JP2019145879A - 脅威情報抽出装置及び脅威情報抽出システム - Google Patents

脅威情報抽出装置及び脅威情報抽出システム Download PDF

Info

Publication number
JP2019145879A
JP2019145879A JP2018025426A JP2018025426A JP2019145879A JP 2019145879 A JP2019145879 A JP 2019145879A JP 2018025426 A JP2018025426 A JP 2018025426A JP 2018025426 A JP2018025426 A JP 2018025426A JP 2019145879 A JP2019145879 A JP 2019145879A
Authority
JP
Japan
Prior art keywords
information
address
threat information
threat
information extraction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018025426A
Other languages
English (en)
Other versions
JP6783261B2 (ja
Inventor
裕一 中谷
Yuichi Nakatani
裕一 中谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018025426A priority Critical patent/JP6783261B2/ja
Priority to PCT/JP2019/004586 priority patent/WO2019159833A1/ja
Priority to US16/968,974 priority patent/US11546356B2/en
Publication of JP2019145879A publication Critical patent/JP2019145879A/ja
Application granted granted Critical
Publication of JP6783261B2 publication Critical patent/JP6783261B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】マルウェア挙動等の解析から得られる脅威情報を用いて、ネットワークを流れるパケットヘッダを解析することによって脅威情報を拡充及び/又は新たな脅威情報を生成するための技術を提供することである。【解決手段】本発明の一態様は、フロー情報を格納する網情報DBと、前記フロー情報を用いて、取得した脅威情報から新たな脅威情報を抽出する脅威情報抽出部と、を有する脅威情報抽出装置であって、前記脅威情報抽出部は、前記取得した脅威情報から第1のIPアドレスを抽出し、前記フロー情報から前記第1のIPアドレスについて集計情報を作成し、前記集計情報から前記第1のIPアドレスに係る通信の特徴量を推定し、前記推定された特徴量に基づき、前記第1のIPアドレスに類似する通信が行われている0または1以上の他のIPアドレスを抽出し、脅威情報として生成する脅威情報抽出装置に関する。【選択図】図1

Description

本発明は、サイバー攻撃の検知・対処に必要となる脅威情報の抽出に関するものであり、特にネットワーク上の装置から取得できる情報を解析することによって脅威情報を抽出するシステム及び装置に関するものである。
脅威情報を抽出することに関する既存技術として、攻撃に用いられるマルウェアの通信など挙動を観察することで脅威情報を抽出することが特許文献1に記載され、ネットワークにおいて疑わしいトラフィックのログを解析し特徴的な通信パターンを脅威情報として抽出することが特許文献2に記載されています。
特許文献1では、周囲と隔離した仮想マシン上でマルウェアを実際に動作させることで脅威情報を抽出する。例えば、マルウェアを制御するC2(Command and Control)サーバ等への通信を捉え、C2サーバのIPアドレスやFQDN(Fully Qualified Domain Name)、URL(Uniform Resource Locator)といった脅威情報が抽出可能である。また、ホスト内のファイルやレジストリへの入出力を得ることで、どのようなファイルやレジストリキーが生成されるかといった脅威情報が抽出可能である。
特許文献2では、攻撃通信を発見するためのURLに含まれる文字列等の情報が得られた場合、当該情報を用いてプロクシログなどトラフィックログから攻撃通信と疑われるログを抽出し、その中で特に攻撃と疑わしいトラフィックをペイロードの情報も活用しながら機械学習の手法等を用いて精査することで、精査後のトラフィックから脅威情報を抽出可能である。
特開2009−181335号公報 国際公開第2015/141560号
特許文献1では、マルウェアが関連しない脅威情報の抽出が困難であることはもちろん、マルウェアに関連する脅威情報であったとしても、抽出が困難なものが存在する。1つはネットワーク上のどのホストがマルウェアに感染しており、感染規模はどの程度かといった、単一ホストに閉じないマクロなマルウェア挙動に関する脅威情報の抽出である。また1つは、通常の攻撃では複数準備されるC2サーバに関して、その全てのIP(Internet Protocol)アドレスなどの脅威情報を網羅的に抽出することである。マルウェアをブラックボックス的に観察したとしても、マルウェアの全てのコードについて関連する挙動を網羅的に観察することは困難を極めるため、通信先等を網羅的に抽出することは同様に困難となってしまう。
特許文献2では、URLに含まれる文字列などを用いて攻撃通信を抽出するため、ペイロードの解析を伴う。そのため、キャリアネットワークなど通信がSSL(Secure Sockets Layer)等によって暗号化された状況が想定されるネットワークにおいては適用が困難である。また、スケーラビリティを考慮してもキャリアネットワークへの適用は困難となる。
上記問題点を鑑み、本発明の課題は、マルウェア挙動等の解析から得られる脅威情報を用いて、ネットワークを流れるパケットヘッダを解析することによって脅威情報を拡充及び/又は新たな脅威情報を生成するための技術を提供することである。
上記課題を解決するため、本発明の一態様は、フロー情報を格納する網情報DBと、前記フロー情報を用いて、取得した脅威情報から新たな脅威情報を抽出する脅威情報抽出部と、を有する脅威情報抽出装置であって、前記脅威情報抽出部は、前記取得した脅威情報から第1のIPアドレスを抽出し、前記フロー情報から前記第1のIPアドレスについて集計情報を作成し、前記集計情報から前記第1のIPアドレスに係る通信の特徴量を推定し、前記推定された特徴量に基づき、前記第1のIPアドレスに類似する通信が行われている0または1以上の他のIPアドレスを抽出し、脅威情報として生成する脅威情報抽出装置に関する。
本発明によると、マルウェア挙動等の解析から得られる脅威情報を用いて、ネットワークを流れるパケットヘッダを解析することによって脅威情報を拡充及び/又は新たな脅威情報を生成することができる。
図1は、本発明の一実施例による脅威情報抽出システムを示す構成図である。 図2は、本発明の他の実施例による脅威情報抽出システムを示す構成図である。 図3は、本発明の他の実施例による脅威情報抽出システムを示す構成図である。 図4は、本発明の一実施例による脅威情報の例を示す図である。 図5は、本発明の一実施例によるクエリログを管理するテーブルの例を示す図である。 図6は、本発明の一実施例によるフロー情報を管理するテーブルの例を示す図である。 図7は、本発明の一実施例によるトラフィック集計処理結果の例を示す図である。 図8は、本発明の一実施例によるホストの特徴の抽出結果の例を示す図である。 図9は、本発明の一実施例による通信状況に基づきIPアドレスのクラスタリング結果の例を示す図である。 図10は、本発明の一実施例による脅威情報抽出装置の出力の例を示す図である。
以下、図面に基づいて本発明の実施の形態を説明する。
本発明の適用形態の一例として、ネットワーク事業者がC2サーバに関する情報を外部より受信し、当該事業者が運用するネットワークから得られる情報に基づき、未検出なC2サーバを特定する情報や、それらC2サーバに関わるボットネットの規模や活動状況等の情報を抽出し、外部に送出する例を用いて各機能の動作を説明する。しかしながら、本発明の適用形態はこれに限られるものではない。
図1は、本発明の一実施例による脅威情報抽出システムを示す構成図である。図1に示されるように、脅威情報抽出システム10は、ネットワーク事業者や外部の有識者等が脅威情報の共有に用いる脅威情報DB100、IPアドレスやFQDNなどのインターネット上のリソースに関する評価を管理する外部知識DB200、ネットワーク事業者等によって管理されるFQDNとIPアドレスの対応等を管理・提供するDNS300、ネットワークを構成する転送装置400、及びこれらのDBや装置等からの情報を解析して、新たな脅威情報を生成する脅威情報抽出装置500を有する。
なお、脅威情報抽出システム10に含まれるネットワーク事業者の数は1つに限定される必要はなく、図2のように複数のネットワーク事業者が1つの脅威情報DB100に接続されていてもよい。また、脅威情報抽出装置500、DNS300及び転送装置400は、必ずしも同一のネットワーク事業者が管理するものでなくともよく、図3のように脅威情報抽出装置500が特定のネットワーク事業者に属さない形で存在しており、その脅威情報抽出装置500に複数のネットワーク事業者のDNS300や転送装置400が接続する形態をとってもよい。ただし、以下の実施例では、説明の便宜上、図1に示されるように、1つのDNS300、1つの転送装置400及び1つの脅威情報抽出装置500を保有する1つのネットワーク事業者が、1つの脅威情報DB100及び1つの外部知識DB200に接続する形態を説明する。
次に、各装置や関連する用語の定義について概説する。特に脅威情報抽出装置500について、図1を用いて機能構成を述べる。
脅威情報DB100は、サイバー脅威に関する情報(以降、脅威情報)を管理する装置である。例えば、脅威情報DB100は、特定の人・組織、もしくはインターネット上の誰もが利用可能な状態で設置されてもよく、利用する人・組織の間でサイバー脅威に関する情報を共有することを可能とする。
ここで、脅威情報とは、サイバー脅威に関連する攻撃者や攻撃目的、攻撃手法や発生した攻撃を検知するための情報(以降、シグネチャ)などを指す。なお、脅威情報の記述形式については、主に人間が読み書きすることを想定した自由文での記述と、プログラム等が解釈することも想定したSTIX (Structured Threat Information eXpression)など構造化された形式が存在する。
本実施例においては、脅威情報DB100が管理する脅威情報は構造化されており、例えば、シグネチャの実例として、図4に示されるように、C2サーバのURLやIPアドレスが含まれているものとして説明する。
外部知識DB200は、IPアドレスやURL/FQDNについて、それらの指すサーバ等が悪性かどうかの情報を管理するものである。例えば、外部知識DB200は、インターネット上に設置され、無償/有償にて公開されていてもよい。
DNS300は、FQDNとIPアドレスの対応を管理する装置であり、主としてFQDNからIPアドレスへの変換(以下、アドレス解決)要求を受け付ける。典型的には、DNS300は、インターネット上、または、ネットワーク事業者が運営するネットワーク内に設置され、それぞれインターネット上に公開された形で、またはネットワーク事業者のネットワークサービス利用者に向けて、アドレス解決機能が提供される。本実施例においては、ネットワーク事業者が自らのネットワークサービスの利用者に向けてDNS300を設置する例を説明する。
DNS300は、ネットワークサービス利用者からのアドレス解決要求を受け付けた際、アドレス解決要求の送出元のIPアドレス、問い合わせを受けたFQDN及び/又は対応するIPアドレスを含むログを生成し、クエリログとして蓄積する。
転送装置400は、ネットワーク事業者のネットワークを構成する装置であり、サービスの利用者の通信に係るパケットを通信先のIPアドレス等に基づき転送する機能を有する。転送装置400は、ネットワーク事業者がネットワークの状況を把握する等の目的から通信状況を外部に送出する機能を有する。外部に送出される情報(以降、フロー情報)には、通信元のIPアドレスやポート番号、通信先のIPアドレスやポート番号、通信プロトコル(以降、5タプル)毎の通信量などが含まれる。フロー情報の内容や形式、送出方法については、NetFlowなど複数の規格が存在するが、本実施例では、前述した6つの情報が含まれている限りにおいて、どの規格を利用するかは問わない。なお、転送装置400にて生成・送出されるフロー情報においては、ネットワークのスケーラビリティに鑑み、転送装置400が転送する全パケットに関して生成・送出されるのではなく、所定数(以降、サンプリングレート)に1つのパケットに関して生成・送出されるものとし、限定することなく、本実施例においては、当該サンプリングレートは100に設定される。
脅威情報抽出装置500は、脅威情報DB100と脅威情報の授受を行う脅威情報交換部501、DNS300や転送装置400から受信・収集したクエリログやフロー情報を管理する網情報DB520及び脅威情報DB100から受信した脅威情報と網情報DB520が管理するクエリログやフロー情報を横断的に解析することによって新たな脅威情報を生成・抽出する脅威情報抽出部510から構成される。
脅威情報抽出部510は、クエリログやフロー情報からネットワークに接続された端末等(以降、ホスト)の類似性や状態を抽出する。一実施例では、脅威情報抽出部510は、ワークフロー管理機能511、脅威情報整形機能512、類似ホスト抽出機能513、ホスト状態監視機能514、ホスト特性抽出機能515及びトラフィック集計機能516を有する。
ワークフロー管理機能511は、脅威情報交換部501が受信した脅威情報の種別に基づき実施する解析手法等を制御する。
脅威情報整形機能512は、構造化された脅威情報を解析し必要な情報を抽出するとともに、クエリログやフロー情報等を用いて生成した脅威情報を構造化された形式に整形するなど脅威情報の構造化に係る処理を実行する。
類似ホスト抽出機能513は、ホスト特性抽出機能515の出力を用いて通信特性からホストの類似性を解析し、脅威情報交換部501が取得した脅威情報と照合する等によって未知のC2サーバのIPアドレスなどを抽出する。
ホスト状態監視機能514は、取得した脅威情報で指定されるホストの通信状態を監視しボットネットの活発化等の変化を抽出する。
ホスト特性抽出機能515は、トラフィック集計機能516が生成する情報にフロー情報生成のサンプリングレートも考慮するなど、単純な集計処理では得られない情報の推定や、後述する類似ホスト抽出機能513に適した情報の選別を行う。
トラフィック集計機能516は、網情報DB520から受信したフロー情報に基づきホスト毎の通信時間や通信量など、基本的な集計によって得られる情報を計算・管理する。
網情報DB520は、クエリログを管理するクエリログTB521と、フロー情報を管理するフローTB522とから構成される。
ここで、脅威情報抽出装置500は、典型的には、サーバにより実現されてもよく、例えば、バスを介し相互接続されるドライブ装置、補助記憶装置、メモリ装置、プロセッサ、インタフェース装置及び通信装置から構成される。脅威情報抽出装置500における後述される各種機能及び処理を実現するプログラムを含む各種コンピュータプログラムは、CD−ROM(Compact Disk−Read Only Memory)、DVD(Digital Versatile Disk)、フラッシュメモリなどの記録媒体によって提供されてもよい。プログラムを記憶した記録媒体がドライブ装置にセットされると、プログラムが記録媒体からドライブ装置を介して補助記憶装置にインストールされる。但し、プログラムのインストールは必ずしも記録媒体により行う必要はなく、ネットワークなどを介し何れかの外部装置からダウンロードするようにしてもよい。補助記憶装置は、インストールされたプログラムを格納すると共に、必要なファイルやデータなどを格納する。メモリ装置は、プログラムの起動指示があった場合に、補助記憶装置からプログラムやデータを読み出して格納する。プロセッサは、メモリ装置に格納されたプログラムやプログラムを実行するのに必要なパラメータなどの各種データに従って、後述されるような脅威情報抽出装置500の各種機能及び処理を実行する。インタフェース装置は、ネットワーク又は外部装置に接続するための通信インタフェースとして用いられる。通信装置は、インターネットなどのネットワークと通信するための各種通信処理を実行する。
しかしながら、脅威情報抽出装置500は、上述したハードウェア構成に限定されるものでなく、他の何れか適切なハードウェア構成により実現されてもよい。
以下では、脅威情報DB100に新たなC2サーバのIPアドレスが登録された場合に、脅威情報抽出装置500が、ネットワークのフロー情報やクエリログを用いて通信パターンなどが類似のホストのIPアドレスや、関連ボットネットの規模、それらの状態を抽出し、脅威情報DB100に脅威情報を追加する流れについて説明する。
始めに、インターネット上のどこかにC2サーバが攻撃者等によって複数設置され、マルウェアに感染しボット化したホストが、それらC2サーバの1つもしくは複数と定常的な通信を開始する。インターネット上のアナリストなどによって、特許文献1に記載の技術などを用いてC2サーバの1つについてIPアドレスやFQDNが特定され、図4に示されるように、脅威情報DB100に登録される。
またこの際、ボット化したホストからC2サーバへの通信に伴い、DNS300にはC2サーバのFQDNに関するアドレス解決要求が到着し、対応するクエリログが生成されるとともに、転送装置400では、それら定常的な通信に伴うフロー情報が生成される。生成されたクエリログやフロー情報は、脅威情報抽出装置500内の網情報DB520へ送出され、それぞれクエリログテーブル(TB)521やフローテーブル(TB)522に一定期間蓄積される。
例えば、クエリログTB521は、図5に示されるようなテーブルによりクエリログを管理し、各クエリログについて、当該クエリログの送信又は受信時刻、要求元のIPアドレス、FQDN、返送先のIPアドレスなどが格納されてもよい。また、フローTB522は、図6に示されるようなテーブルによりフロー情報を管理し、各フローについて、当該フローのスタート日時、期間、プロトコル、ソースIPアドレス、ソースポート、デスティネーションIPアドレス、デスティネーションポート、パケット数、バイト数、フロー数などが格納されてもよい。
ここで、クエリログTB521及びフローTB522における情報蓄積期間は、網情報DB520のストレージ容量に依存するが、限定することなく、事前に設定した閾値に基づき、ストレージ使用割合が当該閾値を超えた段階で、閾値を下回るまで古い情報から削除することを繰り返す等によって、クエリログやフロー情報の蓄積が可能となる。
脅威情報DB100に脅威情報が登録された後、ネットワーク事業者の脅威情報抽出装置500では、脅威情報交換部501が、脅威情報DB100から登録された脅威情報を取得する。取得に用いるプトロコルとしてはTAXII(Trusted Automated eXchange of Indicator Information)などの規格に準じたものを用いてもよいし、独自のAPI(Application Programming Interface)が用いられていてもよい。また、脅威情報の取得に関しては、脅威情報交換部501が定期的に脅威情報DB100に新規の情報を問い合わせてもよいし、脅威情報DB100から新規情報を通知する形をとってもよい。
脅威情報交換部501が取得した脅威情報は、ワークフロー管理機能511によって受け取られ、脅威情報整形機能512において解析処理が実行される。脅威情報整形機能512は、例えば、受信した脅威情報の構文を解析し、脅威情報の種別としてC2サーバを特定するものであること、及びそのIPアドレスとして185.7.151.29/32、FQDNとしてc2.sample.jpが判明していることを抽出し、ワークフロー管理機能511に受け渡す。
ワークフロー管理機能511は、脅威情報の種別がC2であることから、以下の4つの処理を実施するよう各種機能の制御を開始する。第1の処理はFQDNに対応するIPアドレスの取得であり、第2の処理は類似ホスト抽出機能513を用いた類似ホストのIPアドレスの抽出であり、第3の処理はホスト特性抽出機能515を用いたボットネットの規模の抽出であり、第4の処理はホスト状態監視機能514を用いた関連通信の継続的な監視である。なお、ワークフロー管理機能511の動作はこれに限定されず、シナリオの記述等を行うことで、脅威情報の種別に応じた処理を可能にすることができ、例えば、脅威情報の種別がIP watchlistであれば、類似ホストの抽出のみ実施するなどと変更することが可能である。
ワークフロー管理機能511は、FQDNに対応するIPアドレスを取得する際、DNS300にアドレス解決要求を送信するだけでなく、クエリログTB521の内容を参照し、現在だけでなく過去の事前に設定した期間も含め実際にc2.sample.jpに対して返送されたIPアドレスを抽出する。本例では、185.7.151.29/32以外に185.7.32.51/32もc2.sample.jpに対応していることが抽出され、残る3つの処理においては、これら2つのIPアドレスについて解析が実施される。
類似ホスト抽出機能513、ホスト特性抽出機能515及びホスト応対監視機能514の動作については、トラフィック集計機能516の処理に始まるクエリログ/フロー情報の分析に関する以下処理の流れの例において説明する。
トラフィック集計機能516は、図6に示されるようにフローTB522によって管理される5タプル毎の通信量等について、ホストの類似性を分析するために再集計する。例えば、送信先のIPアドレスとポート、プロトコルの3つの情報毎に集計し、受信パケットに関して集計する手法も考えられるが、本例では、トラフィック集計機能516は、送信先、送信元を区別せず、IPアドレス毎に通信量、通信時間及び/又は通信先の数を集計する。さらに、トラフィック集計機能516は、図5に示されるようなクエリログTB521によって管理されるクエリログ情報から、アドレス解決後のIPアドレス毎にアドレス解決要求元のIPアドレスの数を集計することで、各IPアドレスに関する通信先の数を集計する。なお、IPアドレス毎の通信先の数について、クエリログTB521とフローTB522の双方から取得された場合、クエリログTB521から集計した値を用いてもよく、また、集計結果にはクエリログからの集計結果かフロー情報からの集計結果かを併記してもよい。以上のような集計結果は、例えば、図7に示されるようになり、この情報がホスト特性抽出機能515に送信される。
ホスト特性抽出機能515は、トラフィック集計機能516から受信した情報や、フロー生成時のサンプリングレート(例えば、100)を用いて、各種集計値を補正するとともに、類似ホスト抽出機能513の処理においてホストの違いが識別できるような特徴的な値を生成する。
具体的には、まず、ホスト特性抽出機能515における集計値の補正について、フロー情報からの集計値については、サンプリングされている分だけ減少していると想定されるため、ホスト特性抽出機能515は、集計値にサンプリングレート(例えば、100)を乗じて補正する。ただし、通信先の数については、その値が小さい場合には大きな誤差を生じさせることとなるため、補正前の値が事前設定した閾値よりも小さい場合については補正しない。本例では、当該閾値を2とする。
次に、ホスト特性抽出機能515における特徴量の生成について、C2サーバとボットとの通信が基本的に長時間低ビットレートでの通信がなされると想定し、本実施例では、ホスト特性抽出機能515は、平均通信時間と平均ビットレートとを出力する。具体的には、ホスト特性抽出機能515は、補正後の通信量を通信時間で、通信時間を通信先の数で、それぞれ除することで平均ビットレート、平均通信時間を推計・出力する。
ホスト特性抽出機能515が生成する情報の例を図8に示す。これら生成された情報のうち、IPアドレス毎の通信先の数については、当該IPアドレスがC2サーバの場合、ボットネットの規模と推定される。そのため、図示された例では、ワークフロー管理機能511からC2サーバのIPアドレス185.7.151.29、185.7.32.51を受信すると、ホスト特性抽出機能515は、それぞれのボットネットの規模が3719、12100であると応答する。また、それ以外の平均通信時間や平均ビットレートについては、類似ホスト抽出機能513に送信する。
類似ホスト抽出機能513は、ホスト特性抽出機能515から受信したIPアドレス毎の平均通信時間や平均ビットレートに基づき、ワークフロー管理機能511から受信したC2サーバのIPアドレス185.7.151.29、185.7.32.51と類似の通信を行っているIPアドレスを抽出し、ワークフロー管理機能511に返送する。抽出方法の具体例としては、始めに、通信先の数が1000など事前に設定した値よりも大きいIPのみを抽出し、その中で平均通信時間や平均ビットレートを特徴量として、k-means法等によってIPアドレスのクラスタリングを行い、C2サーバのIPアドレス185.7.151.29や185.7.32.51と同じクラスタに属するIPアドレスを類似のIPアドレスとして185.7.31.27等と抽出する。図8に記載されるIPアドレス群をクラスタリングした例を図9に示す。なお、本例では、2つの情報のみに基づいてクラスタリングしているが、本例は用いる情報を2つに限るものではなく、通信先の数など他の情報も合わせてクラスタリングしてよい。
ワークフロー管理機能511は、類似ホスト抽出機能513からC2サーバと類似の通信を行うIPアドレス185.7.31.27を受信し、当該IPアドレスも加えた3つのIPアドレス(185.7.151.29、185.7.32.51、185.7.31.27)について、ボットネットの規模をホスト特性抽出機能515から3719、12100、10300であると把握する。このうち、事前に設定した10000等の閾値より大規模なボットネットについては、攻撃動作の発生等を監視するため、ワークフロー管理機能511は、ホスト状態監視機能514にIPアドレス(185.7.32.51、185.7.31.27)を送信し、監視を依頼する。
ホスト状態監視機能514は、通知を受けたIPアドレス(185.7.32.51、185.7.31.27)について、異常の発生を検知すべく通信の監視を開始する。通信監視については、フロー情報を指定されたIPアドレス毎に継続的に取得し、取得されたそれぞれの値について閾値を超過していないか監視する方法や、各値を入出力とするオートエンコーダによって通常状態を学習させた後、フロー情報の各値を入力し、出力が大きくなった場合に異常とみなす手法も考えられる。これらの手法によって異常が検知された場合、ホスト状態監視機能514は、ワークフロー管理機能511に異常を検知したIPアドレスを通知する。
ワークフロー管理機能511は、類似ホスト抽出機能513からC2サーバのものであると疑われるIPアドレス、そのIPアドレス含め、ホスト特性抽出機能515から各C2サーバに関連するボットネットの規模、ホスト状態監視機能514からC2サーバの通信の変化を受信し、それらを脅威情報整形機能512によって図10に示されるような構造化された脅威情報として脅威情報交換部501に送信する。脅威情報を受信した脅威情報交換部501は、それを脅威情報DB100に登録する。
以上のように、本実施例による脅威情報抽出システム10によると、ネットワークのDNS300や転送装置400の情報を用いて新たな脅威情報を生成することで、マルウェアのコード/挙動解析だけでは得られない網羅的な/未知の脅威に関わるものも含む脅威情報を生成することができ、サイバー攻撃に対し、これまでより早期で、かつより精度・網羅性の高い検知・対処が可能となる。
以上、本発明の実施例について詳述したが、本発明は上述した特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
10 脅威情報抽出システム
100 脅威情報DB
200 外部知識DB
300 DNS
400 転送装置
500 脅威情報抽出装置
501 脅威情報交換部
510 脅威情報抽出部
511 ワークフロー管理機能
512 脅威情報整形機能
513 類似ホスト抽出機能
514 ホスト状態監視機能
515 ホスト特性抽出機能
516 トラフィック集計機能
520 網情報DB
521 クエリログTB
522 フローTB

Claims (8)

  1. フロー情報を格納する網情報DBと、
    前記フロー情報を用いて、取得した脅威情報から新たな脅威情報を抽出する脅威情報抽出部と、
    を有する脅威情報抽出装置であって、
    前記脅威情報抽出部は、
    前記取得した脅威情報から第1のIPアドレスを抽出し、
    前記フロー情報から前記第1のIPアドレスについて集計情報を作成し、
    前記集計情報から前記第1のIPアドレスに係る通信の特徴量を推定し、
    前記推定された特徴量に基づき、前記第1のIPアドレスに類似する通信が行われている0または1以上の他のIPアドレスを抽出し、脅威情報として生成する脅威情報抽出装置。
  2. クエリログ及びフロー情報を格納する網情報DBと、
    前記クエリログ及び前記フロー情報を用いて、取得した脅威情報から新たな脅威情報を抽出する脅威情報抽出部と、
    を有する脅威情報抽出装置であって、
    前記脅威情報抽出部は、
    前記取得した脅威情報からC2サーバの第1のIPアドレス及びFQDNを抽出し、
    前記クエリログから前記抽出したFQDNに対して返送された第2のIPアドレスを抽出し、
    前記フロー情報から前記第1のIPアドレス及び前記第2のIPアドレスについて集計情報を作成し、
    前記集計情報から前記第1のIPアドレス及び前記第2のIPアドレスに係る通信の特徴量を推定し、
    前記推定された特徴量に基づき、前記第1のIPアドレス及び前記第2のIPアドレスに類似する通信が行われている0または1以上の他のIPアドレスを抽出し、脅威情報として生成する脅威情報抽出装置。
  3. フロー情報は、各フローのプロトコル、ソースIPアドレス、ソースポート、デスティネーションIPアドレス、デスティネーションポート及び通信量を少なくとも含む、請求項1又は2記載の脅威情報抽出装置。
  4. クエリログは、要求元のIPアドレス、FQDN及び返送先のIPアドレスを少なくとも含む、請求項1乃至3何れか一項記載の脅威情報抽出装置。
  5. 集計情報は、第1のIPアドレス又は第2のIPアドレスの通信先数を少なくとも含む、請求項1乃至4何れか一項記載の脅威情報抽出装置。
  6. 特徴量は、第1のIPアドレス又は第2のIPアドレスに係る通信の平均ビットレート及び平均通信時間を含む、請求項1乃至5何れか一項記載の脅威情報抽出装置。
  7. 第1のIPアドレス、第2のIPアドレス及び他のIPアドレスのうち、所定の閾値以上のボットネットを有するIPアドレスの通信が監視され、前記監視されているIPアドレスのフロー情報に基づき異常が検知される、請求項1乃至6何れか一項記載の脅威情報抽出装置。
  8. 請求項1乃至7何れか一項記載の脅威情報抽出装置と、
    前記脅威情報抽出装置によって抽出された脅威情報を格納する脅威情報DBと、
    を有する脅威情報抽出システム。
JP2018025426A 2018-02-15 2018-02-15 脅威情報抽出装置及び脅威情報抽出システム Active JP6783261B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018025426A JP6783261B2 (ja) 2018-02-15 2018-02-15 脅威情報抽出装置及び脅威情報抽出システム
PCT/JP2019/004586 WO2019159833A1 (ja) 2018-02-15 2019-02-08 脅威情報抽出装置及び脅威情報抽出システム
US16/968,974 US11546356B2 (en) 2018-02-15 2019-02-08 Threat information extraction apparatus and threat information extraction system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018025426A JP6783261B2 (ja) 2018-02-15 2018-02-15 脅威情報抽出装置及び脅威情報抽出システム

Publications (2)

Publication Number Publication Date
JP2019145879A true JP2019145879A (ja) 2019-08-29
JP6783261B2 JP6783261B2 (ja) 2020-11-11

Family

ID=67619291

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018025426A Active JP6783261B2 (ja) 2018-02-15 2018-02-15 脅威情報抽出装置及び脅威情報抽出システム

Country Status (3)

Country Link
US (1) US11546356B2 (ja)
JP (1) JP6783261B2 (ja)
WO (1) WO2019159833A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023054506A (ja) * 2021-10-04 2023-04-14 株式会社ラック 情報検索システム、情報検索方法およびプログラム

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3588897B1 (en) * 2018-06-30 2020-04-22 Ovh Method and system for defending an infrastructure against a distributed denial of service attack
KR102661261B1 (ko) * 2022-10-20 2024-04-29 한국과학기술정보연구원 봇넷 탐지 시스템 및 방법
CN116192490A (zh) * 2023-02-14 2023-05-30 北京中睿天下信息技术有限公司 一种基于流量行为的网络威胁检测方法和系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010092236A (ja) * 2008-10-07 2010-04-22 Kddi Corp 情報処理装置、プログラム、および記録媒体
US20160226902A1 (en) * 2014-09-14 2016-08-04 Cisco Technology, Inc. Detection of malicious network connections
JP2017059964A (ja) * 2015-09-15 2017-03-23 富士通株式会社 ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7500266B1 (en) * 2002-12-03 2009-03-03 Bbn Technologies Corp. Systems and methods for detecting network intrusions
US7624447B1 (en) * 2005-09-08 2009-11-24 Cisco Technology, Inc. Using threshold lists for worm detection
US7661136B1 (en) * 2005-12-13 2010-02-09 At&T Intellectual Property Ii, L.P. Detecting anomalous web proxy activity
US7917957B2 (en) * 2007-05-29 2011-03-29 Alcatel Lucent Method and system for counting new destination addresses
US7823202B1 (en) * 2007-03-21 2010-10-26 Narus, Inc. Method for detecting internet border gateway protocol prefix hijacking attacks
JP4755658B2 (ja) 2008-01-30 2011-08-24 日本電信電話株式会社 解析システム、解析方法および解析プログラム
US9413721B2 (en) * 2011-02-15 2016-08-09 Webroot Inc. Methods and apparatus for dealing with malware
US9118702B2 (en) * 2011-05-31 2015-08-25 Bce Inc. System and method for generating and refining cyber threat intelligence data
US9661003B2 (en) * 2012-05-11 2017-05-23 Thomas W. Parker System and method for forensic cyber adversary profiling, attribution and attack identification
CN103078752B (zh) * 2012-12-27 2016-03-30 华为技术有限公司 一种检测邮件攻击的方法、装置及设备
US10721244B2 (en) * 2014-03-19 2020-07-21 Nippon Telegraph And Telephone Corporation Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
US20160164886A1 (en) * 2014-10-17 2016-06-09 Computer Sciences Corporation Systems and methods for threat analysis of computer data
US10681060B2 (en) * 2015-05-05 2020-06-09 Balabit S.A. Computer-implemented method for determining computer system security threats, security operations center system and computer program product
KR101689298B1 (ko) * 2015-10-19 2016-12-23 한국과학기술정보연구원 보안이벤트 자동 검증 방법 및 장치
US10673870B2 (en) * 2017-01-27 2020-06-02 Splunk Inc. Security monitoring of network connections using metrics data
TWI648650B (zh) * 2017-07-20 2019-01-21 中華電信股份有限公司 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010092236A (ja) * 2008-10-07 2010-04-22 Kddi Corp 情報処理装置、プログラム、および記録媒体
US20160226902A1 (en) * 2014-09-14 2016-08-04 Cisco Technology, Inc. Detection of malicious network connections
JP2017059964A (ja) * 2015-09-15 2017-03-23 富士通株式会社 ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
足立 大地, 面 和成: "ホストベースによるRemote Access Trojan(RAT)の早期検知手法 Early Detective", CSS2015 コンピュータセキュリティシンポジウム2015 論文集 合同開催 マルウェア対策研究人, vol. 第2015巻, JPN6020034504, 4 February 2016 (2016-02-04), JP, ISSN: 0004345149 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023054506A (ja) * 2021-10-04 2023-04-14 株式会社ラック 情報検索システム、情報検索方法およびプログラム

Also Published As

Publication number Publication date
US11546356B2 (en) 2023-01-03
JP6783261B2 (ja) 2020-11-11
WO2019159833A1 (ja) 2019-08-22
US20210058411A1 (en) 2021-02-25

Similar Documents

Publication Publication Date Title
WO2019159833A1 (ja) 脅威情報抽出装置及び脅威情報抽出システム
Kumar et al. Early detection of Mirai-like IoT bots in large-scale networks through sub-sampled packet traffic analysis
EP2612488B1 (en) Detecting botnets
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
US20170230396A1 (en) Network system
US20180077110A1 (en) Augmenting network flow with passive dns information
US8904524B1 (en) Detection of fast flux networks
US7706267B2 (en) Network service monitoring
JP2018513592A (ja) ネットワークセキュリティのための行動解析ベースのdnsトンネリング検出・分類フレームワーク
WO2014052756A2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
US11777960B2 (en) Detection of DNS (domain name system) tunneling and exfiltration through DNS query analysis
Xu et al. Secure the Internet, one home at a time
US20240146753A1 (en) Automated identification of false positives in dns tunneling detectors
Wang et al. Behavior‐based botnet detection in parallel
EP3465986B1 (en) Method and system for augmenting network traffic flow reports
Garg et al. Scalable P2P bot detection system based on network data stream
US10187414B2 (en) Differential malware detection using network and endpoint sensors
WO2013189723A1 (en) Method and system for malware detection and mitigation
CN114172881B (zh) 基于预测的网络安全验证方法、装置及系统
Gad et al. Hierarchical events for efficient distributed network analysis and surveillance
Sourour et al. Network security alerts management architecture for signature-based intrusions detection systems within a NAT environment
Goparaju et al. Distributed Denial of Service Attack Classification Using Artificial Neural Networks.
US20230370492A1 (en) Identify and block domains used for nxns-based ddos attack
JP5582499B2 (ja) ネットワーク監視方法及びシステム及び装置及びプログラム
Čermák et al. Stream-Based IP Flow Analysis

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191216

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200915

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201012

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201020

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201021

R150 Certificate of patent or registration of utility model

Ref document number: 6783261

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150