JP2011076188A - Dnsトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム - Google Patents

Dnsトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム Download PDF

Info

Publication number
JP2011076188A
JP2011076188A JP2009224319A JP2009224319A JP2011076188A JP 2011076188 A JP2011076188 A JP 2011076188A JP 2009224319 A JP2009224319 A JP 2009224319A JP 2009224319 A JP2009224319 A JP 2009224319A JP 2011076188 A JP2011076188 A JP 2011076188A
Authority
JP
Japan
Prior art keywords
bot
domain name
infected
infected person
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009224319A
Other languages
English (en)
Other versions
JP5345492B2 (ja
Inventor
Kazumichi Sato
一道 佐藤
Keisuke Ishibashi
圭介 石橋
Takeshi Toyono
剛 豊野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009224319A priority Critical patent/JP5345492B2/ja
Publication of JP2011076188A publication Critical patent/JP2011076188A/ja
Application granted granted Critical
Publication of JP5345492B2 publication Critical patent/JP5345492B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】従来の技術で生成されたシグネチャデータベースのみでは捕えきることのできないボット感染者を発見できる技術を提供する。
【解決手段】スコア計算部12が、既存のシグネチャデータベース14を用いて、DNSトラフィックデータに含まれるユーザから、ボットに感染しているユーザを抽出する。スコア計算部12が、ボットに感染しているユーザがDNSサーバへ問い合わせるDNSトラフィックデータに含まれるドメイン名に対し、スコア付けを行う。スコア計算部12が、ステップ2で付けたスコアが予め定めた値よりも大きければ、そのドメイン名を新たに悪性ドメイン名と判定し、新たに判定した悪性ドメイン名を追加した新たなシグネチャデータベース14を作成する。ボット感染者検知部13が、新たなシグネチャデータベース14を用いて、ボットに感染しているユーザを発見する。
【選択図】図1

Description

本発明はDNSトラフィックデータの共起関係を用いてボット感染者を検知する技術に関する。
OSの脆弱性を突き端末に感染し、第三者の操作によってサービス妨害攻撃や迷惑メール送信などを行う悪意あるプログラムであるボットが問題となっており、その感染者を見つける手法が必要とされている。以下、従来のボット対策を収集、分析、検知に分け、それぞれの詳細を述べる。
[ボット収集技術] ボットを収集するための技術として、ハニーポットと呼ばれる端末がある。これはOSの脆弱性を模擬したものであり、ハニーポットに向けて感染活動を行うボットを効率的に捕えることができる。
[ボット分析技術] 上記のハニーポットで捕えたボットの詳細を分析し、その特徴(シグネチャ)を抽出する。具体的にはボットプログラムを分析する静的解析(非特許文献1)、実際にボットを動作させ、その挙動を特徴として抽出する動的解析(非特許文献2)がある。上記の分析を行った後、抽出したシグネチャのデータベースを作成する。
[ボット検知技術] 分析によって得られたシグネチャデータベースを利用して、ボットを検知する。例えば、ユーザ端末上に保存されているファイルと静的解析によって得られたデータベースを突合させ、ボットを検知することや、ユーザ端末の通信を監視し、悪性ドメイン名と通信を試みた場合、ボットに感染していると判断する。
従来技術文献として非特許文献3がある。これはボットが通信する特有の相手のドメイン名(※以下、悪性ドメイン名と呼ぶ)のリストと、悪性ではないドメイン名との類似度からドメイン名にスコア付けを行うものである。非特許文献3ではスコアの計算方法にグラフカーネル(非特許文献4)用いている。
また、従来技術文献として特許文献1がある。この技術はボットの指令サーバにアクセスするユーザを検出する装置と、ボット感染者の感染活動を検出する装置両方で検出されたユーザをボット感染者とする技術である。この技術ではボットに感染しているかどうかの判定を多段で行うことにより確度を高めるものである。
特開2009−110270号公報
M. Christodorescu and S. Jha. Static Analysis of Executables to Detect Malicious Patterns. In Usenix Security Symposium, 2003. M. Bailey, J. Oberheide, J. Andersen, Z. Mao, F. Jahanian, and J. Nazaric. Automated classification and analysis of internet malware. In Proseedings of the 10th International Symposium on Recent Advances in Intrusion Detection, 2007 石橋圭介,豊野剛,佐藤一道,岩村誠「DNSクエリグラフを用いた悪性ドメイン名リスト評価」インターネットアーキテクチャ研究会,2009 R. L. Kondor, Deiffusion Kernels on Graphs and Other Discrete Input Spaces. ICML, 2002
全てのボットがハニーポットに対して感染活動を行うわけではないため、完全なシグネチャデータベースを作成することができない。すなわち、ボットに感染している全ユーザを発見することができない。
本発明の目的は、従来の技術で生成されたシグネチャデータベースのみでは捕えきることのできないボット感染者を発見できる技術を提供することである。
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
第1の発明は、DNSトラヒックデータを利用したボット感染者検知システムにおけるボット感染者検知方法であって、前記ボット感染者検知システムはスコア計算部とボット感染者検知部を備え、前記スコア計算部が、既存のシグネチャデータベースを用いて、前記DNSトラヒックデータに含まれるユーザから、ボットに感染しているユーザを抽出する第1のステップと、前記スコア計算部が、第1のステップで抽出したボットに感染しているユーザがDNSサーバへ問い合わせる前記DNSトラヒックデータに含まれるドメイン名に対し、スコア付けを行う第2のステップと、前記スコア計算部が、第2のステップで付けたスコアが予め定めた値よりも大きければ、そのドメイン名を新たに悪性ドメイン名と判定し、新たに判定した悪性ドメイン名を追加した新たなシグネチャデータベースを作成する第3のステップと、前記ボット感染者検知部が、第3のステップによって生成された新たなシグネチャデータベースを用いて、ボットに感染しているユーザを発見する第4のステップと、を有することを特徴とする。
第2の発明は、第1の発明において、前記スコア計算部が、前記第2のステップにおいて、前記DNSトラフィックデータに含まれるドメイン名に対して、当該ドメイン名と前記既存のシグネチャデータベースに含まれる悪性ドメイン名の両方を問い合わせる共起関係が大きいほどスコアが高くなるように、スコア付けを行うことを特徴とする。
第3の発明は、第1の発明において、前記スコア計算部が、前記第2のステップにおいて、前記DNSトラフィックデータに含まれるドメイン名に対して、ユーザが問い合わせるドメイン名数が大きいほど当該ユーザによるスコアに対する寄与が小さくなるように重み付けして、スコア付けを行うことを特徴とする。
第4の発明は、第1の発明において、前記スコア計算部が、前記第2のステップにおいて、前記DNSトラフィックデータに含まれるドメイン名に対して、当該ドメインのポピュラー度合が大きいほどスコアが小さくなるように重み付けして、スコア付けを行うことを特徴とする。
本発明によれば、従来の技術で生成されたシグネチャデータベースのみでは捕えきることのできないボット感染者を発見できる。また、従来の技術ではボットを分析し、シグネチャを抽出するが、本発明ではDNSサーバのトラフィックを監視していることからリアルタイムでボット感染者を発見することができ、未知のボットに対しても迅速な対応が可能となる。
本発明の実施例のボット感染者検知システムを示す図である。 DNSトラフィックの分析を行いボット感染者を発見する手順を示すフローチャートである。 共起関係を説明するための図である。 [数式1]で用いる集合を説明するためのベン図である。 ポピュラードメイン名が悪性と判断されてしまうことを説明するための図である。 ヘビーユーザの問い合わせドメイン名が悪性と判断されてしまうことを説明するための図である。 [数式1]による共起度Cと[数式4]による共起度C’の相違を説明するための図である。 ポピュラードメイン名のスコアを小さくすることができる理由を説明するための図である。
本発明の実施例はDNSトラフィックデータと既存のシグネチャデータベースを利用し、ボット感染者の問い合わせドメイン名の共起関係を用いて新たにシグネチャデータベースを生成する技術に関するものである。
[背景技術]の項に記載した非特許文献3ではスコアの計算方法にグラフカーネル(非特許文献4)用いているのに対して、本実施例ではスコアの計算方法にユーザの問い合わせドメイン名間の共起関係を用いており、スコアの計算方法が異なるものである。
また、[背景技術]の項に記載した特許文献1ではボットに感染しているかどうかの判定を多段で行うことにより確度を高めるものであるのに対して、本実施例は新たな悪性ドメイン名を発見し、ボット感染者の検知範囲を拡大するものである。
本発明の実施例のボット感染者検知システムを図1に示す。本実施例のボット感染者検知システムは、トラフィック収集部11とスコア計算部12とボット感染者検知部13とシグネチャデータベース(悪性ドメイン名リスト)14を備える。トラフィック収集部11はDNSサーバへのトラフィックを収集するものであり、スコア計算部12は、収集したトラフィックを分析し、ドメイン名にスコアを付与するものである。また、ボット感染者検知部13はシグネチャデータベース14を用いてボット感染者を発見するものである。ここで、トラフィック収集部11、スコア計算部12、およびボット感染者検知部13は同一の装置であってもよいし、別々の装置であってもよい。
ボットの持つ性質として、ボットに指令を与えるサーバや、プログラムのダウンロード元などの悪性ドメイン名と通信するために、DNSを用いることがよく知られている。このことから、ボットに感染しているユーザを発見するためにDNSサーバへの通信を監視し、悪性ドメイン名の名前解決(ドメイン名からIPアドレスへの変換)を行うユーザを抽出することで、ボットに感染しているユーザを発見することができる。以下、シグネチャを悪性ドメイン名リストと定義する。
本実施例では上記のボットの性質に注目し、ボットに感染したユーザを発見するためにDNSトラフィックの分析を行う。以下、本実施例の手順の概要を図2を用いて説明する。図2は、トラフィック収集部11によりDNSトラフィックデータが収集された後、スコア計算部12がDNSトラフィックの分析を行いボット感染者検知部13がボット感染者を発見する手順を示すフローチャートである。
[ステップ1] スコア計算部12が、既存のシグネチャデータベース14を用いて、DNSトラフィックデータに含まれるユーザから、ボットに感染しているユーザを抽出する。
[ステップ2] スコア計算部12が、ステップ1で抽出したボットに感染しているユーザがDNSサーバへ問い合わせるDNSトラフィックデータに含まれるドメイン名に対し、スコア付けを行う。
[ステップ3] スコア計算部12が、ステップ2で付けたスコアが予め定めた値よりも大きければ、そのドメイン名を新たに悪性ドメイン名と判定し、新たに判定した悪性ドメイン名を追加した新たなシグネチャデータベース14を作成する。
[ステップ4] ボット感染者検知部13が、ステップ3によって生成された新たなシグネチャデータベース14を用いて、ボットに感染しているユーザを発見する。
上記の各ステップの詳細を次に記す。
[ステップ1詳細] まず、DNSサーバへ問い合わせを行うユーザを、ボットを分析して得られたシグネチャデータベースに含まれるドメイン名を問い合わせているユーザと、それ以外のユーザに分類する。以後、前者を「ボット感染者」、後者を「みなしボット非感染者※」と呼ぶ。※データベースに含まれるドメイン名を問い合わせていないユーザでも、ボットに感染しているユーザが存在するので、みなしと呼ぶ。
[ステップ2、3詳細] 次に、分離したボット感染者のDNSサーバへの問い合わせドメイン名を調べ、既知の悪性ドメイン名と頻繁に共起するドメイン名を抽出する。ここで、共起とは図3において同一のユーザから出る実線と破線の先にあるドメイン名間の関係のことであり、あるドメイン名d1とd2があるとき、その両方を問い合わせるユーザが存在した場合、そのドメイン間は共起関係にある、と定義する。
図3は共起関係を説明するための図であり、31はボット感染者1の端末、32はボット感染者2の端末、33はボット感染者3の端末、34は既知の悪性ドメイン名1.evil.com、35は既知の悪性ドメイン名2.evil.com、36は既知の悪性ドメイン名3.evil.com、37は未知の悪性ドメイン名unknown.evil.comである。ボット感染者1の端末31は1.evil.com(34)とunknown.evil.com(37)の両方を問い合わせ、ボット感染者2の端末32は2.evil.com(35)とunknown.evil.com(37)の両方を問い合わせ、ボット感染者2の端末33は3.evil.com(36)とunknown.evil.com(37)の両方を問い合わせている。
例えば、図3において1.evil.comとunknown.evil.comは共起関係にある。このような共起関係を定量的に表現するために、あるドメイン名d1、d2の共起度C(d1,d2)を導入する。
Figure 2011076188
 ここで、Uはドメイン名dを問い合わせるユーザの集合とする。図4は[数式1]で用いる集合を説明するためのベン図であり、41はドメイン名d1を問い合わせたユーザの集合、42はドメイン名d2を問い合わせたユーザの集合、43はドメイン名d1とドメイン名d2の両方を問い合わせたユーザの集合である。
[数式1]は図4のベン図の重なり部分43が全体のどの程度の割合であるかを示す式であり、d1、d2両方を問い合わせるユーザが多いほど値が大きくなるものである。
この[数式1]を用いて、ボット感染者の問い合わせドメイン名にスコアを付与する。具体的には以下の式で計算される。
Figure 2011076188
 すなわち、あるドメインdのスコアを以下のように定義する。
Figure 2011076188
 ここで、Dは既知の悪性ドメイン名の集合であり、Udm∩dは悪性ドメイン名dを問い合わせるユーザの集合とドメイン名dを問い合わせるユーザの集合の積集合、Udm∩dは悪性ドメイン名dを問い合わせるユーザの集合とドメイン名dを問い合わせるユーザの集合の和集合である。なお、「Udm∩d」の「dm」はテキストデータの表記の制限によりこのように表示したものであり、「dm」は「d」を意味する。他の場合も同様に表記する。
この式はドメインdが多くの悪性ドメイン名と共起していればスコアが高くなることを表現している。ある閾値tを設定し、S(d)>tであれば、ドメイン名dを悪性ドメインと判断し、新たなシグネチャデータベースを生成する。
図3ではunknown.evil.com(37)というドメインが1.evil.com(34)、2.evil.com(35)、3.evil.com(36)という3つの悪性ドメインと共起していることからスコアが高くなり、未知の悪性ドメインと判定される。
したがって、スコア計算部12は、ステップ2において、DNSトラフィックデータに含まれるドメイン名に対して、当該ドメイン名と前記既存のシグネチャデータベースに含まれる悪性ドメイン名の両方を問い合わせる共起関係が大きいほどスコアが高くなるように、スコア付けを行えばよい。
しかしながら、[数式1]および[数式3]を用いた方法では、goo.ne.jpやyahoo.co.jpといった多くのユーザが問い合わせるポピュラードメイン名や、多種多様なドメイン名を問い合わせるヘビーユーザの問い合わせドメイン名が悪性ドメイン名と頻繁に共起することからスコアが高くなってしまう。これによって悪性ではないドメイン名が悪性と判断されてしまうことがある。この問題の概要を図5、6に記す。
図5は、ポピュラードメイン名(人気ドメイン名)が悪性と判断されてしまうことを説明するための図である。51〜53はボット感染者の端末、54〜55はボットに感染していないと思われるユーザの端末、34〜36は既知の悪性ドメイン名、56は人気ドメイン名www.goo.ne.jpである。図5からわかるように、人気ドメインは多くのユーザが問い合わせるため、既知の悪性ドメインと共起しやすい。
図6は、ヘビーユーザの問い合わせドメイン名が悪性と判断されてしまうことを説明するための図である。61はボット感染者の端末、62はボット感染ヘビーユーザの端末、34〜35は既知の悪性ドメイン名、63はボット感染ヘビーユーザ62が問い合わせるドメイン名の集合である。図6からわかるように、63に含まれる全てのドメイン名が既知の悪性ドメイン名35と共起しているが、これらが全て悪性ドメイン名ではない。
そこで、ポピュラードメイン名やヘビーユーザの影響を除去するために、[数式1]および[数式3]を[数式4]および[数式5]に変更する。
Figure 2011076188
Figure 2011076188
 ここで、UM,dはドメイン名dを問い合わせるボット感染者の集合、UM,dmは悪性ドメイン名dを問い合わせるボット感染者の集合、UN,dはドメイン名dを問い合わせるみなしボット非感染者ユーザの集合である。また、N(u)はユーザuが問い合わせたドメイン名数である。
[数式4]は[数式1]の右辺の分子部分を変更したもので、ユーザの問い合わせドメイン名数によって重み付けを行うものである。ヘビーユーザの問題は、悪性ドメイン名と共起するドメイン名が大量に出現することにある。ヘビーユーザが問い合わせるドメイン名全てが悪性ドメインではないので、悪性ではないドメイン名のスコアが高くなってしまうことが問題となる。これは[数式1]が問い合わせドメイン名数を考慮していないことに起因する。そこで、共起回数を表現する[数式1]の分子部分を、[数式4]の分子部分のようにユーザの問い合わせドメイン数の逆数の和を取るように変更する。このようにすることによって、ヘビーユーザが問い合わせるドメイン名と悪性ドメイン名の共起回数を小さくすることができ、ヘビーユーザの問い合わせドメイン名のスコアも小さくすることができる。これは、ユーザが得点を持っていると考え、ヘビーユーザほど持点を少なくするという操作である。[数式1]では各ユーザの持つ得点が同じであると考えることができる。
したがって、スコア計算部12は、ステップ2において、DNSトラフィックデータに含まれるドメイン名に対して、ユーザが問い合わせるドメイン名数が大きいほど当該ユーザによるスコアに対する寄与が小さくなるように重み付けして、スコア付けを行えばよい。
この具体例を図7に記す。図7は、[数式1]による共起度Cと[数式4]による共起度C’の相違を説明するための図であり、71はドメイン名d、72は悪性ドメイン名d、73〜75はボットに感染しているユーザである。ユーザ73は問い合わせドメイン数3000のヘビーユーザ、ユーザ74の問い合わせドメイン数は10、ユーザ75の問い合わせドメイン数は20である。ボットに感染しているユーザ73〜75の3名は全て悪性ドメイン名dを問い合わせているが、ボットに感染しているユーザ73〜75の3名のうちドメイン名dを問い合わせているのはヘビーユーザ73だけである。この場合、[数式1]による悪名ドメイン名d(72)とドメイン名d(71)の共起度C(d,d)は1/3である。これに対して、[数式4]による悪性ドメイン名d(72)とドメイン名d(71)の共起度C’(d,d)は1/9000である。したがって、[数式1]による共起度Cではドメイン名d(71)を悪性ドメイン名と判断しやすいが、[数6]による共起度C’ではドメイン名d(71)を悪性ドメイン名と判断しにくいことになる。
[数式5]は[数式3]に[数式5]の右辺第二項を掛けたものであり、ポピュラードメイン名の影響除去を行っている。これまでの調査によると、ある網においてボット感染者は全体の1%未満であるとされている。ポピュラードメイン名はボット感染の有無に関わらず多くのユーザが問い合わせるドメイン名であるので、ポピュラードメイン名を問い合わせるボット感染者は、みなしボット非感染者と比較して非常に少ないと言える。すなわち、ドメインdがポピュラードメイン名のとき、UM,d<<UN,dであることが言え、[数式5]の右辺第二項の分母は分子と比較して非常に大きくなるため、値は非常に小さくなる。以上により、ポピュラードメイン名のスコアを小さくすることができる。
したがって、スコア計算部12は、DNSトラフィックデータに含まれるドメイン名に対して、当該ドメインのポピュラー度合が大きいほどスコアが小さくなるように重み付けして、スコア付けを行えばよい。
この具体例を図8に記す。図8はポピュラードメイン名のスコアを小さくすることができる理由を説明するための図であり、81はみなし非感染ユーザ(10万人)、82はボット感染ユーザ(1000人)、83はみなし非感染ユーザ(10万人)81の中でgoogle.co.jp(ポピュラードメイン名)を問い合わせたユーザ数80,000人、84はみなし非感染ユーザ(10万人)81の中でevil.com(悪性ドメイン名)を問い合わせたユーザ数10人、85はボット感染ユーザ(1000人)82の中でgoogle.co.jp(ポピュラードメイン名)を問い合わせたユーザ数900人、86はボット感染ユーザ(1000人)82の中でevil.com(悪性ドメイン名)を問い合わせたユーザ数20人である。
例えば、google.co.jpのようなポピュラードメインはボットに感染したユーザ、感染していないユーザ両方の多くが問い合わせるものである。このとき、感染ユーザの集合、みなし非感染ユーザの集合の中でgoogle.co.jpを問い合わせるユーザ数はみなし非感染ユーザの方が非常に多い。google.co.jpを問い合わせるユーザ数を図8のように仮定すると、[数式5]の右辺第二項の値は約0.011と小さくなることが分かる。一方で、みなし非感染ユーザの中に潜在するボット感染ユーザ数は多くないと予想できることから、感染ユーザの集合とみなし非感染ユーザの集合の中で、悪性ドメインを問い合わせるユーザ数は大きく変わらないと考えることができる。例えば、ある悪性ドメインevil.comを問い合わせるユーザ数を図8のように仮定すると、その値は約0.67とポピュラードメインの場合と比較して大きくなることが分かる。すなわち、[数式5]右辺第二項はドメインのポピュラー度合に反比例する重みとなり、ポピュラードメインのスコアを小さくすることができる。
[ステップ4詳細] ステップ2、3によって新たに生成されたシグネチャデータベースを用いてボット感染者を抽出する。ボット感染者の抽出方法はステップ1と同様である。これによって既存のデータベースでは発見することができないボット感染者を発見することができる。
なお、上記の手法ではユーザからDNSサーバへの問い合わせに対してのトラフィックを分析したが、DNSトラフィックデータに含まれる他のデータに対しても本実施例を適用できる。
例えば、DNSサーバからユーザへ向けてのトラフィックの中には、ユーザが問い合わせたドメイン名がどのDNSサーバに管理されているかという情報が含まれている。このとき、同じDNSサーバに管理されているドメイン名d1、d2、d3…は共起関係にある、と定義することに上記の手法を適用することができる。
本実施例のボット感染者検知システムは、1または複数のコンピュータとプログラムで構成することができる。また、そのプログラムの一部または全部の代わりにハードウェアを用いて構成してもよい。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
11…トラフィック収集部、12…スコア計算部、13…ボット感染者検知部14…シグネチャデータベース(悪性ドメイン名リスト)

Claims (5)

  1. DNSトラヒックデータを利用したボット感染者検知システムにおけるボット感染者検知方法であって、
    前記ボット感染者検知システムはスコア計算部とボット感染者検知部を備え、
    前記スコア計算部が、既存のシグネチャデータベースを用いて、前記DNSトラヒックデータに含まれるユーザから、ボットに感染しているユーザを抽出する第1のステップと、
    前記スコア計算部が、第1のステップで抽出したボットに感染しているユーザがDNSサーバへ問い合わせる前記DNSトラヒックデータに含まれるドメイン名に対し、スコア付けを行う第2のステップと、
    前記スコア計算部が、第2のステップで付けたスコアが予め定めた値よりも大きければ、そのドメイン名を新たに悪性ドメイン名と判定し、新たに判定した悪性ドメイン名を追加した新たなシグネチャデータベースを作成する第3のステップと、
    前記ボット感染者検知部が、第3のステップによって生成された新たなシグネチャデータベースを用いて、ボットに感染しているユーザを発見する第4のステップと、
    を有することを特徴とするボット感染者検知方法。
  2. 請求項1に記載のボット感染者検知方法であって、
    前記スコア計算部が、前記第2のステップにおいて、
    前記DNSトラフィックデータに含まれるドメイン名に対して、当該ドメイン名と前記既存のシグネチャデータベースに含まれる悪性ドメイン名の両方を問い合わせる共起関係が大きいほどスコアが高くなるように、スコア付けを行うことを特徴とするボット感染者検知方法。
  3. 請求項1に記載のボット感染者検知方法であって、
    前記スコア計算部が、前記第2のステップにおいて、
    前記DNSトラフィックデータに含まれるドメイン名に対して、ユーザが問い合わせるドメイン名数が大きいほど当該ユーザによるスコアに対する寄与が小さくなるように重み付けして、スコア付けを行うことを特徴とするボット感染者検知方法。
  4. 請求項1に記載のボット感染者検知方法であって、
    前記スコア計算部が、前記第2のステップにおいて、
    前記DNSトラフィックデータに含まれるドメイン名に対して、当該ドメインのポピュラー度合が大きいほどスコアが小さくなるように重み付けして、スコア付けを行うことを特徴とするボット感染者検知方法。
  5. DNSトラヒックデータを利用したボット感染者検知システムであって、
    スコア計算部とボット感染者検知部を備え、
    前記スコア計算部は、
    既存のシグネチャデータベースを用いて、前記DNSトラヒックデータに含まれるユーザから、ボットに感染しているユーザを抽出する第1の手段と、
    第1の手段で抽出したボットに感染しているユーザがDNSサーバへ問い合わせる前記DNSトラヒックデータに含まれるドメイン名に対し、スコア付けを行う第2の手段と、
    第2の手段で付けたスコアが予め定めた値よりも大きければ、そのドメイン名を新たに悪性ドメイン名と判定し、新たに判定した悪性ドメイン名を追加した新たなシグネチャデータベースを作成する第3の手段と、
    を備え、
    前記ボット感染者検知部は、第3の手段によって生成された新たなシグネチャデータベースを用いて、ボットに感染しているユーザを発見する第4の手段を備える
    ことを特徴とするボット感染者検知システム。
JP2009224319A 2009-09-29 2009-09-29 Dnsトラフィックデータを利用したボット感染者検知方法 Active JP5345492B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009224319A JP5345492B2 (ja) 2009-09-29 2009-09-29 Dnsトラフィックデータを利用したボット感染者検知方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009224319A JP5345492B2 (ja) 2009-09-29 2009-09-29 Dnsトラフィックデータを利用したボット感染者検知方法

Publications (2)

Publication Number Publication Date
JP2011076188A true JP2011076188A (ja) 2011-04-14
JP5345492B2 JP5345492B2 (ja) 2013-11-20

Family

ID=44020140

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009224319A Active JP5345492B2 (ja) 2009-09-29 2009-09-29 Dnsトラフィックデータを利用したボット感染者検知方法

Country Status (1)

Country Link
JP (1) JP5345492B2 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013003595A (ja) * 2011-06-10 2013-01-07 Nippon Telegr & Teleph Corp <Ntt> 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム
JP2013011949A (ja) * 2011-06-28 2013-01-17 Nippon Telegr & Teleph Corp <Ntt> 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
JP2014010725A (ja) * 2012-06-30 2014-01-20 Kddi Corp クエリ発生周期の安定度を利用した端末情報推定装置、dnsサーバ、プログラム及び方法
JP2016139935A (ja) * 2015-01-27 2016-08-04 株式会社ラック 情報処理装置、情報処理方法及びプログラム
JPWO2017217247A1 (ja) * 2016-06-16 2018-10-04 日本電信電話株式会社 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
JP2019500712A (ja) * 2015-11-30 2019-01-10 シマンテック コーポレーションSymantec Corporation ドメイン名サービストラフィック分析を介してマルウェア感染を検出するためのシステム及び方法
JP2019510304A (ja) * 2016-02-26 2019-04-11 オラクル・インターナショナル・コーポレイション アプリケーションのセキュリティを発見および管理するための技術
CN114866342A (zh) * 2022-06-30 2022-08-05 广东睿江云计算股份有限公司 流量特征识别方法、装置、计算机设备及存储介质
JP7465387B2 (ja) 2022-04-19 2024-04-10 パロ アルト ネットワークス,インコーポレイテッド プロセス情報を使用してdnsセキュリティを提供する方法およびシステム
US11962614B2 (en) 2013-12-13 2024-04-16 Oracle International Corporation Techniques for cloud security monitoring and threat intelligence

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004038273A (ja) * 2002-06-28 2004-02-05 Kddi Corp コンピュータウィルス検査装置及び方法、コンピュータプログラム、メールゲートウェイシステム
JP2006155251A (ja) * 2004-11-30 2006-06-15 Oki Electric Ind Co Ltd ウイルス検出装置
JP2007323428A (ja) * 2006-06-01 2007-12-13 Hitachi Ltd ボット検出装置、ボット検出方法、およびプログラム
JP2008176573A (ja) * 2007-01-18 2008-07-31 Hitachi Ltd インタラクションデータ表示装置、処理装置及び表示方法
JP2009110270A (ja) * 2007-10-30 2009-05-21 Fujitsu Ltd マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004038273A (ja) * 2002-06-28 2004-02-05 Kddi Corp コンピュータウィルス検査装置及び方法、コンピュータプログラム、メールゲートウェイシステム
JP2006155251A (ja) * 2004-11-30 2006-06-15 Oki Electric Ind Co Ltd ウイルス検出装置
JP2007323428A (ja) * 2006-06-01 2007-12-13 Hitachi Ltd ボット検出装置、ボット検出方法、およびプログラム
JP2008176573A (ja) * 2007-01-18 2008-07-31 Hitachi Ltd インタラクションデータ表示装置、処理装置及び表示方法
JP2009110270A (ja) * 2007-10-30 2009-05-21 Fujitsu Ltd マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
佐藤 一道: "DNSトラフィックデータを利用したボット感染者検出方法", 情報処理学会研究報告 インターネットと運用技術(IOT), JPN6013010806, 9 October 2009 (2009-10-09), JP, ISSN: 0002604591 *
山田 明: "DNS監視による異常クライアントの検知", 電子情報通信学会技術研究報告, vol. 108, no. 203, JPN6013010805, 4 September 2008 (2008-09-04), JP, ISSN: 0002604592 *
石橋 圭介 他3名: "DNSクエリグラフを用いた悪性ドメイン名リスト評価", 情報処理学会研究報告, vol. 2009, no. 21, JPN6013010804, 26 February 2009 (2009-02-26), JP, ISSN: 0002475903 *

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013003595A (ja) * 2011-06-10 2013-01-07 Nippon Telegr & Teleph Corp <Ntt> 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム
JP2013011949A (ja) * 2011-06-28 2013-01-17 Nippon Telegr & Teleph Corp <Ntt> 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
JP2014010725A (ja) * 2012-06-30 2014-01-20 Kddi Corp クエリ発生周期の安定度を利用した端末情報推定装置、dnsサーバ、プログラム及び方法
US11962614B2 (en) 2013-12-13 2024-04-16 Oracle International Corporation Techniques for cloud security monitoring and threat intelligence
JP2016139935A (ja) * 2015-01-27 2016-08-04 株式会社ラック 情報処理装置、情報処理方法及びプログラム
WO2016121621A1 (ja) * 2015-01-27 2016-08-04 株式会社ラック 情報処理装置、情報処理方法及びプログラム
JP2019500712A (ja) * 2015-11-30 2019-01-10 シマンテック コーポレーションSymantec Corporation ドメイン名サービストラフィック分析を介してマルウェア感染を検出するためのシステム及び方法
JP7222061B2 (ja) 2016-02-26 2023-02-14 オラクル・インターナショナル・コーポレイション アプリケーションのセキュリティを発見および管理するための技術
JP2019510304A (ja) * 2016-02-26 2019-04-11 オラクル・インターナショナル・コーポレイション アプリケーションのセキュリティを発見および管理するための技術
JP7000334B2 (ja) 2016-02-26 2022-01-19 オラクル・インターナショナル・コーポレイション アプリケーションのセキュリティを発見および管理するための技術
JP2022050462A (ja) * 2016-02-26 2022-03-30 オラクル・インターナショナル・コーポレイション アプリケーションのセキュリティを発見および管理するための技術
US11368481B2 (en) 2016-02-26 2022-06-21 Oracle International Corporation Techniques for discovering and managing security of applications
US10963562B2 (en) 2016-06-16 2021-03-30 Nippon Telegraph And Telephone Corporation Malicious event detection device, malicious event detection method, and malicious event detection program
JPWO2017217247A1 (ja) * 2016-06-16 2018-10-04 日本電信電話株式会社 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
JP7465387B2 (ja) 2022-04-19 2024-04-10 パロ アルト ネットワークス,インコーポレイテッド プロセス情報を使用してdnsセキュリティを提供する方法およびシステム
CN114866342A (zh) * 2022-06-30 2022-08-05 广东睿江云计算股份有限公司 流量特征识别方法、装置、计算机设备及存储介质

Also Published As

Publication number Publication date
JP5345492B2 (ja) 2013-11-20

Similar Documents

Publication Publication Date Title
JP5345492B2 (ja) Dnsトラフィックデータを利用したボット感染者検知方法
US10681070B2 (en) Method to identify malicious web domain names thanks to their dynamics
US10257212B2 (en) Method and system for detecting malware
Khalil et al. Discovering malicious domains through passive DNS data graph analysis
Chu et al. Protect sensitive sites from phishing attacks using features extractable from inaccessible phishing URLs
JP6258553B2 (ja) ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
Shahzad et al. Detection of spyware by mining executable files
Kim et al. Detecting fake anti-virus software distribution webpages
Savenko et al. Dynamic Signature-based Malware Detection Technique Based on API Call Tracing.
Tong et al. A method for detecting DGA botnet based on semantic and cluster analysis
Phung et al. Detection of malicious javascript on an imbalanced dataset
WO2018066221A1 (ja) 分類装置、分類方法及び分類プログラム
Su et al. Suspicious URL filtering based on logistic regression with multi-view analysis
Silva et al. A statistical analysis of intrinsic bias of network security datasets for training machine learning mechanisms
Thakur et al. An intelligent algorithmically generated domain detection system
He et al. Malicious domain detection via domain relationship and graph models
Sun et al. MD-Miner: behavior-based tracking of network traffic for malware-control domain detection
CN112204930A (zh) 恶意域名检测设备和方法
Sharma et al. Ransomware Attack Detection in the Internet of Things using Machine Learning Approaches
US11321453B2 (en) Method and system for detecting and classifying malware based on families
Jo et al. You're not who you claim to be: Website identity check for phishing detection
Kruczkowski et al. FP-tree and SVM for malicious web campaign detection
JP5639535B2 (ja) 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム
Nakamura et al. Classification of unknown Web sites based on yearly changes of distribution information of malicious IP addresses

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111012

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130312

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130510

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130604

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130723

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130813

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130814

R150 Certificate of patent or registration of utility model

Ref document number: 5345492

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350