JP2016170524A - 悪性url候補取得装置、悪性url候補取得方法、及びプログラム - Google Patents
悪性url候補取得装置、悪性url候補取得方法、及びプログラム Download PDFInfo
- Publication number
- JP2016170524A JP2016170524A JP2015048653A JP2015048653A JP2016170524A JP 2016170524 A JP2016170524 A JP 2016170524A JP 2015048653 A JP2015048653 A JP 2015048653A JP 2015048653 A JP2015048653 A JP 2015048653A JP 2016170524 A JP2016170524 A JP 2016170524A
- Authority
- JP
- Japan
- Prior art keywords
- search
- character string
- url
- malignant
- site
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【解決手段】悪性サイトを検出するために使用されるURLである悪性URL候補を取得するための悪性URL候補取得装置において、既知の悪性サイトで使用される文字列である特徴文字列を格納する特徴文字列格納手段と、前記特徴文字列をキーワードとして使用することにより、インターネット上の検索装置に対する検索を実行する検索手段と、前記検索手段により得られた検索結果に基づき、悪性URL候補を決定する決定手段とを備えて構成する。
【選択図】図2
Description
既知の悪性サイトで使用される文字列である特徴文字列を格納する特徴文字列格納手段と、
前記特徴文字列をキーワードとして使用することにより、インターネット上の検索装置に対する検索を実行する検索手段と、
前記検索手段により得られた検索結果に基づき、悪性URL候補を決定する決定手段と
を備える悪性URL候補取得装置が提供される。
前記悪性URL候補取得装置は、既知の悪性サイトで使用される文字列である特徴文字列を格納する特徴文字列格納手段を備え、
前記特徴文字列をキーワードとして使用することにより、インターネット上の検索装置に対して検索を実行する検索ステップと、
前記検索ステップにより得られた検索結果に基づき、悪性URL候補を決定する決定ステップと
を備える悪性URL候補取得方法が提供される。
まず、図1を参照して本発明の実施の形態における悪性URL候補取得技術の概要を説明する。図1に示すように、本実施の形態において、悪性URL候補取得装置10が備えられる。悪性URL候補取得装置10は、インターネット30に接続され、インターネット30上の検索装置20を用いて、インターネット30における情報の検索を行う機能を持つ。各検索装置は、検索エンジンが備えられた装置であり、1又は複数のサーバを含む。なお、悪性URL候補取得装置10が検索を行う先のネットワークは、インターネット30に限られず、インターネット30以外の通信ネットワークであってもよい。
図2に、本実施の形態に係る悪性URL候補取得装置10の構成図を示す。図2に示すように、本実施の形態に係る悪性URL候補取得装置10は、特徴文字列取得部11、特徴文字列格納部12、検索制御部13、検索実行部14、検索結果格納部15、URL候補決定部16を有する。なお、図2に示す悪性URL候補取得装置10の機能区分及び機能名称は一例に過ぎない。本実施の形態における処理を実行可能な悪性URL候補取得装置10の機能区分及び機能名称は、図2に示すものに限られない。各機能部の概要は以下のとおりである。
以下、悪性URL候補取得装置10の詳細動作を図3のフロー図に従って説明する。ここでの詳細動作の説明では、悪性サイトの例として攻撃サイトを挙げているが、これは例であり、本発明は、攻撃サイトに限定されない悪性サイトに対して適用可能である。攻撃サイトとは、例えば、ドライブバイダウンロードのように、ブラウザ等でアクセスすると何等かの攻撃が発動されるサイトである。
まず、ステップ101として、特徴文字列の抽出が行われる。この特徴文字列の抽出は、悪性URL候補取得装置10の外で、装置(コンピュータ)が自動的に行ってもよいし、コンピュータを用いて人手で行ってもよいし、悪性URL候補取得装置10の特徴文字列取得部11が自動的に行ってもよい。
観点(1):EKや難読化アプリケーションの仕様上に表れる特徴
(1−1)種々のEK(アプリケーション)において、各アプリケーション固有に表れる特徴文字列が存在する。このようなEKがサイトに組み込まれることで攻撃が行われることから、当該アプリケーション固有に表れる特徴文字列をEKもしくは既知の攻撃サイトのコンテンツから抽出し、当該特徴文字列を有するサイトを検索することで攻撃URL候補を得ることができる。
攻撃サイトから提供されるコンテンツは、攻撃先で攻撃コードを発動させるために、正規サイトのコンテンツにはない特徴文字列を入れ込むことが必要不可欠である。本実施の形態では、このような観点から、例えば既知の攻撃サイトのコンテンツから攻撃コードに関係する特徴文字列を抽出する。
攻撃者は、改ざん入口サイトのように、iframeやリダイレクトでサイトの遷移を行わせることが多い。このような観点から、iframeやリダイレクトで遷移をさせるためのコードを含んだ文字列を特徴文字列として、例えば、改ざん入口サイトのコンテンツ等から抽出する。
EKを用いて作成される攻撃サイトのURLには、EKに特有の特徴的な文字列が含まれている場合が多い。このような観点で、本実施の形態では、例えば、EKにより作成された攻撃サイトのURLから当該特徴文字列を抽出する。このような特徴文字列の一例として、図4の(f)に示すように、「.com/content/main.php?page= , /r57.php」がある。
次に、悪性URL候補取得装置10における検索制御部13は、特徴文字列格納部12に格納されている特徴文字列を用いて、どの検索装置に対してどの特徴文字列を使用し、どのような手順で検索を行うかを決定する。例えば、検索制御部13は、予め定めたルールに従って各装置用の検索情報及び手順を決定する。
インターネット検索エンジンは、一般的なインターネット検索サービスを提供する検索エンジンであり、例えばGoogle(登録商標)、bing(登録商標)等により提供される検索エンジンである。
ソースコード検索エンジンは、Webサイト内のCSS、HTML、Javascript(登録商標)等のソースコードを検索の対象とする検索エンジンである。ソースコード検索エンジンとして、例えば、nerdydata、meanpath等がある。ソースコード検索エンジンについては、キャッシュ量は中程度であるが、検索要求に係る文字列を含むソースコードを有するサイトを正確に特定できるという特徴を有する。
悪性サイト蓄積サイトとは、攻撃サイト等の悪性サイトの情報を蓄積し、検索を可能としているサイトであり、例えば、scumware.org、dfk.de等のサイトがある。悪性サイト蓄積サイトは、悪性サイトの情報が蓄積されているが、キャッシュ量は小さく、また、IFの自由度が小さい。
検索制御部13は、各検索装置に対して決定した特徴文字列と検索手順を示す情報を検索実行部14に渡すことで検索実行部14に対して検索実行を指示する。検索手順としては、予め手順のパターンを定めておき、どのパターンの検索かを示す情報を検索実行部14に渡すこととしてもよいし、プログラムコードの形で検索手順を渡すこととしてもよい。
次に、URL候補決定部16が、検索結果格納部15に格納された検索結果の中から、悪性URL候補(シード)とするURLを決定する。ここでの決定については、例えば、得られたURLの数が所定の閾値以下であれば、全ての検索結果のURLを悪性URL候補として決定してよい。また、得られたURLの数に関わらず、全ての検索結果のURLを悪性URL候補として決定してもよい。
図3のステップ201として示すように、前述したインターネット検索エンジン、ソースコード検索エンジン、悪性URL蓄積サイトのそれぞれに対する検索において、検索制御部13は、検索対象を、特定のIPアドレス、特定のFQDN、特定のVPS(仮想専用サーバのホスティングサービス)に絞ることを決定してもよい。特定のIPアドレス/特定のFQDN/特定のVPSに、悪性サイトの存在する可能性が高いことが発明者の過去の知見からわかっているため、この検索条件は効果的であると考えられる。
以上、詳細に説明したように、本実施の形態では、図3のフロー図に示した「特徴文字列抽出」、「各装置用最適検索情報及び手順決定」、及び「URL候補決定」を組み合わせて実施することにより、悪性の確率が高い数多くのシードを得ることができる。また、「他検索条件抽出」を組み合わせることにより、さらに悪性確率の高いシードを得ることができる。本実施の形態の技術により、インターネット空間から、未知の悪性URLを効率的に発見できる。その結果、数多くの悪性URL候補を提供できる。
本実施の形態により、悪性サイトを検出するために使用されるURLである悪性URL候補を取得するための悪性URL候補取得装置であって、既知の悪性サイトで使用される文字列である特徴文字列を格納する特徴文字列格納手段と、前記特徴文字列をキーワードとして使用することにより、インターネット上の検索装置に対する検索を実行する検索手段と、前記検索手段により得られた検索結果に基づき、悪性URL候補を決定する決定手段とを備える悪性URL候補取得装置が提供される。
20 検索装置
30 インターネット
11 特徴文字列取得部
12 特徴文字列格納部
13 検索制御部
14 検索実行部
15 検索結果格納部
16 URL候補決定部
Claims (9)
- 悪性サイトを検出するために使用されるURLである悪性URL候補を取得するための悪性URL候補取得装置であって、
既知の悪性サイトで使用される文字列である特徴文字列を格納する特徴文字列格納手段と、
前記特徴文字列をキーワードとして使用することにより、インターネット上の検索装置に対する検索を実行する検索手段と、
前記検索手段により得られた検索結果に基づき、悪性URL候補を決定する決定手段と
を備える悪性URL候補取得装置。 - 前記検索手段は、
前記検索装置としてインターネット検索エンジンを備える検索装置を用いる場合に、特定のサイト内で前記特徴文字列に基づく検索を行う、又は、URL内での前記特徴文字列に基づく検索を行う
請求項1に記載の悪性URL候補取得装置。 - 前記検索手段は、
前記検索装置としてソースコード検索エンジンを備える検索装置を用いる場合に、既知の悪性サイトのコンテンツに含まれる特徴文字列に基づく検索を行う
請求項1又は2に記載の悪性URL候補取得装置。 - 前記検索手段は、
前記検索装置として悪性サイトの情報を蓄積した検索装置を用いる場合に、前記特徴文字列に含まれるFQDN部からIPアドレスを取得し、当該IPアドレスに基づく検索を行う
請求項1ないし3のうちいずれか1項に記載の悪性URL候補取得装置。 - 前記検索手段は、
前記検索装置としてインターネット検索エンジンを備える検索装置を用いる場合に、当該検索装置に対する検索で得られた結果からホワイトリストに含まれるURLを除去した結果を前記検索結果とする
請求項1ないし4のうちいずれか1項に記載の悪性URL候補取得装置。 - 前記検索手段は、複数の検索装置を用いて前記特徴文字列に基づく検索を行い、
前記決定手段は、前記複数の検索装置のうちの複数の検索装置から得られたURLを前記悪性URL候補として決定する
請求項1ないし5のうちいずれか1項に記載の悪性URL候補取得装置。 - 前記特徴文字列は、所定のアプリケーションを使用して作成された悪性サイトのコンテンツに含まれる文字列、当該悪性サイトのURLに含まれる文字列、攻撃先で攻撃コードを発動させるための文字列、又は、他サイトへの遷移を指示する文字列である
請求項1ないし6のうちいずれか1項に記載の悪性URL候補取得装置。 - 悪性サイトを検出するために使用されるURLである悪性URL候補を取得するための悪性URL候補取得装置が実行する悪性URL候補取得方法であって、
前記悪性URL候補取得装置は、既知の悪性サイトで使用される文字列である特徴文字列を格納する特徴文字列格納手段を備え、
前記特徴文字列をキーワードとして使用することにより、インターネット上の検索装置に対して検索を実行する検索ステップと、
前記検索ステップにより得られた検索結果に基づき、悪性URL候補を決定する決定ステップと
を備える悪性URL候補取得方法。 - コンピュータを、請求項1ないし7のうちいずれか1項に記載の悪性URL候補取得装置における各手段として機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015048653A JP6478730B2 (ja) | 2015-03-11 | 2015-03-11 | 悪性url候補取得装置、悪性url候補取得方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015048653A JP6478730B2 (ja) | 2015-03-11 | 2015-03-11 | 悪性url候補取得装置、悪性url候補取得方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016170524A true JP2016170524A (ja) | 2016-09-23 |
JP6478730B2 JP6478730B2 (ja) | 2019-03-06 |
Family
ID=56983792
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015048653A Active JP6478730B2 (ja) | 2015-03-11 | 2015-03-11 | 悪性url候補取得装置、悪性url候補取得方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6478730B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019142399A1 (ja) * | 2018-01-17 | 2019-07-25 | 日本電信電話株式会社 | 収集装置、収集方法及び収集プログラム |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003023466A (ja) * | 2001-07-09 | 2003-01-24 | Sanaru:Kk | 有害サイトアクセス防止用インターネットサービスプロバイダ |
JP2004046739A (ja) * | 2002-07-15 | 2004-02-12 | Fujitsu Ltd | データ送信方法、データ送信システム、中継装置、コンピュータプログラム、及び記録媒体 |
JP2005208780A (ja) * | 2004-01-21 | 2005-08-04 | Nec Corp | メールフィルタリングシステム及びそれに用いるurlブラックリスト動的構築方法 |
JP2006221294A (ja) * | 2005-02-09 | 2006-08-24 | Nec Engineering Ltd | Url検索方法及び検索装置 |
US20090126026A1 (en) * | 2007-11-08 | 2009-05-14 | Min Sik Kim | Method, apparatus and system for managing malicious-code spreading sites using search engine |
JP2009541822A (ja) * | 2006-06-16 | 2009-11-26 | ヤフー! インコーポレイテッド | 検索早期警告 |
JP2012221216A (ja) * | 2011-04-08 | 2012-11-12 | Kddi Corp | アプリケーション評価装置およびプログラム |
-
2015
- 2015-03-11 JP JP2015048653A patent/JP6478730B2/ja active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003023466A (ja) * | 2001-07-09 | 2003-01-24 | Sanaru:Kk | 有害サイトアクセス防止用インターネットサービスプロバイダ |
JP2004046739A (ja) * | 2002-07-15 | 2004-02-12 | Fujitsu Ltd | データ送信方法、データ送信システム、中継装置、コンピュータプログラム、及び記録媒体 |
JP2005208780A (ja) * | 2004-01-21 | 2005-08-04 | Nec Corp | メールフィルタリングシステム及びそれに用いるurlブラックリスト動的構築方法 |
JP2006221294A (ja) * | 2005-02-09 | 2006-08-24 | Nec Engineering Ltd | Url検索方法及び検索装置 |
JP2009541822A (ja) * | 2006-06-16 | 2009-11-26 | ヤフー! インコーポレイテッド | 検索早期警告 |
US20090126026A1 (en) * | 2007-11-08 | 2009-05-14 | Min Sik Kim | Method, apparatus and system for managing malicious-code spreading sites using search engine |
JP2012221216A (ja) * | 2011-04-08 | 2012-11-12 | Kddi Corp | アプリケーション評価装置およびプログラム |
Non-Patent Citations (1)
Title |
---|
"NTTセキュアプラットフォーム研究所のR&D展開、マルウェア対策 独自開発のハニーポット技術を用いて", BUSINESS COMMUNICATION 第50巻 第11号, JPN6018026169, 1 November 2013 (2013-11-01), JP, pages 16 - 17, ISSN: 0003835092 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019142399A1 (ja) * | 2018-01-17 | 2019-07-25 | 日本電信電話株式会社 | 収集装置、収集方法及び収集プログラム |
JPWO2019142399A1 (ja) * | 2018-01-17 | 2020-04-30 | 日本電信電話株式会社 | 収集装置、収集方法及び収集プログラム |
US11556819B2 (en) | 2018-01-17 | 2023-01-17 | Nippon Telegraph And Telephone Corporation | Collection apparatus, collection method, and collection program |
Also Published As
Publication number | Publication date |
---|---|
JP6478730B2 (ja) | 2019-03-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9043917B2 (en) | Automatic signature generation for malicious PDF files | |
US9407658B1 (en) | System and method for determining modified web pages | |
US10089464B2 (en) | De-obfuscating scripted language for network intrusion detection using a regular expression signature | |
Hong et al. | Phishing url detection with lexical features and blacklisted domains | |
Egele et al. | Defending browsers against drive-by downloads: Mitigating heap-spraying code injection attacks | |
Amrutkar et al. | Detecting mobile malicious webpages in real time | |
US8893278B1 (en) | Detecting malware communication on an infected computing device | |
Liu et al. | A novel approach for detecting browser-based silent miner | |
US20090064337A1 (en) | Method and apparatus for preventing web page attacks | |
WO2015142755A1 (en) | Behavior profiling for malware detection | |
KR102271545B1 (ko) | 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들 | |
Kim et al. | Detecting fake anti-virus software distribution webpages | |
JP6687761B2 (ja) | 結合装置、結合方法および結合プログラム | |
US10445501B2 (en) | Detecting malicious scripts | |
WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
KR102120200B1 (ko) | 악성 코드 수집 방법 및 시스템 | |
JP6557334B2 (ja) | アクセス分類装置、アクセス分類方法、及びアクセス分類プログラム | |
Lamprakis et al. | Unsupervised detection of APT C&C channels using web request graphs | |
KR101859562B1 (ko) | 취약점 정보 분석 방법 및 장치 | |
JP2011257901A (ja) | 解析システム、解析装置、解析方法及び解析プログラム | |
Malviya et al. | Development of web browser prototype with embedded classification capability for mitigating Cross-Site Scripting attacks | |
Le Jamtel | Swimming in the Monero pools | |
Chaudhary et al. | Plague of cross-site scripting on web applications: a review, taxonomy and challenges | |
Canfora et al. | A set of features to detect web security threats | |
Takata et al. | Minespider: Extracting urls from environment-dependent drive-by download attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170905 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180629 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180710 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180910 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190115 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190205 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6478730 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |