JP2011076188A - Dnsトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム - Google Patents
Dnsトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム Download PDFInfo
- Publication number
- JP2011076188A JP2011076188A JP2009224319A JP2009224319A JP2011076188A JP 2011076188 A JP2011076188 A JP 2011076188A JP 2009224319 A JP2009224319 A JP 2009224319A JP 2009224319 A JP2009224319 A JP 2009224319A JP 2011076188 A JP2011076188 A JP 2011076188A
- Authority
- JP
- Japan
- Prior art keywords
- bot
- domain name
- infected
- infected person
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】スコア計算部12が、既存のシグネチャデータベース14を用いて、DNSトラフィックデータに含まれるユーザから、ボットに感染しているユーザを抽出する。スコア計算部12が、ボットに感染しているユーザがDNSサーバへ問い合わせるDNSトラフィックデータに含まれるドメイン名に対し、スコア付けを行う。スコア計算部12が、ステップ2で付けたスコアが予め定めた値よりも大きければ、そのドメイン名を新たに悪性ドメイン名と判定し、新たに判定した悪性ドメイン名を追加した新たなシグネチャデータベース14を作成する。ボット感染者検知部13が、新たなシグネチャデータベース14を用いて、ボットに感染しているユーザを発見する。
【選択図】図1
Description
Claims (5)
- DNSトラヒックデータを利用したボット感染者検知システムにおけるボット感染者検知方法であって、
前記ボット感染者検知システムはスコア計算部とボット感染者検知部を備え、
前記スコア計算部が、既存のシグネチャデータベースを用いて、前記DNSトラヒックデータに含まれるユーザから、ボットに感染しているユーザを抽出する第1のステップと、
前記スコア計算部が、第1のステップで抽出したボットに感染しているユーザがDNSサーバへ問い合わせる前記DNSトラヒックデータに含まれるドメイン名に対し、スコア付けを行う第2のステップと、
前記スコア計算部が、第2のステップで付けたスコアが予め定めた値よりも大きければ、そのドメイン名を新たに悪性ドメイン名と判定し、新たに判定した悪性ドメイン名を追加した新たなシグネチャデータベースを作成する第3のステップと、
前記ボット感染者検知部が、第3のステップによって生成された新たなシグネチャデータベースを用いて、ボットに感染しているユーザを発見する第4のステップと、
を有することを特徴とするボット感染者検知方法。 - 請求項1に記載のボット感染者検知方法であって、
前記スコア計算部が、前記第2のステップにおいて、
前記DNSトラフィックデータに含まれるドメイン名に対して、当該ドメイン名と前記既存のシグネチャデータベースに含まれる悪性ドメイン名の両方を問い合わせる共起関係が大きいほどスコアが高くなるように、スコア付けを行うことを特徴とするボット感染者検知方法。 - 請求項1に記載のボット感染者検知方法であって、
前記スコア計算部が、前記第2のステップにおいて、
前記DNSトラフィックデータに含まれるドメイン名に対して、ユーザが問い合わせるドメイン名数が大きいほど当該ユーザによるスコアに対する寄与が小さくなるように重み付けして、スコア付けを行うことを特徴とするボット感染者検知方法。 - 請求項1に記載のボット感染者検知方法であって、
前記スコア計算部が、前記第2のステップにおいて、
前記DNSトラフィックデータに含まれるドメイン名に対して、当該ドメインのポピュラー度合が大きいほどスコアが小さくなるように重み付けして、スコア付けを行うことを特徴とするボット感染者検知方法。 - DNSトラヒックデータを利用したボット感染者検知システムであって、
スコア計算部とボット感染者検知部を備え、
前記スコア計算部は、
既存のシグネチャデータベースを用いて、前記DNSトラヒックデータに含まれるユーザから、ボットに感染しているユーザを抽出する第1の手段と、
第1の手段で抽出したボットに感染しているユーザがDNSサーバへ問い合わせる前記DNSトラヒックデータに含まれるドメイン名に対し、スコア付けを行う第2の手段と、
第2の手段で付けたスコアが予め定めた値よりも大きければ、そのドメイン名を新たに悪性ドメイン名と判定し、新たに判定した悪性ドメイン名を追加した新たなシグネチャデータベースを作成する第3の手段と、
を備え、
前記ボット感染者検知部は、第3の手段によって生成された新たなシグネチャデータベースを用いて、ボットに感染しているユーザを発見する第4の手段を備える
ことを特徴とするボット感染者検知システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009224319A JP5345492B2 (ja) | 2009-09-29 | 2009-09-29 | Dnsトラフィックデータを利用したボット感染者検知方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009224319A JP5345492B2 (ja) | 2009-09-29 | 2009-09-29 | Dnsトラフィックデータを利用したボット感染者検知方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011076188A true JP2011076188A (ja) | 2011-04-14 |
JP5345492B2 JP5345492B2 (ja) | 2013-11-20 |
Family
ID=44020140
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009224319A Active JP5345492B2 (ja) | 2009-09-29 | 2009-09-29 | Dnsトラフィックデータを利用したボット感染者検知方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5345492B2 (ja) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013003595A (ja) * | 2011-06-10 | 2013-01-07 | Nippon Telegr & Teleph Corp <Ntt> | 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム |
JP2013011949A (ja) * | 2011-06-28 | 2013-01-17 | Nippon Telegr & Teleph Corp <Ntt> | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム |
JP2014010725A (ja) * | 2012-06-30 | 2014-01-20 | Kddi Corp | クエリ発生周期の安定度を利用した端末情報推定装置、dnsサーバ、プログラム及び方法 |
JP2016139935A (ja) * | 2015-01-27 | 2016-08-04 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JPWO2017217247A1 (ja) * | 2016-06-16 | 2018-10-04 | 日本電信電話株式会社 | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム |
JP2019500712A (ja) * | 2015-11-30 | 2019-01-10 | シマンテック コーポレーションSymantec Corporation | ドメイン名サービストラフィック分析を介してマルウェア感染を検出するためのシステム及び方法 |
JP2019510304A (ja) * | 2016-02-26 | 2019-04-11 | オラクル・インターナショナル・コーポレイション | アプリケーションのセキュリティを発見および管理するための技術 |
CN114866342A (zh) * | 2022-06-30 | 2022-08-05 | 广东睿江云计算股份有限公司 | 流量特征识别方法、装置、计算机设备及存储介质 |
JP7465387B2 (ja) | 2022-04-19 | 2024-04-10 | パロ アルト ネットワークス,インコーポレイテッド | プロセス情報を使用してdnsセキュリティを提供する方法およびシステム |
US11962614B2 (en) | 2013-12-13 | 2024-04-16 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004038273A (ja) * | 2002-06-28 | 2004-02-05 | Kddi Corp | コンピュータウィルス検査装置及び方法、コンピュータプログラム、メールゲートウェイシステム |
JP2006155251A (ja) * | 2004-11-30 | 2006-06-15 | Oki Electric Ind Co Ltd | ウイルス検出装置 |
JP2007323428A (ja) * | 2006-06-01 | 2007-12-13 | Hitachi Ltd | ボット検出装置、ボット検出方法、およびプログラム |
JP2008176573A (ja) * | 2007-01-18 | 2008-07-31 | Hitachi Ltd | インタラクションデータ表示装置、処理装置及び表示方法 |
JP2009110270A (ja) * | 2007-10-30 | 2009-05-21 | Fujitsu Ltd | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 |
-
2009
- 2009-09-29 JP JP2009224319A patent/JP5345492B2/ja active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004038273A (ja) * | 2002-06-28 | 2004-02-05 | Kddi Corp | コンピュータウィルス検査装置及び方法、コンピュータプログラム、メールゲートウェイシステム |
JP2006155251A (ja) * | 2004-11-30 | 2006-06-15 | Oki Electric Ind Co Ltd | ウイルス検出装置 |
JP2007323428A (ja) * | 2006-06-01 | 2007-12-13 | Hitachi Ltd | ボット検出装置、ボット検出方法、およびプログラム |
JP2008176573A (ja) * | 2007-01-18 | 2008-07-31 | Hitachi Ltd | インタラクションデータ表示装置、処理装置及び表示方法 |
JP2009110270A (ja) * | 2007-10-30 | 2009-05-21 | Fujitsu Ltd | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 |
Non-Patent Citations (3)
Title |
---|
佐藤 一道: "DNSトラフィックデータを利用したボット感染者検出方法", 情報処理学会研究報告 インターネットと運用技術(IOT), JPN6013010806, 9 October 2009 (2009-10-09), JP, ISSN: 0002604591 * |
山田 明: "DNS監視による異常クライアントの検知", 電子情報通信学会技術研究報告, vol. 108, no. 203, JPN6013010805, 4 September 2008 (2008-09-04), JP, ISSN: 0002604592 * |
石橋 圭介 他3名: "DNSクエリグラフを用いた悪性ドメイン名リスト評価", 情報処理学会研究報告, vol. 2009, no. 21, JPN6013010804, 26 February 2009 (2009-02-26), JP, ISSN: 0002475903 * |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013003595A (ja) * | 2011-06-10 | 2013-01-07 | Nippon Telegr & Teleph Corp <Ntt> | 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム |
JP2013011949A (ja) * | 2011-06-28 | 2013-01-17 | Nippon Telegr & Teleph Corp <Ntt> | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム |
JP2014010725A (ja) * | 2012-06-30 | 2014-01-20 | Kddi Corp | クエリ発生周期の安定度を利用した端末情報推定装置、dnsサーバ、プログラム及び方法 |
US11962614B2 (en) | 2013-12-13 | 2024-04-16 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
JP2016139935A (ja) * | 2015-01-27 | 2016-08-04 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
WO2016121621A1 (ja) * | 2015-01-27 | 2016-08-04 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP2019500712A (ja) * | 2015-11-30 | 2019-01-10 | シマンテック コーポレーションSymantec Corporation | ドメイン名サービストラフィック分析を介してマルウェア感染を検出するためのシステム及び方法 |
JP7222061B2 (ja) | 2016-02-26 | 2023-02-14 | オラクル・インターナショナル・コーポレイション | アプリケーションのセキュリティを発見および管理するための技術 |
JP2019510304A (ja) * | 2016-02-26 | 2019-04-11 | オラクル・インターナショナル・コーポレイション | アプリケーションのセキュリティを発見および管理するための技術 |
JP7000334B2 (ja) | 2016-02-26 | 2022-01-19 | オラクル・インターナショナル・コーポレイション | アプリケーションのセキュリティを発見および管理するための技術 |
JP2022050462A (ja) * | 2016-02-26 | 2022-03-30 | オラクル・インターナショナル・コーポレイション | アプリケーションのセキュリティを発見および管理するための技術 |
US11368481B2 (en) | 2016-02-26 | 2022-06-21 | Oracle International Corporation | Techniques for discovering and managing security of applications |
US10963562B2 (en) | 2016-06-16 | 2021-03-30 | Nippon Telegraph And Telephone Corporation | Malicious event detection device, malicious event detection method, and malicious event detection program |
JPWO2017217247A1 (ja) * | 2016-06-16 | 2018-10-04 | 日本電信電話株式会社 | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム |
JP7465387B2 (ja) | 2022-04-19 | 2024-04-10 | パロ アルト ネットワークス,インコーポレイテッド | プロセス情報を使用してdnsセキュリティを提供する方法およびシステム |
CN114866342A (zh) * | 2022-06-30 | 2022-08-05 | 广东睿江云计算股份有限公司 | 流量特征识别方法、装置、计算机设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
JP5345492B2 (ja) | 2013-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5345492B2 (ja) | Dnsトラフィックデータを利用したボット感染者検知方法 | |
US10681070B2 (en) | Method to identify malicious web domain names thanks to their dynamics | |
US10257212B2 (en) | Method and system for detecting malware | |
Khalil et al. | Discovering malicious domains through passive DNS data graph analysis | |
Chu et al. | Protect sensitive sites from phishing attacks using features extractable from inaccessible phishing URLs | |
JP6258553B2 (ja) | ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム | |
CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
Shahzad et al. | Detection of spyware by mining executable files | |
Kim et al. | Detecting fake anti-virus software distribution webpages | |
Savenko et al. | Dynamic Signature-based Malware Detection Technique Based on API Call Tracing. | |
Tong et al. | A method for detecting DGA botnet based on semantic and cluster analysis | |
Phung et al. | Detection of malicious javascript on an imbalanced dataset | |
WO2018066221A1 (ja) | 分類装置、分類方法及び分類プログラム | |
Su et al. | Suspicious URL filtering based on logistic regression with multi-view analysis | |
Silva et al. | A statistical analysis of intrinsic bias of network security datasets for training machine learning mechanisms | |
Thakur et al. | An intelligent algorithmically generated domain detection system | |
He et al. | Malicious domain detection via domain relationship and graph models | |
Sun et al. | MD-Miner: behavior-based tracking of network traffic for malware-control domain detection | |
CN112204930A (zh) | 恶意域名检测设备和方法 | |
Sharma et al. | Ransomware Attack Detection in the Internet of Things using Machine Learning Approaches | |
US11321453B2 (en) | Method and system for detecting and classifying malware based on families | |
Jo et al. | You're not who you claim to be: Website identity check for phishing detection | |
Kruczkowski et al. | FP-tree and SVM for malicious web campaign detection | |
JP5639535B2 (ja) | 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム | |
Nakamura et al. | Classification of unknown Web sites based on yearly changes of distribution information of malicious IP addresses |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111012 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130213 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130312 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130510 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130604 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130723 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130813 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130814 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5345492 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |