JP2021093595A - マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 - Google Patents
マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 Download PDFInfo
- Publication number
- JP2021093595A JP2021093595A JP2019222168A JP2019222168A JP2021093595A JP 2021093595 A JP2021093595 A JP 2021093595A JP 2019222168 A JP2019222168 A JP 2019222168A JP 2019222168 A JP2019222168 A JP 2019222168A JP 2021093595 A JP2021093595 A JP 2021093595A
- Authority
- JP
- Japan
- Prior art keywords
- fake
- file
- information
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
- 238000004891 communication Methods 0.000 title claims abstract description 136
- 238000007689 inspection Methods 0.000 title claims abstract description 31
- 238000000034 method Methods 0.000 title claims description 23
- 230000010365 information processing Effects 0.000 claims abstract description 60
- 230000005540 biological transmission Effects 0.000 claims description 90
- 238000012545 processing Methods 0.000 claims description 82
- 230000004044 response Effects 0.000 claims description 5
- 235000012907 honey Nutrition 0.000 description 72
- 238000010586 diagram Methods 0.000 description 12
- 238000012546 transfer Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000006378 damage Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
・ハニーネットワークシステム2の端末22からマルウェアに感染した端末15CへのARP(Address Resolution Protocol)フレームは、送信元MACアドレスおよびプロトコル内の送信元MACアドレス情報を端末22のものから端末15のものへ書き換える。
・ハニーネットワークシステム2の端末22からマルウェアに感染した端末15CへのNDP(Neighbor Discovery Protocol)パケットは、送信元MACアドレスを端末22のものから端末15のものへ書き換える。Neighbor Solicitationの場合はプロトコル内の送信元MACアドレス情報を端末22のものから端末15のものへ書き換える。Neibor Advertisementの場合はプロトコル内のターゲットMACアドレス情報を端末22のものから端末15のものへ書き換える。
・ハニーネットワークシステム2のNATルータ20からマルウェアに感染した端末15CへのARPフレームは、送信元MACアドレスおよびプロトコル内の送信元MACアドレス情報を端末22のものからNATルータ12のものへ書き換える。
・ハニーネットワークシステム2のNATルータ20からマルウェアに感染した端末15CへのNDPパケットは、送信元MACアドレスを端末22のものからNATルータ12のものへ書き換える。Neighbor Solicitationの場合はプロトコル内の送信元MACアドレス情報を端末22のものからNATルータ12のものへ書き換える。Neibor Advertisementの場合はプロトコル内のターゲットMACアドレス情報を端末22のものからNATルータ12のものへ書き換える。
・マルウェアに感染した端末15Cから端末15A、15B…へのARPフレームは、送信先MACアドレスおよびプロトコル内の送信先MACアドレス情報を端末15のものから端末22のものへ書き換えハニーネットワークシステム2の端末22A、22Bへ転送(出力ポート変更)する。
・マルウェアに感染した端末15CからNATルータ12へのARPフレームは、コピーしNATルータ12およびオープンフロー・スイッチ10aに転送する。
・オープンフロー・スイッチ10aは送信先MACアドレスおよびプロトコル内の送信先MACアドレス情報をNATルータ12のものからNATルータ20のものへ書き換える。
・マルウェアに感染した端末15Cから端末15A、15B…への通信は、ハニーネットワークシステム2の端末22A、22Bへ転送(出力ポート変更)する。この際に、送信先MACアドレスを端末15A、15B…のものから端末22A、22B…のものへ書き換える。
・ハニーネットワークシステム2の端末22からマルウェアに感染した端末15Cへの通信は、送信元MACアドレスを端末22のものから端末15のものへ書き換える。
・マルウェアに感染した端末15Cから企業ネットワークシステム1の他のサブネット(例えばサーバ14)への通信は、ハニーネットワークシステム2のNATルータ20へ転送(出力ポート変更)する。この際に、送信先MACアドレスをNATルータ12のものからNATルータ20のものへ書き換える。
・ハニーネットワークシステム2のサーバ23からマルウェアに感染した端末15Cへの通信は、送信元MACアドレスをNATルータ20のものからNATルータ12のものへ書き換える。
・マルウェアに感染した端末15Cから外部ネットワーク3宛の通信は、そのまま通過させる(通常モードと同様に通信経路を維持する)。
前記第1のシステムで生成されるログ情報に基づき、前記第1のシステムに関するファイルの偽ファイル、前記第1のシステムに関するメールの偽メールおよび前記第1のシステムに関する通信情報の偽通信情報の少なくともいずれかを生成して、前記第2の情報処理装置に送信する、
処理をコンピュータに実行させることを特徴とするマルウェア検査支援プログラム。
ことを特徴とする付記1に記載のマルウェア検査支援プログラム。
ことを特徴とする付記2に記載のマルウェア検査支援プログラム。
ことを特徴とする付記1に記載のマルウェア検査支援プログラム。
ことを特徴とする付記4に記載のマルウェア検査支援プログラム。
ことを特徴とする付記1に記載のマルウェア検査支援プログラム。
前記第1のシステムで生成されるログ情報に基づき、前記第1のシステムに関するファイルの偽ファイル、前記第1のシステムに関するメールの偽メールおよび前記第1のシステムに関する通信情報の偽通信情報の少なくともいずれかを生成して、前記第2の情報処理装置に送信する、
処理をコンピュータが実行することを特徴とするマルウェア検査支援方法。
ことを特徴とする付記7に記載のマルウェア検査支援方法。
ことを特徴とする付記8に記載のマルウェア検査支援方法。
ことを特徴とする付記7に記載のマルウェア検査支援方法。
ことを特徴とする付記10に記載のマルウェア検査支援方法。
ことを特徴とする付記7に記載のマルウェア検査支援方法。
前記第1のシステムに属する第1の情報処理装置でマルウェアが検知された場合、前記第1の情報処理装置から送信されるパケットの宛先アドレスを、所定のルールに基づいて前記第2のシステムに属する第2の情報処理装置に対応するアドレスに変更して、前記パケットを前記第2のシステムに属する前記第2の情報処理装置へ送信するとともに、前記第1のシステムで生成されるログ情報に基づき、前記第1のシステムに関するファイルの偽ファイル、前記第1のシステムに関するメールの偽メールおよび前記第1のシステムに関する通信情報の偽通信情報の少なくともいずれかを生成して、前記第2の情報処理装置に送信する送信処理部と、
を有することを特徴とする通信装置。
ことを特徴とする付記13に記載の通信装置。
ことを特徴とする付記14に記載の通信装置。
ことを特徴とする付記13に記載の通信装置。
ことを特徴とする付記16に記載の通信装置。
ことを特徴とする付記13に記載の通信装置。
2…ハニーネットワークシステム
3…外部ネットワーク
4…C&Cサーバ
5…外部ルータ
6…インターネット
10、10a…オープンフロー・スイッチ
11…オープンフロー・コントローラー
12、20…NATルータ
13A、13B、13C、13D、21A、21B…ネットワーク
14、14A、14B、23、23A,23B…サーバ
15、15A、15B、15C、15D、22、22A、22B、22C…端末
101…通信部
102…制御部
102A…受信処理部
102B…送信処理部
103…記憶部
103A…フローテーブル
103B…ログ情報
103C…テンプレート情報
200…情報処理装置
201…CPU
202…媒体読取装置
203…インタフェース装置
204…通信装置
205…RAM
206…ハードディスク装置
207…バス
211…プログラム
212…各種データ
Claims (8)
- 第1のシステムに属する第1の情報処理装置でマルウェアが検知された場合、前記第1の情報処理装置から送信されるパケットの宛先アドレスを、所定のルールに基づいて第2のシステムに属する第2の情報処理装置に対応するアドレスに変更して、前記パケットを前記第2のシステムに属する前記第2の情報処理装置へ送信するとともに、
前記第1のシステムで生成されるログ情報に基づき、前記第1のシステムに関するファイルの偽ファイル、前記第1のシステムに関するメールの偽メールおよび前記第1のシステムに関する通信情報の偽通信情報の少なくともいずれかを生成して、前記第2の情報処理装置に送信する、
処理をコンピュータに実行させることを特徴とするマルウェア検査支援プログラム。 - 前記送信する処理は、前記第1のシステムに属するファイルサーバで生成されるログ情報に基づき、前記第1のシステムに属するファイルサーバのファイルの偽ファイルを生成して、前記第2のシステムに属するファイルサーバに送信する、
ことを特徴とする請求項1に記載のマルウェア検査支援プログラム。 - 前記送信する処理は、前記第1のシステムに属するファイルサーバのファイルのファイル名に基づいて複数のテンプレートの中から選出したデータをもとに、前記偽ファイルを生成する、
ことを特徴とする請求項2に記載のマルウェア検査支援プログラム。 - 前記送信する処理は、前記第1のシステムに属するメールサーバで生成されるログ情報に基づき、前記第1のシステムに属するメールサーバのメールの偽メールを生成して、前記第2のシステムに属するメールサーバに送信する、
ことを特徴とする請求項1に記載のマルウェア検査支援プログラム。 - 前記送信する処理は、前記第1のシステムに属するメールサーバのメールの件名に基づいて複数のテンプレートの中から選出したデータをもとに、前記偽メールを生成する、
ことを特徴とする請求項4に記載のマルウェア検査支援プログラム。 - 前記送信する処理は、前記第1のシステムの通信に応じて生成されるログ情報に基づき、前記通信のパケットに基づいて複数のテンプレートの中から選出したデータをもとに、前記偽通信情報を生成する、
ことを特徴とする請求項1に記載のマルウェア検査支援プログラム。 - 第1のシステムに属する第1の情報処理装置でマルウェアが検知された場合、前記第1の情報処理装置から送信されるパケットの宛先アドレスを、所定のルールに基づいて第2のシステムに属する第2の情報処理装置に対応するアドレスに変更して、前記パケットを前記第2のシステムに属する前記第2の情報処理装置へ送信するとともに、
前記第1のシステムで生成されるログ情報に基づき、前記第1のシステムに関するファイルの偽ファイル、前記第1のシステムに関するメールの偽メールおよび前記第1のシステムに関する通信情報の偽通信情報の少なくともいずれかを生成して、前記第2の情報処理装置に送信する、
処理をコンピュータが実行することを特徴とするマルウェア検査支援方法。 - 第1のシステムまたは第2のシステムに属する情報処理装置と通信する通信部と、
前記第1のシステムに属する第1の情報処理装置でマルウェアが検知された場合、前記第1の情報処理装置から送信されるパケットの宛先アドレスを、所定のルールに基づいて前記第2のシステムに属する第2の情報処理装置に対応するアドレスに変更して、前記パケットを前記第2のシステムに属する前記第2の情報処理装置へ送信するとともに、前記第1のシステムで生成されるログ情報に基づき、前記第1のシステムに関するファイルの偽ファイル、前記第1のシステムに関するメールの偽メールおよび前記第1のシステムに関する通信情報の偽通信情報の少なくともいずれかを生成して、前記第2の情報処理装置に送信する送信処理部と、
を有することを特徴とする通信装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019222168A JP2021093595A (ja) | 2019-12-09 | 2019-12-09 | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 |
US17/101,293 US20210176271A1 (en) | 2019-12-09 | 2020-11-23 | Non-transitory computer-readable storage medium, malware inspection support method, and communication device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019222168A JP2021093595A (ja) | 2019-12-09 | 2019-12-09 | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2021093595A true JP2021093595A (ja) | 2021-06-17 |
Family
ID=76210766
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019222168A Ceased JP2021093595A (ja) | 2019-12-09 | 2019-12-09 | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20210176271A1 (ja) |
JP (1) | JP2021093595A (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11195170B1 (en) * | 2021-05-31 | 2021-12-07 | BehavioSec Inc | Method and a system for creating a behavioral user profile |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8839417B1 (en) * | 2003-11-17 | 2014-09-16 | Mcafee, Inc. | Device, system and method for defending a computer network |
US10298598B1 (en) * | 2013-12-16 | 2019-05-21 | Amazon Technologies, Inc. | Countering service enumeration through imposter-driven response |
US11316895B1 (en) * | 2016-10-20 | 2022-04-26 | United Services Automobile Association (Usaa) | Method of generating and using credentials to detect the source of account takeovers |
US10542006B2 (en) * | 2016-11-22 | 2020-01-21 | Daniel Chien | Network security based on redirection of questionable network access |
US10587652B2 (en) * | 2017-11-29 | 2020-03-10 | International Business Machines Corporation | Generating false data for suspicious users |
US20210021637A1 (en) * | 2019-07-15 | 2021-01-21 | Kumar Srivastava | Method and system for detecting and mitigating network breaches |
-
2019
- 2019-12-09 JP JP2019222168A patent/JP2021093595A/ja not_active Ceased
-
2020
- 2020-11-23 US US17/101,293 patent/US20210176271A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
US20210176271A1 (en) | 2021-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI496446B (zh) | 一動態電腦網路中用於通信之雜訊、加密及誘餌 | |
KR101723715B1 (ko) | 컴퓨터 네트워크의 엔터프라이즈 미션 관리를 위한 시스템 및 방법 | |
CN105743878B (zh) | 使用蜜罐的动态服务处理 | |
US8898782B2 (en) | Systems and methods for spontaneously configuring a computer network | |
Bhatia et al. | A framework for generating realistic traffic for Distributed Denial-of-Service attacks and Flash Events | |
WO2014063110A1 (en) | Network infrastructure obfuscation | |
TWI464618B (zh) | 於動態電腦網路中用於交流資料之路由器 | |
TWI510956B (zh) | 交換器及用於在將複數個裝置連接至動態電腦網路之交換器中使用之方法 | |
Ashraf et al. | Challenges and Mitigation Strategies for Transition from IPv4 Network to Virtualized Next-Generation IPv6 Network. | |
US20210176271A1 (en) | Non-transitory computer-readable storage medium, malware inspection support method, and communication device | |
Macwan et al. | Investigation of moving target defense technique to prevent poisoning attacks in SDN | |
Nuhu et al. | Mitigating DHCP starvation attack using snooping technique | |
Salazar et al. | Enhancing the resiliency of cyber-physical systems with software-defined networks | |
JP7000863B2 (ja) | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 | |
JP2020108011A (ja) | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 | |
Yamanoue et al. | Capturing malicious bots using a beneficial bot and wiki | |
JP7107153B2 (ja) | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 | |
US9264496B2 (en) | Session hopping | |
JP2002236627A (ja) | ファイアウォールの動的ポート変更方法 | |
MUNTHER | SECURE ADDRESS RESOLUTION PROTOCOL PROXY IN SOFTWARE DEFINED NETWORK | |
JP2005328281A (ja) | ネットワークシステム及び通信方法 | |
Parameswari et al. | ARP Protocol Sequence Analysis for Intrusion Detection System | |
THORAT | Secure Arp Protocol For Intrusion Detection System |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220809 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230616 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230711 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230821 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231121 |
|
A045 | Written measure of dismissal of application [lapsed due to lack of payment] |
Free format text: JAPANESE INTERMEDIATE CODE: A045 Effective date: 20240326 |