JP2016045887A - 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム - Google Patents
監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム Download PDFInfo
- Publication number
- JP2016045887A JP2016045887A JP2014171927A JP2014171927A JP2016045887A JP 2016045887 A JP2016045887 A JP 2016045887A JP 2014171927 A JP2014171927 A JP 2014171927A JP 2014171927 A JP2014171927 A JP 2014171927A JP 2016045887 A JP2016045887 A JP 2016045887A
- Authority
- JP
- Japan
- Prior art keywords
- analysis
- unit
- content
- page
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【課題】未知の悪性サイトへのアクセスを検出可能とすると共に該検出にかかる負担を軽減すること。
【解決手段】観測装置1−1,1−2は、ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部12と、該収集された情報を解析装置2へ送信する送受信部21と、を備え、解析装置2は、該送信された情報を受信する送受信部21と、該受信された情報に基づいて特定のページ遷移方法の検出を行い、該特定のページ遷移方法の検出結果に基づいてWebページへのアクセスからダウンロードされたコンテンツの悪性を判断する解析部22と、解析部22により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する情報要求部23と、を備える。
【選択図】図1
【解決手段】観測装置1−1,1−2は、ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部12と、該収集された情報を解析装置2へ送信する送受信部21と、を備え、解析装置2は、該送信された情報を受信する送受信部21と、該受信された情報に基づいて特定のページ遷移方法の検出を行い、該特定のページ遷移方法の検出結果に基づいてWebページへのアクセスからダウンロードされたコンテンツの悪性を判断する解析部22と、解析部22により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する情報要求部23と、を備える。
【選択図】図1
Description
本発明は、ウェブ(Web)ページへのアクセスについての監視システム、観測装置、解析装置、監視方法およびコンピュータプログラムに関する。
従来、Webページの改ざんや悪性Webページによる攻撃の一例として、ドライブバイダウンロード(Drive-by Download)攻撃と呼ばれるものが知られている。Drive-by Download攻撃とは、ユーザがWebブラウザを使用して悪性Webページにアクセスした際に、WebブラウザやWebブラウザのプラグインソフトウェアの脆弱性を悪用してマルウェアをダウンロードさせる攻撃である。一般的なDrive-by Download攻撃では、攻撃者は正規のWebページを改ざんして、マルウェアを配布するサイト又はマルウェア自身へリンクさせるためのスクリプトコードを挿入することにより、当該Webページへアクセスしたユーザを自動的にExploitサイトへ転送させる。ユーザは、その転送先のExploitサイトでWebブラウザやプラグインソフトウェアなどの脆弱性をつく攻撃を受けることにより、マルウェア配布サイトへ転送させられる。この結果、ユーザは、その転送先のマルウェア配布サイトからマルウェアを自動的にダウンロードして実行することになる。
Webページの改ざんや悪性Webページを監視する従来技術として、例えば、特許文献1、非特許文献1,2などが知られている。特許文献1に記載される従来技術では、Webサイト上のコンテンツに対して、あらかじめ保持しておいたコンテンツの特徴量や複製を用いて、コンテンツの特徴量の差異、コンテンツの差分を検出することにより、コンテンツの改ざんを検知している。非特許文献1に記載される従来技術では、マルウェア配布サイトの情報とWebページ間のリンク構造を示すグラフに基づいて、マルウェア配布サイトへのlandingサイトを検出し、検出されたlandingサイトに基づいて未知のマルウェア配布サイトを検出している。非特許文献2に記載される従来技術では、「honeyclient」と呼ばれるマルウェア収集用Webクローラを使用してWebページを巡回し情報を収集することにより、マルウェアおよびマルウェア配布サイトを能動的に検出している。honeyclientには、探索の起点となるWebページ(シードと呼ばれる)を与える。
J. W. Stokes et al, "WebCop: Locating Neighborhoods of Malware on the Web", Proc. 3rd USENIX Workshop on Large-scale Exploits and Emergent Threats (LEET2010), 2010
Y-M. Wang et al, "Automated Web Patrol with Strider HoneyMonkeys: Finding Web Sites That Exploit Browser Vulnerabilities", Proc. 13th Annual Network & Distributed System Security Symposium (NDSS2006), 2006
しかし、上述した従来技術では以下に示す課題がある。
特許文献1に記載される従来技術では、Webページが正規に変更された場合と不正に改ざんされた場合とを区別することが難しい。また、コンテンツの特徴量によってはコンテンツの変化を検出できないようにコンテンツが改ざんされると、その検出が難しい。
非特許文献1に記載される従来技術では、既知のマルウェア配布サイトのURL(Uniform Resource Locator)が豊富にないと、未知のマルウェア配布サイトを検出する効果が十分に得られない。
非特許文献2に記載される従来技術では、検出能力を高めるために的確なシードを与えないと、マルウェアおよびマルウェア配布サイトを効率的に検出できない。
特許文献1に記載される従来技術では、Webページが正規に変更された場合と不正に改ざんされた場合とを区別することが難しい。また、コンテンツの特徴量によってはコンテンツの変化を検出できないようにコンテンツが改ざんされると、その検出が難しい。
非特許文献1に記載される従来技術では、既知のマルウェア配布サイトのURL(Uniform Resource Locator)が豊富にないと、未知のマルウェア配布サイトを検出する効果が十分に得られない。
非特許文献2に記載される従来技術では、検出能力を高めるために的確なシードを与えないと、マルウェアおよびマルウェア配布サイトを効率的に検出できない。
本発明は、このような事情を考慮してなされたもので、未知の悪性サイトを検出可能とすると共に該検出にかかる負担を軽減できる、監視システム、観測装置、解析装置、監視方法およびコンピュータプログラムを提供することを課題とする。
(1)本発明の一態様は、観測装置と、前記観測装置と通信回線で接続される解析装置とを有する監視システムであり、前記観測装置は、ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、前記データ観測部で収集された情報を前記解析装置へ送信する送信部と、を備え、前記解析装置は、前記観測装置から送信された情報を受信する受信部と、前記受信部で受信された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスからダウンロードされたコンテンツの悪性を判断する解析部と、
前記解析部により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する解析対象決定部と、を備えた、監視システムである。
(2)本発明の一態様は、上記(1)の監視システムにおいて、前記特定のページ遷移方法は、ドライブバイダウンロード(Drive-by Download)攻撃における特徴的なページ遷移方法である、監視システムである。
(3)本発明の一態様は、上記(2)の監視システムにおいて、前記特定のページ遷移方法は、参照元サイトの情報がHTTPヘッダ上に付かない、且つ、先頭ページからの一連のページ遷移において取得されたコンテンツから転送元を推測できない方法である監視システムである。
(4)本発明の一態様は、上記(1)の監視システムにおいて、前記特定のページ遷移方法は、前記Webページへのアクセスにおける先頭ページからの一連の遷移ページのURLの中に、該先頭ページに関する過去の遷移ページのドメイン名の記録に存在しない新規のドメイン名を持つURLが存在する方法である、監視システムである。
前記解析部により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する解析対象決定部と、を備えた、監視システムである。
(2)本発明の一態様は、上記(1)の監視システムにおいて、前記特定のページ遷移方法は、ドライブバイダウンロード(Drive-by Download)攻撃における特徴的なページ遷移方法である、監視システムである。
(3)本発明の一態様は、上記(2)の監視システムにおいて、前記特定のページ遷移方法は、参照元サイトの情報がHTTPヘッダ上に付かない、且つ、先頭ページからの一連のページ遷移において取得されたコンテンツから転送元を推測できない方法である監視システムである。
(4)本発明の一態様は、上記(1)の監視システムにおいて、前記特定のページ遷移方法は、前記Webページへのアクセスにおける先頭ページからの一連の遷移ページのURLの中に、該先頭ページに関する過去の遷移ページのドメイン名の記録に存在しない新規のドメイン名を持つURLが存在する方法である、監視システムである。
(5)本発明の一態様は、ユーザによるWebページへのアクセスに関する情報を観測装置から受信する受信部と、前記受信部で受信された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスからダウンロードされたコンテンツの悪性を判断する解析部と、前記解析部により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する解析対象決定部と、を備えた解析装置である。
(6)本発明の一態様は、ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、前記データ観測部で収集された情報を、上記(5)の解析装置へ送信する送信部と、を備えた観測装置である。
(6)本発明の一態様は、ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、前記データ観測部で収集された情報を、上記(5)の解析装置へ送信する送信部と、を備えた観測装置である。
(7)本発明の一態様は、ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、前記データ観測部で収集された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスからダウンロードされたコンテンツの悪性を判断し、前記判断により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する解析部と、を備えた観測装置である。
(8)本発明の一態様は、データ観測部が、ユーザによるWebページへのアクセスに関する情報を収集し、解析部が、前記データ観測部で収集された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスからダウンロードされたコンテンツの悪性を判断し、解析対象決定部が、前記解析部により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する、監視方法である。
(9)本発明の一態様は、コンピュータに、ユーザによるWebページへのアクセスに関する情報を観測装置から受信する受信機能と、前記受信機能により受信された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスからダウンロードされたコンテンツの悪性を判断する解析機能と、前記解析機能により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する解析対象決定機能と、を実現させるためのコンピュータプログラムである。
本発明によれば、未知の悪性サイトを検出可能とすると共に該検出にかかる負担を軽減できるという効果が得られる。
以下、図面を参照し、本発明の実施形態について説明する。
図1は、本発明の一実施形態に係る監視システムの構成を示すブロック図である。図1において、観測装置1−1,1−2(以下、特に区別しないときは「観測装置1」と称する)と解析装置2とは通信回線で接続されている。観測装置1は、送受信部11とデータ観測部12とコンテンツ保存部13を備える。解析装置2は、送受信部21と解析部22と情報要求部23とコンテンツ解析部24とブラックリスト管理部25と収集履歴保存部26を備える。
図1は、本発明の一実施形態に係る監視システムの構成を示すブロック図である。図1において、観測装置1−1,1−2(以下、特に区別しないときは「観測装置1」と称する)と解析装置2とは通信回線で接続されている。観測装置1は、送受信部11とデータ観測部12とコンテンツ保存部13を備える。解析装置2は、送受信部21と解析部22と情報要求部23とコンテンツ解析部24とブラックリスト管理部25と収集履歴保存部26を備える。
観測装置1において、送受信部11は、通信回線を介して解析装置2とメッセージを交換する。データ観測部12は、ユーザによるWebページへのアクセス(Webアクセス)に関する情報を収集する。Webアクセスに関する情報として、例えば、アクセス先のURL(Uniform Resource Locator)、ダウンロードしたコンテンツ、該コンテンツのハッシュ値などが挙げられる。コンテンツ保存部13は、データ観測部12が収集したコンテンツを保存する。
観測装置1−1は、ユーザが使用するWebブラウザ101にインストールされたプラグインソフトウェア(プラグイン)として実装されている。観測装置1−1のデータ観測部12は、Webブラウザ101がインターネット100上のWebサイトとの間でやり取りするHTTP(Hypertext Transfer Protocol)メッセージを取得することによって、ユーザのWebアクセスに関する情報やダウンロードされたコンテンツを取得する。
観測装置1−2は、インターネット100と接続しているHTTPプロキシサーバ(HTTPプロキシ)103に接続されているWebプロキシサーバ(Webプロキシ)に付随して設けられている。観測装置1−2として、例えば、ユーザ端末102とWebプロキシサーバとの間の通信を仲介するミドルウェアとして実装されることが挙げられる。観測装置1−2のデータ観測部12は、ユーザ端末102がWebプロキシサーバを介してインターネット100上のWebサイトとの間でやり取りするHTTPメッセージを取得することによって、ユーザのWebアクセスに関する情報やダウンロードされたコンテンツを取得する。
観測装置1において、データ観測部12によって取得されたWebアクセスに関する収集情報は、送受信部11により解析装置2へ送信される。また、データ観測部12によって取得されたコンテンツは、コンテンツ保存部13で保存される。コンテンツ保存部13で保存されているコンテンツは、解析装置2からのコンテンツ要求に応じて、送受信部11により解析装置2へ送信される。
解析装置2において、送受信部21は、通信回線を介して観測装置1とメッセージを交換する。解析部22は、観測装置1から受信した収集情報を解析する。この解析結果は情報要求部23へ送られる。情報要求部23(解析対象決定部)は、解析部22による解析結果に基づいて、観測装置1へ送信されるコンテンツ要求メッセージを生成する。このコンテンツ要求メッセージでは、解析部22の解析結果から悪性が疑われるコンテンツを観測装置1へ要求する。コンテンツ解析部24は、観測装置1から受信されたコンテンツの解析を行う。この観測装置1から受信されて解析されるコンテンツは、情報要求部23で生成されたコンテンツ要求メッセージに応じて観測装置1から送信されたものである。つまり、コンテンツ解析部24で解析の対象とされるコンテンツは、観測装置1で収集されたコンテンツのうち、解析部22の解析結果から悪性が疑われるコンテンツである。
ブラックリスト管理部25は、コンテンツ解析部24による解析結果に基づいて、悪性と判断されたコンテンツの情報を記録するブラックリストを作成し保持する。該ブラックリストには、コンテンツのURLおよびハッシュ値が記録される。収集履歴保存部26は、観測装置1から受信されたコンテンツのハッシュ値を保存する。収集履歴保存部26は、過去に観測装置1で収集されたコンテンツのハッシュ値のリストを格納する。解析装置2として、例えば、通信ネットワーク上に配置された中央集積型のサーバ装置を利用することが挙げられる。
図2は、本実施形態に係る解析方法を説明するための概念図である。図2には、Drive-by Download攻撃における特徴的なページ遷移方法が例示されている。図2において、マルウェア配布サイトへのlandingサイトには、改ざんされたページが存在し、クライアントが該改ざんされたページへアクセスすると、自動的にExploitサイトへ転送される。クライアントは、その転送先のExploitサイトでWebブラウザやプラグインソフトウェアなどの脆弱性をつく攻撃を受けることにより、マルウェア配布サイトへ転送させられる。
図2に示されるように、landingサイトの改ざんされたページにある転送用スクリプトは、一般に難読化されており、その改ざんされたページのコンテンツからは転送先を推測できない。つまり、該転送用スクリプトには、Exploitサイトやマルウェア配布サイトへのページ遷移を示す記載がない。そして、Exploitサイトからマルウェア配布サイトへのページ遷移では、一般に脆弱性をつく攻撃によって自動的に転送させられるため、Refererヘッダなどの参照元サイトの情報がHTTPヘッダ上に付かない。本実施形態では、この特徴を利用して悪性サイトへのアクセスを判断する。
次に、図3、図4および図5を参照して、図1に示す監視システムの動作を説明する。図3、図4および図5は、本実施形態に係る監視方法の手順を示すシーケンスチャートである。ここでは、観測装置1として観測装置1−1を例に挙げて説明する。なお、観測装置1−2についても同様の監視方法の手順である。
(図3:ステップS1)観測装置1−1はWebブラウザ101からのHTTPリクエスト(qi)を捕捉する。
(図3:ステップS2)観測装置1−1は、その捕捉したHTTPリクエスト(qi)をリクエスト先のWebサイトへ転送し、該WebサイトからのHTTPレスポンスを受信する。
(図3:ステップS3)観測装置1−1は、その受信したHTTPレスポンスが先頭ページであるか否かを調べる。例えば、当該HTTPリクエスト(qi)が、Webブラウザ101のブックマークから選択されることによって発生した場合や、Webブラウザ101のロケーションバーに直接URLが入力されたことで発生した場合に、先頭ページであると判断する。又は、当該HTTPリクエスト(qi)の送信時のマウスイベント(ユーザ操作としてのクリック、アンカーへのポインタ移動など)が有った場合に、先頭ページであると判断する。この判断の結果、先頭ページである場合には、観測装置1−1は、参照情報201を初期化する。一方、先頭ページでない場合には、ステップS4へ進む。なお、先頭ページとは、Webサイトにアクセスした際に発生する一連のページ遷移において、はじめにアクセスされたWebページのことを指す。
(図3:ステップS4)観測装置1−1は、HTTPレスポンス内のコンテンツを走査し、当該コンテンツ内に記載されているURL(ui1,ui2)を当該コンテンツのURL(qi)に関連付けて参照情報201へ保存する。また、観測装置1−1は、当該コンテンツのハッシュ値(hi)を計算する。該走査の対象となるコンテンツとして、例えば、HTML(HyperText Markup Language)文書、スクリプト言語(簡易プログラミング言語)ファイルなどが挙げられる。
(図3:ステップS5)観測装置1−1は、収集情報を解析装置2へ送信する。この収集情報として以下がある。
・コンテンツのハッシュ値(hi)
・HTTPリクエストURL(qi)
・HTTPリクエストとHTTPレスポンスのHTTPヘッダ情報、特にはRefererヘッダに示されているURL(ri)およびLocationヘッダに示されているURL(li)
・当該リクエスト先のURL(qi)が以前に受信したコンテンツ内に記載されていたURL(uki)と合致する場合「uki=qi」に、その参照元コンテンツのURL(qk)
・HTTPリクエスト送信時のマウスイベント(ユーザ操作としてのクリック、アンカーへのポインタ移動など)の有無(mi:1が有り、0が無し)
・当該リクエスト先(qi)のWebページが先頭ページか否かを示すフラグ(ni:1が先頭ページである、0が先頭ページではない)
なお、フラグ(ni)として、例えば、当該リクエストが、Webブラウザ101のブックマークから選択されることによって発生した場合や、Webブラウザ101のロケーションバーに直接URLが入力されたことで発生した場合に、当該リクエスト先(qi)のWebページが先頭ページであることを示す値「1」を設定する。
・コンテンツのハッシュ値(hi)
・HTTPリクエストURL(qi)
・HTTPリクエストとHTTPレスポンスのHTTPヘッダ情報、特にはRefererヘッダに示されているURL(ri)およびLocationヘッダに示されているURL(li)
・当該リクエスト先のURL(qi)が以前に受信したコンテンツ内に記載されていたURL(uki)と合致する場合「uki=qi」に、その参照元コンテンツのURL(qk)
・HTTPリクエスト送信時のマウスイベント(ユーザ操作としてのクリック、アンカーへのポインタ移動など)の有無(mi:1が有り、0が無し)
・当該リクエスト先(qi)のWebページが先頭ページか否かを示すフラグ(ni:1が先頭ページである、0が先頭ページではない)
なお、フラグ(ni)として、例えば、当該リクエストが、Webブラウザ101のブックマークから選択されることによって発生した場合や、Webブラウザ101のロケーションバーに直接URLが入力されたことで発生した場合に、当該リクエスト先(qi)のWebページが先頭ページであることを示す値「1」を設定する。
(図4:ステップS6)解析装置2は、観測装置1−1から収集情報を受信すると、該受信した収集情報(以下、受信収集情報と称する)内のHTTPリクエストURL(qi)およびコンテンツのハッシュ値(hi)が、ブラックリスト管理部25で保持されるブラックリスト内に在るかを調べる。この結果、ブラックリスト内に在る場合にはステップS8へ進み、ブラックリスト内にない場合にはステップS7に進む。HTTPリクエストURL(qi)およびコンテンツのハッシュ値(hi)がブラックリスト内に在る場合、当該URL(qi)およびコンテンツは、悪性が疑われるコンテンツとして、当該コンテンツのステータスが「1(悪性)」とされる。なお、ブラックリスト管理部25で保持されるブラックリストには、コンテンツ解析部24による過去のコンテンツ解析によって悪性と判定されたコンテンツのURLおよびハッシュ値が記録されている。
(図4:ステップS7)解析装置2は、受信収集情報に基づいて、ユーザのWebアクセスにおけるページ遷移方法を解析する。図5は、本実施形態に係る解析方法のフローチャートである。以下、図5を参照して、ステップS7の処理を説明する。
(図5:ステップS701)解析装置2は、受信収集情報に基づいて、リクエスト先(qi)のWebページが先頭ページか否かを判断する。具体的には、フラグ(ni)とマウスイベントの有無(mi)に基づいて判断する。フラグ(ni)が1である場合には先頭ページであると判断する。フラグ(ni)が0である場合において、マウスイベントの有無(mi)が1(有り)である場合には先頭ページであると判断する。それ以外の場合には先頭ページではないと判断する。この判断の結果、先頭ページである場合にはステップS702へ進み、先頭ページではない場合にはステップS703へ進む。
(図5:ステップS702)解析装置2は、ページ遷移に関するページ遷移情報(L,Q,H)を初期化する。そして、解析装置2は、当該コンテンツのステータスを「0(良性)」とする。
(図5:ステップS703)解析装置2は、受信収集情報に含まれるHTTPヘッダ情報が実行形式のファイルを示しているか否かを判断する。この判断として、例えばContent-Typeヘッダにおいてapplication/x-msdownload、application/octet-stream、application/java-archiveなどを示す場合に、実行形式のファイルを示していると判断することが挙げられる。この判断の結果、実行形式のファイルを示していない場合には、解析装置2は、当該コンテンツのステータスを「0(良性)」とする。一方、実行形式のファイルを示している場合には、ステップS704へ進む。
(図5:ステップS704)解析装置2は、実行形式のファイルを示していると判断された該当ファイルが、以前にアクセスされたページから遷移されたものか否かを判断する。この判断では、以下の3つの条件1,2,3を調べる。
(条件1)当該ファイルのURL(qi)が以前Locationヘッダに記載されていた(qi∈L)。
(条件2)受信収集情報内にRefererヘッダが存在し、該Refererヘッダに示されているURL(ri)が以前アクセスされたURLと合致する(ri∈Q)。
(条件3)受信収集情報内に参照元コンテンツのURL(qk)が存在し、該参照元コンテンツのURL(qk)が以前アクセスされたURLと合致する(qk∈Q)。
上記した条件1,2,3のうち、少なくともいずれか一つの条件が成立する場合には、実行形式のファイルを示していると判断された該当ファイルが、以前にアクセスされたページから遷移されたものであると判断する。この場合、解析装置2は、当該コンテンツのステータスを「0(良性)」とする。一方、上記した条件1,2,3の全てが不成立である場合には、解析装置2は、当該コンテンツのステータスを「1(悪性)」とする。この場合には、先頭ページからの一連のページ遷移において取得されたコンテンツおよび当該コンテンツの取得のために送受信されたHTTPヘッダから転送元を推測できないことになる。
(条件1)当該ファイルのURL(qi)が以前Locationヘッダに記載されていた(qi∈L)。
(条件2)受信収集情報内にRefererヘッダが存在し、該Refererヘッダに示されているURL(ri)が以前アクセスされたURLと合致する(ri∈Q)。
(条件3)受信収集情報内に参照元コンテンツのURL(qk)が存在し、該参照元コンテンツのURL(qk)が以前アクセスされたURLと合致する(qk∈Q)。
上記した条件1,2,3のうち、少なくともいずれか一つの条件が成立する場合には、実行形式のファイルを示していると判断された該当ファイルが、以前にアクセスされたページから遷移されたものであると判断する。この場合、解析装置2は、当該コンテンツのステータスを「0(良性)」とする。一方、上記した条件1,2,3の全てが不成立である場合には、解析装置2は、当該コンテンツのステータスを「1(悪性)」とする。この場合には、先頭ページからの一連のページ遷移において取得されたコンテンツおよび当該コンテンツの取得のために送受信されたHTTPヘッダから転送元を推測できないことになる。
(図5:ステップS705)解析装置2は、受信収集情報に基づいてページ遷移情報(L,Q,H)を蓄積する。この蓄積では、リクエスト先のURL(qi)を情報Qに追加する。さらに、HTTPヘッダ情報にLocationヘッダが存在する場合には、該Locationヘッダに示されているURL(li)を情報Lに追加する。さらに、コンテンツのハッシュ値(hi)を情報Hに追加する。
以上がステップS7の処理の説明である。
説明を図4に戻す。
(図4:ステップS8)解析装置2は、ステップS6,S7において、悪性が疑われるコンテンツとして当該コンテンツのステータスが「1(悪性)」とされた場合、先頭ページからの一連のWebアクセスにおいて観測装置1がアクセスしたコンテンツのURL(Q)およびハッシュ値(H)を収集要求候補とする。ステップS6において、悪性が疑われるコンテンツとして当該コンテンツのステータスが「1(悪性)」とされた場合、「Q=qi」であり、「H=hi」である。ステップS7において、悪性が疑われるコンテンツとして当該コンテンツのステータスが「1(悪性)」とされた場合、QおよびHは、ページ遷移情報(L,Q,H)内の情報QおよびHである。
(図4:ステップS8)解析装置2は、ステップS6,S7において、悪性が疑われるコンテンツとして当該コンテンツのステータスが「1(悪性)」とされた場合、先頭ページからの一連のWebアクセスにおいて観測装置1がアクセスしたコンテンツのURL(Q)およびハッシュ値(H)を収集要求候補とする。ステップS6において、悪性が疑われるコンテンツとして当該コンテンツのステータスが「1(悪性)」とされた場合、「Q=qi」であり、「H=hi」である。ステップS7において、悪性が疑われるコンテンツとして当該コンテンツのステータスが「1(悪性)」とされた場合、QおよびHは、ページ遷移情報(L,Q,H)内の情報QおよびHである。
(図4:ステップS9)解析装置2は、収集要求候補のハッシュ値(H)を、過去に観測装置1で収集されたコンテンツのハッシュ値のリスト(ハッシュ値収集履歴リスト)と照合する。ハッシュ値収集履歴リストは、収集履歴保存部26に格納されている。解析装置2は、収集要求候補のハッシュ値(H)のうちハッシュ値収集履歴リスト内に存在したハッシュ値を収集要求候補のハッシュ値(H)から削除すると共に、該削除したハッシュ値に該当するコンテンツのURLを収集要求候補のコンテンツのURL(Q)から削除する。
(図4:ステップS10)解析装置2は、収集要求候補の数が0ではない(つまり、少なくとも1つの収集要求候補が存在する)場合、収集要求候補(URL(Q))のコンテンツを要求するコンテンツ要求メッセージを観測装置1へ送信する。
(図4:ステップS11)観測装置1は、解析装置2からコンテンツ要求メッセージを受信すると、該コンテンツ要求メッセージで要求されているコンテンツをコンテンツ保存部13から取得して解析装置2へ送信する。
(図4:ステップS12)解析装置2は、コンテンツ要求メッセージの応答として観測装置1から受信したコンテンツを解析する。この解析は、コンテンツ解析部24によって、動的解析手法や静的解析手法を用いて行われる。又は、コンテンツ解析部24は、Webサイト上で公開されているコンテンツ解析サービスを利用して、コンテンツの解析を行ってもよい。
(図4:ステップS13)解析装置2は、そのコンテンツの解析結果が悪性であった場合には、当該コンテンツのURLおよびハッシュ値のエントリを、ブラックリスト管理部25のブラックリストに追加する。
一方、該コンテンツの解析結果が良性であった場合には、解析装置2は、当該コンテンツのURLおよびハッシュ値がブラックリスト管理部25のブラックリストに存在するかを調べる。この結果、ブラックリストに存在した場合には、該ブラックリストから当該コンテンツのURLおよびハッシュ値のエントリを削除する。
なお、上述したステップS7におけるステップS703では、実行形式のファイルを検出したが、実行形式以外の特定のファイル形式のファイルを検出してもよい。例えば、静止画や動画などの画像ファイル形式のファイルを検出してもよい。これにより、実行形式以外の特定のファイル形式のファイルを対象にして、マルウェア配布サイトへのページ遷移の検知を行うことができる。また、実行形式のファイルと、特定のファイル形式(例えば、画像ファイル形式)のファイルとの両方を検出してもよい。また、画像ファイル形式のファイルを検出する場合においては検出の条件としてコンテンツのサイズの下限値を設定してもよい。これにより、トラッキング目的のWebBugを誤検知することを防ぐことができる。
上述したように本実施形態によれば、ユーザによるWebページへのアクセスにおけるページ遷移方法についての情報を取得し、該取得した情報に基づいて特定のページ遷移方法の検出を行い、特定のページ遷移方法の検出結果に基づいて当該Webページへのアクセスからダウンロードされたコンテンツの悪性を判断する。そして、その判断の結果、悪性が疑われると判断されたコンテンツだけを解析の対象とする。上述の実施形態では、Drive-by Download攻撃における特徴的なページ遷移方法の検出有りで、当該Webページへのアクセスからダウンロードされたコンテンツを、悪性が疑われると判断する。このため、既知の悪性サイトへのページ遷移における特徴的なページ遷移方法を特定できれば、既知の悪性サイトのURLが豊富に得られなくても、未知の悪性サイトへのアクセスを検出できる。これにより、未知の悪性サイトへのアクセスを検出可能とすると共に該検出にかかる負担を軽減できるという効果が得られる。また、その検出された未知の悪性サイトへのアクセスからダウンロードされたコンテンツだけを解析の対象とすることにより、解析の対象とするコンテンツ数を効果的に削減できる。
また、特定のページ遷移方法の検出結果に基づいてWebページへのアクセスの悪性を判断するので、改ざんされていたWebページの改ざんが解消されたことによって該特定のページ遷移方法が検出されなくなった場合には、該改ざんされていたWebページへのアクセスが問題なしと判断できる。これにより、改ざんされていたWebページの改ざんが解消されたことに対しても直ぐに適応できるので、改ざんが解消されたのに悪性サイトであると誤検知することを防止できる。
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
例えば、上述の実施形態では、Drive-by Download攻撃を対象にしたが、これ以外の攻撃における特徴的なページ遷移方法に基づいて、Webページへのアクセスの悪性を判断してもよい。
また、上述した図4のステップS7の処理として、上述した図5の解析方法とは別の解析方法を用いてもよい。図6は、上述した実施形態に係る図4のステップS7の処理として他の解析方法を説明するための概念図である。図6に示される解析方法では、先頭ページ毎に遷移ページのドメイン名を記録しておく。そして、ある先頭ページからの一連の遷移ページのURLの中に、該記録に存在しない新規のドメイン名を持つURLが検出された場合に、ステップS8へ移行し、そうではない場合にはステップS8へ移行しない。なお、図6の例では、有名なドメイン名は、記録の対象外としているが、記録の対象としてもよい。但し、安全性が保障されている既知の有名なドメイン名については、記録の対象外とすることが処理量の効果的な削減の点で好ましい。
また、観測装置1が、悪性コンテンツのシグネチャなどを基にしてダウンロードしたコンテンツの悪性を判定する悪性判定機能を備えてもよい。そして、上述した図3のステップS5において、観測装置1は、解析装置2へ送信する収集情報に、該悪性判定機能による判定結果も含める。そして、上述した図4のステップS6において、解析装置2は、ブラックリストとの照合結果がブラックリスト内に在り、且つ、該悪性判定機能による判定結果が悪性である場合に、ステップS8へ移行し、そうではない場合にはステップS8へ移行しないとしてもよい。
また、本発明に係る監視システムとして、上述した図1の構成とは別に、図7に示されるような構成であってもよい。図7は、本発明に係る監視システムの他の構成例を示すブロック図である。図7において、図1の各部に対応する部分には同一の符号を付している。図7の構成例では、観測装置3は、図1の観測装置1−2に対して、図1の解析装置2の解析部22、ブラックリスト管理部25および収集履歴保存部26を追加した構成となっている。そして、図7の解析装置4は、送受信部21とコンテンツ解析部24とブラックリスト管理部25だけを備える。この図7の監視システムの運用方法として、観測装置3は、観測されるHTTPメッセージに対して随時、ページ遷移方法の解析を行い、この解析の結果から悪性が疑われるコンテンツだけを解析装置4へ送信する。そして、解析装置4は、該観測装置3から受信したコンテンツの解析を行う。そして、解析装置4は、その解析の結果として悪性と判定したコンテンツの情報である悪性コンテンツ情報(URLおよびハッシュ値)を観測装置3へ送信する。観測装置3は、該解析装置4から受信した悪性コンテンツ情報(URLおよびハッシュ値)を自己のブラックリスト管理部25のブラックリストに記録する。
また、上述した観測装置、解析装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
1−1,1−2,3…観測装置、2,4…解析装置、11,21…送受信部、12…データ観測部、13…コンテンツ保存部、22…解析部、23…情報要求部(解析対象決定部)、24…コンテンツ解析部、25…ブラックリスト管理部、26…収集履歴保存部、100…インターネット、101…Webブラウザ、102…ユーザ端末、103…HTTPプロキシサーバ
Claims (9)
- 観測装置と、前記観測装置と通信回線で接続される解析装置とを有する監視システムであり、
前記観測装置は、
ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、
前記データ観測部で収集された情報を前記解析装置へ送信する送信部と、を備え、
前記解析装置は、
前記観測装置から送信された情報を受信する受信部と、
前記受信部で受信された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスからダウンロードされたコンテンツの悪性を判断する解析部と、
前記解析部により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する解析対象決定部と、を備えた、
監視システム。 - 前記特定のページ遷移方法は、ドライブバイダウンロード(Drive-by Download)攻撃における特徴的なページ遷移方法である、
請求項1に記載の監視システム。 - 前記特定のページ遷移方法は、参照元サイトの情報がHTTPヘッダ上に付かない、且つ、先頭ページからの一連のページ遷移において取得されたコンテンツから転送元を推測できない方法である請求項2に記載の監視システム。
- 前記特定のページ遷移方法は、前記Webページへのアクセスにおける先頭ページからの一連の遷移ページのURLの中に、該先頭ページに関する過去の遷移ページのドメイン名の記録に存在しない新規のドメイン名を持つURLが存在する方法である、
請求項1に記載の監視システム。 - ユーザによるWebページへのアクセスに関する情報を観測装置から受信する受信部と、
前記受信部で受信された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスからダウンロードされたコンテンツの悪性を判断する解析部と、
前記解析部により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する解析対象決定部と、
を備えた解析装置。 - ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、
前記データ観測部で収集された情報を、請求項5に記載の解析装置へ送信する送信部と、
を備えた観測装置。 - ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、
前記データ観測部で収集された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスからダウンロードされたコンテンツの悪性を判断し、前記判断により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する解析部と、
を備えた観測装置。 - データ観測部が、ユーザによるWebページへのアクセスに関する情報を収集し、
解析部が、前記データ観測部で収集された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスからダウンロードされたコンテンツの悪性を判断し、
解析対象決定部が、前記解析部により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する、
監視方法。 - コンピュータに、
ユーザによるWebページへのアクセスに関する情報を観測装置から受信する受信機能と、
前記受信機能により受信された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスからダウンロードされたコンテンツの悪性を判断する解析機能と、
前記解析機能により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する解析対象決定機能と、
を実現させるためのコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014171927A JP2016045887A (ja) | 2014-08-26 | 2014-08-26 | 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014171927A JP2016045887A (ja) | 2014-08-26 | 2014-08-26 | 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016045887A true JP2016045887A (ja) | 2016-04-04 |
Family
ID=55636339
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014171927A Pending JP2016045887A (ja) | 2014-08-26 | 2014-08-26 | 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2016045887A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020017138A (ja) * | 2018-07-26 | 2020-01-30 | デジタルア−ツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
-
2014
- 2014-08-26 JP JP2014171927A patent/JP2016045887A/ja active Pending
Non-Patent Citations (3)
| Title |
|---|
| 安藤 槙悟、外3名: "通信の遷移に着目した不正リダイレクトの検出による悪性Webサイト検知システムの提案", 情報処理学会研究報告, vol. 2011, no. 32, JPN6017047990, 13 July 2011 (2011-07-13), JP, pages 1 - 6 * |
| 松中 隆志、外3名: "ドライブ・バイ・ダウンロード攻撃対策フレームワークにおけるリンク構造解析による改ざんサイト検出手法の", 2014年暗号と情報セキュリティシンポジウム概要集, JPN6017047992, 21 January 2014 (2014-01-21), JP, pages 1 - 8 * |
| 笠間 貴弘、外3名: "クライアント環境に応じたリダイレクト制御に着目した悪性Webサイト検出手法", 電子情報通信学会技術研究報告, vol. 114, no. 71, JPN6017047988, 5 June 2014 (2014-06-05), JP, pages 21 - 26 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020017138A (ja) * | 2018-07-26 | 2020-01-30 | デジタルア−ツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
| WO2020022456A1 (ja) * | 2018-07-26 | 2020-01-30 | デジタルアーツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
| CN112424778A (zh) * | 2018-07-26 | 2021-02-26 | 电子技巧股份有限公司 | 信息处理装置、信息处理方法、及信息处理程序 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Dumitraş et al. | Toward a standard benchmark for computer security research: The Worldwide Intelligence Network Environment (WINE) | |
| Maggi et al. | Two years of short urls internet measurement: security threats and countermeasures | |
| Burnett et al. | Encore: Lightweight measurement of web censorship with cross-origin requests | |
| US9215242B2 (en) | Methods and systems for preventing unauthorized acquisition of user information | |
| JP5917573B2 (ja) | リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法 | |
| US8515918B2 (en) | Method, system and computer program product for comparing or measuring information content in at least one data stream | |
| Moore et al. | Evil searching: Compromise and recompromise of internet hosts for phishing | |
| US20160036849A1 (en) | Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies | |
| US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
| CN107800686B (zh) | 一种钓鱼网站识别方法和装置 | |
| KR101623068B1 (ko) | 네트워크 트래픽 수집 및 분석 시스템 | |
| CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
| KR20180075881A (ko) | 클라이언트 측 웹 취약점 분석 방법 및 장치 | |
| US8180761B1 (en) | Referrer context aware target queue prioritization | |
| JP7115221B2 (ja) | サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置 | |
| Huber et al. | Tor HTTP usage and information leakage | |
| US11582226B2 (en) | Malicious website discovery using legitimate third party identifiers | |
| Nikolaev et al. | Exploit kit website detection using http proxy logs | |
| Roopak et al. | On effectiveness of source code and SSL based features for phishing website detection | |
| US10360379B2 (en) | Method and apparatus for detecting exploits | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| KR20140011518A (ko) | 악성코드를 차단하기 위한 방법 및 시스템 | |
| García et al. | Large scale analysis of doh deployment on the internet | |
| US20210168172A1 (en) | Information processing device, information processing method and information processing program | |
| JP2016045887A (ja) | 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170127 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20170127 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170130 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170127 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171117 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171219 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180619 |