JP2019125037A - 攻撃種別判定装置、攻撃種別判定方法、及びプログラム - Google Patents
攻撃種別判定装置、攻撃種別判定方法、及びプログラム Download PDFInfo
- Publication number
- JP2019125037A JP2019125037A JP2018003587A JP2018003587A JP2019125037A JP 2019125037 A JP2019125037 A JP 2019125037A JP 2018003587 A JP2018003587 A JP 2018003587A JP 2018003587 A JP2018003587 A JP 2018003587A JP 2019125037 A JP2019125037 A JP 2019125037A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- determination
- type
- name resolution
- resolution request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 12
- 238000004891 communication Methods 0.000 claims abstract description 40
- 230000005540 biological transmission Effects 0.000 claims abstract description 37
- 230000008520 organization Effects 0.000 claims description 22
- 230000003211 malignant effect Effects 0.000 description 13
- 238000000605 extraction Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 4
- 208000015181 infectious disease Diseases 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】サイバー攻撃の種別を判定する。【解決手段】端末に特定の通信先への通信を行わせる攻撃の種別を判定する攻撃種別判定装置において、判定対象の攻撃による通信先を示す通信先情報を入力する入力手段と、前記通信先情報を指定した名前解決要求の有無、又は当該名前解決要求の送信元に基づいて、前記攻撃の種別を判定する判定手段と、前記判定手段による判定結果を出力する出力手段とを備える。【選択図】図2
Description
本発明は、サイバー攻撃の種別を判定する技術に関連するものである。
サイバー攻撃の一種として、メールの添付ファイル等により端末をマルウェアに感染させる攻撃がある。当該攻撃後に、攻撃者からの指令を中継するC&C(Command and Control)サーバにマルウェアに感染した端末が接続することで、更なる感染拡大や情報漏えいが発生する。このような感染拡大や情報漏えいを防止するために、C&Cサーバのドメイン名を予め用意しておき、ISP等のDNSサーバで、マルウェアに感染した端末からの名前解決をさせない等の対策が行われている。
また、マルウェアに対し、企業等においてはアンチウィルスソフトやUTM(Unified Threat Management)等の様々な対策がCSIRT(Computer Security Incident Response Team)のもとで行われている。例えば、不審なメールが届いたといった報告を受けて、その添付ファイルはアンチウィルスソフトでは検知できない場合、サンドボックスによる動的解析や、静的解析を行って、添付ファイルはマルウェアかどうか、感染した場合にどのような動作をするか、どのように感染後の通信を検知・ブロックするか等を特定し、対処を行う。
マルウェアに感染させるための攻撃(例:前述のメール添付ファイル等)は膨大な数になるが、潤沢なリソースがあるとは限らないCSIRTにおいては、詳細を解析したり措置を講じたりする対象の優先順位付けが求められる。
特に、受けている攻撃が特定の組織に対する「標的型」の攻撃なのか、特定の組織に限らない「ばら撒き型」の攻撃なのかを判定できると、よりリスクが高いと考えられる標的型攻撃への対策を優先的に行うことができる。しかしながら、従来技術では、そのような攻撃の種別を判定することは困難であった。
本発明は上記の点に鑑みてなされたものであり、サイバー攻撃の種別を判定することを可能とする技術を提供することを目的とする。
開示の技術によれば、端末に特定の通信先への通信を行わせる攻撃の種別を判定する攻撃種別判定装置であって、
判定対象の攻撃による通信先を示す通信先情報を入力する入力手段と、
前記通信先情報を指定した名前解決要求の有無、又は当該名前解決要求の送信元に基づいて、前記攻撃の種別を判定する判定手段と、
前記判定手段による判定結果を出力する出力手段と
を備えることを特徴とする攻撃種別判定装置が提供される。
判定対象の攻撃による通信先を示す通信先情報を入力する入力手段と、
前記通信先情報を指定した名前解決要求の有無、又は当該名前解決要求の送信元に基づいて、前記攻撃の種別を判定する判定手段と、
前記判定手段による判定結果を出力する出力手段と
を備えることを特徴とする攻撃種別判定装置が提供される。
開示の技術によれば、サイバー攻撃の種別を判定することを可能とする技術が提供される。
以下、図面を参照して本発明の実施の形態(本実施の形態)を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
本実施の形態では、サイバー攻撃として、端末等に、C&Cサーバ等の特定の通信先への通信を行わせる攻撃を対象としている。後述する攻撃種別判定装置100が当該攻撃の種別を判定する。本実施の形態では、当該通信先を示す通信先情報としてドメイン名を使用しているが、これは例であり、通信先情報として、ドメイン名以外の情報(例:IPアドレス)を使用してもよい。
(システムの全体構成)
図1に、本実施の形態におけるシステムの全体構成例を示す。図1に示すシステムは、DNSサーバ運用事業者のネットワーク20に備えられるDNSサーバ200及び攻撃種別判定装置100を有する。DNSサーバ運用事業者は、例えばISP(インターネットサービスプロバイダ)であるがこれに限定されるわけではない。また、攻撃種別判定装置100がネットワーク20に備えられることは一例であり、攻撃種別判定装置100が、ネットワーク20以外のネットワークに備えられることとしてもよい。
図1に、本実施の形態におけるシステムの全体構成例を示す。図1に示すシステムは、DNSサーバ運用事業者のネットワーク20に備えられるDNSサーバ200及び攻撃種別判定装置100を有する。DNSサーバ運用事業者は、例えばISP(インターネットサービスプロバイダ)であるがこれに限定されるわけではない。また、攻撃種別判定装置100がネットワーク20に備えられることは一例であり、攻撃種別判定装置100が、ネットワーク20以外のネットワークに備えられることとしてもよい。
また、DNSサーバ200と攻撃種別判定装置100とを別々に備えることに代えて、攻撃種別判定装置100がDNSサーバ200の機能を含むように構成してもよい。
DNSサーバ200は、ドメイン名を指定した名前解決要求を受信し、当該ドメイン名に対応するIPアドレスを要求元に返す。DNSサーバ200は、様々な組織のネットワークから名前解決要求(ドメイン名)を受信する。
ここでの「組織」は、例えば、特定の企業である。また、「組織」が、特定の業種の企業全体であってもよい。また、「組織」がこれら以外であってもよい。
図1の例では、複数の組織のネットワークの例として、企業Aのネットワーク10A、企業Bのネットワーク10B、企業Cのネットワーク10Cが示されている。ネットワーク10A、10B、10Cはそれぞれネットワーク20に接続されている。
例えば、ネットワーク10Aにおける端末があるドメイン名に対する名前解決を行う際に、当該端末は、DNSサーバ200に名前解決要求を送信し、DNSサーバ200から当該ドメイン名に対応するIPアドレスを受信する。このとき、DNSサーバ200は、名前解決要求に係るドメイン名、名前解決要求の送信元のIPアドレス、及び名前解決要求を受信した時刻を含むログを記録する。ここで、送信元のIPアドレスから、当該送信元は、企業Aであることを把握可能である。
攻撃種別判定装置100は、DNSサーバ200に対する名前解決要求の送信元等に基づいて、あるドメイン名のドメインへの通信を行わせる攻撃の種別(本実施の形態では、「標的型」又は「ばら撒き型」)を判定する機能を備える装置である。
例えば、攻撃種別判定装置100は、判定対象のドメイン名を指定する名前解決要求が無い場合、当該ドメイン名に係る攻撃を「標的型」と判定する。当該ドメイン名を指定する名前解決要求が無いということは、当該判定対象のドメイン名を攻撃種別判定装置100に通知した組織にのみ、当該攻撃が行われたと推定できるからである。また、例えば、攻撃種別判定装置100は、判定対象のドメイン名を指定する名前解決要求の送信元が1つの組織である場合にも、当該ドメイン名に係る攻撃を「標的型」と判定する。当該ドメイン名を指定する名前解決要求の送信元が1つの組織であるということは、当該ドメイン名に係る攻撃が当該組織にのみなされていると推定できるからである。なお、当該ドメイン名を指定する名前解決要求の送信元が1つの組織であるとは、例えば、複数の「当該ドメイン名を指定する名前解決要求」があった場合において、それぞれの送信元のIPアドレスが当該1つの組織が持つIPアドレスであるような場合である。
判定要求装置300は、攻撃種別判定装置100に対して判定対象のドメイン名を判定要求として送信する装置である。判定要求装置300は、ある企業のネットワークに属する装置(例:企業Aにおける端末)であってもよいし、ネットワーク20に属する装置であってもよいし、これら以外のネットワークに属する装置であってもよい。
(装置構成例)
<攻撃種別判定装置100>
図2に、攻撃種別判定装置100の機能構成例を示す。図2に示すように、攻撃種別判定装置100は、判定要求受信部101、判定部102、判定結果送信部103、名前解決ログ格納部104、アドレス情報格納部105を含む。
<攻撃種別判定装置100>
図2に、攻撃種別判定装置100の機能構成例を示す。図2に示すように、攻撃種別判定装置100は、判定要求受信部101、判定部102、判定結果送信部103、名前解決ログ格納部104、アドレス情報格納部105を含む。
判定要求受信部101は、例えば判定要求装置300から、判定対象のドメイン名を指定した判定要求を受信する。判定部102は、名前解決ログ格納部104に格納されている情報、及びアドレス情報格納部105に格納されている情報に基づいて、判定対象のドメイン名が、標的型攻撃に係るドメイン名か、あるいは、ばら撒き型攻撃に係るドメイン名かを判定する。判定結果送信部103は、判定結果を例えば判定要求元に返す。なお、判定結果送信部103は、判定結果を判定要求元に返すことの他、例えば、Webにより、ドメイン名と、当該ドメイン名に係る攻撃が標的型か、ばら撒き型かを公開することとしてもよい。いずれにおいても、判定結果送信部103は、判定結果を出力する出力手段に相当する。
名前解決ログ格納部104は、名前解決ログを格納する。当該名前解決ログは、DNSサーバ200から取得したものである。攻撃種別判定装置100がDNSサーバでもある場合には、名前解決ログは、攻撃種別判定装置100自身の名前解決処理により得られたログである。前述したように、名前解決ログは、名前解決要求に係るドメイン名、名前解決要求の送信元のIPアドレス、及び名前解決要求を受信した時刻(例:年/月/日/時/分/秒)を含む。
アドレス情報格納部105は、IPアドレスと、それに対応するドメイン名からなるアドレス情報を格納する。当該アドレス情報は、DNSサーバ200から取得したものであってもよいし、個別に設定したものであってもよい。また、攻撃種別判定装置100がDNSサーバでもある場合には、当該アドレス情報が、攻撃種別判定装置100(DNSサーバ)自身が名前解決処理に使用する情報であってもよい。
また、アドレス情報格納部105に格納されるアドレス情報がIPアドレスと、それに対応するドメイン名からなる情報であることは一例である。当該アドレス情報は、名前解決要求の送信元の組織を判別可能な情報であればどのような情報であってもよい。
<判定要求装置300>
図3に、判定要求装置300の機能構成例を示す。本実施の形態における判定要求装置300は、一例として、メール本文に記述されたURLが悪性かどうか、メールに添付された添付ファイルが悪性かどうかを判定し、悪性と判定した場合に、当該URL/添付ファイルに基づく通信先(ドメイン名)を抽出する機能を備える。
図3に、判定要求装置300の機能構成例を示す。本実施の形態における判定要求装置300は、一例として、メール本文に記述されたURLが悪性かどうか、メールに添付された添付ファイルが悪性かどうかを判定し、悪性と判定した場合に、当該URL/添付ファイルに基づく通信先(ドメイン名)を抽出する機能を備える。
より詳細には、図3に示すように、判定要求装置300は、本文URL抽出部301、添付ファイル抽出部302、悪性判定部303、通信先ドメイン抽出部304、判定対象ドメイン送信部305、判定結果受信部306、及びドメイン情報格納部307を含む。
本文URL抽出部301は、メールサーバ等から受信するメールにおける本文に記述されやURLを抽出する。添付ファイル抽出部302は、メールに添付された添付ファイルを抽出する。
悪性判定部303は、本文URL抽出部301により抽出されたURLや、添付ファイル抽出部302により抽出された添付ファイルが悪性かどうかを判定する。悪性かどうかを判定すること自体は既存技術であり、動的解析による判定手法、静的解析による判定手法等がある。一例として、C&Cサーバのドメインであると推定できる通信先ドメインへの接続動作を行わせるようなURLや添付ファイルは悪性であると判断される。
通信先ドメイン抽出部304は、悪性判定部303により悪性と判定されたURLあるいは添付ファイルにより実行される接続動作(例:C&Cサーバへの接続動作)における通信先(ここではドメイン名)を抽出し、当該ドメイン名をドメイン情報格納部307に格納する。
判定対象ドメイン送信部305は、ドメイン情報格納部307に格納された未判定のドメイン名を、攻撃種別の判定対象のドメイン名として攻撃種別判定装置100に送信する。判定結果受信部306は、攻撃種別判定装置100から判定結果を受信し、判定結果の情報をドメイン情報格納部307に格納する。
図4は、ドメイン情報格納部307に格納されるテーブルの一例を示す図である。図4に示す例において、当該テーブルは、ID、ドメイン名、被攻撃日時、攻撃ID、情報源、判定要求送信日時、判定結果受信日時、判定結果を有する。"ID"は、テーブルのエントリのIDである。"ドメイン名"は、判定対象の攻撃に係るドメイン名である。"被攻撃日時"は、当該ドメイン名のドメインへの通信を行わせる攻撃(例:悪性URLを記述したメールを受信、悪性添付ファイルを添付したメールを受信、等)を受けた日時である。"攻撃ID"は、攻撃を識別するIDである。
"情報源"は、判定対象のドメイン名を抽出した元の情報である。"判定要求送信日時"は、判定要求を送信した日時である。"判定結果受信日時"は、判定結果を受信した日時である。"判定結果"は、標的型かばら撒き型かを示す。
なお、判定要求装置300が判定対象のドメイン名を抽出し、それを攻撃種別判定装置100に送信することは一例に過ぎない。
例えば、あるユーザが、何等かの理由で疑わしいと考えるドメイン名を自分の端末から攻撃種別判定装置100に送信し、攻撃種別判定装置100から判定結果を受信することとしてもよい。また、攻撃種別判定装置100が、当該端末に、判定対象のドメイン名を入力するためのWebページを提供し、ユーザが当該端末に表示されるWebページ上に判定対象ドメイン名を入力することで、当該判定対象ドメイン名を攻撃種別判定装置100に送信することとしてもよい。
(ハードウェア構成例)
攻撃種別判定装置100と判定要求装置300はいずれも、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、当該装置が有する機能は、コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、当該装置で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。
攻撃種別判定装置100と判定要求装置300はいずれも、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、当該装置が有する機能は、コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、当該装置で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。
図5は、当該装置をコンピュータで実現する場合におけるハードウェア構成例を示す図である。図5に示す装置は、それぞれバスBで相互に接続されているドライブ装置150、補助記憶装置152、メモリ装置153、CPU154、インタフェース装置155、表示装置156、及び入力装置157等を有する。
当該装置での処理を実現するプログラムは、例えば、CD−ROM又はメモリカード等の記録媒体151によって提供される。プログラムを記憶した記録媒体151がドライブ装置150にセットされると、プログラムが記録媒体151からドライブ装置150を介して補助記憶装置152にインストールされる。但し、プログラムのインストールは必ずしも記録媒体151より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置152は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
メモリ装置153は、プログラムの起動指示があった場合に、補助記憶装置152からプログラムを読み出して格納する。CPU154(プロセッサ)は、メモリ装置153に格納されたプログラムに従って当該装置に係る機能を実現する。インタフェース装置155は、ネットワークに接続するためのインタフェースとして用いられる。表示装置156はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置157はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。
なお、当該装置を遠隔から操作したり、遠隔で表示を行う場合には、表示装置156及び入力装置157を備えないこととしてもよい。
(動作例)
次に、図6のシーケンス図を参照して本実施の形態に係るシステムの動作例を説明する。
次に、図6のシーケンス図を参照して本実施の形態に係るシステムの動作例を説明する。
S101において、判定要求装置300は、前述したように、例えば、メール本文に記述されたURL、あるいは、メールに添付された添付ファイルを解析することで、判定対象の攻撃に係るドメイン名(便宜上、「判定対象のドメイン名」と呼んでもよい)を抽出する。S102において、判定要求装置300の判定対象ドメイン送信部305は、判定対象のドメイン名を攻撃種別判定装置100に送信する。
S103において、攻撃種別判定装置100が判定対象のドメイン名に基づいて、当該ドメイン名に係る攻撃の種別(標的型、又は、ばら撒き型)を判定する。S104において、攻撃種別判定装置100の判定結果送信部103は、S103における判定結果を判定要求装置300に送信する。S105において、判定要求装置300は、判定結果をドメイン情報格納部307に格納(登録)する。
上記のS103における攻撃種別判定処理を図7のフローチャートを参照して説明する。
攻撃種別判定装置100の判定要求受信部101が、判定対象のドメイン名を受信すると、判定部102は、判定要求受信部101から当該判定対象のドメイン名を取得する(S201)。
判定部102は、S201において取得したドメイン名を指定した名前解決要求があるか否かを、ドメイン名を基に名前解決ログ格納部104を検索することにより判定する(S202)。この判定は、名前解決ログ全体に対する検索により行ってもよいし、最新のログから所定時間過去までのログの範囲の検索により行うこととしてもよい。
S202における判定結果がNoの場合(当該ドメイン名を指定した名前解決要求がない場合)、S204に進み、判定部102は、当該ドメイン名に係る攻撃を標的型であると判定する。
S202における判定結果がYesの場合(当該ドメイン名を指定した名前解決要求がある場合)、S203に進む。S203において、判定部102は、判定対象ドメイン名の名前解決要求の送信元が所定の条件を満たすかどうかを判定する。なお、判定対象ドメイン名の名前解決要求は、1つ又は複数存在する。
「所定の条件」は、例えば、"判定対象ドメイン名の名前解決要求の送信元が1つの組織である"ことである。
例えば、判定部102は、判定対象ドメイン名の名前解決要求の送信元のIPアドレス(1つ又は複数)を名前解決ログ格納部104から取得し、それぞれのIPアドレスに基づいて、アドレス情報格納部105を検索することで、IPアドレスに対応付けられた組織(例:企業)を示す情報(例:ドメイン名)を抽出することにより、判定対象ドメイン名の名前解決要求の送信元が1つの組織であるかどうかを判断する。
"判定対象ドメイン名の名前解決要求の送信元が1つの組織である"という条件を「所定の条件」として使用した場合において、S203の判定がYesの場合(所定の条件を満たす場合)、S204において、判定部102は、攻撃が当該1つの組織(例:企業A)への標的型の攻撃であると判断する。
S203の判定がNoの場合(つまり、複数の組織から名前解決要求があった場合)、攻撃はばら撒き型であると判定する(S205)。
「所定の条件」は、"判定対象ドメイン名の名前解決要求の送信元が1つの業種である"ことであってもよい。
この場合、例えば、判定部102は、判定対象ドメイン名の名前解決要求の送信元のIPアドレス(1つ又は複数)を名前解決ログ格納部104から取得し、それぞれのIPアドレスに基づいて、アドレス情報格納部105を検索することで、IPアドレスに対応付けられた組織(例:企業)を示す情報(例:ドメイン名)を抽出し、当該組織(1つ又は複数)を示す情報が、1つの業種に該当するか否かを判定する。この場合、例えば、アドレス情報格納部105には、前述したアドレス情報とともに、組織名と業種とを対応付けた情報(例:企業X、企業Y、企業Zの業種は「通信事業者」)が格納されており、これにより、判定部102は、送信元の組織に対応する業種を判断できる。
"判定対象ドメイン名の名前解決要求の送信元が1つの業種である"という条件を「所定の条件」として使用した場合において、S203の判定がYesの場合(所定の条件を満たす場合)、S204において、判定部102は、攻撃が当該1つの業種(例:通信事業者)への標的型の攻撃であると判断する。なお、「組織」を広く解釈して、その意味として"業種"を含むと解釈してもよい。
上述した「所定の条件」は、いずれも一例であり、「所定の条件」は特定の条件に限定されない。
なお、攻撃種別判定装置100が、DNSサーバとしても機能する場合において、攻撃種別判定装置100は、上述した動作と同じ動作を行ってもよいし、監視動作を行ってもよい。監視動作を行う場合においては、図7のS201の後、S202の前において、判定部102は、予め定めた時間だけ、判定対象のドメイン名を指定した名前解決要求を監視し、判定対象のドメイン名を指定した名前解決要求を受けた場合には、当該名前解決要求の送信元のIPアドレスをメモリ等の記憶手段に記憶する。なお、この記憶手段に記憶された情報は、名前解決要求のログの一例である。
判定対象のドメイン名を指定した名前解決要求を受けない場合には、当該記憶手段には何も記憶されない。その後、S202以降の処理を行う。S202以降の処理においては、当該記憶手段に格納された送信元の情報を利用する。
また、攻撃種別判定装置100が、DNSサーバとしても機能する場合において、判定対象のドメイン名をブラックリストの要素として用い、当該ドメイン名を指定した名前解決要求に対して、名前解決処理を行わないこととしてもよい。
本実施の形態で説明した技術により、攻撃が標的型攻撃かどうかを判定することができるため、その対応優先度を上げることができる。
(実施の形態のまとめ)
以上、説明したように、本実施の形態によれば、端末に特定の通信先への通信を行わせる攻撃の種別を判定する攻撃種別判定装置であって、判定対象の攻撃による通信先を示す通信先情報を入力する入力手段と、前記通信先情報を指定した名前解決要求の有無、又は当該名前解決要求の送信元に基づいて、前記攻撃の種別を判定する判定手段と、前記判定手段による判定結果を出力する出力手段とを備えることを特徴とする攻撃種別判定装置が提供される。
以上、説明したように、本実施の形態によれば、端末に特定の通信先への通信を行わせる攻撃の種別を判定する攻撃種別判定装置であって、判定対象の攻撃による通信先を示す通信先情報を入力する入力手段と、前記通信先情報を指定した名前解決要求の有無、又は当該名前解決要求の送信元に基づいて、前記攻撃の種別を判定する判定手段と、前記判定手段による判定結果を出力する出力手段とを備えることを特徴とする攻撃種別判定装置が提供される。
判定要求受信部101、判定部102、判定結果送信部103はそれぞれ、入力手段、判定手段、出力手段の例である。
前記判定手段は、前記名前解決要求が無い場合に、前記攻撃の種別を標的型であると判定することとしてもよい。前記判定手段は、前記名前解決要求の送信元が1つの組織である場合に、前記攻撃の種別を標的型であると判定することとしてもよい。
前記判定手段は、前記名前解決要求が有り、当該名前解決要求の送信元が複数の組織である場合に、前記攻撃の種別をばら撒き型であると判定することとしてもよい。
前記判定手段は、複数の組織から利用されるDNSサーバが受信する名前解決要求のログに基づいて、前記攻撃の種別の判定を行うこととしてもよい。
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
10A〜10B 企業のネットワーク
20 DNSサーバ運用事業者のネットワーク
100 攻撃種別判定装置
101 判定要求受信部
102 判定部
103 判定結果送信部
104 名前解決ログ格納部
105 アドレス情報格納部
200 DNSサーバ
300 判定要求装置
301 本文URL抽出部
302 添付ファイル抽出部
303 悪性判定部
304 通信先ドメイン抽出部
305 判定対象ドメイン送信部
306 判定結果受信部
307 ドメイン情報格納部
150 ドライブ装置
151 記録媒体
152 補助記憶装置
153 メモリ装置
154 CPU
155 インタフェース装置
156 表示装置
157 入力装置
20 DNSサーバ運用事業者のネットワーク
100 攻撃種別判定装置
101 判定要求受信部
102 判定部
103 判定結果送信部
104 名前解決ログ格納部
105 アドレス情報格納部
200 DNSサーバ
300 判定要求装置
301 本文URL抽出部
302 添付ファイル抽出部
303 悪性判定部
304 通信先ドメイン抽出部
305 判定対象ドメイン送信部
306 判定結果受信部
307 ドメイン情報格納部
150 ドライブ装置
151 記録媒体
152 補助記憶装置
153 メモリ装置
154 CPU
155 インタフェース装置
156 表示装置
157 入力装置
Claims (7)
- 端末に特定の通信先への通信を行わせる攻撃の種別を判定する攻撃種別判定装置であって、
判定対象の攻撃による通信先を示す通信先情報を入力する入力手段と、
前記通信先情報を指定した名前解決要求の有無、又は当該名前解決要求の送信元に基づいて、前記攻撃の種別を判定する判定手段と、
前記判定手段による判定結果を出力する出力手段と
を備えることを特徴とする攻撃種別判定装置。 - 前記判定手段は、前記名前解決要求が無い場合に、前記攻撃の種別を標的型であると判定する
ことを特徴とする請求項1に記載の攻撃種別判定装置。 - 前記判定手段は、前記名前解決要求の送信元が1つの組織である場合に、前記攻撃の種別を標的型であると判定する
ことを特徴とする請求項1又は2に記載の攻撃種別判定装置。 - 前記判定手段は、前記名前解決要求が有り、当該名前解決要求の送信元が複数の組織である場合に、前記攻撃の種別をばら撒き型であると判定する
ことを特徴とする請求項1ないし3のうちいずれか1項に記載の攻撃種別判定装置。 - 前記判定手段は、複数の組織から利用されるDNSサーバが受信する名前解決要求のログに基づいて、前記攻撃の種別の判定を行う
ことを特徴とする請求項1ないし4のうちいずれか1項に記載の攻撃種別判定装置。 - 端末に特定の通信先への通信を行わせる攻撃の種別を判定する攻撃種別判定装置が実行する攻撃種別判定方法であって、
判定対象の攻撃による通信先を示す通信先情報を入力する入力ステップと、
前記通信先情報を指定した名前解決要求の有無、又は当該名前解決要求の送信元に基づいて、前記攻撃の種別を判定する判定ステップと、
前記判定ステップによる判定結果を出力する出力ステップと
を備えることを特徴とする攻撃種別判定方法。 - コンピュータを、請求項1ないし5のうちいずれか1項に記載の攻撃種別判定装置における各手段として機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018003587A JP6900328B2 (ja) | 2018-01-12 | 2018-01-12 | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018003587A JP6900328B2 (ja) | 2018-01-12 | 2018-01-12 | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019125037A true JP2019125037A (ja) | 2019-07-25 |
| JP6900328B2 JP6900328B2 (ja) | 2021-07-07 |
Family
ID=67398692
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018003587A Active JP6900328B2 (ja) | 2018-01-12 | 2018-01-12 | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6900328B2 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014099758A (ja) * | 2012-11-14 | 2014-05-29 | National Institute Of Information & Communication Technology | 複数センサの観測情報の突合による不正通信検知方法 |
| JP2015177434A (ja) * | 2014-03-17 | 2015-10-05 | 日本電気株式会社 | マルウェア検知システム、マルウェア検知方法、dnsサーバ、及び名前解決プログラム。 |
| WO2016121255A1 (ja) * | 2015-01-28 | 2016-08-04 | 日本電信電話株式会社 | マルウェア解析システム、マルウェア解析方法およびマルウェア解析プログラム |
-
2018
- 2018-01-12 JP JP2018003587A patent/JP6900328B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014099758A (ja) * | 2012-11-14 | 2014-05-29 | National Institute Of Information & Communication Technology | 複数センサの観測情報の突合による不正通信検知方法 |
| JP2015177434A (ja) * | 2014-03-17 | 2015-10-05 | 日本電気株式会社 | マルウェア検知システム、マルウェア検知方法、dnsサーバ、及び名前解決プログラム。 |
| WO2016121255A1 (ja) * | 2015-01-28 | 2016-08-04 | 日本電信電話株式会社 | マルウェア解析システム、マルウェア解析方法およびマルウェア解析プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6900328B2 (ja) | 2021-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6731687B2 (ja) | 電子メッセージベースのセキュリティ脅威の自動軽減 | |
| US10121000B1 (en) | System and method to detect premium attacks on electronic networks and electronic devices | |
| US10447709B2 (en) | Methods and systems for integrating reconnaissance with security assessments for computing networks | |
| Dimitriadis et al. | D4I-Digital forensics framework for reviewing and investigating cyber attacks | |
| US11882137B2 (en) | Network security blacklist derived from honeypot statistics | |
| JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
| US20150381653A1 (en) | Malicious message detection and processing | |
| US20160036849A1 (en) | Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies | |
| US20080229419A1 (en) | Automated identification of firewall malware scanner deficiencies | |
| US9628513B2 (en) | Electronic message manager system, method, and computer program product for scanning an electronic message for unwanted content and associated unwanted sites | |
| CN113408948A (zh) | 一种网络资产管理方法、装置、设备和介质 | |
| EP3195140B1 (en) | Malicious message detection and processing | |
| US20240111809A1 (en) | System event detection system and method | |
| JP2017091478A (ja) | サイバー攻撃メール対応訓練システム | |
| JP6490502B2 (ja) | サイバー攻撃対策範囲優先度付けシステム、サイバー攻撃対策範囲優先度付け方法 | |
| US20230094119A1 (en) | Scanning of Content in Weblink | |
| CN111181914A (zh) | 一种局域网内部数据安全监控方法、装置、系统和服务器 | |
| JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム | |
| US10250625B2 (en) | Information processing device, communication history analysis method, and medium | |
| JP7036193B2 (ja) | ヒアリングシステム、脅威対応システム、方法およびプログラム | |
| JP2024046098A (ja) | 情報管理装置および情報管理プログラム | |
| US20190087206A1 (en) | Contextual security training | |
| Whitt et al. | Network and Security Utilities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200715 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210519 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210601 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210616 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6900328 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |