JP2016045887A - 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム - Google Patents
監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム Download PDFInfo
- Publication number
- JP2016045887A JP2016045887A JP2014171927A JP2014171927A JP2016045887A JP 2016045887 A JP2016045887 A JP 2016045887A JP 2014171927 A JP2014171927 A JP 2014171927A JP 2014171927 A JP2014171927 A JP 2014171927A JP 2016045887 A JP2016045887 A JP 2016045887A
- Authority
- JP
- Japan
- Prior art keywords
- analysis
- unit
- content
- page
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【解決手段】観測装置1−1,1−2は、ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部12と、該収集された情報を解析装置2へ送信する送受信部21と、を備え、解析装置2は、該送信された情報を受信する送受信部21と、該受信された情報に基づいて特定のページ遷移方法の検出を行い、該特定のページ遷移方法の検出結果に基づいてWebページへのアクセスからダウンロードされたコンテンツの悪性を判断する解析部22と、解析部22により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する情報要求部23と、を備える。
【選択図】図1
Description
特許文献1に記載される従来技術では、Webページが正規に変更された場合と不正に改ざんされた場合とを区別することが難しい。また、コンテンツの特徴量によってはコンテンツの変化を検出できないようにコンテンツが改ざんされると、その検出が難しい。
非特許文献1に記載される従来技術では、既知のマルウェア配布サイトのURL(Uniform Resource Locator)が豊富にないと、未知のマルウェア配布サイトを検出する効果が十分に得られない。
非特許文献2に記載される従来技術では、検出能力を高めるために的確なシードを与えないと、マルウェアおよびマルウェア配布サイトを効率的に検出できない。
前記解析部により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する解析対象決定部と、を備えた、監視システムである。
(2)本発明の一態様は、上記(1)の監視システムにおいて、前記特定のページ遷移方法は、ドライブバイダウンロード(Drive-by Download)攻撃における特徴的なページ遷移方法である、監視システムである。
(3)本発明の一態様は、上記(2)の監視システムにおいて、前記特定のページ遷移方法は、参照元サイトの情報がHTTPヘッダ上に付かない、且つ、先頭ページからの一連のページ遷移において取得されたコンテンツから転送元を推測できない方法である監視システムである。
(4)本発明の一態様は、上記(1)の監視システムにおいて、前記特定のページ遷移方法は、前記Webページへのアクセスにおける先頭ページからの一連の遷移ページのURLの中に、該先頭ページに関する過去の遷移ページのドメイン名の記録に存在しない新規のドメイン名を持つURLが存在する方法である、監視システムである。
(6)本発明の一態様は、ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、前記データ観測部で収集された情報を、上記(5)の解析装置へ送信する送信部と、を備えた観測装置である。
図1は、本発明の一実施形態に係る監視システムの構成を示すブロック図である。図1において、観測装置1−1,1−2(以下、特に区別しないときは「観測装置1」と称する)と解析装置2とは通信回線で接続されている。観測装置1は、送受信部11とデータ観測部12とコンテンツ保存部13を備える。解析装置2は、送受信部21と解析部22と情報要求部23とコンテンツ解析部24とブラックリスト管理部25と収集履歴保存部26を備える。
・コンテンツのハッシュ値(hi)
・HTTPリクエストURL(qi)
・HTTPリクエストとHTTPレスポンスのHTTPヘッダ情報、特にはRefererヘッダに示されているURL(ri)およびLocationヘッダに示されているURL(li)
・当該リクエスト先のURL(qi)が以前に受信したコンテンツ内に記載されていたURL(uki)と合致する場合「uki=qi」に、その参照元コンテンツのURL(qk)
・HTTPリクエスト送信時のマウスイベント(ユーザ操作としてのクリック、アンカーへのポインタ移動など)の有無(mi:1が有り、0が無し)
・当該リクエスト先(qi)のWebページが先頭ページか否かを示すフラグ(ni:1が先頭ページである、0が先頭ページではない)
なお、フラグ(ni)として、例えば、当該リクエストが、Webブラウザ101のブックマークから選択されることによって発生した場合や、Webブラウザ101のロケーションバーに直接URLが入力されたことで発生した場合に、当該リクエスト先(qi)のWebページが先頭ページであることを示す値「1」を設定する。
(条件1)当該ファイルのURL(qi)が以前Locationヘッダに記載されていた(qi∈L)。
(条件2)受信収集情報内にRefererヘッダが存在し、該Refererヘッダに示されているURL(ri)が以前アクセスされたURLと合致する(ri∈Q)。
(条件3)受信収集情報内に参照元コンテンツのURL(qk)が存在し、該参照元コンテンツのURL(qk)が以前アクセスされたURLと合致する(qk∈Q)。
上記した条件1,2,3のうち、少なくともいずれか一つの条件が成立する場合には、実行形式のファイルを示していると判断された該当ファイルが、以前にアクセスされたページから遷移されたものであると判断する。この場合、解析装置2は、当該コンテンツのステータスを「0(良性)」とする。一方、上記した条件1,2,3の全てが不成立である場合には、解析装置2は、当該コンテンツのステータスを「1(悪性)」とする。この場合には、先頭ページからの一連のページ遷移において取得されたコンテンツおよび当該コンテンツの取得のために送受信されたHTTPヘッダから転送元を推測できないことになる。
(図4:ステップS8)解析装置2は、ステップS6,S7において、悪性が疑われるコンテンツとして当該コンテンツのステータスが「1(悪性)」とされた場合、先頭ページからの一連のWebアクセスにおいて観測装置1がアクセスしたコンテンツのURL(Q)およびハッシュ値(H)を収集要求候補とする。ステップS6において、悪性が疑われるコンテンツとして当該コンテンツのステータスが「1(悪性)」とされた場合、「Q=qi」であり、「H=hi」である。ステップS7において、悪性が疑われるコンテンツとして当該コンテンツのステータスが「1(悪性)」とされた場合、QおよびHは、ページ遷移情報(L,Q,H)内の情報QおよびHである。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
Claims (9)
- 観測装置と、前記観測装置と通信回線で接続される解析装置とを有する監視システムであり、
前記観測装置は、
ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、
前記データ観測部で収集された情報を前記解析装置へ送信する送信部と、を備え、
前記解析装置は、
前記観測装置から送信された情報を受信する受信部と、
前記受信部で受信された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスからダウンロードされたコンテンツの悪性を判断する解析部と、
前記解析部により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する解析対象決定部と、を備えた、
監視システム。 - 前記特定のページ遷移方法は、ドライブバイダウンロード(Drive-by Download)攻撃における特徴的なページ遷移方法である、
請求項1に記載の監視システム。 - 前記特定のページ遷移方法は、参照元サイトの情報がHTTPヘッダ上に付かない、且つ、先頭ページからの一連のページ遷移において取得されたコンテンツから転送元を推測できない方法である請求項2に記載の監視システム。
- 前記特定のページ遷移方法は、前記Webページへのアクセスにおける先頭ページからの一連の遷移ページのURLの中に、該先頭ページに関する過去の遷移ページのドメイン名の記録に存在しない新規のドメイン名を持つURLが存在する方法である、
請求項1に記載の監視システム。 - ユーザによるWebページへのアクセスに関する情報を観測装置から受信する受信部と、
前記受信部で受信された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスからダウンロードされたコンテンツの悪性を判断する解析部と、
前記解析部により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する解析対象決定部と、
を備えた解析装置。 - ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、
前記データ観測部で収集された情報を、請求項5に記載の解析装置へ送信する送信部と、
を備えた観測装置。 - ユーザによるWebページへのアクセスに関する情報を収集するデータ観測部と、
前記データ観測部で収集された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスからダウンロードされたコンテンツの悪性を判断し、前記判断により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する解析部と、
を備えた観測装置。 - データ観測部が、ユーザによるWebページへのアクセスに関する情報を収集し、
解析部が、前記データ観測部で収集された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスからダウンロードされたコンテンツの悪性を判断し、
解析対象決定部が、前記解析部により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する、
監視方法。 - コンピュータに、
ユーザによるWebページへのアクセスに関する情報を観測装置から受信する受信機能と、
前記受信機能により受信された情報に基づいて特定のページ遷移方法の検出を行い、前記特定のページ遷移方法の検出結果に基づいて前記Webページへのアクセスからダウンロードされたコンテンツの悪性を判断する解析機能と、
前記解析機能により悪性が疑われると判断されたコンテンツだけを解析の対象に決定する解析対象決定機能と、
を実現させるためのコンピュータプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014171927A JP2016045887A (ja) | 2014-08-26 | 2014-08-26 | 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014171927A JP2016045887A (ja) | 2014-08-26 | 2014-08-26 | 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2016045887A true JP2016045887A (ja) | 2016-04-04 |
Family
ID=55636339
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014171927A Pending JP2016045887A (ja) | 2014-08-26 | 2014-08-26 | 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2016045887A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020017138A (ja) * | 2018-07-26 | 2020-01-30 | デジタルア−ツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
-
2014
- 2014-08-26 JP JP2014171927A patent/JP2016045887A/ja active Pending
Non-Patent Citations (3)
Title |
---|
安藤 槙悟、外3名: "通信の遷移に着目した不正リダイレクトの検出による悪性Webサイト検知システムの提案", 情報処理学会研究報告, vol. 2011, no. 32, JPN6017047990, 13 July 2011 (2011-07-13), JP, pages 1 - 6 * |
松中 隆志、外3名: "ドライブ・バイ・ダウンロード攻撃対策フレームワークにおけるリンク構造解析による改ざんサイト検出手法の", 2014年暗号と情報セキュリティシンポジウム概要集, JPN6017047992, 21 January 2014 (2014-01-21), JP, pages 1 - 8 * |
笠間 貴弘、外3名: "クライアント環境に応じたリダイレクト制御に着目した悪性Webサイト検出手法", 電子情報通信学会技術研究報告, vol. 114, no. 71, JPN6017047988, 5 June 2014 (2014-06-05), JP, pages 21 - 26 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020017138A (ja) * | 2018-07-26 | 2020-01-30 | デジタルア−ツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
WO2020022456A1 (ja) * | 2018-07-26 | 2020-01-30 | デジタルアーツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
CN112424778A (zh) * | 2018-07-26 | 2021-02-26 | 电子技巧股份有限公司 | 信息处理装置、信息处理方法、及信息处理程序 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Dumitraş et al. | Toward a standard benchmark for computer security research: The Worldwide Intelligence Network Environment (WINE) | |
Maggi et al. | Two years of short urls internet measurement: security threats and countermeasures | |
Burnett et al. | Encore: Lightweight measurement of web censorship with cross-origin requests | |
US9215242B2 (en) | Methods and systems for preventing unauthorized acquisition of user information | |
JP5917573B2 (ja) | リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法 | |
US8515918B2 (en) | Method, system and computer program product for comparing or measuring information content in at least one data stream | |
Moore et al. | Evil searching: Compromise and recompromise of internet hosts for phishing | |
US20160036849A1 (en) | Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies | |
US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
CN107800686B (zh) | 一种钓鱼网站识别方法和装置 | |
KR101623068B1 (ko) | 네트워크 트래픽 수집 및 분석 시스템 | |
CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
KR20180075881A (ko) | 클라이언트 측 웹 취약점 분석 방법 및 장치 | |
US8180761B1 (en) | Referrer context aware target queue prioritization | |
JP7115221B2 (ja) | サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置 | |
Huber et al. | Tor HTTP usage and information leakage | |
US11582226B2 (en) | Malicious website discovery using legitimate third party identifiers | |
Nikolaev et al. | Exploit kit website detection using http proxy logs | |
Roopak et al. | On effectiveness of source code and SSL based features for phishing website detection | |
US10360379B2 (en) | Method and apparatus for detecting exploits | |
US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
KR20140011518A (ko) | 악성코드를 차단하기 위한 방법 및 시스템 | |
García et al. | Large scale analysis of doh deployment on the internet | |
US20210168172A1 (en) | Information processing device, information processing method and information processing program | |
JP2016045887A (ja) | 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170127 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20170127 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170130 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170127 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171117 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171219 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180619 |