され、データベース維持管理部72が悪性Webサイトデータベース71に記憶されたURLに定期的にアクセスして良性・悪性の判定を行い、良性となったURLを悪性Webサイトデータベース71から削除する。一方、本体装置60のキャッシュ維持管理部62は、定期的に外部装置70の悪性Webサイト外部データベース71にアクセスし、最新の悪性WebサイトのURL情報を悪性Webサイト外部データベース71から吸い上げて悪性Webサイトキャッシュ61に供給する。このように悪性Webサイト外部データベース71のURL情報と悪性Webサイトキャッシュ61のURL情報とを定期的にミラーリングすることで、悪性Webサイトキャッシュ61のURL情報は間接的に維持管理され、その結果、代理アクセス実行部とデータベース維持管理部とが別の装置に分離していても実質的に第4実施形態と同様の機能を実現することができる。なお、図12においては本体装置60と外部装置70はインターネット200を介して接続されているが、相互に情報を送受できれば接続手段はいかなるものでも構わない。
<変形例>
第5実施形態の構成を応用して、図13に示すようにユーザPCに本体装置機能を持たせた悪性Webサイト判定システム80を構成することもできる。つまり、第5実施形態の本体装置60を内蔵したユーザPC101を構成して本体装置とし、これを外部装置70と組み合わせて用いる。
第5実施形態の構成を応用して、図13に示すようにユーザPCに本体装置機能を持たせた悪性Webサイト判定システム80を構成することもできる。つまり、第5実施形態の本体装置60を内蔵したユーザPC101を構成して本体装置とし、これを外部装置70と組み合わせて用いる。
このように、代理アクセス実行部とデータベース維持管理部とを別の装置に分離可能とすることで、柔軟に悪性Webサイト判定システムを構成することができる。
本発明における悪性Webサイト判定装置・システム及び方法は、上記の実施形態に限定されるものではなく、本発明を逸脱しない範囲で適宜変更が可能である。また、上記に説明した処理は記載の順に従った時系列において実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。
また、上記悪性Webサイト判定装置・システム及び方法の処理機能をコンピュータによって実現する場合、上記悪性Webサイト判定装置・システム及び方法が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより上記悪性Webサイト判定装置・システム及び方法における処理機能がコンピュータ上で実現される。なお、処理内容の一部をハードウェア的に実現しても構わない。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
本発明は、インターネット接続事業者がより安全性の高いサービスをユーザに提供したい場合に特に有用である。
10、20、30、40 悪性Webサイト判定装置
11 入力部
12 代理アクセス実行部
13、23 判定データベース
14、24、34 判定部
15、25 許可部
31 悪性Webサイトデータベース
32 データベース確認部
41 データベース維持管理部
50、80 悪性Webサイト判定システム
60 本体装置
61 悪性Webサイトキャッシュ
62 キャッシュ維持管理部
70 外部装置
71 悪性Webサイト外部データベース
72 外部データベース維持管理部
100、110 ユーザPC
200 インターネット
300 Webサイト
11 入力部
12 代理アクセス実行部
13、23 判定データベース
14、24、34 判定部
15、25 許可部
31 悪性Webサイトデータベース
32 データベース確認部
41 データベース維持管理部
50、80 悪性Webサイト判定システム
60 本体装置
61 悪性Webサイトキャッシュ
62 キャッシュ維持管理部
70 外部装置
71 悪性Webサイト外部データベース
72 外部データベース維持管理部
100、110 ユーザPC
200 インターネット
300 Webサイト
Claims (9)
- 任意のWebサイトへアクセスするための入力情報を装置内に取り込む入力部と、
装置内に仮想環境を実現し、その仮想環境下で起動されたオペレーションシステムの配下で上記Webサイトに代理アクセスし、代理アクセス前後の当該オペレーションシステムの所定のパラメータの変更内容を検知する代理アクセス実行部と、
上記パラメータの変更内容に基づき上記Webサイトの良性・悪性を判定する判定部と、
を備える悪性Webサイト判定装置。 - 請求項1に記載の悪性Webサイト判定装置において、
更に、良性の変更内容がリスト化されたホワイトリストが記憶される判定データベースを備え、
上記入力情報は、URL、オペレーションシステム種別、及びアプリケーション種別であり、
上記代理アクセス実行部は、上記仮想環境下で上記オペレーションシステム種別に等しいオペレーションシステムと上記アプリケーション種別に等しいアプリケーションとを起動して上記URLに代理アクセスして、上記検知したパラメータの変更内容をリスト化した変更内容リストを出力し、
上記判定部は、上記変更内容リストと上記ホワイトリストとを照合し、変更内容リスト上のすべての変更内容がホワイトリストにあった場合には良性と判定し、そうでない場合には悪性と判定して、判定結果を出力する
ことを特徴とする悪性Webサイト判定装置。 - 請求項1又は2に記載の悪性Webサイト判定装置において、
更に、上記判定結果が良性の場合には上記入力情報の入力元からの上記Webサイトへのアクセスを許可し、悪性の場合にはアクセスを許可せずに当該入力元に警告情報を通知する許可部を備えることを特徴とする悪性Webサイト判定装置。 - 請求項2又は3に記載の悪性Webサイト判定装置において、
上記判定データベースには更に、悪性の変更内容が悪性スコア付きでリスト化されたブラックリストが記憶され、
上記判定部は更に、上記変更内容リストと上記ブラックリストとを照合し、一致する悪性の変更内容があればその悪性スコアを合算して、合計の悪性スコアを含む判定結果を出力し、
上記許可部は、悪性の場合に悪性スコアに応じた警告情報を通知する
ことを特徴とする悪性Webサイト判定装置。 - 請求項1〜4のいずれかに記載の悪性Webサイト判定装置において、更に、
悪性WebサイトのURLが記憶されている悪性Webサイトデータベースと、
上記代理アクセス実行部での処理に先立ち、上記入力部で取り込んだ上記URLが上記悪性Webサイトデータベースに存在するか否かを照会し、存在した場合は上記許可部にその旨を通知するデータベース確認部と、
を備え、
上記判定部は、代理アクセスの結果として悪性と判定した場合にはそのWebサイトのURLを上記悪性Webサイトデータベースに追加し、また、上記データベース確認部から上記通知を受けた場合は悪性と判定する
ことを特徴とする悪性Webサイト判定装置。 - 請求項5に記載の悪性Webサイト判定装置において、更に、
上記悪性Webサイトデータベースに記憶された各URLに定期的にアクセスして悪性・良性の判定を行い、判定結果が良性となったURLを当該悪性Webサイトデータベースから順次削除するデータベース維持管理部を備えることを特徴とする悪性Webサイト判定装置。 - 請求項1〜4のいずれかに記載の悪性Webサイト判定装置と、悪性WebサイトのURLが記憶される悪性Webサイトキャッシュと、上記代理アクセス実行部での処理に先立ち、上記入力部で取り込んだ上記URLが上記悪性Webサイトキャッシュに存在するか否かを照会し、存在した場合は悪性と判定して上記許可部に向けて判定結果を出力するデータベース確認部と、悪性Webサイト外部データベースに定期的にアクセスし、上記悪性Webサイトキャッシュを上記悪性Webサイト外部データベースとミラーリングするキャッシュ維持管理部と、を備える本体装置と、
悪性WebサイトのURLが記憶されている上記悪性Webサイト外部データベースと、当該悪性Webサイト外部データベースに記憶された各URLに定期的にアクセスして悪性・良性の判定を行い、良性となったURLを当該悪性Webサイト外部データベースから順次削除する外部データベース維持管理部と、を備える外部装置と、
からなる悪性Webサイト判定システム。 - 任意のWebサイトへアクセスするための入力情報を装置内に取り込む入力ステップと、
装置内に仮想環境を実現し、その仮想環境下で起動されたオペレーションシステムの配下で上記Webサイトに代理アクセスし、代理アクセス前後の当該オペレーションシステムの所定のパラメータの変更内容を検知する代理アクセス実行ステップと、
上記パラメータの変更内容に基づき上記Webサイトの良性・悪性を判定する判定ステップと、
を実行する悪性Webサイト判定方法。 - 請求項1〜7のいずれかに記載した装置又はシステムとしてコンピュータを機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008064119A JP5102659B2 (ja) | 2008-03-13 | 2008-03-13 | 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008064119A JP5102659B2 (ja) | 2008-03-13 | 2008-03-13 | 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009223375A true JP2009223375A (ja) | 2009-10-01 |
| JP5102659B2 JP5102659B2 (ja) | 2012-12-19 |
Family
ID=41240123
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008064119A Active JP5102659B2 (ja) | 2008-03-13 | 2008-03-13 | 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5102659B2 (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013508823A (ja) * | 2009-10-15 | 2013-03-07 | マカフィー・インコーポレーテッド | リンクファイルを使用したマルウェアの検出およびマルウェアへの対応 |
| JP2013257773A (ja) * | 2012-06-13 | 2013-12-26 | Nippon Telegr & Teleph Corp <Ntt> | 監視装置および監視方法 |
| JP2014513368A (ja) * | 2011-08-23 | 2014-05-29 | ▲騰▼▲訊▼科技(深▲セン▼)有限公司 | プログラムの悪意属性の判別方法及び判別用サーバ |
| JP2014513834A (ja) * | 2011-04-18 | 2014-06-05 | ファイヤアイ インク | マルウェア検出のための電子メッセージ分析 |
| KR20150128252A (ko) * | 2014-05-09 | 2015-11-18 | 한국전자통신연구원 | Mitm 공격 방지 장치 및 방법 |
| CN105745664A (zh) * | 2013-12-09 | 2016-07-06 | 软件营地株式会社 | 对应链接信息中恶意代码的终端局部环境的保护方法和保护系统 |
| WO2017078222A1 (en) * | 2015-11-03 | 2017-05-11 | Korea Internet & Security Agency | System and method for collecting malicious script behavior information based on html5 |
| US11089033B2 (en) | 2016-04-26 | 2021-08-10 | Mitsubishi Electric Corporation | Intrusion detection device, intrusion detection method, and computer readable medium |
| JP2023524934A (ja) * | 2020-09-30 | 2023-06-14 | グーグル エルエルシー | オンライン詐欺マルウェアのセキュアな検出 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002073548A (ja) * | 2000-09-05 | 2002-03-12 | Maspro Denkoh Corp | データアクセス制限装置 |
| JP2006146636A (ja) * | 2004-11-22 | 2006-06-08 | Fujitsu Ltd | 中継サーバを経由するウェブ閲覧方式 |
| JP2006309357A (ja) * | 2005-04-26 | 2006-11-09 | Matsushita Electric Ind Co Ltd | 有害サイトフィルタリング補助装置 |
| JP2006338486A (ja) * | 2005-06-03 | 2006-12-14 | Nippon Telegr & Teleph Corp <Ntt> | Url検証方法、装置、およびプログラム |
| JP2007226608A (ja) * | 2006-02-24 | 2007-09-06 | Kddi Corp | サイト管理装置及びコンピュータプログラム |
| JP2008097145A (ja) * | 2006-10-06 | 2008-04-24 | Ntt Comware Corp | ウェブページ真偽確認装置及びウェブページ真偽確認方法並びにそのプログラム、ウェブページ真偽確認システム |
| JP2009031859A (ja) * | 2007-07-24 | 2009-02-12 | Nippon Telegr & Teleph Corp <Ntt> | 情報収集システムおよび情報収集方法 |
-
2008
- 2008-03-13 JP JP2008064119A patent/JP5102659B2/ja active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002073548A (ja) * | 2000-09-05 | 2002-03-12 | Maspro Denkoh Corp | データアクセス制限装置 |
| JP2006146636A (ja) * | 2004-11-22 | 2006-06-08 | Fujitsu Ltd | 中継サーバを経由するウェブ閲覧方式 |
| JP2006309357A (ja) * | 2005-04-26 | 2006-11-09 | Matsushita Electric Ind Co Ltd | 有害サイトフィルタリング補助装置 |
| JP2006338486A (ja) * | 2005-06-03 | 2006-12-14 | Nippon Telegr & Teleph Corp <Ntt> | Url検証方法、装置、およびプログラム |
| JP2007226608A (ja) * | 2006-02-24 | 2007-09-06 | Kddi Corp | サイト管理装置及びコンピュータプログラム |
| JP2008097145A (ja) * | 2006-10-06 | 2008-04-24 | Ntt Comware Corp | ウェブページ真偽確認装置及びウェブページ真偽確認方法並びにそのプログラム、ウェブページ真偽確認システム |
| JP2009031859A (ja) * | 2007-07-24 | 2009-02-12 | Nippon Telegr & Teleph Corp <Ntt> | 情報収集システムおよび情報収集方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8863282B2 (en) | 2009-10-15 | 2014-10-14 | Mcafee Inc. | Detecting and responding to malware using link files |
| JP2013508823A (ja) * | 2009-10-15 | 2013-03-07 | マカフィー・インコーポレーテッド | リンクファイルを使用したマルウェアの検出およびマルウェアへの対応 |
| JP2014513834A (ja) * | 2011-04-18 | 2014-06-05 | ファイヤアイ インク | マルウェア検出のための電子メッセージ分析 |
| JP2014513368A (ja) * | 2011-08-23 | 2014-05-29 | ▲騰▼▲訊▼科技(深▲セン▼)有限公司 | プログラムの悪意属性の判別方法及び判別用サーバ |
| JP2013257773A (ja) * | 2012-06-13 | 2013-12-26 | Nippon Telegr & Teleph Corp <Ntt> | 監視装置および監視方法 |
| CN105745664A (zh) * | 2013-12-09 | 2016-07-06 | 软件营地株式会社 | 对应链接信息中恶意代码的终端局部环境的保护方法和保护系统 |
| JP2017504098A (ja) * | 2013-12-09 | 2017-02-02 | ソフトキャンプ カンパニー,リミテッド | リンク情報の悪性コードに対応した端末器のローカル環境保護方法と保護システム |
| KR101634785B1 (ko) * | 2014-05-09 | 2016-06-29 | 한국전자통신연구원 | Mitm 공격 방지 장치 및 방법 |
| KR20150128252A (ko) * | 2014-05-09 | 2015-11-18 | 한국전자통신연구원 | Mitm 공격 방지 장치 및 방법 |
| WO2017078222A1 (en) * | 2015-11-03 | 2017-05-11 | Korea Internet & Security Agency | System and method for collecting malicious script behavior information based on html5 |
| US11089033B2 (en) | 2016-04-26 | 2021-08-10 | Mitsubishi Electric Corporation | Intrusion detection device, intrusion detection method, and computer readable medium |
| JP2023524934A (ja) * | 2020-09-30 | 2023-06-14 | グーグル エルエルシー | オンライン詐欺マルウェアのセキュアな検出 |
| JP7411111B2 (ja) | 2020-09-30 | 2024-01-10 | グーグル エルエルシー | オンライン詐欺マルウェアのセキュアな検出 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5102659B2 (ja) | 2012-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5102659B2 (ja) | 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム | |
| JP6894003B2 (ja) | Apt攻撃に対する防御 | |
| Abikoye et al. | A novel technique to prevent SQL injection and cross-site scripting attacks using Knuth-Morris-Pratt string match algorithm | |
| Song et al. | Advanced evasion attacks and mitigations on practical ML‐based phishing website classifiers | |
| US8572750B2 (en) | Web application exploit mitigation in an information technology environment | |
| US9311476B2 (en) | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior | |
| JP5326062B1 (ja) | 非実行ファイル検査装置及び方法 | |
| CN103368957B (zh) | 对网页访问行为进行处理的方法及系统、客户端、服务器 | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| US11960604B2 (en) | Online assets continuous monitoring and protection | |
| US11785044B2 (en) | System and method for detection of malicious interactions in a computer network | |
| CN102932329A (zh) | 一种对程序的行为进行拦截的方法、装置和客户端设备 | |
| Grégio et al. | Toward a taxonomy of malware behaviors | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| CN110602044A (zh) | 一种网络威胁分析方法和系统 | |
| Sequeira | Intrusion prevention systems: security's silver bullet? | |
| TWI470468B (zh) | 惡意程式及行為偵測的方法及系統 | |
| CN116340943A (zh) | 应用程序保护方法、装置、设备、存储介质和程序产品 | |
| EP3331210B1 (en) | Apparatus, method, and non-transitory computer-readable storage medium for network attack pattern determination | |
| Koo et al. | Malicious website detection based on honeypot systems | |
| JP2016525750A (ja) | 合法的オブジェクトの誤用の識別 | |
| US8566950B1 (en) | Method and apparatus for detecting potentially misleading visual representation objects to secure a computer | |
| Kumar et al. | A review on 0-day vulnerability testing in web application | |
| Shackleford | Using analytics to predict future attacks and breaches | |
| Hassan et al. | Extraction of malware iocs and ttps mapping with coas |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100812 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120210 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120221 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120423 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120626 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120813 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120918 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120928 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151005 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5102659 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |