JP2019036305A - 視覚的な国際化ドメイン名衝突の識別 - Google Patents
視覚的な国際化ドメイン名衝突の識別 Download PDFInfo
- Publication number
- JP2019036305A JP2019036305A JP2018150317A JP2018150317A JP2019036305A JP 2019036305 A JP2019036305 A JP 2019036305A JP 2018150317 A JP2018150317 A JP 2018150317A JP 2018150317 A JP2018150317 A JP 2018150317A JP 2019036305 A JP2019036305 A JP 2019036305A
- Authority
- JP
- Japan
- Prior art keywords
- domain name
- character
- idn
- image
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/30—Managing network names, e.g. use of aliases or nicknames
- H04L61/3015—Name registration, generation or assignment
- H04L61/302—Administrative registration, e.g. for domain names at internet corporation for assigned names and numbers [ICANN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Document Processing Apparatus (AREA)
- Character Discrimination (AREA)
Abstract
【課題】悪意のあるエンティティが、既に存在するドメイン名と視覚的に類似または同一であるように見える国際化ドメイン名(IDN)を登録する「ホモグラフ攻撃」を識別し和らげるより効果的な方法を提供する。
【解決手段】IDN衝突検出サーバは、punycode要素を含む第1のドメイン名を読み出す。IDN衝突検出サーバは、第1のドメイン名をpunycode要素に対応するUnicode文字を含む第2のドメイン名に変換する408。IDN衝突検出サーバは、第2のドメイン名を画像に変換する410。IDN衝突検出サーバは、1つ以上の光学的文字認識動作を画像に対して行うことにより、画像に関連づけられたテキスト文字列を生成する412。IDN衝突検出サーバは、テキスト文字列が第3のドメイン名の少なくとも一部分と一致することを決定する。
【選択図】図4A
【解決手段】IDN衝突検出サーバは、punycode要素を含む第1のドメイン名を読み出す。IDN衝突検出サーバは、第1のドメイン名をpunycode要素に対応するUnicode文字を含む第2のドメイン名に変換する408。IDN衝突検出サーバは、第2のドメイン名を画像に変換する410。IDN衝突検出サーバは、1つ以上の光学的文字認識動作を画像に対して行うことにより、画像に関連づけられたテキスト文字列を生成する412。IDN衝突検出サーバは、テキスト文字列が第3のドメイン名の少なくとも一部分と一致することを決定する。
【選択図】図4A
Description
(発明の背景)
(発明の分野)
本発明は、概して、コンピュータネットワークセキュリティに関し、より具体的には、視覚的な国際化ドメイン名衝突を識別することに関する。
(発明の分野)
本発明は、概して、コンピュータネットワークセキュリティに関し、より具体的には、視覚的な国際化ドメイン名衝突を識別することに関する。
(関連技術の説明)
コンピュータネットワークの領域において、ウェブサイトおよび他のコンテンツをインターネットなどのパブリックネットワークに提示するコンピュータシステムは、一般的に、ウェブブラウザの検索ウィンドウ内に入力される人間が読めるドメイン名を介してアクセスされるか、電子文書または電子メールに含まれるハイパーリンクを介してアクセスされる。これらのドメイン名は、ドメイン名システム(DNS)によって定義され、典型的には、英数字のASCII文字および特定の句読文字の標準セットから成る。例えば、ドメイン名の文字は、英語の26の大文字および26の小文字、0〜9の数字、ハイフン「−」の文字、およびピリオド「.」の文字に限定され得る。この標準文字セットに含まれていない文字は、非標準的とみなされ、DNS適合のドメイン名に含むことができない。コンピュータのフォントは、Unicode標準などの標準を介して、ギリシャ文字、キリル文字、アラビア文字および漢字などの国際言語文字を定義し得、実際定義する。しかし、国際言語文字は、現在、DNS適合のドメイン名に直接含まれることができない。
コンピュータネットワークの領域において、ウェブサイトおよび他のコンテンツをインターネットなどのパブリックネットワークに提示するコンピュータシステムは、一般的に、ウェブブラウザの検索ウィンドウ内に入力される人間が読めるドメイン名を介してアクセスされるか、電子文書または電子メールに含まれるハイパーリンクを介してアクセスされる。これらのドメイン名は、ドメイン名システム(DNS)によって定義され、典型的には、英数字のASCII文字および特定の句読文字の標準セットから成る。例えば、ドメイン名の文字は、英語の26の大文字および26の小文字、0〜9の数字、ハイフン「−」の文字、およびピリオド「.」の文字に限定され得る。この標準文字セットに含まれていない文字は、非標準的とみなされ、DNS適合のドメイン名に含むことができない。コンピュータのフォントは、Unicode標準などの標準を介して、ギリシャ文字、キリル文字、アラビア文字および漢字などの国際言語文字を定義し得、実際定義する。しかし、国際言語文字は、現在、DNS適合のドメイン名に直接含まれることができない。
インターネット技術タスクフォース(IETF)からの文書RFC3492は、国際言語文字をドメイン名に含める問題に取り組むことを試みている。RFC3492は、本明細書中で「punycode」と呼ばれるメカニズムを定義し、それは、DNS文字セットに含まれない文字がドメイン名に挿入されることを可能にする。典型的には、1つ以上の国際文字を含むドメイン名は、国際化ドメイン名(IDN)として表現される。IDNは、「xn− −」の文字で始まり、標準的なDNS適合の文字セットに含まれる、ドメイン名の文字が後に続く。次に、IDNは、1つ以上の非標準的な文字をそれらの非標準的な文字のドメイン名内での位置とともに識別するpunycode表示を含む。IDNは、.comまたは.netなどのトップレベルドメイン(TLD)で終わる。
上述の手法の利点にも関わらず、IDNの導入は、「ホモグラフ」攻撃と呼ばれる特定の種類のスプーフィング攻撃を可能にしている。ホモグラフ攻撃では、悪意のあるエンティティが、既に存在するドメイン名と視覚的に類似または同一であるように見えるIDNを登録する。悪意のあるエンティティによって登録されたIDNにアクセスしたユーザは、典型的には、既に存在するドメイン名に関連づけられたウェブコンテンツに彼らが実際アクセスしていると信じる。そして、悪意のあるエンティティは、機密情報をユーザから読み出し得るか、悪意のあるソフトウェアをユーザのコンピュータにインストールし得るか、他の悪意のあるアクティビティを行い得る。ホモグラフ攻撃は、多くの国際言語文字が標準的なDNS適合の文字セットにおける文字と類似または同一であるということによって容易にされる。1つの例では、悪意のあるエンティティは、登録サービスを介して、IDN「xn− −oogle−wmc.com」を登録し得る。ウェブブラウザがこのIDNを表示した場合、punycode要素「−wmc」は、ウェブブラウザにラテン文字のスモールキャピタルの「G」を文字「oogle」の前に置くように指示し、ドメイン名
を生じる。
にアクセスしたユーザは、その後、期待されたgoogle.comのホームページに誘導されるというよりもむしろ、悪意のあるユーザによって登録されたIDNに誘導される。さらに、そのようなホモグラフ攻撃は、1つ以上のpunycode要素を含む悪意のあるIDNが、対応する以前に登録されたドメイン名と容易に比較可能であるので、検出することが難しい。例えば、悪意のあるIDN「xn− −oogle−wmc.com」とドメイン名「google.com」とのASCII文字列の比較は、一致を生じない。
ホモグラフ攻撃が識別され得る1つの方法は、他の登録されたドメイン名と視覚的に類似するドメイン名を生じるpunycode要素を含むIDNのリストを保持することによる。例えば、そのようなリストは、IDN「xn− −oogle−wmc.com」が「google.com」ドメイン名と視覚的に類似していると識別し得る。しかし、この手法の1つの欠点は、任意の所与のドメイン名に対して非常に多くの可能なホモグラフがあるので、他のドメインと視覚的に類似する可能なIDNのセット全体を事前に決定することが難しいことである。上述の手法の別の欠点は、フォントが絶えず新しい文字で修正されており、新しいフォントが絶えず導入されていることである。その結果、存在するフォントが修正され、新しいフォントが導入されるので、潜在的なホモグラフの任意のリストは、かなり早く旧式のものとなる。
上述のことが示すように、当該技術において必要とされることは、ホモグラフ攻撃を識別し、和らげるより効果的な方法である。
(発明の概要)
本出願の様々な実施形態は、ホモグラフ攻撃を検出する方法を提示する。方法は、punycode要素を含む第1のドメイン名を読み出すことを含む。方法は、第1のドメイン名を、punycode要素に対応するUnicode文字を含む第2のドメイン名に変換することをさらに含む。方法は、第2のドメイン名を画像に変換することをさらに含む。方法は、1つ以上の光学的文字認識動作を画像に対して行うことにより、画像に関連づけられたテキスト文字列を生成することをさらに含む。方法は、テキスト文字列が第3のドメイン名の少なくとも一部分と一致することを決定することをさらに含む。
本出願の様々な実施形態は、ホモグラフ攻撃を検出する方法を提示する。方法は、punycode要素を含む第1のドメイン名を読み出すことを含む。方法は、第1のドメイン名を、punycode要素に対応するUnicode文字を含む第2のドメイン名に変換することをさらに含む。方法は、第2のドメイン名を画像に変換することをさらに含む。方法は、1つ以上の光学的文字認識動作を画像に対して行うことにより、画像に関連づけられたテキスト文字列を生成することをさらに含む。方法は、テキスト文字列が第3のドメイン名の少なくとも一部分と一致することを決定することをさらに含む。
本発明の他の実施形態は、限定するものではないが、開示された技術の1つ以上の側面を行うコンピューティングデバイスだけでなく、開示された技術の1つ以上の側面を行う命令を含むコンピュータ読み取り可能な媒体を含む。
開示された技術の少なくとも1つの利点は、ホモグラフ攻撃に関連づけられた潜在的に悪意のあるIDNが、悪意のあるIDNが登録されてまもなくして、自動的に検出されることである。以前に登録されたドメイン名と視覚的に類似するIDNは、悪意のあるIDNのレジストリを手動で更新する必要なしに自動的に検出される。その結果、悪意のあるIDNは、従来の手法と比べてより少ない時間で、検出され、和らげられる。
例えば、本発明は、以下の項目を提供する。
(項目1)
ホモグラフ攻撃を検出するコンピュータ実装方法であって、該方法は、
punycode要素を含む第1のドメイン名を読み出すことと、
該第1のドメイン名を該punycode要素に対応するUnicode文字を含む第2のドメイン名に変換することと、
該第2のドメイン名を画像に変換することと、
1つ以上の光学的文字認識動作を該画像に対して行うことにより、該画像に関連づけられたテキスト文字列を生成することと、
該テキスト文字列が第3のドメイン名の少なくとも一部分と一致することを決定することと
を含む、方法。
(項目2)
最近登録されたドメイン名のリストをドメイン名システム(DNS)登録サーバから受信することと、
該リストが上記第1のドメイン名を含むことを決定することと
をさらに含む、上記項目に記載のコンピュータ実装方法。
(項目3)
上記第3のドメイン名は、好ましいクライアントドメイン名のリストに含まれおり、上記方法は、該第3のドメイン名に関連づけられたエンティティに上記第1のドメイン名が該第1のドメイン名へのホモグラフ攻撃に関連していることを通知することをさらに含む、上記項目のいずれか一項に記載のコンピュータ実装方法。
(項目4)
上記第3のドメイン名は、人気のあるドメイン名のリストに含まれており、上記方法は、データベースを更新することにより、上記第1のドメイン名を該第3のドメイン名へのホモグラフ攻撃として関連づけることをさらに含む、上記項目のいずれか一項に記載のコンピュータ実装方法。
(項目5)
上記第1のドメイン名をドメイン名レジストリから削除するための要求をDNS登録サーバに伝送することをさらに含む、上記項目のいずれか一項に記載のコンピュータ実装方法。
(項目6)
1つ以上の光学的文字認識動作を前記画像に対して行うことは、上記Unicode文字に関連づけられた該画像の一部分を1つ以上の標準的なDNS準拠の文字にマッピングすることを含む、上記項目のいずれか一項に記載のコンピュータ実装方法。
(項目7)
上記Unicode文字が上記第2のドメイン名に関連づけられた第1のフォントにおいて定義されていないことを決定することと、
応答して、上記第1のドメイン名を不審でないドメイン名として識別することと
をさらに含む、上記項目のいずれか一項に記載のコンピュータ実装方法。
(項目8)
上記Unicode文字は、上記第3のドメイン名に含まれる第1の文字と視覚的に類似する、上記項目のいずれか一項に記載のコンピュータ実装方法。
(項目9)
命令を含む非一過性のコンピュータ読み取り可能な記憶媒体であって、該命令は、プロセッサによって実行されると、該プロセッサに、
第1のドメイン名内で第1の1つ以上の文字の組み合わせを識別するステップと、
該第1の1つ以上の文字の組み合わせが、第1のフォントに関連づけられた第2の1つ以上の文字の組み合わせと視覚的に類似することを決定するステップと、
該第1のドメイン名と視覚的に類似し、かつ、該第2の1つ以上の文字の組み合わせに関連づけられたUnicode文字を含む第2のドメイン名を生成するステップと
を行うことによって、ドメイン名に関連づけられたホモグラフのバニティ名を生成させる、記憶媒体。
(項目10)
上記第2の1つ以上の文字の組み合わせは、該第2の1つ以上の文字の組み合わせを上記第1の1つ以上の文字の組み合わせに関連づけるフォント行列に含まれている、上記項目のいずれか一項に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
(項目11)
上記第2の1つ以上の文字の組み合わせを画像に変換することと、
1つ以上の光学的文字登録動作を該画像に対して行うことにより、該画像に関連するテキスト文字列を生成することと、
該テキスト文字列が第3の1つ以上の文字の組み合わせと一致することを決定することであって、該第3の1つ以上の文字の組み合わせは、ドメイン名システム(DNS)ドメイン名と適合性のある第1の文字のセットに含まれていることと、
該第2の1つ以上の文字の組み合わせを該第3の1つ以上の文字の組み合わせに関連づけるフォント行列にエントリを追加することと
をさらに含む、上記項目のいずれか一項に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
(項目12)
上記第1の1つ以上の文字の組み合わせが上記第2の1つ以上の文字の組み合わせと視覚的に類似することを決定することは、上記第3の1つ以上の文字の組み合わせが該第1の1つ以上の文字の組み合わせと一致することを識別することを含む、上記項目のいずれか一項に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
(項目13)
上記第1の1つ以上の文字の組み合わせは、DNSドメイン名と適合性のある第1の文字のセットに含まれている、上記項目のいずれか一項に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
(項目14)
上記第2の1つ以上の文字の組み合わせは、DNSドメイン名と適合性のある第1の文字のセットに含まれない少なくとも1つの文字を含む、上記項目のいずれか一項に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
(項目15)
上記第2のドメイン名をpunycode要素を含む第3のドメイン名に変換することをさらに含み、該punycode要素は、上記第2の1つ以上の文字の組み合わせに対応している、上記項目のいずれか一項に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
(項目16)
上記第3のドメイン名を登録するための要求をDNS登録サーバに伝送することをさらに含む、上記項目のいずれか一項に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
(項目17)
コンピューティングデバイスであって、該デバイスは、
IDN衝突検出アプリケーションを含むメモリと、
該メモリに結合されたプロセッサとを含み、該プロセッサは、該IDN衝突検出アプリケーションを実行すると、
punycode要素を含む第1のドメイン名を読み出すことと、
該第1のドメイン名を、該punycode要素に対応するUnicode文字を含む第2のドメイン名に変換することと、
該第2のドメイン名を画像に変換することと、
1つ以上の光学的文字認識動作を該画像に対して行うことにより、該画像に関連づけられたテキスト文字列を生成することと、
該テキスト文字列が第3のドメイン名の少なくとも一部分と一致することを決定することと
を行うように構成されている、コンピューティングデバイス。
(項目18)
上記プロセッサは、
最近登録されたドメイン名のリストをドメイン名システム(DNS)登録サーバから受信することと、
該リストが上記第1のドメイン名を含むことを決定することと
を行うようにさらに構成されている、上記項目のいずれか一項に記載のコンピューティングデバイス。
(項目19)
上記第3のドメイン名は、好ましいクライアントドメイン名のリストに含まれており、上記プロセッサは、該第3のドメイン名に関連づけられたエンティティに上記第1のドメイン名が該第1のドメイン名へのホモグラフ攻撃に関連していることを通知するようにさらに構成されている、上記項目のいずれか一項に記載のコンピューティングデバイス。
(項目20)
上記第3のドメイン名は、人気のあるドメイン名のリストに含まれており、上記プロセッサは、データベースを更新することにより、上記第1のドメイン名を該第3のドメイン名へのホモグラフ攻撃として関連づけるようにさらに構成されている、上記項目のいずれか一項に記載のコンピューティングデバイス。
(摘要)
本明細書中で開示された発明の様々な実施形態は、ホモグラフ攻撃を検出する技術を提供する。IDN衝突検出サーバは、punycode要素を含む第1のドメイン名を読み出す。IDN衝突検出サーバは、第1のドメイン名をpunycode要素に対応するUnicode文字を含む第2のドメイン名に変換する。IDN衝突検出サーバは、第2のドメイン名を画像に変換する。IDN衝突検出サーバは、1つ以上の光学的文字認識動作を画像に対して行うことにより、画像に関連づけられたテキスト文字列を生成する。IDN衝突検出サーバは、テキスト文字列が第3のドメイン名の少なくとも一部分と一致することを決定する。
例えば、本発明は、以下の項目を提供する。
(項目1)
ホモグラフ攻撃を検出するコンピュータ実装方法であって、該方法は、
punycode要素を含む第1のドメイン名を読み出すことと、
該第1のドメイン名を該punycode要素に対応するUnicode文字を含む第2のドメイン名に変換することと、
該第2のドメイン名を画像に変換することと、
1つ以上の光学的文字認識動作を該画像に対して行うことにより、該画像に関連づけられたテキスト文字列を生成することと、
該テキスト文字列が第3のドメイン名の少なくとも一部分と一致することを決定することと
を含む、方法。
(項目2)
最近登録されたドメイン名のリストをドメイン名システム(DNS)登録サーバから受信することと、
該リストが上記第1のドメイン名を含むことを決定することと
をさらに含む、上記項目に記載のコンピュータ実装方法。
(項目3)
上記第3のドメイン名は、好ましいクライアントドメイン名のリストに含まれおり、上記方法は、該第3のドメイン名に関連づけられたエンティティに上記第1のドメイン名が該第1のドメイン名へのホモグラフ攻撃に関連していることを通知することをさらに含む、上記項目のいずれか一項に記載のコンピュータ実装方法。
(項目4)
上記第3のドメイン名は、人気のあるドメイン名のリストに含まれており、上記方法は、データベースを更新することにより、上記第1のドメイン名を該第3のドメイン名へのホモグラフ攻撃として関連づけることをさらに含む、上記項目のいずれか一項に記載のコンピュータ実装方法。
(項目5)
上記第1のドメイン名をドメイン名レジストリから削除するための要求をDNS登録サーバに伝送することをさらに含む、上記項目のいずれか一項に記載のコンピュータ実装方法。
(項目6)
1つ以上の光学的文字認識動作を前記画像に対して行うことは、上記Unicode文字に関連づけられた該画像の一部分を1つ以上の標準的なDNS準拠の文字にマッピングすることを含む、上記項目のいずれか一項に記載のコンピュータ実装方法。
(項目7)
上記Unicode文字が上記第2のドメイン名に関連づけられた第1のフォントにおいて定義されていないことを決定することと、
応答して、上記第1のドメイン名を不審でないドメイン名として識別することと
をさらに含む、上記項目のいずれか一項に記載のコンピュータ実装方法。
(項目8)
上記Unicode文字は、上記第3のドメイン名に含まれる第1の文字と視覚的に類似する、上記項目のいずれか一項に記載のコンピュータ実装方法。
(項目9)
命令を含む非一過性のコンピュータ読み取り可能な記憶媒体であって、該命令は、プロセッサによって実行されると、該プロセッサに、
第1のドメイン名内で第1の1つ以上の文字の組み合わせを識別するステップと、
該第1の1つ以上の文字の組み合わせが、第1のフォントに関連づけられた第2の1つ以上の文字の組み合わせと視覚的に類似することを決定するステップと、
該第1のドメイン名と視覚的に類似し、かつ、該第2の1つ以上の文字の組み合わせに関連づけられたUnicode文字を含む第2のドメイン名を生成するステップと
を行うことによって、ドメイン名に関連づけられたホモグラフのバニティ名を生成させる、記憶媒体。
(項目10)
上記第2の1つ以上の文字の組み合わせは、該第2の1つ以上の文字の組み合わせを上記第1の1つ以上の文字の組み合わせに関連づけるフォント行列に含まれている、上記項目のいずれか一項に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
(項目11)
上記第2の1つ以上の文字の組み合わせを画像に変換することと、
1つ以上の光学的文字登録動作を該画像に対して行うことにより、該画像に関連するテキスト文字列を生成することと、
該テキスト文字列が第3の1つ以上の文字の組み合わせと一致することを決定することであって、該第3の1つ以上の文字の組み合わせは、ドメイン名システム(DNS)ドメイン名と適合性のある第1の文字のセットに含まれていることと、
該第2の1つ以上の文字の組み合わせを該第3の1つ以上の文字の組み合わせに関連づけるフォント行列にエントリを追加することと
をさらに含む、上記項目のいずれか一項に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
(項目12)
上記第1の1つ以上の文字の組み合わせが上記第2の1つ以上の文字の組み合わせと視覚的に類似することを決定することは、上記第3の1つ以上の文字の組み合わせが該第1の1つ以上の文字の組み合わせと一致することを識別することを含む、上記項目のいずれか一項に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
(項目13)
上記第1の1つ以上の文字の組み合わせは、DNSドメイン名と適合性のある第1の文字のセットに含まれている、上記項目のいずれか一項に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
(項目14)
上記第2の1つ以上の文字の組み合わせは、DNSドメイン名と適合性のある第1の文字のセットに含まれない少なくとも1つの文字を含む、上記項目のいずれか一項に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
(項目15)
上記第2のドメイン名をpunycode要素を含む第3のドメイン名に変換することをさらに含み、該punycode要素は、上記第2の1つ以上の文字の組み合わせに対応している、上記項目のいずれか一項に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
(項目16)
上記第3のドメイン名を登録するための要求をDNS登録サーバに伝送することをさらに含む、上記項目のいずれか一項に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
(項目17)
コンピューティングデバイスであって、該デバイスは、
IDN衝突検出アプリケーションを含むメモリと、
該メモリに結合されたプロセッサとを含み、該プロセッサは、該IDN衝突検出アプリケーションを実行すると、
punycode要素を含む第1のドメイン名を読み出すことと、
該第1のドメイン名を、該punycode要素に対応するUnicode文字を含む第2のドメイン名に変換することと、
該第2のドメイン名を画像に変換することと、
1つ以上の光学的文字認識動作を該画像に対して行うことにより、該画像に関連づけられたテキスト文字列を生成することと、
該テキスト文字列が第3のドメイン名の少なくとも一部分と一致することを決定することと
を行うように構成されている、コンピューティングデバイス。
(項目18)
上記プロセッサは、
最近登録されたドメイン名のリストをドメイン名システム(DNS)登録サーバから受信することと、
該リストが上記第1のドメイン名を含むことを決定することと
を行うようにさらに構成されている、上記項目のいずれか一項に記載のコンピューティングデバイス。
(項目19)
上記第3のドメイン名は、好ましいクライアントドメイン名のリストに含まれており、上記プロセッサは、該第3のドメイン名に関連づけられたエンティティに上記第1のドメイン名が該第1のドメイン名へのホモグラフ攻撃に関連していることを通知するようにさらに構成されている、上記項目のいずれか一項に記載のコンピューティングデバイス。
(項目20)
上記第3のドメイン名は、人気のあるドメイン名のリストに含まれており、上記プロセッサは、データベースを更新することにより、上記第1のドメイン名を該第3のドメイン名へのホモグラフ攻撃として関連づけるようにさらに構成されている、上記項目のいずれか一項に記載のコンピューティングデバイス。
(摘要)
本明細書中で開示された発明の様々な実施形態は、ホモグラフ攻撃を検出する技術を提供する。IDN衝突検出サーバは、punycode要素を含む第1のドメイン名を読み出す。IDN衝突検出サーバは、第1のドメイン名をpunycode要素に対応するUnicode文字を含む第2のドメイン名に変換する。IDN衝突検出サーバは、第2のドメイン名を画像に変換する。IDN衝突検出サーバは、1つ以上の光学的文字認識動作を画像に対して行うことにより、画像に関連づけられたテキスト文字列を生成する。IDN衝突検出サーバは、テキスト文字列が第3のドメイン名の少なくとも一部分と一致することを決定する。
本発明の上記に記載された特徴が詳細に理解され得るように、上記に簡潔にまとめられた本発明の特定の説明は、実施形態を参照して行われ得、そのうちのいくつかは添付の図面で示される。しかし、添付の図面は、本発明の典型的な実施形態のみを示し、それゆえ、その範囲を制限していると見なされるべきではなく、なぜなら、本発明が他の等しく効果的な実施形態を認め得るためであることに留意されたい。
(詳細な説明)
以下の説明では、多数の具体的な詳細が、本発明のより徹底した理解を提供するために、提示される。しかし、本発明の実施形態が、これらの具体的な詳細のうちの1つ以上のものなしで実施され得ることは当業者に明らかであろう。
以下の説明では、多数の具体的な詳細が、本発明のより徹底した理解を提供するために、提示される。しかし、本発明の実施形態が、これらの具体的な詳細のうちの1つ以上のものなしで実施され得ることは当業者に明らかであろう。
(システムの概観)
図1は、本発明の1つ以上の側面を実装するように構成されたシステム100を示す。示されるように、システムは、限定するものではないが、ネットワーク120を介して互いに通信する、クライアントデバイス102、コンテンツサーバ104(1)、104(2)、...104(N)、DNS登録サーバ106およびIDN衝突検出サーバ108を含む。ネットワーク120は、限定するものではないが、データセンタ内のクロスコネクトシステム、専用低遅延ネットワーク、LAN(ローカルエリアネットワーク)およびインターネットベースのWAN(広域ネットワーク)を含むリモートまたはローカルコンピュータシステム間の通信を可能にする任意の適切な環境であり得る。
図1は、本発明の1つ以上の側面を実装するように構成されたシステム100を示す。示されるように、システムは、限定するものではないが、ネットワーク120を介して互いに通信する、クライアントデバイス102、コンテンツサーバ104(1)、104(2)、...104(N)、DNS登録サーバ106およびIDN衝突検出サーバ108を含む。ネットワーク120は、限定するものではないが、データセンタ内のクロスコネクトシステム、専用低遅延ネットワーク、LAN(ローカルエリアネットワーク)およびインターネットベースのWAN(広域ネットワーク)を含むリモートまたはローカルコンピュータシステム間の通信を可能にする任意の適切な環境であり得る。
クライアントデバイス102の各々は、パーソナルコンピュータ、ビデオゲームコンソール、携帯情報端末、携帯電話、モバイルデバイス、または、本発明の1つ以上の側面を実装するために適切な任意の他のデバイスであり得るコンピューティングデバイスを含む。例示的には、クライアントデバイス102は、通信リンク138を介してネットワーク120上で通信する。クライアントデバイス102は、コンテンツサーバ104(1)、104(2)、...104(N)のうちの1つ以上からの特定のコンテンツに対する要求を含むネットワークメッセージを伝送する。要求されたコンテンツをコンテンツサーバ104(1)、104(2)、...104(N)から受信すると、クライアントデバイス102は、限定するものではないが、要求されたコンテンツを分析することおよび要求されたコンテンツをディスプレイデバイスに表示することを含む、要求されたコンテンツに対する処理をさらに行う。
コンテンツサーバ104(1)、104(2)、...104(N)の各々は、パーソナルコンピュータ、ビデオゲームコンソール、携帯情報端末、携帯電話、モバイルデバイス、または、本発明の1つ以上の側面を実装するために適切な任意の他のデバイスであり得るコンピューティングデバイスを含む。コンテンツサーバ104(1)、104(2)および104(N)は、それぞれ、通信リンク130、132および134を介してクライアントデバイス102と通信する。通信リンク130、132および134は、限定するものではないが、固定通信回線、1つ以上のLANおよび1つ以上のインターネットベースのWANを含む任意の技術的に実現可能な通信回線であり得る。特定のコンテンツに対する要求を含むネットワークメッセージを受信することに応答して、コンテンツサーバ104(1)、104(2)、...104(N)は、要求されたコンテンツを含むネットワークメッセージを読み出し、それを通信リンク130、132および134を介してクライアントデバイス102にそれぞれ伝送する。さらに、コンテンツサーバ104(1)、104(2)、...104(N)の各々は、1つ以上のドメイン名をDNS登録サーバ106に登録する。
DNS登録サーバ106は、パーソナルコンピュータ、サーバ、ルータ、または、本発明の1つ以上の側面を実装するために適切な任意の他のデバイスであり得るコンピューティングデバイスを含む。例示的には、DNS登録サーバ106は、通信リンク136を介してネットワーク120上で通信する。動作中、DNS登録サーバ106は、コンテンツサーバ104(1)、104(2)、...104(N)からのドメイン登録要求を受け入れる。これらのドメイン登録要求は、標準的なDNS適合の文字セットからの文字のみを含む正規のドメイン名に対する登録要求を含む。これらのドメイン登録要求は、国際言語文字などの1つ以上の非標準的な文字を指定するpunycode要素を含むIDNに対する登録要求も含む。さらに、コンテンツサーバ104(1)、104(2)、...104(N)のうちの1つ以上は、別の存在するドメイン名と視覚的に類似するIDNをDNS登録サーバ106に悪意を持って登録することによって、ホモグラフ攻撃を開始し得る。応答して、DNS登録サーバ106は、コンテンツサーバ104(1)、104(2)、...104(N)によって要求されたドメイン名を登録する。DNS登録サーバ106は、登録されたドメイン名のリストを保持し、要求時、登録されたドメイン名のリストをIDN衝突検出サーバ108に提供する。
IDN衝突検出サーバ108は、パーソナルコンピュータ、サーバ、ルータ、または、本発明の1つ以上の側面を実装するために適切な任意の他のデバイスであり得るコンピューティングデバイスを含む。例示的には、IDN衝突検出サーバ108は、通信リンク140を介してネットワーク120上で通信する。動作中、IDN衝突検出サーバ108は、定期的に、新たに登録されたドメイン名に対する要求をDNS登録サーバ106に伝送する。応答して、DNS登録サーバ106は、新たに登録されたドメイン名のリストをIDN衝突検出サーバ108に伝送する。1つの例では、IDN衝突検出サーバ108は、過去24時間に登録されたドメイン名のリスト、または、最後の要求が伝送されてから登録されたドメイン名のリストを要求するために、要求をDNS登録サーバ106に毎日伝送し得る。
本明細書中にさらに記載されるように、IDN衝突検出サーバ108は、1つ以上のpunycode要素を有するIDNを識別するために、新たに登録されたドメイン名をフィルタリングする。IDN衝突検出サーバ108。IDN衝突検出サーバ108は、1つ以上のIDNが以前に登録されたドメイン名と視覚的に類似するかどうかを決定するために、識別されたIDNを処理する。IDNが以前に登録されたドメイン名と視覚的に類似する場合、IDN衝突検出サーバ108は、以前に登録されたドメイン名の所有者に関連づけられたコンテンツサーバ104に警告すること、または、以前に登録されたドメイン名にアクセスし得る他のクライアントデバイス102に警告することなどの適切なアクションを行う。
加えて、IDN衝突検出サーバ108は、標準的なDNS準拠の文字から構成される存在するドメイン名と視覚的に類似するIDNを識別する。IDN衝突検出サーバ108。IDN衝突検出サーバ108は、存在するドメイン名を処理し、存在するドメイン名を様々なフォントにおいて存在する1つの文字および2つの文字の組み合わせと比較する。そして、IDN衝突検出サーバ108は、存在するドメイン名と視覚的に類似するIDNのリストを生成する。これらの1つ以上の視覚的に類似するIDNは、視覚的に類似するIDNが様式的に満足なものであった場合になど、「バニティ」ドメイン名として登録され得る。加えて、またはその代わりに、視覚的に類似するIDNは、ホモグラフ攻撃の可能性を低減させる予防策として登録され得る。次に、IDN衝突検出サーバ108がさらに詳細に記載される。
(脅威情報を発信するための動的割り当て)
図2は、本発明の様々な実施形態による、図1のIDN衝突検出サーバ108のより詳細な例示である。示されるように、IDN衝突検出サーバ108は、限定するものではないが、中央処理装置(CPU)202、ストレージ204、入力/出力(I/O)デバイスインタフェース206、ネットワークインタフェース208、相互接続210およびシステムメモリ212を含む。
図2は、本発明の様々な実施形態による、図1のIDN衝突検出サーバ108のより詳細な例示である。示されるように、IDN衝突検出サーバ108は、限定するものではないが、中央処理装置(CPU)202、ストレージ204、入力/出力(I/O)デバイスインタフェース206、ネットワークインタフェース208、相互接続210およびシステムメモリ212を含む。
プロセッサ202は、システムメモリ212に記憶されたプログラミング命令を読み出し、それを実行する。同様に、プロセッサ202は、システムメモリ212にあるアプリケーションデータを記憶し、読み出す。相互接続210は、プロセッサ202、入力/出力(I/O)デバイスインタフェース206、ストレージ204、ネットワークインタフェース208およびシステムメモリ212の間でプログラミング命令およびアプリケーションデータなどの伝送を容易にする。I/Oデバイスインタフェース206は、ユーザI/Oデバイス222から入力データを受信するように構成される。ユーザI/Oデバイス222の例は、より多くのボタン、キーボードおよびマウスまたは他のポインティングデバイスのうちの1つを含み得る。I/Oデバイスインタフェース206は、電気的音声出力信号を生成するように構成された音声出力ユニットも含み得、ユーザI/Oデバイス222は、電気的音声出力信号に応答して音響出力を生成するように構成されたスピーカをさらに含み得る。ユーザI/Oデバイス222の別の例は、表示のための画像を生成する任意の技術的に実現可能な手段を一般的に表すディスプレイデバイスである。例えば、ディスプレイデバイスは、液晶ディスプレイ(LCD)のディスプレイ、CRTディスプレイまたはDLPディスプレイであり得る。ディスプレイデバイスは、デジタルまたはアナログテレビジョン信号を受信する放送またはケーブルチューナを含むテレビであり得る。
プロセッサ202は、単一CPU、多重CPU、および、多重処理コアを有する単一CPUなどを表すために含まれる。システムメモリ212は、ランダムアクセスメモリを表すために、一般的に含まれる。ストレージ204は、ディスクドライブストレージデバイスであり得る。単一ユニットとして示されるが、ストレージ204は、固定ディスクドライブ、フロッピー(登録商標)ディスクドライブ、テープドライブ、取り外し可能なメモリカード、光学ストレージ、ネットワーク接続ストレージ(NAS)またはストレージエリアネットワーク(SAN)などの固定および/または取り外し可能なストレージデバイスの組み合わせであり得る。プロセッサ202は、ネットワークインタフェース208を介して他のコンピューティングデバイスおよびシステムと通信し、ネットワークインタフェース208は、通信ネットワークを介してデータを送受信するように構成される。
システムメモリ212は、限定するものではないが、IDN衝突検出アプリケーション232、バニティIDN生成アプリケーション234、新たに登録されたドメイン名データベース236およびフォント行列データベース238を含む。
IDN衝突検出アプリケーション232は、プロセッサ202によって実行されると、本明細書中にさらに記載されるように、図1のIDN衝突検出サーバ108に関連づけられた1つ以上の動作を行う。動作中、IDN衝突検出アプリケーション232は、定期的に、新たに登録されたドメイン名に対する要求をDNS登録サーバ106に伝送する。応答して、DNS登録サーバ106は、新たに登録されたドメイン名のリストをIDN衝突検出アプリケーション232に伝送する。1つの例では、IDN衝突検出アプリケーション232は、過去24時間に登録されたドメイン名のリスト、または、最後の要求が伝送されてから登録されたドメイン名のリストを要求するために、要求をDNS登録サーバ106に毎日伝送し得る。IDN衝突検出アプリケーション232は、ドメイン名の受信されたリストを新たに登録されたドメイン名データベース236に記憶する。
IDN衝突検出アプリケーション232は、1つ以上のpunycode要素を有するIDNを識別するために、新たに登録されたドメイン名データベース236に記憶されたドメイン名をフィルタリングする。いくつかの実施形態では、IDN衝突検出アプリケーション232は、punycode要素を有するIDNを「xn− −」文字列で始まるそれらのドメイン名として識別する。1つ以上のpunycode要素を有するIDNを検出すると、IDN衝突検出アプリケーション232は、ドメイン名をpunycode要素に対応するUnicode文字を含むIDNに変換する。そして、IDN衝突検出アプリケーション232は、Unicode文字を有するIDNをIDNがレンダリングされることができる異なるフォントに対応する複数の画像にレンダリングする。いくつかの実施形態では、IDN衝突検出アプリケーション232は、光学的文字認識(OCR)を容易にするために、各画像を拡大し得る。IDN衝突検出アプリケーション232は、各画像に対して認識される文字のテキスト文字列を生成するために、レンダリングされた画像に対して1つ以上のOCR動作を行う。いくつかの実施形態では、IDN衝突検出アプリケーション232は、より厳密なOCRが標準的なDNS準拠の文字とUnicode文字との間の違いを検出し得る場合でも、緩いまたは「怠惰な」OCR動作を行い得、それによって、Unicode文字は、Unicode文字と視覚的に類似する標準的なDNS準拠の文字にマッピングされる。
OCR動作からのテキスト文字列は、以前に登録されたドメイン名のリストと比較される。以前に登録されたドメイン名のリストは、好ましいクライアントのリストを含み得る。OCR動作からのテキスト文字列が、好ましいクライアントに属するドメイン名と一致した場合、IDN衝突検出アプリケーション232は、適切なアクションを行う。例えば、IDN衝突検出アプリケーション232は、好ましいクライアントに属するドメイン名がホモグラフ攻撃の対象になり得ることを好ましいクライアントに通知し得る。
同様に、以前に登録されたドメイン名のリストは、インターネット上の10万の最も人気のあるサイトなどの人気のあるドメイン名のリストを含み得る。人気のあるドメイン名へのホモグラフ攻撃は、サプライチェーン攻撃または水飲み場型攻撃などの特定の種類の攻撃を示し得る。サプライチェーン攻撃では、悪意のあるエンティティは、会社が商品およびサービスを製造または配送する様々な段階において典型的に用いる特定のウェブサイトを攻撃する。例えば、サプライチェーン攻撃は、原材料、受託製造サービスまたは出荷物流サーバの供給者に属するウェブサイトを標的にし得る。水飲み場型攻撃では、悪意のあるエンティティは、標的にされた会社によって常に使用される特定のウェブサイト(検索エンジンウェブサイト、事務用品ウェブサイトおよびクラウドサービスウェブサイトなど)を攻撃する。ホモグラフ攻撃が人気のあるウェブサイトに対して検出された場合、IDN衝突検出アプリケーション232は、新たに登録されたIDNおよび対応する人気のあるドメイン名を不審なドメイン名リストに載せる。
いくつかの実施形態では、特定のフォントは、すべての可能なコードポイントに対して、文字画像またはグリフを含まないこともある。そのような実施形態では、疑問符またはダイヤモンド形などの特定の文字が、これらのコードポイントの代用の文字画像として代用され得る。怠惰なOCRが、1つ以上の代用の文字画像を含む画像に対して行われた場合、OCR動作から生じるテキスト文字列が、以前に登録されたドメイン名のリストにおけるドメイン名と一致すると、代用の文字画像の存在は、一致を無視する。そのような場合、IDN衝突検出アプリケーション232は、一致が見つかっていないと決定する。別の言い方をすれば、IDN衝突検出アプリケーション232は、Unicode IDNに含まれるUnicode文字が、Unicode IDNに関連づけられた現在のフォントにおいて定義されていないと決定する。応答して、IDN衝突検出アプリケーション232は、OCR動作から生じるテキスト文字列が、以前に登録されたドメイン名と一致した場合でも、IDNを不審でないドメイン名として識別する。
加えて、またはその代わりに、IDN衝突検出アプリケーション232は、限定するものではないが、新たに登録されたIDNに関してシステムオペレータに警告を伝送すること、新たに登録されたIDNをドメイン名レジストリから削除するための要求をDNS登録サーバ106に伝送すること、および標的にされた人気のあるドメイン名の所有者に関連づけられたユーザに新たに登録されたIDNに関する電子メールを送ることを含む他の適切なアクションを行い得る。
バニティIDN生成アプリケーション234は、プロセッサ202によって実行されると、本明細書中にさらに記載されるように、図1のIDN衝突検出サーバ108に関連づけられた1つ以上の動作を行う。動作中、バニティIDN生成アプリケーション234は、別のドメイン名と視覚的に類似するIDNを生成する。バニティIDN生成アプリケーション234は、標準的なDNS準拠の文字セットのすべての1文字(1グラム)および2文字(2グラム)の組み合わせのマスタリストを生成する。例えば、64文字セットのためのマスタリストは、合計4160の組み合わせに対して、64の1グラムと642(4096)の2グラムとを含む。63文字セットのためのマスタリストは、合計4032の組み合わせに対して、63の1グラムと642(3969)の2グラムとを含む。
同様に、バニティIDN生成アプリケーション234は、各公知のフォントに対して、すべての1グラムおよび2グラムのリストを生成する。例えば、完全実装のフォントは、65535のコードポイントを有し得、コードポイントは、0x0000から0xFFFFの16進法の範囲における16進数である。各コードポイントは、異なるUnicode文字および異なるグリフ表示に対応する。そのようなフォントに対する組み合わせリストは、65535の1グラムおよび655352(約43億)の2グラムが含まれる。含まれる。バニティIDN生成アプリケーション234は、所与のフォントに対して、各1グラムおよび2グラムへの怠惰なOCR動作を行う。バニティIDN生成アプリケーション234は、各OCR動作の出力を標準的なDNS準拠の文字セットの1グラムおよび2グラムに対して比較する。現在のフォントの組み合わせと標準的なDNS準拠の文字セットの組み合わせとの間の任意の一致は、フォント行列データベース238に記憶される。バニティIDN生成アプリケーション234は、各公知のフォントに対してこの処理を繰り返す。その結果、フォント行列データベース238は、各公知のフォントに対するマッピングテーブルを含む。
バニティIDN生成アプリケーション234は、入力ドメイン名と呼ばれる現在存在するまたは新たに登録されたドメイン名を読み出す。バニティIDN生成アプリケーション234は、入力ドメイン名に存在するすべての連続した1グラムおよび2グラムの組み合わせを生成する。バニティIDN生成アプリケーション234は、フォント行列データベース238において、フォントと対応するフォント行列とを選択する。入力ドメイン名に存在する各1グラムおよび2グラムに対して、バニティIDN生成アプリケーション234は、フォント行列において、対応する1グラムおよび2グラムを識別し、入力ドメイン名の1グラムおよび2グラムに視覚的に類似しているように見えるフォントにおける対応する1グラムおよび2グラムを読み出す。バニティIDN生成アプリケーション234は、入力ドメイン名に視覚的に類似しているように見える様式化されたドメイン名のリストを生成するために、フォントにおける1グラムと2グラムとを組み合わせる。これらの様式化されたドメイン名のうちの1つ以上は、バニティドメイン名として登録され得る。加えて、またはその代わりに、これらの様式化されたドメイン名は、ホモグラフ攻撃のリスクを低減するために登録され得る。登録のために選択された様式化されたドメイン名は、punycode IDNに変換され、DNS登録サーバ106などのDNS登録サーバに登録される。
いくつかの実施形態では、バニティIDN生成アプリケーション234は、1グラムおよび2グラムを処理することに制限されないこともある。一般に、バニティIDN生成アプリケーション234は、任意の長さの組み合わせを処理するように構成され得る。そのような組み合わせは、「n」が任意の正の整数であり得る、nグラムと呼ばれ得る。
いくつかの実施形態では、バニティIDN生成アプリケーション234は、定期的にフォント行列データベース238を生成または更新し得る。加えて、またはその代わりに、バニティIDN生成アプリケーション234は、新しいフォントが検出された場合、または存在するフォントが修正された場合はいつでも、フォント行列データベース238を生成または更新し得る。
図3は、本発明の様々な実施形態による、ホモグラフ攻撃に対応する異なるIDNの例310(1)...310(5)を示す。示されるように、例310(1)...310(5)の各々は、punycode IDN320、コードポイント330およびUnicode IDN340を含む。例310(1)...310(5)の各々は、verisign.comドメインに対応するホモグラフIDNを定義する。
例310(1)では、語「verisign」における文字「v」が、Unicodeフォントセットからの代わりの文字「v」で置換されている。例310(1)に対応するpunycode IDN320「xn− −erisign−rof.com」は、punycode要素「−rof」を含む。このpunycode要素は、文字「v」の代わりの文字がドメイン名の第1の位置に挿入されるべきことを示す。挿入後生じるコードポイント330は、03BD 0065 0072 0069 0073 0069 0067 006Eであり、03BDは、第1の位置における代わりの文字「v」に対するコードポイント330であり、残りのコードポイント330は、文字列「erisign」における標準的な文字にそれぞれ対応する。生じるUnicode IDN340は、元のドメイン名と視覚的に類似する「verisign.com」である。
例310(2)では、語「verisign」における文字「e」が、Unicodeフォントセットからの代わりの文字「e」で置換されている。例310(2)に対応するpunycode IDN320「xn− −vrisign−7gg.com」は、punycode要素「−7gg」を含む。このpunycode要素は、文字「e」の代わりの文字がドメイン名の第2の位置に挿入されるべきことを示す。挿入後生じるコードポイント330は、0076 0435 0072 0069 0073 0069 0067 006Eであり、0435は、第2の位置における代わりの文字「e」に対するコードポイント330であり、残りのコードポイント330は、文字列「vrisign」における標準的な文字にそれぞれ対応する。生じるUnicode IDN340は、元のドメイン名と視覚的に類似する「verisign.com」である。
例310(3)では、語「verisign」における文字「i」が、Unicodeフォントセットからの代わりの文字「i」で置換されている。例310(2)に対応するpunycode IDN320「xn− −versgn−k91ab.com」は、punycode要素「−k91ab」を含む。このpunycode要素は、2つの文字「i」の代わりの文字がドメイン名の第4および第6の位置に挿入されるべきことを示す。挿入後生じるコードポイント330は、0076 0065 0072 13A5 0073 13A5 0067 006Eであり、13A5は、第4および第6の位置における代わりの文字「i」に対するコードポイント330であり、残りのコードポイント330は、文字列「versgn」における標準的な文字にそれぞれ対応する。生じるUnicode IDN340は、元のドメイン名と視覚的に類似する「verisign.com」である。
例310(4)では、語「verisign」における文字「s」が、Unicodeフォントセットからの代わりの文字「s」で置換されている。例310(2)に対応するpunycode IDN320「xn− −veriign−mog.com」は、punycode要素「−mog」を含む。このpunycode要素は、文字「s」の代わりの文字がドメイン名の第5の位置に挿入されるべきことを示す。挿入後生じるコードポイント330は、0076 0065 0072 0069 0455 0069 0067 006Eであり、0455は、第5の位置における代わりの文字「s」に対するコードポイント330であり、残りのコードポイント330は、文字列「veriign」における標準的な文字にそれぞれ対応する。生じるUnicode IDN340は、元のドメイン名と視覚的に類似する「verisign.com」である。
最後に、例310(5)では、語「verisign」における文字「n」が、Unicodeフォントセットからの代わりの文字「n」で置換されている。例310(2)に対応するpunycode IDN320「xn− −verisig−rjd.com」は、punycode要素「−rjd」を含む。このpunycode要素は、文字「n」の代わりの文字がドメイン名の第8の位置に挿入されるべきことを示す。挿入後生じるコードポイント330は、0076 0065 0072 0069 0073 0069 0067 0274であり、0274は、第8の位置における代わりの文字「n」に対するコードポイント330であり、残りのコードポイント330は、文字列「verisig」における標準的な文字にそれぞれ対応する。生じるUnicode IDN340は、元のドメイン名と視覚的に類似する「verisign.com」である。
例310(1)...310(5)の各々では、punycode IDN320と元のドメインとの直接的な文字列の比較は、punycode IDN320と元のドメインとが視覚的に類似することを明らかにしないこともある。しかし、punycode IDN320をコードポイント330に変換し、コードポイントをUnicode IDN340に変換し、その後怠惰なOCRをUnicode IDN340に対して行うことによって、そのような視覚的な類似性は、容易に検出され得る。
図4A〜4Bは、本発明の様々な実施形態による、ホモグラフ攻撃を検出する方法のステップのフロー図を提示する。方法のステップは、図1〜3のシステムと併せて説明されるが、当業者は、方法のステップを任意の順序で行うように構成された任意のシステムが、本発明の範囲内にあることを理解する。
示されるように、方法400は、ステップ402で始まり、IDN衝突検出サーバ108上で実行するIDN衝突検出アプリケーション232は、最近登録されたドメイン名のリストに対する要求をDNS登録サーバ106に伝送する。いくつかの実施形態では、IDN衝突検出アプリケーション232は、そのような要求を1時間に1回、1日に1回または1週間に1回などの定期的な間隔で伝送し得る。いくつかの実施形態では、IDN衝突検出アプリケーション232は、指定された期間内に登録されたドメイン名のリストを要求し得る。その代わりに、IDN衝突検出アプリケーション232は、最後の要求以降に登録されたドメイン名のリストを要求し得る。
ステップ404では、IDN衝突検出アプリケーション232は、DNS登録サーバ106から新たに登録されたドメイン名のリストを受信し、リストを新たに登録されたドメイン名データベース236に記憶する。ステップ406では、IDN衝突検出アプリケーション232は、新たに登録されたIDNを識別するために、新たに登録されたドメイン名データベース236に記憶されたドメイン名のリストにフィルタを適用する。いくつかの実施形態では、新たに登録されたドメイン名は、新たに登録されたドメイン名が文字列「xn− −」で始まる場合、IDNとして識別される。そのようなIDNは、特定のUnicode文字とそれらのUnicode文字のドメイン名内での位置とを示す1つ以上のpunycode要素を含む。
ステップ408では、IDN衝突検出アプリケーション232は、1つ以上のpunycode要素を含む各IDNを対応するUnicode IDNに変換し、対応するUnicode IDNは、punycode要素によって指定されたUnicode文字をUnicode IDNにおける他の文字に対する正しい位置に含む。ステップ410では、IDN衝突検出アプリケーション232は、各Unicode IDNを画像に変換する。いくつかの実施形態では、IDN衝突検出アプリケーション232は、各Unicode IDNに対して複数の画像を生成し得、各画像はフォントのセットにおける異なるフォントと対応する。フォントのセットは、IDN衝突検出アプリケーション232によって認識されるすべてのフォントの包括的なリストであり得る。その代わりに、フォントのセットは、様々なウェブブラウザによって典型的に使用されるフォントのリストであり得る。いくつかの実施形態では、IDN衝突検出アプリケーション232は、OCRを容易にするために、各画像を拡大し得る。
ステップ412では、IDN衝突検出アプリケーション232は、各画像に対して、認識された文字のテキスト文字列を生成するために、各Unicode IDNに対応する各画像に対するOCR動作を行う。いくつかの実施形態では、IDN衝突検出アプリケーション232は、より厳密なOCRが標準的なDNS準拠の文字とUnicode文字との間の違いを検出し得る場合でも、緩いまたは怠惰なOCR動作を行い得、それによって、Unicode文字が、Unicode文字と視覚的に類似する標準的なDNS準拠の文字にマッピングされる。ステップ414では、IDN衝突検出アプリケーション232は、OCR動作からの各テキスト文字列を以前に登録されたドメイン名のリストに対して比較する。
ステップ416では、IDN衝突検出アプリケーション232は、OCR動作からのテキスト文字列が、好ましいクライアントに関連づけられたドメイン名と一致するかどうかを決定する。OCR動作からのテキスト文字列が、好ましいクライアントに関連づけられたドメイン名と一致した場合、方法400は、ステップ418に進み、IDN衝突検出アプリケーション232は、適切なアクションを行う。そのようなアクションは、限定するものではないが、新たに登録されたIDNに関してシステムオペレータに警告を伝送すること、新たに登録されたIDNに関する電子メールを好ましいクライアントに関連づけられたユーザに送ること、または、新たに登録されたIDNをドメイン名レジストリから削除するための要求をDNS登録サーバ106に伝送することを含み得る。
ステップ416では、OCR動作からのテキスト文字列が、好ましいクライアントに関連づけられたドメイン名と一致しなかった場合、方法400は、ステップ420に進み、IDN衝突検出アプリケーション232は、OCR動作からのテキスト文字列が、インターネットを介してアクセスされた上位10万のドメインなどの人気のあるドメイン名のリストに関連づけられたドメイン名と一致するかどうかを決定する。OCR動作からのテキスト文字列が、人気のあるドメイン名のリストに関連づけられたドメイン名と一致した場合、方法400は、ステップ422に進み、IDN衝突検出アプリケーション232は、適切なアクションを行う。そのようなアクションは、限定するものではないが、新たに登録されたIDNに関してシステムオペレータに警告を伝送すること、新たに登録されたIDNに関する電子メールを人気のあるドメイン名の所有者に関連づけられたユーザに送ること、および、新たに登録されたIDNおよび対応する人気のあるドメイン名を不審なドメイン名リストに載せることを含み得る。
方法400は、その後、終了する。
図5A〜5Bは、本発明の様々な実施形態による、バニティドメイン名を生成する手法を示す。示されるように、DNS適合の文字セット502は、英語の26の大文字および26の小文字、0〜9の数字、ハイフン「−」の文字、およびピリオド「.」の文字に対応するASCII文字を含む。ASCII文字行列504は、DNS適合の文字セット502に含まれる文字のすべての1グラムおよび2グラムの組み合わせを含む。フォントコードポイント画像506は、特定のフォントに対するコードポイントの1グラムおよび2グラムの組み合わせに対応するすべての画像を含む。怠惰なOCR動作508が、フォントコードポイント画像506に含まれるすべての画像に対して行われる。マッピング処理510は、怠惰なOCR動作508の結果を、ASCII文字行列504に含まれるすべての1グラムおよび2グラムの組み合わせに対して比較する。ASCII文字行列504に含まれる1グラムおよび2グラムの組み合わせと、特定のフォントに対するコードポイントの1グラムおよび2グラムの組み合わせとの間のすべての一致が、特定のフォントに対するフォント行列に記憶される。この処理は、行列フォントデータベース238を生成するために、フォントのセットにおける各フォントに対して繰り返される。
目的のドメイン名512が受信される。目的のドメイン名512のすべての連続した1グラムおよび2グラムの組み合わせ514が生成され、行列フォントデータベース238からのフォント行列が、選択される。コードポイントと視覚的に一致するセット516が生成され、視覚的に一致するコードポイントの各々は、目的のドメイン名の連続した1グラムおよび2グラムの組み合わせのうちの1つと視覚的に類似する。組み合わせのセット518が生成され、各組み合わせは、視覚的に一致するコードポイント516のうちの1つ以上を含む。各組み合わせは、目的のドメイン名512と視覚的に類似する。組み合わせのセット518に含まれる組み合わせのうち1つ以上は、その後、punycode IDN520に変換され、その結果、対応するpunycode IDN520が登録され得る。
図6は、本発明の様々な実施形態による、図5A〜5Bの手法を介して生成された異なるバニティIDNの例610(1)、610(2)を示す。示されるように、例610(1)、610(2)の各々は、punycode IDN620、コードポイント630およびUnicode IDN640を含む。例610(1)、610(2)の各々は、verisign.comドメインに対応するホモグラフIDNを定義する。
例610(1)では、語「verisign」における文字「v」および「s」が、Unicodeフォントセットからの様式化された文字「v」および「s」で置換されている。例610(1)に対応するpunycode IDN620「xn− −eriign−vk2al.com」は、punycode要素「−vk2al」を含む。このpunycode要素は、文字「v」および「s」に対する様式化された文字が、それぞれ、ドメイン名の第1の位置および第5の位置に挿入されることを示す。挿入後生じるコードポイント630は、13D9 0065 0072 0069 13DA 0069 0067 006Eであり、13D9は、第1の位置における様式化された文字「v」に対するコードポイント330であり、13DAは、第5の位置における様式化された文字「s」に対するコードポイント330であり、残りのコードポイント330は、文字列「eriign」における標準的な文字にそれぞれ対応する。生じるUnicode IDN340は、元のドメイン名と視覚的に類似する「Verisign.com」である。
例610(2)では、語「verisign」におけるすべての文字が、Unicodeフォントセットからの様式化された文字で置換されている。例610(2)に対応するpunycode IDN320「xn− −koa929fzb9c7ai413cba.com」は、punycode要素「−koa929fzb9c7ai413cba」を含む。このpunycode要素は、「verisign」におけるすべての文字に対する様式化された文字がドメイン名に挿入されることを示す。挿入後生じるコードポイント330は、13D9 13AC 13D2 16C1 13DA 16C1 13C0 0274であり、すべてのコードポイント330は、文字列「verisign」における様式化された文字に対するものである。生じるUnicode IDN340は、元のドメイン名と視覚的に類似する「VERISIGN.com」である。
例610(1)、610(2)の各々では、punycode IDN620と元のドメインとの直接的な文字列の比較は、punycode IDN620と元のドメインとが視覚的に類似することを明らかにしないこともある。しかし、対応するUnicode IDN640が元のドメイン名と視覚的に類似することを決定することによって、punycode IDN620は、バニティIDNとして登録され得るか、ホモグラフ攻撃のリスクを低減するために登録され得る。
図7A〜7Bは、本発明の様々な実施形態による、ドメイン名に関連づけられたホモグラフのバニティ名を生成する方法のステップのフロー図を提示する。方法のステップは、図1〜3および5A〜6のシステムと併せて説明されるが、当業者は、方法のステップを任意の順序で行うように構成された任意のシステムが、本発明の範囲内にあることを理解する。
示されるように、方法700は、ステップ702で始まり、IDN衝突検出サーバ108を実行するバニティIDN生成アプリケーション234は、DNS適合のドメイン名に含まれ得る英数字のASCII文字および他の句読文字の標準セットを識別する。例えば、ASCII文字の標準セットは、英語の26の大文字および26の小文字、0〜9の数字、ハイフン「−」の文字、およびピリオド「.」の文字であり得る。ステップ704では、バニティIDN生成アプリケーション234は、ASCII文字の標準セットのすべての1グラムおよび2グラムの組み合わせのリストを生成する。
ステップ706では、バニティIDN生成アプリケーション234は、特定のフォントにおけるコードポイントのすべての1グラムおよび2グラムの組み合わせのリストを生成する。いくつかの実施形態では、特定のフォントは、65535のコードポイントを含み得る。ステップ708では、特定のフォントにおけるコードポイントの各1グラムおよび2グラムの組み合わせに対して、怠惰なOCRを行う。ステップ708では、バニティIDN生成アプリケーション234は、OCR動作から、認識された文字のテキスト文字列を生成するために、ASCII文字の標準セットの1グラムおよび2グラムを識別する。ステップ710では、特定のフォントに対してフォント行列を生成する。フォント行列は、OCR動作からの認識された文字のテキスト文字列と一致するASCII文字の標準セットの各1グラムおよび2グラムを特定のフォントの対応する1グラムおよび2グラムとともに含む。ステップ712では、バニティIDN生成アプリケーション234は、フォント行列をフォント行列データベース238に記憶する。いくつかの実施形態では、バニティIDN生成アプリケーション234は、フォントの特定のセットにおける各フォントに対して、ステップ706から712までを繰り返し得る。
ステップ714では、バニティIDN生成アプリケーション234は、目的のドメイン名を受信する。ステップ716では、バニティIDN生成アプリケーション234は、目的のドメイン名に存在する1グラムおよび2グラムの組み合わせの連続したリストのリストを生成する。ステップ718では、バニティIDN生成アプリケーション234は、フォント行列データベース238に記憶されたフォント行列を選択する。ステップ720では、目的のドメイン名に存在する各1グラムおよび2グラムの組み合わせに対して、バニティIDN生成アプリケーション234は、ASCII文字の標準セットの対応する1グラムおよび2グラムのフォント行列において、エントリがあった場合、それを見つける。ステップ722では、バニティIDN生成アプリケーション234は、フォント行列から特定のフォントの対応する1グラムおよび2グラムを読み出す。ステップ724では、バニティIDN生成アプリケーション234は、特定のフォントの1つ以上の1グラムおよび2グラムを含む組み合わせを生成し、そのような組み合わせの各々は、目的のドメイン名と視覚的に類似する。ステップ726では、特定のフォントの1グラムおよび2グラムは、各組み合わせを対応するpunycode IDNに変換し、対応するpunycode IDNは、「xn− −」で始まり、1つ以上のpunycode要素を含む。
方法700は、その後、終了する。
要約すると、新たに登録された国際化ドメイン名(IDN)は、新たに登録されたIDNが存在するドメイン名と衝突する場合を決定するために、分析される。新たに登録されたIDNの各々に対して、IDNのpunycode表示が、対応するUnicode IDNに変換される。Unicode IDNの画像は、特定のフォントに対して作成される。画像は、OCRを容易にするために拡大され得る。怠惰なOCR動作が、生じる画像に対して行われる。OCR動作から生じるテキスト文字列は、以前に登録されたドメイン名のリストに対して比較される。テキスト文字列が、以前に登録されたドメイン名のリストにおけるドメイン名と一致した場合、新に登録されたIDNは、不審であると識別される。そのような不審なIDNは、以前に登録されたドメイン名への潜在的なホモグラフ攻撃を示し得る。
開示された技術の少なくとも1つの利点は、ホモグラフ攻撃に関連づけられた潜在的に悪意のあるIDNが、悪意のあるIDNが登録されてまもなくして、自動的に検出されることである。以前に登録されたドメイン名と視覚的に類似するIDNは、悪意のあるIDNのレジストリを手動で更新する必要なしに自動的に検出される。その結果、悪意のあるIDNは、従来の手法と比べてより少ない時間で、検出され、和らげられる。
1.いくつかの実施形態では、ホモグラフ攻撃を検出するコンピュータ実装方法であって、方法は、punycode要素を含む第1のドメイン名を読み出すことと、第1のドメインをpunycode要素に対応するUnicode文字を含む第2のドメイン名に変換することと、第2のドメイン名を画像に変換することと、1つ以上の光学的文字認識動作を画像に対して行うことにより、画像に関連づけられたテキスト文字列を生成することと、テキスト文字列が第3のドメイン名の少なくとも一部分と一致することを決定することとを含む、方法。
2.最近登録されたドメイン名のリストをドメイン名システム(DNS)登録サーバから受信することと、リストが第1のドメイン名を含むことを決定することとをさらに含む、第1項に記載のコンピュータ実装方法。
3.第3のドメイン名は、好ましいクライアントドメイン名のリストに含まれており、方法は、第3のドメイン名に関連づけられたエンティティに第1のドメイン名が第1のドメイン名へのホモグラフ攻撃に関連していることを通知することをさらに含む、第1項または第2項に記載のコンピュータ実装方法。
4.第3のドメイン名は、人気のあるドメイン名のリストに含まれており、方法は、データベースを更新することにより、第1のドメイン名を第3のドメイン名へのホモグラフ攻撃として関連づけることをさらに含む、第1項〜第3項のいずれかに記載のコンピュータ実装方法。
5.第1のドメイン名をドメイン名レジストリから削除するための要求をDNS登録サーバに伝送することをさらに含む、第1項〜第4項のいずれかに記載のコンピュータ実装方法。
6.1つ以上の光学的文字認識動作を画像に対して行うことは、Unicode文字に関連づけられた画像の一部分を1つ以上の標準的なDNS準拠の文字にマッピングすることを含む、第1項〜第5項のいずれかに記載のコンピュータ実装方法。
7.Unicode文字が第2のドメイン名に関連づけられた第1のフォントにおいて定義されていないことを決定することと、応答して、第1のドメイン名を不審でないドメイン名として識別することとをさらに含む、第1項〜第6項のいずれかに記載のコンピュータ実装方法。
8.Unicode文字は、第3のドメイン名に含まれる第1の文字と視覚的に類似する、第1項〜第7項のいずれかに記載のコンピュータ実装方法。
9.いくつかの実施形態では、命令を含む非一過性のコンピュータ読み取り可能な記憶媒体であって、命令は、プロセッサによって実行されると、プロセッサに、第1のドメイン名内で第1の1つ以上の文字の組み合わせを識別するステップと、第1の1つ以上の文字の組み合わせが、第1のフォントに関連づけられた第2の1つ以上の文字の組み合わせと視覚的に類似することを決定するステップと、第1のドメイン名と視覚的に類似し、かつ、第2の1つ以上の文字の組み合わせに関連づけられたUnicode文字を含む第2のドメイン名を生成するステップとを行うことによって、ドメイン名に関連づけられたホモグラフのバニティ名を生成させる、記憶媒体。
10.第2の1つ以上の文字の組み合わせは、第2の1つ以上の文字の組み合わせを第1の1つ以上の文字の組み合わせに関連づけるフォント行列に含まれている、第9項に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
11.第2の1つ以上の文字の組み合わせを画像に変換することと、1つ以上の光学的文字登録動作を画像に対して行うことにより、画像に関連づけられたテキスト文字列を生成することと、テキスト文字列が第3の1つ以上の文字の組み合わせと一致することを決定することであって、第3の1つ以上の文字の組み合わせは、ドメイン名システム(DNS)ドメイン名と適合性のある第1の文字のセットに含まれることと、第2の1つ以上の文字の組み合わせを第3の1つ以上の文字の組み合わせに関連づけるフォント行列にエントリを追加することとをさらに含む、第9項または第10項に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
12.第1の1つ以上の文字の組み合わせが第2の1つ以上の文字の組み合わせと視覚的に類似することを決定することは、第3の1つ以上の文字の組み合わせが第1の1つ以上の文字の組み合わせと一致することを識別することを含む、第9項〜第11項のいずれかに記載の非一過性のコンピュータ読み取り可能な記憶媒体。
13.第1の1つ以上の文字の組み合わせは、DNSドメイン名と適合性のある第1の文字のセットに含まれている、第9項〜第12項のいずれかに記載の非一過性のコンピュータ読み取り可能な記憶媒体。
14.第2の1つ以上の文字の組み合わせは、DNSドメイン名と適合性のある第1の文字のセットに含まれない少なくとも1つの文字を含む、第9項〜第13項のいずれかに記載の非一過性のコンピュータ読み取り可能な記憶媒体。
15.第2のドメイン名をpunycode要素を含む第3のドメイン名に変換することをさらに含み、punycode要素は、第2の1つ以上の文字の組み合わせに対応している、第9項〜第14項のいずれかに記載の非一過性のコンピュータ読み取り可能な記憶媒体。
16.第3のドメイン名を登録するための要求をDNS登録サーバに伝送することをさらに含む、第9項〜第15項のいずれかに記載の非一過性のコンピュータ読み取り可能な記憶媒体。
17.いくつかの実施形態では、コンピューティングデバイスは、IDN衝突検出アプリケーションを含むメモリと、メモリに結合されたプロセッサとを含み、プロセッサは、IDN衝突検出アプリケーションを実行すると、punycode要素を含む第1のドメイン名を読み出すことと、第1のドメイン名を、punycode要素に対応するUnicode文字を含む第2のドメイン名に変換することと、第2のドメイン名を画像に変換することと、1つ以上の光学的文字認識動作を画像に対して行うことにより、画像に関連づけられたテキスト文字列を生成することと、テキスト文字列が第3のドメイン名の少なくとも一部分と一致することを決定することとを行うように構成されている、コンピューティングデバイス。
18.プロセッサは、最近登録されたドメイン名のリストをドメイン名システム(DNS)登録サーバから受信することと、リストが第1のドメイン名を含むことを決定することとを行うようにさらに構成されている、第17項に記載のコンピューティングデバイス。
19.第3のドメイン名は、好ましいクライアントドメイン名のリストに含まれており、プロセッサは、第3のドメイン名に関連づけられたエンティティに第1のドメイン名が第1のドメイン名へのホモグラフ攻撃に関連していることを通知するようにさらに構成されている、第17項または第18項に記載のコンピューティングデバイス。
20.第3のドメイン名は、人気のあるドメイン名のリストに含まれており、プロセッサは、データベースを更新することにより、第1のドメイン名を第3のドメイン名へのホモグラフ攻撃として関連づけるようにさらに構成されている、第17項〜第19項のいずれかに記載のコンピューティングデバイス。
任意の様式で、請求項のうちのいずれかに記載された請求項の構成要素のうちのいずれか、および/または、本出願に記載された任意の構成要素の、任意のおよびすべての組み合わせは、本発明および保護の企図された範囲内にある。
様々な実施形態の説明は、例示の目的のために提示されたが、網羅的であること、または、開示された実施形態に制限されることを意図されたものではない。多くの修正および変形が、記載された実施形態の範囲および精神から逸脱することなく、当業者には明らかである。
本発明の実施形態の側面は、システム、方法またはコンピュータプログラム製品として具現化され得る。よって、本開示の側面は、全体がハードウェアの実施形態、全体がソフトウェアの実施形態(ファームウェア、常駐ソフトウェア、マイクロコードなどを含む)またはソフトウェアおよびハードウェアの側面を組み合わせる実施形態の形を取り得、それらはすべて、概して、本明細書中で「モジュール」または「システム」と呼ばれ得る。さらに、本開示の側面は、その上で具現化されるコンピュータ読み取り可能なプログラムコードを有する1つまたはそれより多くのコンピュータ読み取り可能な媒体で具現化されるコンピュータプログラム製品の形を取り得る。
1つ以上のコンピュータ読み取り可能な媒体の任意の組み合わせが、使用され得る。コンピュータ読み取り可能な媒体は、コンピュータ読み取り可能な信号媒体またはコンピュータ読み取り可能な記憶媒体であり得る。コンピュータ読み取り可能な記憶媒体は、例えば、電子、磁気、光学、電磁気、赤外線または半導体システム、装置またはデバイス、または、前述ものの任意の適切な組み合わせであり得るが、それらに制限されない。コンピュータ読み取り可能な記憶媒体のより具体的な例(非網羅的なリスト)は、1本またはそれより多くのワイヤを有する電気接続、ポータブルコンピュータディスケット、ハードディスク、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、消去可能なプログラム可能読み取り専用メモリ(EPROMまたはフラッシュメモリ)、光ファイバ、ポータブルコンパクトディスク読み取り専用メモリ(CD−ROM)、光学ストレージデバイス、磁気ストレージデバイス、または、前述のものの任意の適切な組み合わせを含む。本文書の文脈において、コンピュータ読み取り可能な記憶媒体は、命令実行システム、装置またはデバイスによる使用、またはそれらと関連する使用のためのプログラムを収容または記憶し得る任意の有形媒体であり得る。
本開示の側面は、本開示の実施形態による、方法、装置(システム)およびコンピュータプログラム製品のフローチャートの例示および/またはブロック図を参照して、上記に記載される。フローチャートの例示および/またはブロック図の各ブロック、および、フローチャートの例示および/またはブロック図におけるブロックの組み合わせは、コンピュータプログラム命令によって実装され得ると理解される。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータまたは他のプログラム可能データ処理装置のプロセッサに提供され、マシンを製造し得、その結果、コンピュータまたは他のプログラム可能データ処理装置のプロセッサを介して実行される命令が、フローチャートおよび/またはブロック図のブロックまたはブロック群において指定された機能/行為の実装を可能にする。そのようなプロセッサは、限定するものではないが、汎用プロセッサ、専用プロセッサ、特定用途向けプロセッサまたはフィールドプログラム可能なものであり得る。
図におけるフローチャートおよびブロック図は、本開示の様々な実施形態による、システム、方法およびコンピュータプログラム製品の可能な実装のアーキテクチャ、機能性および動作を示す。この点で、フローチャートまたはブロック図における各ブロックは、1つまたは複数の指定された論理機能を実装する1つ以上の実行可能な命令を含む、コードのモジュール、セグメントまたは部分を表し得る。いくつかの代替の実装では、ブロックにおいて言及された機能が、図において言及された順序と異なって現われ得ることにも留意されたい。例えば、関与する機能性に応じて、連続して示された2つのブロックが、実際は、実質的に同時に実行され得るか、ブロックが時に、反対の順序で実行され得る。ブロック図および/またはフローチャートの例示の各ブロック、および、ブロック図および/またはフローチャートの例示におけるブロックの組み合わせは、指定された機能または行為を行う専用ハードウェアベースのシステム、または専用ハードウェアおよびコンピュータ命令の組み合わせによって、実装され得ることにも留意されたい。
前述のことは、本開示の実施形態に関するが、本開示の他のさらなる実施形態は、その基本範囲から逸脱することなく考案され得、その範囲は、後に続く特許請求の範囲によって決定される。
Claims (20)
- ホモグラフ攻撃を検出するコンピュータ実装方法であって、該方法は、
punycode要素を含む第1のドメイン名を読み出すことと、
該第1のドメイン名を該punycode要素に対応するUnicode文字を含む第2のドメイン名に変換することと、
該第2のドメイン名を画像に変換することと、
1つ以上の光学的文字認識動作を該画像に対して行うことにより、該画像に関連づけられたテキスト文字列を生成することと、
該テキスト文字列が第3のドメイン名の少なくとも一部分と一致することを決定することと
を含む、方法。 - 最近登録されたドメイン名のリストをドメイン名システム(DNS)登録サーバから受信することと、
該リストが前記第1のドメイン名を含むことを決定することと
をさらに含む、請求項1に記載のコンピュータ実装方法。 - 前記第3のドメイン名は、好ましいクライアントドメイン名のリストに含まれており、前記方法は、該第3のドメイン名に関連づけられたエンティティに前記第1のドメイン名が該第1のドメイン名へのホモグラフ攻撃に関連していることを通知することをさらに含む、請求項1に記載のコンピュータ実装方法。
- 前記第3のドメイン名は、人気のあるドメイン名のリストに含まれており、前記方法は、データベースを更新することにより、前記第1のドメイン名を該第3のドメイン名へのホモグラフ攻撃として関連づけることをさらに含む、請求項1に記載のコンピュータ実装方法。
- 前記第1のドメイン名をドメイン名レジストリから削除するための要求をDNS登録サーバに伝送することをさらに含む、請求項1に記載のコンピュータ実装方法。
- 1つ以上の光学的文字認識動作を前記画像に対して行うことは、前記Unicode文字に関連づけられた該画像の一部分を1つ以上の標準的なDNS準拠の文字にマッピングすることを含む、請求項1に記載のコンピュータ実装方法。
- 前記Unicode文字が前記第2のドメイン名に関連づけられた第1のフォントにおいて定義されていないことを決定することと、
応答して、前記第1のドメイン名を不審でないドメイン名として識別することと
をさらに含む、請求項1に記載のコンピュータ実装方法。 - 前記Unicode文字は、前記第3のドメイン名に含まれる第1の文字と視覚的に類似する、請求項1に記載のコンピュータ実装方法。
- 命令を含む非一過性のコンピュータ読み取り可能な記憶媒体であって、該命令は、プロセッサによって実行されると、該プロセッサに、
第1のドメイン名内で第1の1つ以上の文字の組み合わせを識別するステップと、
該第1の1つ以上の文字の組み合わせが、第1のフォントに関連づけられた第2の1つ以上の文字の組み合わせと視覚的に類似することを決定するステップと、
該第1のドメイン名と視覚的に類似し、かつ、該第2の1つ以上の文字の組み合わせに関連づけられたUnicode文字を含む第2のドメイン名を生成するステップと
を行うことによって、ドメイン名に関連づけられたホモグラフのバニティ名を生成させる、記憶媒体。 - 前記第2の1つ以上の文字の組み合わせは、該第2の1つ以上の文字の組み合わせを前記第1の1つ以上の文字の組み合わせに関連づけるフォント行列に含まれている、請求項9に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
- 前記第2の1つ以上の文字の組み合わせを画像に変換することと、
1つ以上の光学的文字登録動作を該画像に対して行うことにより、該画像に関連づけられたテキスト文字列を生成することと、
該テキスト文字列が第3の1つ以上の文字の組み合わせと一致することを決定することであって、該第3の1つ以上の文字の組み合わせは、ドメイン名システム(DNS)ドメイン名と適合性のある第1の文字のセットに含まれることと、
該第2の1つ以上の文字の組み合わせを該第3の1つ以上の文字の組み合わせに関連づけるフォント行列にエントリを追加することと
をさらに含む、請求項9に記載の非一時的なコンピュータ読み取り可能な記憶媒体。 - 前記第1の1つ以上の文字の組み合わせが前記第2の1つ以上の文字の組み合わせと視覚的に類似することを決定することは、前記第3の1つ以上の文字の組み合わせが該第1の1つ以上の文字の組み合わせと一致することを識別することを含む、請求項11に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
- 前記第1の1つ以上の文字の組み合わせは、DNSドメイン名と適合性のある第1の文字のセットに含まれている、請求項9に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
- 前記第2の1つ以上の文字の組み合わせは、DNSドメイン名と適合性のある第1の文字のセットに含まれない少なくとも1つの文字を含む、請求項9に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
- 前記第2のドメイン名をpunycode要素を含む第3のドメイン名に変換することをさらに含み、該punycode要素は、前記第2の1つ以上の文字の組み合わせに対応している、請求項9に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
- 前記第3のドメイン名を登録するための要求をDNS登録サーバに伝送することをさらに含む、請求項15に記載の非一過性のコンピュータ読み取り可能な記憶媒体。
- コンピューティングデバイスであって、該デバイスは、
IDN衝突検出アプリケーションを含むメモリと、
該メモリに結合されたプロセッサとを含み、該プロセッサは、該IDN衝突検出アプリケーションを実行すると、
punycode要素を含む第1のドメイン名を読み出すことと、
該第1のドメイン名を該punycode要素に対応するUnicode文字を含む第2のドメイン名に変換することと、
該第2のドメイン名を画像に変換することと、
1つ以上の光学的文字認識動作を該画像に対して行うことにより、該画像に関連づけられたテキスト文字列を生成することと、
該テキスト文字列が第3のドメイン名の少なくとも一部分と一致することを決定することと
を行うように構成されている、コンピューティングデバイス。 - 前記プロセッサは、
最近登録されたドメイン名のリストをドメイン名システム(DNS)登録サーバから受信することと、
該リストが前記第1のドメイン名を含むことを決定することと
を行うようにさらに構成されている、請求項17に記載のコンピューティングデバイス。 - 前記第3のドメイン名は、好ましいクライアントドメイン名のリストに含まれており、前記プロセッサは、該第3のドメイン名に関連づけられたエンティティに前記第1のドメイン名が該第1のドメイン名へのホモグラフ攻撃に関連していることを通知するようにさらに構成されている、請求項17に記載のコンピューティングデバイス。
- 前記第3のドメイン名は、人気のあるドメイン名のリストに含まれており、前記プロセッサは、データベースを更新することにより、前記第1のドメイン名を該第3のドメイン名へのホモグラフ攻撃として関連づけるようにさらに構成されている、請求項17に記載のコンピューティングデバイス。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/675,641 | 2017-08-11 | ||
US15/675,641 US10599836B2 (en) | 2017-08-11 | 2017-08-11 | Identification of visual international domain name collisions |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019036305A true JP2019036305A (ja) | 2019-03-07 |
Family
ID=65275075
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018150317A Pending JP2019036305A (ja) | 2017-08-11 | 2018-08-09 | 視覚的な国際化ドメイン名衝突の識別 |
Country Status (2)
Country | Link |
---|---|
US (1) | US10599836B2 (ja) |
JP (1) | JP2019036305A (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10943067B1 (en) * | 2018-04-25 | 2021-03-09 | Amazon Technologies, Inc. | Defeating homograph attacks using text recognition |
US10785260B2 (en) | 2018-08-09 | 2020-09-22 | Morgan Stanley Services Group Inc. | Optically analyzing domain names |
US10984274B2 (en) * | 2018-08-24 | 2021-04-20 | Seagate Technology Llc | Detecting hidden encoding using optical character recognition |
US20190044967A1 (en) * | 2018-09-12 | 2019-02-07 | Intel Corporation | Identification of a malicious string |
US11388142B2 (en) * | 2019-01-15 | 2022-07-12 | Infoblox Inc. | Detecting homographs of domain names |
US11526571B2 (en) * | 2019-09-12 | 2022-12-13 | International Business Machines Corporation | Requesting an IP address using a non-textual based graphical resource identifier |
US20220200941A1 (en) * | 2020-12-22 | 2022-06-23 | Mcafee, Llc | Reputation Clusters for Uniform Resource Locators |
US11809806B2 (en) * | 2021-07-06 | 2023-11-07 | Adobe Inc. | Glyph accessibility system |
CN113556347B (zh) * | 2021-07-22 | 2023-04-07 | 深信服科技股份有限公司 | 一种钓鱼邮件的检测方法、装置、设备及存储介质 |
CN113806752A (zh) * | 2021-09-28 | 2021-12-17 | 中汽创智科技有限公司 | 一种漏洞测试方法、装置及存储介质 |
US11960823B1 (en) | 2022-11-10 | 2024-04-16 | Adobe Inc. | Missing glyph replacement system |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7493322B2 (en) * | 2003-10-15 | 2009-02-17 | Xerox Corporation | System and method for computing a measure of similarity between documents |
US9270646B2 (en) * | 2009-04-20 | 2016-02-23 | Citrix Systems, Inc. | Systems and methods for generating a DNS query to improve resistance against a DNS attack |
US20160006731A1 (en) * | 2013-02-07 | 2016-01-07 | Securitydam Ltd. | Document authentication |
RU2571378C2 (ru) * | 2013-12-18 | 2015-12-20 | Общество с ограниченной ответственностью "Аби Девелопмент" | Устройство и способ поиска различий в документах |
US9779066B2 (en) * | 2015-05-21 | 2017-10-03 | Umm Al-Qura University | Method and system for converting punycode text to ASCII/unicode text |
US9762612B1 (en) * | 2017-05-17 | 2017-09-12 | Farsight Security, Inc. | System and method for near real time detection of domain name impersonation |
US9882933B1 (en) * | 2017-05-17 | 2018-01-30 | Farsight Security, Inc. | Tokenization of domain names for domain name impersonation detection using matching |
-
2017
- 2017-08-11 US US15/675,641 patent/US10599836B2/en active Active
-
2018
- 2018-08-09 JP JP2018150317A patent/JP2019036305A/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
US10599836B2 (en) | 2020-03-24 |
US20190050559A1 (en) | 2019-02-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2019036305A (ja) | 視覚的な国際化ドメイン名衝突の識別 | |
US11809687B2 (en) | Systems and methods for proactive analysis of artifacts associated with information resources | |
US11343269B2 (en) | Techniques for detecting domain threats | |
US10673896B2 (en) | Devices, systems and computer-implemented methods for preventing password leakage in phishing attacks | |
EP2411913B1 (en) | Method and system for identifying suspected phishing websites | |
US11330014B2 (en) | Optically analyzing text strings such as domain names | |
US11580760B2 (en) | Visual domain detection systems and methods | |
US9779066B2 (en) | Method and system for converting punycode text to ASCII/unicode text | |
US8677131B2 (en) | Method of securing data in 2D bar codes using SSL | |
US20170318041A1 (en) | Method and system for detecting malicious behavior, apparatus and computer storage medium | |
US20150186662A1 (en) | Method and apparatus for input verification | |
US10984274B2 (en) | Detecting hidden encoding using optical character recognition | |
US10904287B2 (en) | Protecting against notification based phishing attacks | |
US11689546B2 (en) | Improving network security through real-time analysis of character similarities | |
US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
Wardman et al. | Automating phishing website identification through deep MD5 matching | |
US20230359330A1 (en) | Systems and methods for analysis of visually-selected information resources | |
US20240171609A1 (en) | Generating a content signature of a textual communication using optical character recognition and text processing | |
WO2022146834A1 (en) | Systems and methods for protection against theft of user credentials by email phishing attacks | |
TWI595373B (zh) | Method and system for identifying suspected phishing websites | |
JP2007025789A (ja) | メールサーバ、プロキシサーバ、サーバシステム、誘導アドレス判定方法、アクセス先確認方法及びプログラム | |
JP2017157023A (ja) | 情報処理装置、及び、情報処理システム |