JP2016057767A - 解析装置、解析方法およびコンピュータプログラム - Google Patents
解析装置、解析方法およびコンピュータプログラム Download PDFInfo
- Publication number
- JP2016057767A JP2016057767A JP2014182471A JP2014182471A JP2016057767A JP 2016057767 A JP2016057767 A JP 2016057767A JP 2014182471 A JP2014182471 A JP 2014182471A JP 2014182471 A JP2014182471 A JP 2014182471A JP 2016057767 A JP2016057767 A JP 2016057767A
- Authority
- JP
- Japan
- Prior art keywords
- web page
- analysis
- reference destination
- sites
- site
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】未知の悪性サイトを検出可能とすると共に該検出にかかる負担を軽減すること。【解決手段】Webサイトへ行われたアクセスの参照元及び参照先の情報に基づいて、各Webページの参照元及び参照先を解析する解析部11と、前記解析部11の解析結果によるWebページの参照元の個数及び参照先の個数に基づいて悪性Webページの検出を行う検出部12と、を備える。検出部12は、悪性Webページであるか否かを判定する対象Webページについて、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が1である場合に、当該対象Webページを悪性であると判定する。【選択図】図1
Description
本発明は、ウェブ(Web)ページについての解析装置、解析方法およびコンピュータプログラムに関する。
従来、Webページの改ざんや悪性Webページによる攻撃の一例として、ドライブバイダウンロード(Drive-by Download)攻撃と呼ばれるものが知られている。Drive-by Download攻撃とは、ユーザがWebブラウザを使用して悪性Webページにアクセスした際に、WebブラウザやWebブラウザのプラグインソフトウェアの脆弱性を悪用してマルウェアをダウンロードさせる攻撃である。一般的なDrive-by Download攻撃では、攻撃者は正規のWebページを改ざんして、マルウェアを配布するサイト又はマルウェア自身へリンクさせるためのスクリプトコードを挿入することにより、当該Webページへアクセスしたユーザを自動的にExploitサイトへ転送させる。ユーザは、その転送先のExploitサイトでWebブラウザやプラグインソフトウェアなどの脆弱性をつく攻撃を受けることにより、マルウェア配布サイトへ転送させられる。この結果、ユーザは、その転送先のマルウェア配布サイトからマルウェアを自動的にダウンロードして実行することになる。
Webページの改ざんや悪性Webページを監視する従来技術として、例えば、特許文献1、非特許文献1,2などが知られている。特許文献1に記載される従来技術では、Webサイト上のコンテンツに対して、あらかじめ保持しておいたコンテンツの特徴量や複製を用いて、コンテンツの特徴量の差異、コンテンツの差分を検出することにより、コンテンツの改ざんを検知している。非特許文献1に記載される従来技術では、WebブラウザがアクセスするURL(Uniform Resource Locator)を監視し、アクセスされたURLが既知の悪性WebページのURLと一致した場合に、当該アクセスを遮断している。非特許文献2に記載される従来技術では、マルウェア配布サイトの情報とWebページ間のリンク構造を示すグラフに基づいて、マルウェア配布サイトへのLandingサイトを検出し、検出されたLandingサイトに基づいて未知のマルウェア配布サイトを検出している。
"Google Safe Browsing", インターネット<URL:https://developers.google.com/safe-browsing/>
J. W. Stokes et al, "WebCop: Locating Neighborhoods of Malware on the Web", Proc. 3rd USENIX Workshop on Large-scale Exploits and Emergent Threats (LEET2010), 2010
しかし、上述した従来技術では以下に示す課題がある。
特許文献1に記載される従来技術では、Webページが正規に変更された場合と不正に改ざんされた場合とを区別することが難しい。また、コンテンツの特徴量によってはコンテンツの変化を検出できないようにコンテンツが改ざんされると、その検出が難しい。
非特許文献1に記載される従来技術では、既知の悪性Webページには有効であるが、未知の悪性Webページには効果がない。
非特許文献2に記載される従来技術では、既知のマルウェア配布サイトのURLが豊富にないと、未知のマルウェア配布サイトを検出する効果が十分に得られない。
特許文献1に記載される従来技術では、Webページが正規に変更された場合と不正に改ざんされた場合とを区別することが難しい。また、コンテンツの特徴量によってはコンテンツの変化を検出できないようにコンテンツが改ざんされると、その検出が難しい。
非特許文献1に記載される従来技術では、既知の悪性Webページには有効であるが、未知の悪性Webページには効果がない。
非特許文献2に記載される従来技術では、既知のマルウェア配布サイトのURLが豊富にないと、未知のマルウェア配布サイトを検出する効果が十分に得られない。
本発明は、このような事情を考慮してなされたもので、未知の悪性サイトを検出可能とすると共に該検出にかかる負担を軽減できる、解析装置、解析方法およびコンピュータプログラムを提供することを課題とする。
(1)本発明の一態様は、Webサイトへ行われたアクセスの参照元及び参照先の情報に基づいて、各Webページの参照元及び参照先を解析する解析部と、前記解析部の解析結果によるWebページの参照元の個数及び参照先の個数に基づいて悪性Webページの検出を行う検出部と、を備えた解析装置である。
(2)本発明の一態様は、上記(1)の解析装置において、前記検出部は、悪性Webページであるか否かを判定する対象Webページについて、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が1である場合に、当該対象Webページを悪性であると判定する、解析装置である。
(3)本発明の一態様は、上記(1)の解析装置において、前記検出部は、悪性Webページであるか否かを判定する対象Webページについて、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が第1の閾値以下である場合に、当該対象Webページを悪性であると判定し、一方、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が前記第1の閾値よりも大きい第2の閾値以上である場合に、当該対象Webページを良性であると判定する、解析装置である。
(4)本発明の一態様は、上記(1)から(3)のいずれかの解析装置において、前記参照元及び参照先の情報は、URLのホスト部分の情報である解析装置である。
(5)本発明の一態様は、上記(1)から(3)のいずれかの解析装置において、前記参照元及び参照先の情報は、IPアドレスである解析装置である。
(6)本発明の一態様は、上記(1)から(5)のいずれかの解析装置において、前記解析部は、Webページの参照先が画像データであり且つ該画像データのサイズが所定値よりも小さいものを、前記解析結果において当該Webページの参照先としない解析装置である。
(7)本発明の一態様は、上記(1)から(6)のいずれかの解析装置において、前記解析部は、Webページの参照先の少なくとも2ホップは先の参照先も、前記解析結果において当該Webページの参照先とする解析装置である。
(2)本発明の一態様は、上記(1)の解析装置において、前記検出部は、悪性Webページであるか否かを判定する対象Webページについて、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が1である場合に、当該対象Webページを悪性であると判定する、解析装置である。
(3)本発明の一態様は、上記(1)の解析装置において、前記検出部は、悪性Webページであるか否かを判定する対象Webページについて、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が第1の閾値以下である場合に、当該対象Webページを悪性であると判定し、一方、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が前記第1の閾値よりも大きい第2の閾値以上である場合に、当該対象Webページを良性であると判定する、解析装置である。
(4)本発明の一態様は、上記(1)から(3)のいずれかの解析装置において、前記参照元及び参照先の情報は、URLのホスト部分の情報である解析装置である。
(5)本発明の一態様は、上記(1)から(3)のいずれかの解析装置において、前記参照元及び参照先の情報は、IPアドレスである解析装置である。
(6)本発明の一態様は、上記(1)から(5)のいずれかの解析装置において、前記解析部は、Webページの参照先が画像データであり且つ該画像データのサイズが所定値よりも小さいものを、前記解析結果において当該Webページの参照先としない解析装置である。
(7)本発明の一態様は、上記(1)から(6)のいずれかの解析装置において、前記解析部は、Webページの参照先の少なくとも2ホップは先の参照先も、前記解析結果において当該Webページの参照先とする解析装置である。
(8)本発明の一態様は、解析部が、Webサイトへ行われたアクセスの参照元及び参照先の情報に基づいて、各Webページの参照元及び参照先を解析し、検出部が、前記解析部の解析結果によるWebページの参照元の個数及び参照先の個数に基づいて悪性Webページの検出を行う、解析方法である。
(9)本発明の一態様は、コンピュータに、Webサイトへ行われたアクセスの参照元及び参照先の情報に基づいて、各Webページの参照元及び参照先を解析する解析機能と、前記解析機能の解析結果によるWebページの参照元の個数及び参照先の個数に基づいて悪性Webページの検出を行う検出機能と、を実現させるためのコンピュータプログラムである。
本発明によれば、未知の悪性サイトを検出可能とすると共に該検出にかかる負担を軽減できるという効果が得られる。
以下、図面を参照し、本発明の実施形態について説明する。
図1は、本発明の一実施形態に係る解析装置1の構成を示すブロック図である。図1において、解析装置1は解析部11と検出部12を備える。解析装置1には、Webアクセス情報が入力される。Webアクセス情報は、Webサイトへ行われたアクセスの参照元(Fan-In)及び参照先(Fan-Out)の情報である。Webアクセス情報として、例えば、HTTP(Hypertext Transfer Protocol)プロキシサーバで作成されたWebアクセスログや、ユーザ端末のWebブラウザにインストールされているプラグインソフトウェアで作成されたWebアクセスログなどが利用可能である。解析部11は、Webアクセス情報に基づいて、各Webページの参照元(Fan-In)及び参照先(Fan-Out)を解析する。検出部12は、解析部11の解析結果に基づいて悪性Webページを検出する。検出部12は、検出した悪性Webページを特定する情報(例えばURL)を有する検出結果情報を出力する。
図1は、本発明の一実施形態に係る解析装置1の構成を示すブロック図である。図1において、解析装置1は解析部11と検出部12を備える。解析装置1には、Webアクセス情報が入力される。Webアクセス情報は、Webサイトへ行われたアクセスの参照元(Fan-In)及び参照先(Fan-Out)の情報である。Webアクセス情報として、例えば、HTTP(Hypertext Transfer Protocol)プロキシサーバで作成されたWebアクセスログや、ユーザ端末のWebブラウザにインストールされているプラグインソフトウェアで作成されたWebアクセスログなどが利用可能である。解析部11は、Webアクセス情報に基づいて、各Webページの参照元(Fan-In)及び参照先(Fan-Out)を解析する。検出部12は、解析部11の解析結果に基づいて悪性Webページを検出する。検出部12は、検出した悪性Webページを特定する情報(例えばURL)を有する検出結果情報を出力する。
図2及び図3は、本実施形態に係る解析方法を説明するための概念図である。図2には、Drive-by Download攻撃における特徴的なページ遷移方法が例示されている。図2において、マルウェア配布サイトへのLandingサイトには、改ざんされたページが存在し、クライアントが該改ざんされたページへアクセスすると、自動的にExploitサイトへ転送される。クライアントは、その転送先のExploitサイトでWebブラウザやプラグインソフトウェアなどの脆弱性をつく攻撃を受けることにより、マルウェア配布サイトへ転送させられ、該マルウェア配布サイトからマルウェアをダウンロードさせられる。
図3には、Exploitサイト及びマルウェア配布サイトの一般的な構成が例示されている。図3の例では、Exploitサイト及びマルウェア配布サイトは、同じWebサイトC内に構築されている。WebサイトCは、環境検査用ページと攻撃用ページを有する。環境検査用ページは、WebサイトCにアクセスしてきたユーザ端末(クライアント)の環境(オペレーティングシステム(OS)、Webブラウザにインストールされているプラグインソフトウェアなど)を調べる機能を有する。攻撃用ページは、環境検査用ページによる調査の結果、クライアントの環境が攻撃対象の脆弱性をもつ環境と一致する場合に、脆弱性をつく攻撃を行う媒体(オブジェクト指向プログラム言語によるアプリケーション等のリソースの書庫ファイル(アーカイブ)、PDF(Portable Document Format)ファイルなど)を当該クライアントへダウンロードさせる。その後、該クライアントに対して、WebサイトCからマルウェアをダウンロードさせる。
ここで、ExploitサイトはLandingサイトから参照されるが、該Landingサイトは様々なWebサイトが改ざんされたものであって一般に複数存在する。よって、Exploitサイトは、通常、複数のLandingサイトから参照される。このため、Exploitサイト内のWebページ、特にExploitサイトにおいてはじめにアクセスされるWebページは、通常、複数のWebサイトから参照される。一方、該Exploitサイト内のWebページ、特にExploitサイトにおいてはじめにアクセスされるWebページが参照する先のWebサイトは、攻撃のための特定のWebサイト(例えば、Exploitサイト自身のみ)に限定されると考えられる。本実施形態では、それらの特徴をもとにし、Webページの参照元(Fan-In)の個数及び参照先(Fan-Out)の個数に基づいて、悪性Webページの検出を行う。
次に、本実施形態に係る解析装置1の動作を説明する。
[解析部]
解析部11は、Webアクセス情報に基づいて、各Webページの参照元(Fan-In)及び参照先(Fan-Out)を解析する。図4は、本実施形態に係る解析方法のフローチャートである。図4を参照して、本実施形態に係る解析方法を説明する。ここでは、Webアクセス情報として、Webアクセスログ(例えばHTTPプロキシサーバで作成されたWebアクセスログなど)に記録されたHTTPリクエストメッセージ及びHTTPレスポンスメッセージを使用する。
解析部11は、Webアクセス情報に基づいて、各Webページの参照元(Fan-In)及び参照先(Fan-Out)を解析する。図4は、本実施形態に係る解析方法のフローチャートである。図4を参照して、本実施形態に係る解析方法を説明する。ここでは、Webアクセス情報として、Webアクセスログ(例えばHTTPプロキシサーバで作成されたWebアクセスログなど)に記録されたHTTPリクエストメッセージ及びHTTPレスポンスメッセージを使用する。
(ステップS1)解析部11は、Webアクセス情報から、リクエストURL(qi)、Refererヘッダに記載されたURL(ri)及びLocationヘッダに記載されたURL(li)を抽出する。この抽出では、図2に示されるように、HTTPリクエストメッセージとHTTPレスポンスメッセージの組ごとに、リクエストURL(qi)、URL(ri)及びURL(li)を関連づけておく。
(ステップS2)解析部11は、ステップS1で抽出されたリクエストURL(qi)、URL(ri)及びURL(li)を使用して、以下の更新方法a及びbにより、参照元サイト群I及び参照先サイト群Oを更新する。
(更新方法a)URL(ri)のFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)部分(ri.host)を、該URL(ri)に関連付けられているリクエストURL(qi)への参照元サイト群I[qi]に追加する。また、リクエストURL(qi)のFQDN部分(qi.host)を、該リクエストURL(qi)に関連付けられているURL(ri)からの参照先サイト群O[ri]に追加する。
(更新方法b)URL(li)のFQDN部分(li.host)を、該URL(li)に関連付けられているリクエストURL(qi)からの参照先サイト群O[qi]に追加する。また、リクエストURL(qi)のFQDN部分(qi.host)を、該リクエストURL(qi)に関連付けられているURL(li)への参照元サイト群I[li]に追加する。
なお、上記のステップS2において、各参照元サイト群I[qi],I[li]及び各参照先サイト群O[ri],O[qi]に追加する情報として、FQDNに対応するIP(Internet Protocol)アドレス(ri.addr),(qi.addr),(li.addr)を使用してもよい。
また、上記のステップS2において、URLによる参照先が画像データであり且つ該画像データのサイズが所定値よりも小さいものは参照先サイト群に追加しないようにすることも好ましい。これにより、ユーザによるトラッキングを目的とした画像データを、悪性コンテンツとして誤検知することを防ぐ効果が得られる。
また、上記のステップS2において、各参照先サイト群O[ri],O[qi]に追加する情報として、上記した追加対象「リクエストURL(qi)のFQDN部分(qi.host)」及び「URL(li)のFQDN部分(li.host)」のWebページの2ホップ先や3ホップ先、4ホップ先など、該追加対象のWebページの少なくとも2ホップは先の参照先も、さらに各参照先サイト群O[ri],O[qi]に追加することも好ましい。該各参照先サイト群O[ri],O[qi]にさらに追加する参照先(追加参照先)として、例えば、上記した追加対象「リクエストURL(qi)のFQDN部分(qi.host)」及び「URL(li)のFQDN部分(li.host)」のWebページのMホップ先の参照先とすることが挙げられる。但し、Mは2以上の所定の自然数であり、Mを1つだけ設定してもよく、若しくは、値の異なるMを2つ以上同時に設定してもよい。又は、該追加参照先として、上記した追加対象「リクエストURL(qi)のFQDN部分(qi.host)」及び「URL(li)のFQDN部分(li.host)」のWebページの、Nホップ先までの全ての参照先としたり(但し、Nは2以上の自然数)若しくは2ホップ以上先の全ての参照先としたり、することが挙げられる。これにより、良性Webページを誤って悪性Webページとして検出することを防ぐ効果が得られる。
[検出部]
検出部12は、解析部11の解析結果に基づいて悪性Webページを検出する。この悪性Webページ検出方法について以下に例1,例2を挙げて説明する。
検出部12は、解析部11の解析結果に基づいて悪性Webページを検出する。この悪性Webページ検出方法について以下に例1,例2を挙げて説明する。
(悪性Webページ検出方法の例1)
図5は、本実施形態に係る悪性Webページ検出方法の例1を説明するための概念図である。悪性Webページ検出方法の例1では、悪性Webページであるか否かを判定する対象のWebページ(対象Webページ)について、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が1である場合に、当該対象Webページを悪性であると判定する。悪性であると判定されなかった対象Webページについては良性であると判定する。
図5は、本実施形態に係る悪性Webページ検出方法の例1を説明するための概念図である。悪性Webページ検出方法の例1では、悪性Webページであるか否かを判定する対象のWebページ(対象Webページ)について、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が1である場合に、当該対象Webページを悪性であると判定する。悪性であると判定されなかった対象Webページについては良性であると判定する。
具体的には、検出部12は、解析部11の解析結果において、ある対象WebページのURL(qi)に関し、当該URL(qi)への参照元サイトの数(参照元サイト群I[qi]に含まれる参照元サイトの数)と、当該URL(qi)からの参照先サイトの数(参照先サイト群O[qi]に含まれる参照元サイトの数)とを調べる。そして、検出部12は、当該URL(qi)への参照元サイトの数が2以上であり、且つ、当該URL(qi)からの参照先サイトの数が1である場合に、当該URL(qi)の対象Webページを悪性であると判定する。一方、検出部12は、当該URL(qi)への参照元サイトの数が2以上であり、且つ、当該URL(qi)からの参照先サイトの数が2以上である場合に、当該URL(qi)の対象Webページを悪性であると判定する。
(悪性Webページ検出方法の例2)
図6は、本実施形態に係る悪性Webページ検出方法の例2を説明するための概念図である。悪性Webページ検出方法の例2では、悪性であると判定する条件として、対象Webページへの参照元サイトの数が複数であり、対象Webページからの参照先サイトの数が1又は複数である。但し、参照先サイトの数に対しては、悪性であると判定するための上限値Th1と、悪性ではないと判定するための下限値Th2とを設ける(但し、Th2>Th1)。つまり、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数がTh1以下である場合に、当該対象Webページを悪性であると判定する。一方、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数がTh2以上である場合に、当該対象Webページを良性であると判定する。
図6は、本実施形態に係る悪性Webページ検出方法の例2を説明するための概念図である。悪性Webページ検出方法の例2では、悪性であると判定する条件として、対象Webページへの参照元サイトの数が複数であり、対象Webページからの参照先サイトの数が1又は複数である。但し、参照先サイトの数に対しては、悪性であると判定するための上限値Th1と、悪性ではないと判定するための下限値Th2とを設ける(但し、Th2>Th1)。つまり、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数がTh1以下である場合に、当該対象Webページを悪性であると判定する。一方、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数がTh2以上である場合に、当該対象Webページを良性であると判定する。
具体的には、検出部12は、解析部11の解析結果において、ある対象WebページのURL(qi)に関し、当該URL(qi)への参照元サイトの数(参照元サイト群I[qi]に含まれる参照元サイトの数)と、当該URL(qi)からの参照先サイトの数(参照先サイト群O[qi]に含まれる参照元サイトの数)とを調べる。そして、検出部12は、当該URL(qi)への参照元サイトの数が2以上であり、且つ、当該URL(qi)からの参照先サイトの数がTh1以下である場合に、当該URL(qi)の対象Webページを悪性であると判定する。一方、検出部12は、当該URL(qi)への参照元サイトの数が2以上であり、且つ、当該URL(qi)からの参照先サイトの数がTh2以上である場合に、当該URL(qi)の対象Webページを悪性であると判定する。
上述したように本実施形態によれば、Webページの参照元(Fan-In)の個数及び参照先(Fan-Out)の個数に基づいて悪性Webページの検出を行う。このため、Webサイトへ行われたアクセスの参照元(Fan-In)及び参照先(Fan-Out)の情報(Webアクセス情報)が取得できれば、既知の悪性サイトのURLが豊富に得られなくても、未知の悪性サイトを検出できる。これにより、未知の悪性サイトを検出可能とすると共に該検出にかかる負担を軽減できるという効果が得られる。
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
例えば、上述した実施形態に係る解析装置1を利用して各種のシステムを構成するようにしてもよい。図7は、上述した実施形態に係る解析装置1を利用した通信システムの一例を示す構成図である。図7において、解析装置1は、ユーザ端末102のWebブラウザ101にインストールされたプラグインソフトウェア(ブラウザプラグインソフトウェア)で作成されたWebアクセスログや、ユーザ端末102からアクセスされるHTTPプロキシサーバ103で作成されたWebアクセスログを取得する。解析装置1は、それら取得したWebアクセスログを解析して悪性Webページを検出し、検出した悪性WebページのURLの情報(悪性URL情報)をWebアクセスログの取得元のユーザ端末102やHTTPプロキシサーバ103へ送信する。ユーザ端末102やHTTPプロキシサーバ103は、解析装置1から受信した悪性URL情報に基づいて、悪性Webページ又は悪性Webページを有する悪性Webサイトへのアクセスを遮断する。
図8は、上述した実施形態に係る解析装置1を利用した通信システムの他の例を示す構成図である。図8において、解析装置1は、図7の通信システムと同様に、ユーザ端末102やHTTPプロキシサーバ103で作成されたWebアクセスログを取得し、それら取得したWebアクセスログを解析して悪性Webページを検出する。解析装置1は、その検出した悪性WebページのURL上のコンテンツを、Webアクセスログの取得元のユーザ端末102やHTTPプロキシサーバ103から取得する。そして、解析装置1は、その取得したコンテンツをコンテンツ解析システム200へ送信し、コンテンツ解析システム200から該コンテンツの詳細な解析結果を受信する。
また、上述した解析装置1の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
1…解析装置、11…解析部、12…検出部、101…Webブラウザ、102…ユーザ端末、103…HTTPプロキシサーバ、200…コンテンツ解析システム
Claims (9)
- Webサイトへ行われたアクセスの参照元及び参照先の情報に基づいて、各Webページの参照元及び参照先を解析する解析部と、
前記解析部の解析結果によるWebページの参照元の個数及び参照先の個数に基づいて悪性Webページの検出を行う検出部と、
を備えた解析装置。 - 前記検出部は、悪性Webページであるか否かを判定する対象Webページについて、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が1である場合に、当該対象Webページを悪性であると判定する、
請求項1に記載の解析装置。 - 前記検出部は、悪性Webページであるか否かを判定する対象Webページについて、
対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が第1の閾値以下である場合に、当該対象Webページを悪性であると判定し、
一方、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が前記第1の閾値よりも大きい第2の閾値以上である場合に、当該対象Webページを良性であると判定する、
請求項1に記載の解析装置。 - 前記参照元及び参照先の情報は、URLのホスト部分の情報である請求項1から3のいずれか1項に記載の解析装置。
- 前記参照元及び参照先の情報は、IPアドレスである請求項1から3のいずれか1項に記載の解析装置。
- 前記解析部は、Webページの参照先が画像データであり且つ該画像データのサイズが所定値よりも小さいものを、前記解析結果において当該Webページの参照先としない請求項1から5のいずれか1項に記載の解析装置。
- 前記解析部は、Webページの参照先の少なくとも2ホップは先の参照先も、前記解析結果において当該Webページの参照先とする請求項1から6のいずれか1項に記載の解析装置。
- 解析部が、Webサイトへ行われたアクセスの参照元及び参照先の情報に基づいて、各Webページの参照元及び参照先を解析し、
検出部が、前記解析部の解析結果によるWebページの参照元の個数及び参照先の個数に基づいて悪性Webページの検出を行う、
解析方法。 - コンピュータに、
Webサイトへ行われたアクセスの参照元及び参照先の情報に基づいて、各Webページの参照元及び参照先を解析する解析機能と、
前記解析機能の解析結果によるWebページの参照元の個数及び参照先の個数に基づいて悪性Webページの検出を行う検出機能と、
を実現させるためのコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014182471A JP2016057767A (ja) | 2014-09-08 | 2014-09-08 | 解析装置、解析方法およびコンピュータプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014182471A JP2016057767A (ja) | 2014-09-08 | 2014-09-08 | 解析装置、解析方法およびコンピュータプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016057767A true JP2016057767A (ja) | 2016-04-21 |
Family
ID=55758319
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014182471A Pending JP2016057767A (ja) | 2014-09-08 | 2014-09-08 | 解析装置、解析方法およびコンピュータプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2016057767A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017217163A1 (ja) * | 2016-06-17 | 2017-12-21 | 日本電信電話株式会社 | アクセス分類装置、アクセス分類方法及びアクセス分類プログラム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001290843A (ja) * | 2000-02-04 | 2001-10-19 | Fujitsu Ltd | 文書検索装置及びその方法並びに文書検索プログラム及びそのプログラムを記録した記録媒体 |
| JP2009169924A (ja) * | 2007-12-18 | 2009-07-30 | Nippon Telegr & Teleph Corp <Ntt> | 特徴的キーワード検出装置、特徴的キーワード検出方法、プログラムおよび記録媒体 |
| JP2011257901A (ja) * | 2010-06-08 | 2011-12-22 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析装置、解析方法及び解析プログラム |
| JP2012221286A (ja) * | 2011-04-11 | 2012-11-12 | Kddi Corp | ユーザ分類装置、ユーザ分類方法、およびユーザ分類プログラム |
| JP2013257773A (ja) * | 2012-06-13 | 2013-12-26 | Nippon Telegr & Teleph Corp <Ntt> | 監視装置および監視方法 |
-
2014
- 2014-09-08 JP JP2014182471A patent/JP2016057767A/ja active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001290843A (ja) * | 2000-02-04 | 2001-10-19 | Fujitsu Ltd | 文書検索装置及びその方法並びに文書検索プログラム及びそのプログラムを記録した記録媒体 |
| JP2009169924A (ja) * | 2007-12-18 | 2009-07-30 | Nippon Telegr & Teleph Corp <Ntt> | 特徴的キーワード検出装置、特徴的キーワード検出方法、プログラムおよび記録媒体 |
| JP2011257901A (ja) * | 2010-06-08 | 2011-12-22 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析装置、解析方法及び解析プログラム |
| JP2012221286A (ja) * | 2011-04-11 | 2012-11-12 | Kddi Corp | ユーザ分類装置、ユーザ分類方法、およびユーザ分類プログラム |
| JP2013257773A (ja) * | 2012-06-13 | 2013-12-26 | Nippon Telegr & Teleph Corp <Ntt> | 監視装置および監視方法 |
Non-Patent Citations (3)
| Title |
|---|
| 伊藤光恭ほか: "ネットワークセキュリティ技術の動向", NTT技術ジャーナル, vol. 第22巻,第3号, JPN6017044897, 1 March 2010 (2010-03-01), JP, pages 40 - 44, ISSN: 0003687279 * |
| 安藤槙悟ほか: "通信の遷移に着目した不正リダイレクトの検出による悪性Webサイト検知システムの提案", 電子情報通信学会技術研究報告, vol. 第111巻,第123号, JPN6017044898, 5 July 2011 (2011-07-05), JP, pages 205 - 210, ISSN: 0003687280 * |
| 青木一史ほか: "検索エンジンによるマルウェア接続先評価手法の提案", 電子情報通信学会技術研究報告, vol. 第110巻,第113号, JPN6017044895, 24 June 2010 (2010-06-24), JP, pages 75 - 80, ISSN: 0003687278 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017217163A1 (ja) * | 2016-06-17 | 2017-12-21 | 日本電信電話株式会社 | アクセス分類装置、アクセス分類方法及びアクセス分類プログラム |
| JPWO2017217163A1 (ja) * | 2016-06-17 | 2018-10-04 | 日本電信電話株式会社 | アクセス分類装置、アクセス分類方法及びアクセス分類プログラム |
| US11212297B2 (en) | 2016-06-17 | 2021-12-28 | Nippon Telegraph And Telephone Corporation | Access classification device, access classification method, and recording medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8515918B2 (en) | Method, system and computer program product for comparing or measuring information content in at least one data stream | |
| US9953162B2 (en) | Rapid malware inspection of mobile applications | |
| Borders et al. | Quantifying information leaks in outbound web traffic | |
| Chen et al. | WebPatrol: Automated collection and replay of web-based malware scenarios | |
| WO2015001970A1 (ja) | 不正アクセス検知システム及び不正アクセス検知方法 | |
| JP6687761B2 (ja) | 結合装置、結合方法および結合プログラム | |
| US11792221B2 (en) | Rest API scanning for security testing | |
| CN112703496B (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
| Siby et al. | {WebGraph}: Capturing advertising and tracking information flows for robust blocking | |
| Lamprakis et al. | Unsupervised detection of APT C&C channels using web request graphs | |
| JP5752642B2 (ja) | 監視装置および監視方法 | |
| KR101487476B1 (ko) | 악성도메인을 검출하기 위한 방법 및 장치 | |
| JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
| US10360379B2 (en) | Method and apparatus for detecting exploits | |
| KR20140011518A (ko) | 악성코드를 차단하기 위한 방법 및 시스템 | |
| Mun et al. | Secure short url generation method that recognizes risk of target url | |
| US10484422B2 (en) | Prevention of rendezvous generation algorithm (RGA) and domain generation algorithm (DGA) malware over existing internet services | |
| JP2016057767A (ja) | 解析装置、解析方法およびコンピュータプログラム | |
| JP2019036830A (ja) | 端末識別装置、端末識別方法及びプログラム | |
| US10805300B2 (en) | Computer network cross-boundary protection | |
| US9003535B1 (en) | Systems and methods for certifying client-side security for internet sites | |
| CN111767540A (zh) | Jart恶意软件自动化分析方法、装置和计算机可读存储介质 | |
| WO2015178002A1 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
| KR101944809B1 (ko) | 도메인 네임 서버를 이용한 악성 코드 정보 조회 방법 | |
| JP6055726B2 (ja) | ウェブページ監視装置、ウェブページ監視システム、ウェブページ監視方法およびコンピュータプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170127 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170130 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171117 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171128 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180529 |