JP2018174471A - Communication control unit, communication control system, communication control method and communication control program - Google Patents
Communication control unit, communication control system, communication control method and communication control program Download PDFInfo
- Publication number
- JP2018174471A JP2018174471A JP2017072115A JP2017072115A JP2018174471A JP 2018174471 A JP2018174471 A JP 2018174471A JP 2017072115 A JP2017072115 A JP 2017072115A JP 2017072115 A JP2017072115 A JP 2017072115A JP 2018174471 A JP2018174471 A JP 2018174471A
- Authority
- JP
- Japan
- Prior art keywords
- address
- communication
- communication control
- packet
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 134
- 238000000034 method Methods 0.000 title claims description 24
- 230000005540 biological transmission Effects 0.000 claims abstract description 13
- 230000000903 blocking effect Effects 0.000 claims description 18
- 238000007689 inspection Methods 0.000 abstract 1
- 238000001514 detection method Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、通信制御装置、通信制御システム、通信制御方法及び通信制御プログラムに関する。 The present invention relates to a communication control device, a communication control system, a communication control method, and a communication control program.
マルウェアは、コンピュータ利用者にとって好ましくない動作を行う悪意のあるソフトウェアの略称であり、ウィルスやスパイウェア、ワーム、ランサムウェア等種々のものが存在する。また、マルウェアには、セキュリティ対策製品がシグネチャによるパターンマッチングで検知することから、“既知のマルウェア”と、シグネチャによるパターンマッチングでは検知できない“未知のマルウェア”の2種類が存在する。 Malware is an abbreviation for malicious software that performs undesirable operations for computer users, and there are various types such as viruses, spyware, worms, and ransomware. In addition, there are two types of malware: “known malware” and “unknown malware” that cannot be detected by signature pattern matching because security countermeasure products detect by pattern matching by signature.
セキュリティ製品におけるマルウェアの検出には、シグネチャによるパターンマッチングが行われている。セキュリティ製品を利用した際の安全度を評価するにあたっては、どれだけのマルウェアがその製品にとって既知であるか(すなわち、シグネチャで検知できるか)を評価することも重要であるが、未知のマルウェアが続々と生成されている今日においては、シグネチャにマッチしない未知のマルウェアをその製品が検査した際の検知率を評価することが極めて重要である。 For the detection of malware in security products, pattern matching based on signatures is performed. When evaluating the security level when using a security product, it is also important to evaluate how much malware is known to the product (that is, whether it can be detected by the signature). In today's generation, it is very important to evaluate the detection rate when the product inspects unknown malware that does not match the signature.
セキュリティ製品の評価を行う際に、シグネチャにマッチしない検体(マルウェア)を検査するときの検知率を評価したいなどの理由で、セキュリティ製品が外部に行う通信を遮断して検体の検査を実施したいことがある。一方で、セキュリティ製品がインストールされている端末からの通信自体は、セキュリティ製品が検体本来の挙動を観測できるように行わせたいと場合がある。 When evaluating security products, you want to test the sample by blocking communications performed by the security product for reasons such as evaluating the detection rate when testing a sample that does not match the signature (malware). There is. On the other hand, there is a case where communication itself from a terminal in which a security product is installed is desired to be performed so that the security product can observe the original behavior of the specimen.
従来、ウインドウズOSにおいては、外部通信の可否を実行ファイルごとに設定することが可能であるので、本機能を用いてセキュリティ製品の実行ファイルの外部通信を遮断することで上記課題を実現する方法がある。しかしながら、セキュリティ製品は多数の実行ファイルで構成されていることがある。かかる場合に、実行ファイルを漏れなく登録することが容易でない場合がある。また、検体(マルウェア)の実行によりウインドウズファイアウォールの通信制御が無効化されるおそれもある。 Conventionally, in Windows OS, whether or not external communication is possible can be set for each execution file. Therefore, there is a method for realizing the above problem by blocking external communication of an execution file of a security product using this function. is there. However, security products may consist of a number of executable files. In such a case, it may not be easy to register the executable file without omission. Moreover, there is a possibility that communication control of the Windows firewall is invalidated by execution of the specimen (malware).
非特許文献1には、仮想マシン上で動作する各プロセスの通信を、仮想マシンを動作させているハイパーバイザから制御する例が開示されている。この例では、ハイパーバイザから通信を制御するので、検体の実行により通信制御が無効化されるおそれがない。反面、仮想マシン上で検体の実行を行うことになる。また、近年のマルウェアは仮想マシン上では悪性動作を行わなくなるものも存在するため、実際の検体を利用したセキュリティ製品の評価には適さない。 Non-Patent Document 1 discloses an example in which communication of each process operating on a virtual machine is controlled from a hypervisor operating the virtual machine. In this example, since communication is controlled from the hypervisor, there is no possibility that communication control is invalidated by executing the sample. On the other hand, the sample is executed on the virtual machine. In addition, some malware in recent years do not perform malicious operations on virtual machines, and thus are not suitable for evaluation of security products using actual specimens.
本発明は上記事情に鑑み、セキュリティ製品が行う通信は遮断する一方、検体(マルウェア)が行う通信は疎通させた状態でのセキュリティ製品の検査を可能とする通信制御装置、通信制御システム、通信制御方法及び通信制御プログラムを提供することを目的としている。 SUMMARY OF THE INVENTION In view of the above circumstances, the present invention provides a communication control device, a communication control system, and a communication control capable of inspecting a security product in a state where communication performed by a sample (malware) is blocked while communication performed by the security product is blocked It is an object to provide a method and a communication control program.
上記目的を達成するための第1の態様は、ネットワークに配置され自身を経由する通信パケットを遮断する機能を有する通信制御装置であって、第1のIPアドレスと第2のIPアドレスが入力として与えられ、前記第2のIPアドレスを送信元とする通信パケットを受信した際には当該通信パケットの宛先IPアドレスを記録してアドレスリストに追加するIPアドレス記録手段と、前記第1のIPアドレスを送信元とし、前記アドレスリストに含まれないIPアドレスを宛先とする通信パケットを受信した際には遮断する通信遮断手段と、を備えることを特徴とする通信制御装置である。 A first aspect for achieving the above object is a communication control apparatus having a function of blocking communication packets arranged in a network and passing through the network, wherein the first IP address and the second IP address are input. IP address recording means for recording a destination IP address of the communication packet and adding it to an address list when receiving a communication packet having the second IP address as a transmission source, and the first IP address And a communication blocking means for blocking when receiving a communication packet whose destination is an IP address not included in the address list.
第2の態様は、通信制御装置とDNSサーバとで構成される通信制御システムである。 A 2nd aspect is a communication control system comprised by a communication control apparatus and a DNS server.
第3の態様は、ネットワークに配置され自身を経由する通信パケットを遮断する機能を有する通信制御装置における通信制御方法であって、第1のIPアドレスと第2のIPアドレスが入力として与えられ、前記第2のIPアドレスを送信元とする通信パケットを受信した際には当該通信パケットの宛先IPアドレスを記録してアドレスリストに追加し、前記第1のIPアドレスを送信元とし、前記アドレスリストに含まれないIPアドレスを宛先とする通信パケットを受信した際には遮断する、ことを特徴とする通信制御方法である。 A third aspect is a communication control method in a communication control apparatus having a function of blocking a communication packet that is arranged in a network and that passes through the network, wherein a first IP address and a second IP address are given as inputs, When a communication packet having the second IP address as a transmission source is received, the destination IP address of the communication packet is recorded and added to the address list, and the first IP address is used as the transmission source, and the address list The communication control method is characterized in that when a communication packet destined for an IP address not included in is received, the packet is blocked.
第4態様は、ネットワークに配置され自身を経由する通信パケットを遮断する機能を有する通信制御装置とDNSサーバとで構成される通信制御システムにおける通信制御方法であって、前記通信制御装置は、第1のIPアドレスと第2のIPアドレスが入力として与えられ、前記第2のIPアドレスを送信元とする通信パケットを受信した際には当該通信パケットの宛先IPアドレスを記録してアドレスリストに追加し、前記第1のIPアドレスを送信元とし、前記アドレスリストに含まれないIPアドレスを宛先とする通信パケットを受信した際には遮断し、前記DNSサーバは、前記第2のIPアドレスを送信元とするDNSクエリパケットを受信した際には当該クエリにおいて名前解決の対象であるドメインをドメインリストに記録し、前記第1のIPアドレスを送信元とし、かつ、ドメインリストに記載のドメインの名前解決を要求するDNSクエリパケットを受信した際には、当該ドメインの名前解決を行って取得したIPアドレスを前記アドレスリストに加えることを明記したリクエストパケットを前記通信制御装置に送信し、前記通信制御装置は、前記リクエストパケットがあった場合には当該パケットにIPアドレスを前記アドレスリストに追加する、ことを特徴とする通信制御方法である。 A fourth aspect is a communication control method in a communication control system comprising a communication control device arranged in a network and having a function of blocking communication packets passing through itself and a DNS server, wherein the communication control device 1 IP address and 2nd IP address are given as inputs, and when a communication packet with the second IP address as the source is received, the destination IP address of the communication packet is recorded and added to the address list Then, when a communication packet having the first IP address as a transmission source and destined for an IP address not included in the address list is blocked, the DNS server transmits the second IP address. When the original DNS query packet is received, the domain subject to name resolution in the query is recorded in the domain list. When receiving a DNS query packet that requests the name resolution of the domain described in the domain list with the first IP address as the transmission source, the IP address obtained by performing the name resolution of the domain is A request packet specifying that it is added to an address list is transmitted to the communication control device, and the communication control device adds an IP address to the address list when there is the request packet. Is a communication control method.
第5の態様は、通信制御装置をコンピュータで構成するための通信制御プログラムである。 A 5th aspect is a communication control program for comprising a communication control apparatus with a computer.
セキュリティ製品が行う通信は遮断する一方、検体(マルウェア)が行う通信は疎通させる状態で当該セキュリティ製品に検体を検査させることが可能になる。 While the communication performed by the security product is cut off, the communication performed by the sample (malware) can be communicated with the security product so that the sample can be tested.
<第1実施形態>
本発明に係る通信制御装置が適用された第1実施形態の通信制御装置2Aは、第1端末4と、第2端末6と、インターネット8と、ファイアウォール10とを備えている。
<First Embodiment>
The communication control apparatus 2A according to the first embodiment to which the communication control apparatus according to the present invention is applied includes a
第1端末4は、ファイアウォール10に接続され、評価対象となるセキュリティ製品42がインストールされている端末である。
The
第2端末6は、ファイアウォール10に接続され、セキュリティ製品がインストールされていない端末である。
The
ファイアウォール10は、アクセス制御部12と、宛先IPアドレスリスト14とを備えている。
The
アクセス制御部12は、第2端末6からの通信は全て通過させるように設定する接続設定手段と、第2端末6から発出されたIPパケットの宛先IPアドレスを記録してアドレスリストを生成するIPアドレス記録手段と、第1端末4を送信元とするIPパケットの内、アドレスリストに記録されていない宛先IPアドレスのIPパケットは遮断する通信遮断手段とを有している。
The
宛先IPアドレスリスト14は、アクセス制御部12によって作成され、第2端末6から送信された通信パケットに含まれる宛先IPアドレスを記録したものであり、「IPホワイトリスト」とも称する。
The destination
次に、第1実施形態の動作を図2のフローチャートを参照しつつ説明する。 Next, the operation of the first embodiment will be described with reference to the flowchart of FIG.
先ず、セキュリティ製品がインストールされていない第2端末6上で検体を一定時間(10分など)実行する。この処理では、検体の実行によって、第2端末6からインターネットに対して通信パケットを送信することがあり、その場合、当該通信パケットはファイアウォール10で観測される(SB2)。ファイアウォール10では、観測した通信パケットのうち第2端末6のIPアドレスを送信元とする通信パケットに含まれる宛先IPアドレスを記録してIPアドレスリスト14を作成する(SF2)。これは、受信パケットの宛先IPアドレスリストをIPホワイトリストに追加する処理である。
First, the specimen is executed for a certain time (such as 10 minutes) on the
ファイアウォール10のアクセス制御部12には、“第1端末4のIPアドレスを送信元とするパケットのうち、宛先IPアドレスがIPホワイトリスト14に含まれないパケットは遮断する”機能が設定されている。したがって、第1端末6から送信される通信パケットは、IPホワイトリスト14に含まれている宛先IPアドレスを持つ通信パケットのみがインターネット8上に送信される(SF4)。
The
上記の処理で第2端末6上で検体を一定時間(10分など)実行した後、第1端末4上で検体を実行させ、セキュリティ製品42によって検体がマルウェアとして検知されるかどうかを確認する(SA4,SA6,SA8)。この間、第1端末4からは検体を実行しているプロセスから通信パケットがインターネットに向けて送信されることがあるが、この通信パケットの宛先IPアドレスは上記処理によりIPホワイトリスト14に含まれていることが期待できるため、検体が行う通信はアクセス制御部12によって阻害されることはないことが期待できる。一方で、前記処理において第2端末6はセキュリティ製品42をインストールしていないため、セキュリティ製品42が行う通信の宛先IPアドレスはホワイトリスト14には含まれていないことが期待できる。そのため、セキュリティ製品を実行するプロセスが外部に向けて行う通信、たとえば当該セキュリティ製品を開発した組織が運用するサーバとやり取りをしてシグネチャの更新を行う通信などは、アクセス制御部12によって遮断されることが期待できる。
After executing the sample on the
このように、第1実施形態によれば、セキュリティ製品42がインストールされていない第2端末6から送信された通信パケットと同じ宛先IPアドレスを宛先とする通信パケットのみがアクセス制御部12を通過することが期待できるため、セキュリティ製品42が行う通信は遮断する一方、検体(マルウェア)が行う通信は疎通させる状態でセキュリティ製品42に検体を検査させることが可能になる。
Thus, according to the first embodiment, only communication packets destined for the same destination IP address as the communication packets transmitted from the
<第2実施形態>
第1実施形態では、IPアドレスで構成されるIPホワイトリスト14を作成することで、第1端末4上で検体が行う通信を疎通させることを実現している。しかし、第1実施形態の構成では、下記の理由で検体が行う通信を遮断してしまうことがある。
Second Embodiment
In the first embodiment, the communication performed by the sample on the
すなわち、検体が行う通信先は、検体のプログラムコードの中でIPアドレスとして記述されているのではなくFQDN(Fully Qualified Domain Name、以下「ホスト名」)として記述されることがある。 That is, the communication destination performed by the sample may be described as an FQDN (Fully Qualified Domain Name, hereinafter referred to as “host name”) instead of being described as an IP address in the program code of the sample.
また、ホスト名として記述された通信先に検体が通信を行う場合、まずDNSサーバ16にDNSリクエストを送信してホスト名に対応するIPアドレスを取得し、そのIPアドレス宛に通信を行う。
When a sample communicates with a communication destination described as a host name, first, a DNS request is transmitted to the
さらに、ホスト名とIPアドレスが一対一に対応する場合には、第1実施形態の方法で目的を達することができる。しかし、ホスト名に対応するIPアドレスが複数存在したり、時間の経過とともにホスト名に対応するIPアドレスが変化したりする場合もある。 Further, when the host name and the IP address correspond one-to-one, the object can be achieved by the method of the first embodiment. However, there may be a case where there are a plurality of IP addresses corresponding to the host name, and the IP address corresponding to the host name may change with time.
したがって、第2端末6で検体を実行した時と、第1端末4で検体を実行した時とで、同一のホスト名の名前解決に対し、異なるIPアドレスを取得することが起こり得る。この場合、第1端末4で実行された検体の通信が遮断されてしまうことになる。
Therefore, when the sample is executed on the
以上の課題を解決するために、第2実施形態では、以下のように構成が採用されている。 In order to solve the above problems, the second embodiment adopts the following configuration.
図3に示すように、第2実施形態の通信制御装置2Bは、第1端末4と、第2端末6と、インターネット8と、ファイアウォール10に加え、DNSサーバ16を備えている。
As shown in FIG. 3, the communication control device 2 </ b> B of the second embodiment includes a
DNSサーバ16は、ドメイン名をIPアドレスに変換する機能を有している。第2実施形態では、第2端末6からDNSクエリパケットが送信された場合、送信されたDNSクエリパケットで名前解決要求があったすべてのドメインのリストを作成する機能を有している。
The
図4は、第2実施形態の処理手順を示すフローチャートである。 FIG. 4 is a flowchart illustrating a processing procedure according to the second embodiment.
図4において、図2と同一ステップ番号が付されたステップは、第1実施形態の処理と同様の処理を意味している。 In FIG. 4, steps denoted by the same step numbers as in FIG. 2 mean the same processes as those in the first embodiment.
先ず、セキュリティ製品がインストールされていない第2端末6上で検体を一定時間(10分など)実行する。この処理では、検体の実行によって、第2端末6からインターネットに対して通信パケットを送信することがあり、その場合、当該通信パケットはファイアウォール10で観測される(SB2)。ファイアウォール10では、観測した通信パケットのうち第2端末6のIPアドレスを送信元とする通信パケットに含まれる宛先IPアドレスを記録してIPアドレスリスト14を作成する(SF2)。これは、受信パケットの宛先IPアドレスリストをIPホワイトリストに追加する処理である。
First, the specimen is executed for a certain time (such as 10 minutes) on the
上述のように、第2端末6上で検体が一定時間(10分など)実行されている間、第2端末6からDNSクエリパケットが送信されると(SB8)、DNSサーバ16では、送信されたDNSクエリパケットで名前解決要求があったすべてのドメインのリストを作成(追加)する(SD2)。以下、作成されるドメインリスト162をDNSホワイトリストとも称する。
As described above, when a DNS query packet is transmitted from the
ファイアウォール10のアクセス制御部12には、“第1端末4のIPアドレスを送信元とするパケットのうち、宛先IPアドレスがIPホワイトリスト14に含まれないパケットは遮断する”機能が設定されている。
The
ここで、第2実施形態では、DNSサーバ16は、第1端末4から送信されたDNSクエリパケット(SA10)において、名前解決対象のドメインがDNSホワイトリストに含まれる場合(SD4YES)には、第1端末4宛のDNS応答をいったん保留し、当該ドメインに対応するIPアドレスをIPホワイトリストに加えることを明記したリクエストパケットを送付(SD6)し、その後、第1端末4宛のDNS応答を送信する(SD8)。また、ファイアウォール10は、DNSサーバ16からリクエストパケットの送信(SD6)があった場合には、当該リクエストパケットに含まれるIPアドレスをIPホワイトリスト14に追加する(SF8)。
Here, in the second embodiment, when the DNS query packet (SA10) transmitted from the
したがって、第1端末6から送信される通信パケットは、当初その宛先IPアドレスXがIPホワイトリストに記載されていなかったとしても、それ以前にそのIPアドレスXに対応するホスト名の名前解決を要求するDNSクエリパケットを第1端末6からDNSサーバ16に送信しており、かつ、その応答としてDNSサーバ16からIPアドレスXを受信しており、かつ、当該ホスト名が前記DNSホワイトリスト162に含まれる場合には、当該通信パケットがアクセス制御部12に到達する前にIPアドレスXがIPホワイトリストに記載されることになるので、アクセス制御部12を通過することができる。
Therefore, the communication packet transmitted from the
そして、前記処理の一定期間経過後、第1端末4上で検体を一定時間実行(SA4,SA6)し、セキュリティ製品42で検体が検知されるかどうかを確認する(SA8)。
Then, after elapse of a predetermined period of the processing, the sample is executed on the
このように第2実施形態によれば、検査対象の検体が自身が行う通信の通信先をホスト名として記憶しており、かつ、当該ホスト名に対する名前解決によって得られるIPアドレスが異なりうる場合においても、第2端末6で検体を実行した際に作成されたDNSホワイトリストに記載のホスト名に対して行われる通信は動的にIPホワイトリストが拡張されてアクセス制御部12を通過することができるため、セキュリティ製品42が行う通信は遮断する一方、検体(マルウェア)が行う通信は疎通させる状態でセキュリティ製品42に検体を検査させることが可能になる。
As described above, according to the second embodiment, when the specimen to be examined stores the communication destination of communication performed by itself as a host name, and the IP address obtained by name resolution for the host name can be different. However, the communication performed for the host name described in the DNS white list created when the
なお、上記実施形態は、例として提示したものであり、発明の範囲を限定することは意図していないことは勿論である。 In addition, the said embodiment is shown as an example and of course does not intend limiting the range of invention.
2A,2B…通信制御装置、4…第1端末、6…第2端末、8…インターネット、10…ファイアウォール、12…アクセス制御部、14…宛先IPアドレスリスト(IPホワイトリスト)、16…DNSサーバ、42…セキュリティ製品、162…ドメインリスト(DNSホワイトリスト)。
2A, 2B ... communication control device, 4 ... first terminal, 6 ... second terminal, 8 ... internet, 10 ... firewall, 12 ... access control unit, 14 ... destination IP address list (IP white list), 16 ...
セキュリティ製品の評価を行う際に、シグネチャにマッチしない検体(マルウェア)を検査するときの検知率を評価したいなどの理由で、セキュリティ製品が外部に行う通信を遮断して検体の検査を実施したいことがある。一方で、セキュリティ製品がインストールされている端末からの通信自体は、セキュリティ製品が検体本来の挙動を観測できるように行わせたい場合がある。 When evaluating security products, you want to test the samples by blocking communications performed by security products for the purpose of evaluating the detection rate when testing samples that do not match the signature (malware). There is. On the other hand, there is a case where communication itself from a terminal in which the security product is installed is desired to be performed so that the security product can observe the original behavior of the specimen.
Claims (6)
第1のIPアドレスと第2のIPアドレスが入力として与えられ、前記第2のIPアドレスを送信元とする通信パケットを受信した際には当該通信パケットの宛先IPアドレスを記録してアドレスリストに追加するIPアドレス記録手段と、
前記第1のIPアドレスを送信元とし、前記アドレスリストに含まれないIPアドレスを宛先とする通信パケットを受信した際には遮断する通信遮断手段と、
を備えることを特徴とする通信制御装置。 A communication control device having a function of blocking communication packets arranged in a network and passing through the network,
When a first IP address and a second IP address are given as inputs and a communication packet having the second IP address as a transmission source is received, the destination IP address of the communication packet is recorded and recorded in the address list. IP address recording means to be added;
Communication blocking means for blocking when receiving a communication packet having the first IP address as a transmission source and an IP address not included in the address list as a destination;
A communication control apparatus comprising:
前記第1のIPアドレスを送信元とし、かつ、ドメインリストに記載のドメインの名前解決を要求するDNSクエリパケットを受信した際には、当該ドメインの名前解決を行って取得したIPアドレスを前記アドレスリストに加えることを明記したリクエストパケットを前記通信制御装置に送信するリクエスト送信手段と、
を有するDNSサーバの存在を前提とし、
前記IPアドレス記録手段は、
前記DNSサーバからリクエストパケットがあった場合には当該リクエストパケットに記載のIPアドレスを前記アドレスリストに追加する、
請求項1に記載の通信制御装置。 Domain recording means for recording a domain that is a name resolution target in the DNS query packet when receiving a DNS query packet having the second IP address as a transmission source in a domain list;
When a DNS query packet that requests the name resolution of the domain described in the domain list is received from the first IP address, the IP address obtained by performing the name resolution of the domain is the address A request transmission means for transmitting a request packet specifying that it is added to the list to the communication control device;
Assuming the presence of a DNS server with
The IP address recording means
When there is a request packet from the DNS server, an IP address described in the request packet is added to the address list.
The communication control apparatus according to claim 1.
第1のIPアドレスと第2のIPアドレスが入力として与えられ、前記第2のIPアドレスを送信元とする通信パケットを受信した際には当該通信パケットの宛先IPアドレスを記録してアドレスリストに追加し、
前記第1のIPアドレスを送信元とし、前記アドレスリストに含まれないIPアドレスを宛先とする通信パケットを受信した際には遮断する、
ことを特徴とする通信制御方法。 A communication control method in a communication control device having a function of blocking communication packets arranged in a network and passing through the network,
When a first IP address and a second IP address are given as inputs and a communication packet having the second IP address as a transmission source is received, the destination IP address of the communication packet is recorded and recorded in the address list. Add
Blocking when receiving a communication packet having the first IP address as a source and having an IP address not included in the address list as a destination;
A communication control method characterized by the above.
前記通信制御装置は、
第1のIPアドレスと第2のIPアドレスが入力として与えられ、前記第2のIPアドレスを送信元とする通信パケットを受信した際には当該通信パケットの宛先IPアドレスを記録してアドレスリストに追加し、
前記第1のIPアドレスを送信元とし、前記アドレスリストに含まれないIPアドレスを宛先とする通信パケットを受信した際には遮断し、
前記DNSサーバは、
前記第2のIPアドレスを送信元とするDNSクエリパケットを受信した際には当該DNSクエリパケットにおいて名前解決の対象であるドメインをドメインリストに記録し、
前記第1のIPアドレスを送信元とし、かつ、ドメインリストに記載のドメインの名前解決を要求するDNSクエリパケットを受信した際には、当該ドメインの名前解決を行って取得したIPアドレスを前記アドレスリストに加えることを明記したリクエストパケットを前記通信制御装置に送信し、
前記通信制御装置は、前記リクエストパケットがあった場合には当該リクエストパケットのIPアドレスを前記アドレスリストに追加する、
ことを特徴とする通信制御方法。 A communication control method in a communication control system comprising a communication control device arranged in a network and having a function of blocking communication packets passing through the network and a DNS server,
The communication control device includes:
When a first IP address and a second IP address are given as inputs and a communication packet having the second IP address as a transmission source is received, the destination IP address of the communication packet is recorded and recorded in the address list. Add
When receiving a communication packet having the first IP address as a source and an IP address not included in the address list as a destination,
The DNS server
When a DNS query packet having the second IP address as a transmission source is received, a domain that is a name resolution target in the DNS query packet is recorded in a domain list;
When a DNS query packet that requests the name resolution of the domain described in the domain list is received from the first IP address, the IP address obtained by performing the name resolution of the domain is the address A request packet specifying that it is added to the list is sent to the communication control device
The communication control device, when there is the request packet, adds the IP address of the request packet to the address list,
A communication control method characterized by the above.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017072115A JP6360221B1 (en) | 2017-03-31 | 2017-03-31 | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL SYSTEM, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017072115A JP6360221B1 (en) | 2017-03-31 | 2017-03-31 | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL SYSTEM, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6360221B1 JP6360221B1 (en) | 2018-07-18 |
JP2018174471A true JP2018174471A (en) | 2018-11-08 |
Family
ID=62904895
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017072115A Active JP6360221B1 (en) | 2017-03-31 | 2017-03-31 | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL SYSTEM, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6360221B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114374569A (en) * | 2022-03-22 | 2022-04-19 | 北京指掌易科技有限公司 | Message detection method and device, electronic equipment and storage medium |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109871954B (en) * | 2018-12-24 | 2022-12-02 | 腾讯科技(深圳)有限公司 | Training sample generation method, abnormality detection method and apparatus |
CN115102778B (en) * | 2022-07-11 | 2024-05-24 | 深信服科技股份有限公司 | State determination method, device, equipment and medium |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009239525A (en) * | 2008-03-26 | 2009-10-15 | Nippon Telegr & Teleph Corp <Ntt> | Filtering device, filtering method, and filtering program |
JP2014099758A (en) * | 2012-11-14 | 2014-05-29 | National Institute Of Information & Communication Technology | Unauthorized communication detection method by comparing observation information by multiple sensors |
JP2015050767A (en) * | 2013-09-03 | 2015-03-16 | 韓國電子通信研究院Electronics and Telecommunications Research Institute | Network switch of whitelist foundation |
JP2017005402A (en) * | 2015-06-08 | 2017-01-05 | アラクサラネットワークス株式会社 | Communication device |
-
2017
- 2017-03-31 JP JP2017072115A patent/JP6360221B1/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009239525A (en) * | 2008-03-26 | 2009-10-15 | Nippon Telegr & Teleph Corp <Ntt> | Filtering device, filtering method, and filtering program |
JP2014099758A (en) * | 2012-11-14 | 2014-05-29 | National Institute Of Information & Communication Technology | Unauthorized communication detection method by comparing observation information by multiple sensors |
JP2015050767A (en) * | 2013-09-03 | 2015-03-16 | 韓國電子通信研究院Electronics and Telecommunications Research Institute | Network switch of whitelist foundation |
JP2017005402A (en) * | 2015-06-08 | 2017-01-05 | アラクサラネットワークス株式会社 | Communication device |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114374569A (en) * | 2022-03-22 | 2022-04-19 | 北京指掌易科技有限公司 | Message detection method and device, electronic equipment and storage medium |
CN114374569B (en) * | 2022-03-22 | 2022-07-05 | 北京指掌易科技有限公司 | Message detection method and device, electronic equipment and storage medium |
Also Published As
Publication number | Publication date |
---|---|
JP6360221B1 (en) | 2018-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8990944B1 (en) | Systems and methods for automatically detecting backdoors | |
US10657251B1 (en) | Multistage system and method for analyzing obfuscated content for malware | |
US10069856B2 (en) | System and method of comparative evaluation for phishing mitigation | |
JP6419787B2 (en) | Optimized resource allocation to virtual machines in malware content detection system | |
Fovino et al. | An experimental investigation of malware attacks on SCADA systems | |
Rossow et al. | Prudent practices for designing malware experiments: Status quo and outlook | |
US8875296B2 (en) | Methods and systems for providing a framework to test the security of computing system over a network | |
JP7115526B2 (en) | Analysis system, method and program | |
Röpke et al. | Sdn rootkits: Subverting network operating systems of software-defined networks | |
RU2726032C2 (en) | Systems and methods for detecting malicious programs with a domain generation algorithm (dga) | |
JP6360221B1 (en) | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL SYSTEM, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM | |
WO2015137235A1 (en) | Identification device, identification method, and identification program | |
Lee et al. | Shield: an automated framework for static analysis of sdn applications | |
Nikolov et al. | Network infrastructure for cybersecurity analysis | |
EP4115297A1 (en) | Automated malware monitoring and data extraction | |
JP6174826B2 (en) | Malware analysis system, malware analysis method and malware analysis program | |
Röpke et al. | On network operating system security | |
KR20200092508A (en) | Large-scale honeypot system IoT botnet analysis | |
KR100772177B1 (en) | Method and apparatus for generating intrusion detection event to test security function | |
Zimba et al. | Malware-free intrusions: Exploitation of built-in pre-authentication services for APT attack vectors | |
US11563753B2 (en) | Security surveillance system and security surveillance method | |
Kaur et al. | A stress testing web-based framework for automated malware analysis | |
Cao et al. | Covert Channels in SDN: Leaking Out Information from Controllers to End Hosts | |
JP6286314B2 (en) | Malware communication control device | |
Cadiente et al. | Applying Vulnerability Assessment and Penetration Testing (Vapt) and Network Enhancement on the Network Infrastructure of Journey Tech Inc |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180619 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180621 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6360221 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |