JP2021111802A - 検知プログラム、検知方法および情報処理装置 - Google Patents
検知プログラム、検知方法および情報処理装置 Download PDFInfo
- Publication number
- JP2021111802A JP2021111802A JP2020000363A JP2020000363A JP2021111802A JP 2021111802 A JP2021111802 A JP 2021111802A JP 2020000363 A JP2020000363 A JP 2020000363A JP 2020000363 A JP2020000363 A JP 2020000363A JP 2021111802 A JP2021111802 A JP 2021111802A
- Authority
- JP
- Japan
- Prior art keywords
- information
- domain
- address
- name server
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims description 55
- 230000010365 information processing Effects 0.000 title claims description 33
- 238000000034 method Methods 0.000 claims abstract description 38
- 238000004891 communication Methods 0.000 claims abstract description 35
- 230000008569 process Effects 0.000 claims abstract description 32
- 230000004044 response Effects 0.000 claims abstract description 11
- 238000012544 monitoring process Methods 0.000 claims abstract description 7
- 238000012545 processing Methods 0.000 claims description 14
- 230000000903 blocking effect Effects 0.000 claims description 5
- 230000003211 malignant effect Effects 0.000 description 68
- 238000007726 management method Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 12
- 239000000284 extract Substances 0.000 description 9
- 230000006870 function Effects 0.000 description 5
- 230000007123 defense Effects 0.000 description 2
- 230000004907 flux Effects 0.000 description 2
- 230000010076 replication Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 244000062645 predators Species 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
- G06F16/9538—Presentation of query results
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】サイバー攻撃に用いられる攻撃インフラの特定を支援する。【解決手段】実施形態の検知プログラムは、取得する処理と、特定する処理と、出力する処理とをコンピュータに実行させる。取得する処理は、サイバー攻撃情報に含まれるドメイン情報を取得するとともに、ドメイン情報とIPアドレスとの対応付けを管理する第1の管理サーバの通信を監視することによりドメイン情報とIPアドレスとの対応付けに関する第1の管理サーバの回答履歴を管理する第2の管理サーバから、取得したドメイン情報に対応するレコード情報を取得する。特定する処理は、取得したレコード情報を分析して繰り返し用いられているIPアドレスと、IPアドレスに関連するネームサーバとを特定する。出力する処理は、特定したIPアドレスと、ネームサーバとを示す第1のリスト情報を出力する。【選択図】図1
Description
本発明の実施形態は、検知プログラム、検知方法および情報処理装置に関する。
近年、世界規模で組織的に構築された大規模な攻撃インフラの上で、様々なサイバー攻撃が展開され、大きな損害が発生している。また、犯罪組織が攻撃インフラを大規模かつ組織的に運用し、ビジネスとしてサイバー攻撃のための環境を提供する傾向が強くなってきている。
このようなサイバー攻撃に対しては、サイバー攻撃に用いられるドメインなどの攻撃インフラを特定し、特定した攻撃インフラをテイクダウンして根本的な防御をする。したがって、サイバー攻撃への対処では、テイクダウンする攻撃インフラを特定することが重要となる。
攻撃インフラを特定する従来技術としては、複数のドメイン名のそれぞれについて、対応するIPアドレスに関するIPアドレス関連情報を取得し、複数のドメイン名のうち、ドメイン名同士のIPアドレス関連情報の類似度を計算し、同一のボットネットで運用されているドメイン名の集合として、類似度に基づくドメイン名の集合を作成するものが知られている。
大規模かつ組織的に運用される攻撃インフラは、例えばFast Fluxのような手法により大量のゾンビコンピュータを利用して実際のC&C(Command and Control)サーバを隠ぺいし、テイクダウンを回避する。例えば、ドメインに対するIPアドレスを短期間で切り替える、あるいはドメイン自体を使い捨てるだけでなく、ドメインを登録するための権威ネームサーバすらも攻撃インフラの運用の中に組み込んで巧妙に運用される。したがって、従来技術では、検知することが容易ではない。
1つの側面では、サイバー攻撃に用いられる攻撃インフラの特定を支援できる検知プログラム、検知方法および情報処理装置を提供することを目的とする。
1つの案では、検知プログラムは、取得する処理と、特定する処理と、出力する処理とをコンピュータに実行させる。取得する処理は、サイバー攻撃情報に含まれるドメイン情報を取得するとともに、ドメイン情報とIPアドレスとの対応付けを管理する第1の管理サーバの通信を監視することによりドメイン情報とIPアドレスとの対応付けに関する第1の管理サーバの回答履歴を管理する第2の管理サーバから、取得したドメイン情報に対応するレコード情報を取得する。特定する処理は、取得したレコード情報を分析して繰り返し用いられているIPアドレスと、IPアドレスに関連するネームサーバとを特定する。出力する処理は、特定したIPアドレスと、ネームサーバとを示す第1のリスト情報を出力する。
サイバー攻撃に用いられる攻撃インフラの特定を支援できる。
以下、図面を参照して、実施形態にかかる検知プログラム、検知方法および情報処理装置を説明する。実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略する。なお、以下の実施形態で説明する検知プログラム、検知方法および情報処理装置は、一例を示すに過ぎず、実施形態を限定するものではない。また、以下の各実施形態は、矛盾しない範囲内で適宜組みあわせてもよい。
(概要について)
サイバー攻撃に用いられる悪性ドメインにおいて、未識別の悪性ドメインを検知するための多くの研究が古くから提案されている。未識別の悪性ドメインを検知するための提案手法として、「Bilge, Leyla, et al. "EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis." Ndss. 2011.」と、Passive DNS(Domain Name System)に関する「Weimer, Florian. "Passive DNS replication." FIRST conference on computer security incident. 2005.」とが知られている。
サイバー攻撃に用いられる悪性ドメインにおいて、未識別の悪性ドメインを検知するための多くの研究が古くから提案されている。未識別の悪性ドメインを検知するための提案手法として、「Bilge, Leyla, et al. "EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis." Ndss. 2011.」と、Passive DNS(Domain Name System)に関する「Weimer, Florian. "Passive DNS replication." FIRST conference on computer security incident. 2005.」とが知られている。
Exposure システムでは、悪性ドメインを検知するための特徴として、Time−Based Features、DNS Answer−Based Features、TTL Value−Based Features and Domain Name−Based Featuresの4つを特徴選択し、Passive DNSのデータを基に識別器を学習し、大規模なデータで効果を検証している。Passive DNSの構築手法については、Passive DNS replicationに詳しい記載がある。
また、「Hao, Shuang, et al. "PREDATOR: proactive recognition and elimination of domain abuse at time-of-registration." Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security. ACM, 2016.」のように、WHOISデータを基にしたドメインの登録の挙動により悪性ドメインを検知する方法も提案されている。この提案方法では、Domain profile features、Registration history features、batch correlation featuresという3カテゴリに関する22の特徴を選択し、主にネームサーバのIPの変化や、ドメインが複数のネームサーバに登録される、Registrarなどの情報により、スパム関係の悪性ドメインを登録された瞬間に検知可能であることを示している。
しかしながら、ドメインに対するIPアドレスを短期間で切り替える、あるいはドメイン自体を使い捨てるだけでなく、ドメインを登録するための権威ネームサーバすらも攻撃インフラの運用の中に組み込んで巧妙に運用された場合、上記のいずれの提案方法においても、攻撃インフラを特定することは容易ではない。
そこで、本実施形態では、大規模かつ組織的に実施されているサイバー攻撃の一部の悪性ドメインを種とし、悪性ドメインにおいてコアとなって利用されている(繰り返し利用されている)一部のIPアドレスを検出して悪性のネームサーバを検知する。
具体的には、大規模かつ組織的に運用される攻撃インフラにおいては、大量のIPアドレスを使い捨てながら運用する一方、一部のIPアドレスは使い回して利用されている。したがって、攻撃インフラにおいてコアとなって利用されている(繰り返し利用されている)IPアドレスを検出することにより、攻撃インフラに新規に追加された未識別のドメインやネームサーバを検知する。
特に悪性ドメインの検知においては、Content Delivery Networkサービスを利用している正規ドメインとFast Fluxを利用している悪性ドメインと運用上の違いを識別するのが困難な場合もある。しなしながら、ネームサーバは、IPアドレスを頻繁に変えるような運用をすることが稀であるため区別がしやすいうえに、組織的な運用においてはネームサーバ用に限られた安定的なIPアドレスで運用するケースも多い。
したがって、大規模かつ組織的に構築された攻撃インフラの中で攻撃者によって運用されているネームサーバ(悪性ネームサーバ)を、使い回しされている一部のIPアドレスを基にして、効果的に検知することが可能となる。また、検知した悪性ネームサーバに登録される未識別の悪性ドメインも同時に検知することが可能となるので、より効果的な検知が可能となる。また、このように検知(特定)した悪性ネームサーバ、悪性ドメインなどの攻撃インフラをテイクダウンすることで、サイバー攻撃に対して根本的な防御を行うことができる。
(実施形態について)
図1は、実施形態にかかる情報処理装置の機能構成例を示すブロック図である。実施形態にかかる情報処理装置1は、例えば、PC(パーソナルコンピュータ)などのコンピュータである。
図1は、実施形態にかかる情報処理装置の機能構成例を示すブロック図である。実施形態にかかる情報処理装置1は、例えば、PC(パーソナルコンピュータ)などのコンピュータである。
図1に示すように、情報処理装置1は、分析部10と、記憶部20と、検知部30と、通信制御部40とを有する。
分析部10は、レピュテーションサイトなどからダウンロードした、サイバー攻撃で組織的に運用されているドメイン(悪性ドメイン)に関する悪性ドメインリスト11を入力として取得する。この悪性ドメインリスト11は、例えば、攻撃元に関する悪性ドメインについてのドメイン情報(例えば、「xxx.xxx.com」、「yyy.yyyy.org」などの悪性ドメインに関するドメイン名)を列挙したリストであり、「サイバー攻撃情報に含まれるドメイン情報」の一例である。
分析部10は、例えばレピュテーションサイトなどからダウンロードや、ユーザによるファイル入力などにより、悪性ドメインリスト11を取得する。すなわち、分析部10は、取得部の一例である。
また、分析部10は、取得した悪性ドメインリスト11のドメイン情報に対応するレコード情報をPassive DNS2より収集(取得)するネームサーバ情報収集処理(S1)を行う。
なお、Passive DNS2では、ゾーンファイル転送ではなく、ドメイン情報とIPアドレスとの対応付けを管理するDNS3などの権威DNSサーバが返すDNSパケットをキャプチャする。次いで、Passive DNS2では、resource recordを抽出するのが基本的な考え方である。すなわち、Passive DNS2は、DNS3の通信をモニタリング(監視)し、ドメイン情報とIPアドレスとの対応付けに関するDNS3の回答履歴を管理する、第2の管理サーバの一例である。また、DNS3は、第1の管理サーバの一例である。
図2は、ネームサーバ情報収集処理の一例を示すフローチャートである。図2に示すように、ネームサーバ情報収集処理(S1)が開始されると、分析部10は、入力された悪性ドメインリスト11に対して、Passive DNS2が提供するサービスを利用して悪性ドメインリスト11のドメイン情報に該当するレコードを収集する(S11)。
Passive DNS2に関する著名なサービスとしては、Farsight Security社のDNSDBなどが挙げられる。分析部10は、例えば、DNSDBを利用するために提供されたAPI(Application Programming Interface)を用いてドメイン情報に該当するレコードを収集する。
次いで、分析部10は、収集したレコードの中の、NSレコードからネームサーバを抽出し、抽出したネームサーバを、悪性ドメインに対するネームサーバのデータ(悪性ドメイン−ネームサーバ情報)として格納する(S12)。
DNS3からの応答(回答)には、例えば「malicious.com IN NS ns1.malicious.com」などの、「malicious.com」とするドメイン情報に関するNSレコードが含まれている。このNSレコードより、分析部10は、悪性ドメインに対するネームサーバ「ns1.malicious.com」を抽出する。
図3は、悪性ドメイン−ネームサーバ情報の一例を示す説明図である。図3の上段に示すように、分析部10は、NSレコードより抽出した悪性ドメインに対するネームサーバの情報を悪性ドメイン−ネームサーバ情報D1として格納する。例えば、分析部10は、上記のNSレコードの場合、「悪性ドメイン」の列に「malicious.com」を、「ネームサーバ」の列に「ns1.malicious.com」を格納する。
図3の下段は、ネームサーバの情報を一通り抽出して格納した悪性ドメイン−ネームサーバ情報D1を例示している。下段の悪性ドメイン−ネームサーバ情報D1における「malicious.com」のように1つのドメインに複数のネームサーバが登録されている場合、分析部10は、全てのネームサーバを「malicious.com」に関連付けて格納する。
図2に戻り、S12に次いで、分析部10は、悪性ドメインとネームサーバに関する悪性ドメイン−ネームサーバ情報D1を格納した後、重複を除いたネームサーバのリストであるネームサーバ情報13を作成する(S13)。
図4は、ネームサーバ情報13の一例を示す説明図である。図4の上段に示すように、分析部10は、悪性ドメイン−ネームサーバ情報D1のネームサーバを参照し、ネームサーバ情報13の「ネームサーバ」の列に個別のネームサーバを格納していくことで、重複を除いたネームサーバのリストを作成する。
図2に戻り、S13に次いで、分析部10は、作成したネームサーバのリストに基づき、再度Passive DNS2のサービスを利用してネームサーバに対するレコードを収集する(S14)。次いで、分析部10は、収集したレコードよりネームサーバのIPアドレスを抽出し、抽出したIPアドレスをデータ(ネームサーバ情報13の「IPアドレス」の列)に格納する(S15)。
具体的には、分析部10は、収集したレコードの中の、AレコードからネームサーバのIPアドレスを抽出する。例えば、分析部10は、「ns1.malicious.com IN A a.a.a.a」のAレコードからネームサーバ「ns1.malicious.com」のIPアドレス「a.a.a.a」を抽出する。次いで、分析部10は、図4の下段に示すように、ネームサーバ情報13において、「ネームサーバ」が「ns1.malicious.com」の行の「IPアドレス」に「a.a.a.a」を格納する。
なお、分析部10は、特定のネームサーバに複数のIPアドレスが対応づいている場合(図示例の「ns1.malicious.com」)、対応付いている全てのIPアドレス(図示例の「a.a.a.a」、「b.b.b.b」、…)を抽出して格納する。
図1に戻り、分析部10は、Passive DNS2より収集したレコード情報(ネームサーバ情報13)をもとに、レコード情報を分析して悪性ネームサーバを得る悪性ネームサーバ分析処理(S2)を行う。
具体的には、分析部10は、Passive DNS2より収集したレコード情報を悪性ネームサーバ設定値、再利用IP設定値などの設定情報12をもとに分析し、繰り返し用いられているIPアドレス(再利用IPアドレス)と、再利用IPアドレスに関連する悪性ネームサーバとを特定する。次いで、分析部10は、特定した再利用IPアドレスを列挙した再利用IPリスト情報22と、悪性ネームサーバを列挙した悪性ネームサーバリスト情報21とを出力する。出力した悪性ネームサーバリスト情報21および再利用IPリスト情報22については、記憶部20に格納される。
すなわち、分析部10は、特定部および出力部の一例である。また、悪性ネームサーバリスト情報21および再利用IPリスト情報22は、第1のリスト情報の一例である。
図5は、悪性ネームサーバ分析処理の一例を示すフローチャートである。図5に示すように、処理が開始されると、分析部10は、設定情報12として入力した悪性ネームサーバ設定値を悪性ネームサーバ閾値に、再利用IP設定値を再利用IP閾値にセットする(S21)。
悪性ネームサーバ設定値、再利用IP設定値は、悪性ネームサーバ、再利用IPアドレスの分析に関してユーザなどにより予め設定される設定値(閾値)である。ユーザは、これらの設定値を適宜設定することで、悪性ネームサーバや再利用IPアドレスの分析条件を調整することができる。
次いで、分析部10は、ネームサーバ情報13を参照し、悪性ネームサーバ閾値以上のIPアドレスと関連しているネームサーバを複数IP悪性ネームサーバとして抽出する(S22)。次いで、分析部10は、S22において抽出した情報を悪性ネームサーバリスト情報21に格納する。
具体的には、分析部10は、ネームサーバ情報13における「ネームサーバ」と、「IPアドレス」のデータを利用し(図4の下段参照)、各ネームサーバに関連しているIPアドレスの数をカウントする。次いで、分析部10は、カウントしたIPアドレスの数が悪性ネームサーバ閾値以上のネームサーバの情報を抽出する。
例えば、図4の下段のネームサーバ情報13の例において、悪性ネームサーバ閾値を「3」と設定した場合、分析部10は、「ns1.malicious.com」を悪性ネームサーバと判定する。次いで、分析部10は、悪性ネームサーバと判定した「ns1.malicious.com」とともに、「ns1.malicious.com」に対応付いた「a.a.a.a」、「b.b.b.b」、…のIPアドレス群をネームサーバ情報13より抽出する。
図6は、悪性ネームサーバリスト情報21の一例を示す説明図である。図6に示すように、分析部10は、抽出した「ns1.malicious.com」と、「ns1.malicious.com」に対応付いた「a.a.a.a」、「b.b.b.b」、…のIPアドレス群とを悪性ネームサーバリスト情報21の「悪性ネームサーバ」、「IP アドレス」の列に格納する。
なお、図4の下段のネームサーバ情報13の例において、悪性ネームサーバ閾値を「3」と設定した場合、分析部10は、「ns1.bad.com」を「c.c.c.c」というIPアドレスとしか関連していないので悪性ネームサーバと判定しない。したがって、「ns1.bad.com」と、「ns1.bad.com」に対応付いた「c.c.c.c」とは、悪性ネームサーバリスト情報21に格納されない。分析部10は、上記の処理をネームサーバ情報13に含まれるすべてのネームサーバに対して実施する。
図5に戻り、S22に次いで、分析部10は、悪性ネームサーバリスト情報21を参照し、再利用IP閾値以上の複数IP悪性ネームサーバと関連したIPアドレスを再利用悪性IPとして抽出する(S23)。次いで、分析部10は、S23において抽出した情報を再利用IPリスト情報22に格納する。
具体的には、分析部10は、悪性ネームサーバリスト情報21を利用し、「IPアドレス」の列のIPアドレスに対して、どの悪性ネームサーバと関連したかを検索する。次いで、分析部10は、この検索の結果、再利用IP閾値以上の悪性ネームサーバと関連している場合に、そのIPアドレスを再利用悪性IPと判定する。次いで、分析部10は、再利用悪性IPと判定したIPアドレスと、そのIPアドレスに関連した悪性ネームサーバとを悪性ネームサーバリスト情報21より抽出する。
図7は、再利用IPリスト情報22の一例を示す説明図である。図7に示すように、分析部10は、S23において抽出したIPアドレスと、そのIPアドレスに関連した悪性ネームサーバとを、「再利用IP」と「悪性ネームサーバ」の列に格納する。
例えば、再利用IP閾値を4とし、「a.a.a.a」のIPアドレスが「ns1.malicious.com」「ns2.malicious.com」「ns1.bad.com」…といった4つ以上の悪性ネームサーバによって再利用されている(悪性ネームサーバと関連している)場合、分析部10は、その「a.a.a.a」を再利用悪性IPと判定する。
次いで、分析部10は、図7に示すように、再利用悪性IPと判定した「a.a.a.a」と、「a.a.a.a」に関連した「ns1.malicious.com」「ns2.malicious.com」「ns1.bad.com」…の悪性ネームサーバとを再利用IPリスト情報22に格納する。
図1に戻り、記憶部20は、メモリなどの記憶装置であり、悪性ネームサーバリスト情報21および再利用IPリスト情報22を格納する。
検知部30は、記憶部20に格納された悪性ネームサーバリスト情報21、再利用IPリスト情報22と、入力ドメインリスト31とを入力として、入力ドメインリスト31のネームサーバが悪性ドメインであるものを検知する悪性通信検知処理(S3)を行う。
具体的には、検知部30は、入力ドメインリスト31に含まれるドメインのうち、ドメインのネームサーバまたはドメインに関連するIPアドレスが悪性ネームサーバリスト情報21または再利用IPリスト情報22に該当するドメインを悪性ドメインとして検出する。次いで、検知部30は、入力ドメインリスト31より検出した悪性ドメインを列挙した悪性ドメイン検出リスト33と、悪性ドメインのネームサーバを列挙した悪性ネームサーバ検出リスト32とを出力する。すなわち、悪性ドメイン検出リスト33および悪性ネームサーバ検出リスト32は、第2のリスト情報の一例である。
図8は、悪性通信検知処理の一例を示すフローチャートである。図8に示すように、処理が開始されると、検知部30は、入力ドメインリスト31から未選択のドメインを1つ選択する(S31)。
次いで、検知部30は、DNS3にクエリを出して、選択したドメインのネームサーバ(NSレコード)と、(さらにネームサーバ自体もクエリを出して)ネームサーバのIP(Aレコード)とを取得する(S32)。
次いで、検知部30は、選択したドメインのネームサーバについて、悪性ネームサーバリスト情報21に該当するネームサーバが存在するか否かを判定することで、ネームサーバが悪性サーバか否かを判定する(S33)。
悪性ネームサーバリスト情報21に該当するネームサーバが存在する場合(S33:Yes)、検知部30は、選択したドメインを悪性ドメイン検出リスト33に登録し(S34)、S37へ処理を進める。
悪性ネームサーバリスト情報21に該当するネームサーバが存在しない場合(S33:No)、検知部30は、選択したドメインのネームサーバのIPについて、再利用IPリスト情報22に該当するIPアドレスが存在するか否かを判定することで、選択したドメインに関するIPが再利用悪性IPか否かを判定する(S35)。
再利用IPリスト情報22に該当するIPアドレスが存在する場合(S35:Yes)、検知部30は、選択したドメインを悪性ドメイン検出リスト33に登録し、選択したドメインのネームサーバも悪性ネームサーバと識別して悪性ネームサーバ検出リスト32へ登録し(S36)、S37へ処理を進める。再利用IPリスト情報22に該当するIPアドレスが存在しない場合(S35:No)、検知部30は、S36をスキップしてS37へ処理を進める。
次いで、検知部30は、入力ドメインリスト31において未選択のドメインが存在するか否かを判定し(S37)、存在する場合(S37:Yes)はS31へ処理を戻す。未選択のドメインが存在しない場合(S37:No)、検知部30は、悪性ネームサーバ検出リスト32および悪性ドメイン検出リスト33の処理結果を出力し(S38)、処理を終了する。なお、検知部30は、悪性ネームサーバ検出リスト32をもとに、記憶部20の悪性ネームサーバリスト情報21に含まれていない悪性ネームサーバを加え、悪性ネームサーバリスト情報を更新する。
図1に戻り、通信制御部40は、通信インタフェースを介して通信される通信パケットを監視し、所定の通信パケットの通過/遮断を制御することで、通信のアクセス制御(S4)を行う処理部である。
具体的には、通信制御部40は、悪性ネームサーバ検出リスト32および悪性ドメイン検出リスト33に基づき、悪性ネームサーバ検出リスト32および悪性ドメイン検出リスト33に該当するドメインまたはネームサーバに関連するIPアドレスを通信先とするアクセス(通信パケット)を遮断する。また、通信制御部40は、悪性ネームサーバ検出リスト32および悪性ドメイン検出リスト33に該当するドメインまたはネームサーバに関連するIPアドレスを通信元とするアクセス(通信パケット)を遮断する。
以上のように、情報処理装置1は、サイバー攻撃情報に含まれるドメイン情報の悪性ドメインリスト11を取得するとともに、ドメイン情報とIPアドレスとの対応付けを管理するDNS3の通信をモニタリングしてドメイン情報とIPアドレスとの対応付けに関するDNS3の回答履歴を管理するPassive DNS2より、取得したドメイン情報に対応するレコード情報を取得する。また、情報処理装置1は、取得したドメイン情報およびレコード情報を分析して繰り返し用いられているIPアドレスと、そのIPアドレスに関連するネームサーバとを特定する。また、情報処理装置1は、特定したIPアドレスと、ネームサーバとを示す悪性ネームサーバリスト情報21、再利用IPリスト情報22を出力する。
これにより、ユーザは、攻撃者によって運用されている攻撃インフラ(悪性ネームサーバ、使い回されているIPアドレス)を容易に特定することができる。また、ユーザは、このようにして特定した攻撃インフラをテイクダウンすることで、サイバー攻撃に対処することできる。
また、情報処理装置1は、入力ドメインリスト31に含まれるドメインのうち、ドメインのネームサーバまたはドメインに関連するIPアドレスが悪性ネームサーバリスト情報21、再利用IPリスト情報22に該当するドメインと、そのドメインのネームサーバとを示す悪性ネームサーバ検出リスト32、悪性ドメイン検出リスト33を出力する。
これにより、ユーザは、入力ドメインリスト31の中から攻撃者によって運用されている悪性ドメイン、悪性ネームサーバを容易に特定することができる。また、ユーザは、このようにして特定した悪性ドメイン、悪性ネームサーバをテイクダウンすることで、サイバー攻撃に対処することできる。
また、情報処理装置1は、悪性ネームサーバ検出リスト32、悪性ドメイン検出リスト33に基づき、該当するドメインまたはネームサーバに関連するIPアドレスへのアクセス、およびIPアドレスからのアクセスを遮断する。
このように攻撃者によって運用されている悪性ドメイン、悪性ネームサーバに関連するアクセスを遮断することで、情報処理装置1は、攻撃者によって運用されている攻撃インフラへの不用意な接続を抑止することができる。
(その他)
なお、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
なお、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
また、情報処理装置1で行われる各種処理機能は、CPU(またはMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部または任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(またはMPU、MCU等のマイクロ・コンピュータ)で解析実行されるプログラム上、またはワイヤードロジックによるハードウエア上で、その全部または任意の一部を実行するようにしてもよいことは言うまでもない。また、情報処理装置1で行われる各種処理機能は、クラウドコンピューティングにより、複数のコンピュータが協働して実行してもよい。
ところで、上記の実施形態で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することで実現できる。そこで、以下では、上記の実施形態と同様の機能を有するプログラムを実行するコンピュータ(ハードウエア)の一例を説明する。図9は、実施形態にかかる情報処理装置1のハードウエア構成の一例を示すブロック図である。
図9に示すように、情報処理装置1は、各種演算処理を実行するCPU101と、データ入力を受け付ける入力装置102と、モニタ103と、スピーカ104とを有する。また、情報処理装置1は、記憶媒体からプログラム等を読み取る媒体読取装置105と、各種装置と接続するためのインタフェース装置106と、有線または無線により外部機器と通信接続するための通信装置107とを有する。また、情報処理装置1は、各種情報を一時記憶するRAM108と、ハードディスク装置109とを有する。また、情報処理装置1内の各部(101〜109)は、バス110に接続される。
ハードディスク装置109には、上記の実施形態で説明した分析部10、検知部30および通信制御部40等における各種の処理を実行するための検知プログラム111が記憶される。また、ハードディスク装置109には、検知プログラム111が参照する各種データ112が記憶される。入力装置102は、例えば、操作者から操作情報の入力を受け付ける。モニタ103は、例えば、操作者が操作する各種画面を表示する。インタフェース装置106は、例えば印刷装置等が接続される。通信装置107は、LAN(Local Area Network)等の通信ネットワークと接続され、通信ネットワークを介した外部機器との間で各種情報をやりとりする。
CPU101は、ハードディスク装置109に記憶された検知プログラム111を読み出して、RAM108に展開して実行することで、分析部10、検知部30および通信制御部40等にかかる各種の処理を行う。なお、検知プログラム111は、ハードディスク装置109に記憶されていなくてもよい。例えば、情報処理装置1が読み取り可能な記憶媒体に記憶された検知プログラム111を読み出して実行するようにしてもよい。情報処理装置1が読み取り可能な記憶媒体は、例えば、CD−ROMやDVDディスク、USB(Universal Serial Bus)メモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリ、ハードディスクドライブ等が対応する。また、公衆回線、インターネット、LAN等に接続された装置にこの検知プログラム111を記憶させておき、情報処理装置1がこれらから検知プログラム111を読み出して実行するようにしてもよい。
以上の実施形態に関し、さらに以下の付記を開示する。
(付記1)サイバー攻撃情報に含まれるドメイン情報を取得するとともに、ドメイン情報とIPアドレスとの対応付けを管理する第1の管理サーバの通信を監視することによりドメイン情報とIPアドレスとの対応付けに関する前記第1の管理サーバの回答履歴を管理する第2の管理サーバから、取得した前記ドメイン情報に対応するレコード情報を取得し、
取得した前記レコード情報を分析して繰り返し用いられているIPアドレスと、当該IPアドレスに関連するネームサーバとを特定し、
特定した前記IPアドレスと、前記ネームサーバとを示す第1のリスト情報を出力する、
処理をコンピュータに実行させることを特徴とする検知プログラム。
取得した前記レコード情報を分析して繰り返し用いられているIPアドレスと、当該IPアドレスに関連するネームサーバとを特定し、
特定した前記IPアドレスと、前記ネームサーバとを示す第1のリスト情報を出力する、
処理をコンピュータに実行させることを特徴とする検知プログラム。
(付記2)入力されたドメインリストに含まれるドメインのうち、前記ドメインのネームサーバまたは前記ドメインに関連するIPアドレスが前記第1のリスト情報に該当するドメインと、当該ドメインのネームサーバとを示す第2のリスト情報を出力する処理をさらにコンピュータに実行させる、
ことを特徴とする付記1に記載の検知プログラム。
ことを特徴とする付記1に記載の検知プログラム。
(付記3)前記第2のリスト情報に基づき、当該第2のリスト情報に該当するドメインまたはネームサーバに関連するIPアドレスへのアクセス、および前記IPアドレスからのアクセスを遮断する処理をさらにコンピュータに実行させる、
ことを特徴とする付記2に記載の検知プログラム。
ことを特徴とする付記2に記載の検知プログラム。
(付記4)サイバー攻撃情報に含まれるドメイン情報を取得するとともに、ドメイン情報とIPアドレスとの対応付けを管理する第1の管理サーバの通信を監視することによりドメイン情報とIPアドレスとの対応付けに関する前記第1の管理サーバの回答履歴を管理する第2の管理サーバから、取得した前記ドメイン情報に対応するレコード情報を取得し、
取得した前記レコード情報を分析して繰り返し用いられているIPアドレスと、当該IPアドレスに関連するネームサーバとを特定し、
特定した前記IPアドレスと、前記ネームサーバとを示す第1のリスト情報を出力する、
処理をコンピュータが実行することを特徴とする検知方法。
取得した前記レコード情報を分析して繰り返し用いられているIPアドレスと、当該IPアドレスに関連するネームサーバとを特定し、
特定した前記IPアドレスと、前記ネームサーバとを示す第1のリスト情報を出力する、
処理をコンピュータが実行することを特徴とする検知方法。
(付記5)入力されたドメインリストに含まれるドメインのうち、前記ドメインのネームサーバまたは前記ドメインに関連するIPアドレスが前記第1のリスト情報に該当するドメインと、当該ドメインのネームサーバとを示す第2のリスト情報を出力する処理をさらにコンピュータが実行する、
ことを特徴とする付記4に記載の検知方法。
ことを特徴とする付記4に記載の検知方法。
(付記6)前記第2のリスト情報に基づき、当該第2のリスト情報に該当するドメインまたはネームサーバに関連するIPアドレスへのアクセス、および前記IPアドレスからのアクセスを遮断する処理をさらにコンピュータが実行する、
ことを特徴とする付記5に記載の検知方法。
ことを特徴とする付記5に記載の検知方法。
(付記7)サイバー攻撃情報に含まれるドメイン情報を取得するとともに、ドメイン情報とIPアドレスとの対応付けを管理する第1の管理サーバの通信を監視することによりドメイン情報とIPアドレスとの対応付けに関する前記第1の管理サーバの回答履歴を管理する第2の管理サーバから、取得した前記ドメイン情報に対応するレコード情報を取得する取得部と、
取得した前記レコード情報を分析して繰り返し用いられているIPアドレスと、当該IPアドレスに関連するネームサーバとを特定する特定部と、
特定した前記IPアドレスと、前記ネームサーバとを示す第1のリスト情報を出力する出力部と、
を有することを特徴とする情報処理装置。
取得した前記レコード情報を分析して繰り返し用いられているIPアドレスと、当該IPアドレスに関連するネームサーバとを特定する特定部と、
特定した前記IPアドレスと、前記ネームサーバとを示す第1のリスト情報を出力する出力部と、
を有することを特徴とする情報処理装置。
(付記8)入力されたドメインリストに含まれるドメインのうち、前記ドメインのネームサーバまたは前記ドメインに関連するIPアドレスが前記第1のリスト情報に該当するドメインと、当該ドメインのネームサーバとを示す第2のリスト情報を出力する検知部をさらに有する、
ことを特徴とする付記7に記載の情報処理装置。
ことを特徴とする付記7に記載の情報処理装置。
(付記9)前記第2のリスト情報に基づき、当該第2のリスト情報に該当するドメインまたはネームサーバに関連するIPアドレスへのアクセス、および前記IPアドレスからのアクセスを遮断する通信制御部をさらに有する、
ことを特徴とする付記8に記載の情報処理装置。
ことを特徴とする付記8に記載の情報処理装置。
1…情報処理装置
2…Passive DNS
3…DNS
10…分析部
11…悪性ドメインリスト
12…設定情報
13…ネームサーバ情報
20…記憶部
21…悪性ネームサーバリスト情報
22…再利用IPリスト情報
30…検知部
31…入力ドメインリスト
32…悪性ネームサーバ検出リスト
33…悪性ドメイン検出リスト
40…通信制御部
D1…悪性ドメイン−ネームサーバ情報
15…バス
101…CPU
102…入力装置
103…モニタ
104…スピーカ
105…媒体読取装置
106…インタフェース装置
107…通信装置
108…RAM
109…ハードディスク装置
110…バス
111…検知プログラム
112…各種データ
2…Passive DNS
3…DNS
10…分析部
11…悪性ドメインリスト
12…設定情報
13…ネームサーバ情報
20…記憶部
21…悪性ネームサーバリスト情報
22…再利用IPリスト情報
30…検知部
31…入力ドメインリスト
32…悪性ネームサーバ検出リスト
33…悪性ドメイン検出リスト
40…通信制御部
D1…悪性ドメイン−ネームサーバ情報
15…バス
101…CPU
102…入力装置
103…モニタ
104…スピーカ
105…媒体読取装置
106…インタフェース装置
107…通信装置
108…RAM
109…ハードディスク装置
110…バス
111…検知プログラム
112…各種データ
Claims (5)
- サイバー攻撃情報に含まれるドメイン情報を取得するとともに、ドメイン情報とIPアドレスとの対応付けを管理する第1の管理サーバの通信を監視することによりドメイン情報とIPアドレスとの対応付けに関する前記第1の管理サーバの回答履歴を管理する第2の管理サーバから、取得した前記ドメイン情報に対応するレコード情報を取得し、
取得した前記レコード情報を分析して繰り返し用いられているIPアドレスと、当該IPアドレスに関連するネームサーバとを特定し、
特定した前記IPアドレスと、前記ネームサーバとを示す第1のリスト情報を出力する、
処理をコンピュータに実行させることを特徴とする検知プログラム。 - 入力されたドメインリストに含まれるドメインのうち、前記ドメインのネームサーバまたは前記ドメインに関連するIPアドレスが前記第1のリスト情報に該当するドメインと、当該ドメインのネームサーバとを示す第2のリスト情報を出力する処理をさらにコンピュータに実行させる、
ことを特徴とする請求項1に記載の検知プログラム。 - 前記第2のリスト情報に基づき、当該第2のリスト情報に該当するドメインまたはネームサーバに関連するIPアドレスへのアクセス、および前記IPアドレスからのアクセスを遮断する処理をさらにコンピュータに実行させる、
ことを特徴とする請求項2に記載の検知プログラム。 - サイバー攻撃情報に含まれるドメイン情報を取得するとともに、ドメイン情報とIPアドレスとの対応付けを管理する第1の管理サーバの通信を監視することによりドメイン情報とIPアドレスとの対応付けに関する前記第1の管理サーバの回答履歴を管理する第2の管理サーバから、取得した前記ドメイン情報に対応するレコード情報を取得し、
取得した前記レコード情報を分析して繰り返し用いられているIPアドレスと、当該IPアドレスに関連するネームサーバとを特定し、
特定した前記IPアドレスと、前記ネームサーバとを示す第1のリスト情報を出力する、
処理をコンピュータが実行することを特徴とする検知方法。 - サイバー攻撃情報に含まれるドメイン情報を取得するとともに、ドメイン情報とIPアドレスとの対応付けを管理する第1の管理サーバの通信を監視することによりドメイン情報とIPアドレスとの対応付けに関する前記第1の管理サーバの回答履歴を管理する第2の管理サーバから、取得した前記ドメイン情報に対応するレコード情報を取得する取得部と、
取得した前記レコード情報を分析して繰り返し用いられているIPアドレスと、当該IPアドレスに関連するネームサーバとを特定する特定部と、
特定した前記IPアドレスと、前記ネームサーバとを示す第1のリスト情報を出力する出力部と、
を有することを特徴とする情報処理装置。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020000363A JP2021111802A (ja) | 2020-01-06 | 2020-01-06 | 検知プログラム、検知方法および情報処理装置 |
GB2020145.5A GB2591016A (en) | 2020-01-06 | 2020-12-18 | Detection program, detection method, and information processing device |
US17/129,323 US11652836B2 (en) | 2020-01-06 | 2020-12-21 | Non-transitory computer-readable storage medium, detection method, and information processing device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020000363A JP2021111802A (ja) | 2020-01-06 | 2020-01-06 | 検知プログラム、検知方法および情報処理装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2021111802A true JP2021111802A (ja) | 2021-08-02 |
Family
ID=74221405
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020000363A Pending JP2021111802A (ja) | 2020-01-06 | 2020-01-06 | 検知プログラム、検知方法および情報処理装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11652836B2 (ja) |
JP (1) | JP2021111802A (ja) |
GB (1) | GB2591016A (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11689546B2 (en) * | 2021-09-28 | 2023-06-27 | Cyberark Software Ltd. | Improving network security through real-time analysis of character similarities |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7734745B2 (en) * | 2002-10-24 | 2010-06-08 | International Business Machines Corporation | Method and apparatus for maintaining internet domain name data |
JP4856111B2 (ja) | 2008-03-03 | 2012-01-18 | 株式会社Kddi研究所 | 通信装置、プログラム、および記録媒体 |
US8260914B1 (en) * | 2010-06-22 | 2012-09-04 | Narus, Inc. | Detecting DNS fast-flux anomalies |
US8661544B2 (en) * | 2010-08-31 | 2014-02-25 | Cisco Technology, Inc. | Detecting botnets |
US20160080319A1 (en) * | 2011-04-01 | 2016-03-17 | Robert Steele | System to identify a computer on a network |
KR101767589B1 (ko) * | 2015-10-20 | 2017-08-11 | 에스케이플래닛 주식회사 | 악성코드 점검을 위한 웹주소 자동 추출 시스템 및 방법 |
US10805198B2 (en) * | 2016-01-04 | 2020-10-13 | RiskIQ, Inc. | Techniques for infrastructure analysis of internet-based activity |
JP6669679B2 (ja) | 2017-01-23 | 2020-03-18 | 日本電信電話株式会社 | 分類装置、分類方法及び分類プログラム |
CN110431817B (zh) * | 2017-03-10 | 2022-05-03 | 维萨国际服务协会 | 识别恶意网络设备 |
CN108282786B (zh) * | 2018-04-13 | 2020-10-16 | 上海连尚网络科技有限公司 | 一种用于检测无线局域网中dns欺骗攻击的方法与设备 |
-
2020
- 2020-01-06 JP JP2020000363A patent/JP2021111802A/ja active Pending
- 2020-12-18 GB GB2020145.5A patent/GB2591016A/en active Pending
- 2020-12-21 US US17/129,323 patent/US11652836B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20210211448A1 (en) | 2021-07-08 |
GB202020145D0 (en) | 2021-02-03 |
US11652836B2 (en) | 2023-05-16 |
GB2591016A (en) | 2021-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11444786B2 (en) | Systems and methods for digital certificate security | |
US9807110B2 (en) | Method and system for detecting algorithm-generated domains | |
JP6408395B2 (ja) | ブラックリストの管理方法 | |
Kuyama et al. | Method for detecting a malicious domain by using whois and dns features | |
JP6058246B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
US10091225B2 (en) | Network monitoring method and network monitoring device | |
WO2018163464A1 (ja) | 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム | |
Sochor et al. | Attractiveness study of honeypots and honeynets in internet threat detection | |
WO2018066221A1 (ja) | 分類装置、分類方法及び分類プログラム | |
JP6977625B2 (ja) | 評価プログラム、評価方法および評価装置 | |
JP2011193343A (ja) | 通信ネットワーク監視システム | |
US10735457B2 (en) | Intrusion investigation | |
TW202145760A (zh) | 域名系統中惡意域名的偵測方法與偵測裝置 | |
CN110768949A (zh) | 探测漏洞的方法及装置、存储介质、电子装置 | |
WO2019123757A1 (ja) | 分類装置、分類方法、および、分類プログラム | |
JP2021111802A (ja) | 検知プログラム、検知方法および情報処理装置 | |
JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
JP6984754B2 (ja) | サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置 | |
JP2018005282A (ja) | 管理装置及び管理方法 | |
JP5639535B2 (ja) | 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム | |
Vishnu et al. | Identifying key strategies for reconnaissance in cybersecurity | |
US20220038499A1 (en) | Bespoke honeypot (chimaera) for network security | |
CN115883258B (zh) | Ip信息处理方法、装置、电子设备和存储介质 | |
EP4287044A1 (en) | Computer-readable recording medium storing domain detection program, domain detection method, and information processing device | |
JP2017168146A (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220908 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230714 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230822 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20240305 |