JP5116578B2 - 情報処理装置、情報処理システム、プログラム、および記録媒体 - Google Patents

情報処理装置、情報処理システム、プログラム、および記録媒体 Download PDF

Info

Publication number
JP5116578B2
JP5116578B2 JP2008165748A JP2008165748A JP5116578B2 JP 5116578 B2 JP5116578 B2 JP 5116578B2 JP 2008165748 A JP2008165748 A JP 2008165748A JP 2008165748 A JP2008165748 A JP 2008165748A JP 5116578 B2 JP5116578 B2 JP 5116578B2
Authority
JP
Japan
Prior art keywords
communication
port number
communication history
history
communication process
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008165748A
Other languages
English (en)
Other versions
JP2010009186A (ja
Inventor
敬祐 竹森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI R&D Laboratories Inc
Original Assignee
KDDI R&D Laboratories Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI R&D Laboratories Inc filed Critical KDDI R&D Laboratories Inc
Priority to JP2008165748A priority Critical patent/JP5116578B2/ja
Publication of JP2010009186A publication Critical patent/JP2010009186A/ja
Application granted granted Critical
Publication of JP5116578B2 publication Critical patent/JP5116578B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Description

本発明は、通信に係る情報を処理する情報処理装置および情報処理システムに関する。また、本発明は、情報処理装置としてコンピュータを機能させるためのプログラム、およびそのプログラムを記録した記録媒体にも関する。
近年、ウィルスに感染したコンピュータに悪質な動作を実行させる、ボットと呼ばれるウィルスによる被害が拡大している。ボットは、外部の指令サーバに通信セッションを確立して新たなコードをダウンロードする機能や、攻撃のための指令を受ける機能、指令に従って攻撃する機能などを持つ悪意のコードで構成されている。ボットに感染して加害者として攻撃を行うことになった加害者装置や上記の指令サーバを撲滅することは重要であり、被害者装置から通信経路を辿って攻撃元を追跡するIPトレースバック技術が注目されている。
IPトレースバックとは、送信元のIPアドレスを詐称して行う攻撃を、パケット中のIPレイヤの情報を用いて追跡する手法である。IPトレースバックの代表的な方式として、通過するパケットのハッシュ値を通信経路上の専用の装置で保存しておき、被害者側に届いた攻撃パケットのハッシュ値を、装置に残された情報から追跡するハッシュ方式がある(非特許文献1,2参照)。
この他、ルータを通過するパケットをサンプリングして、パケット情報とルータ情報をICMPパケットに載せて、Destination IP(被害者のIPアドレス)へ送付するICMP方式がある(非特許文献3参照)。また、通過するパケットをサンプリングして、ルーティングに影響のないヘッダ領域にルータ情報を書き込むパケットマーキング方式もあり、被害者側でマーキング情報を組み立てることで、通信経路を追跡することができる(非特許文献4参照)。
Strayer, W. T. Jones, C. E. Tchakountio, F. Snoeren, A. C. Schwartz, B. Clements, R. C. Condell, M. Partridge, "Traceback of single IP packets using SPIE, " DARPA Information Survivability Conference and Exposition, Proceedings, Vol. 2, pp. 266-270, April 2003. A. C. Snoeren, C. Partridge, L. A. Sanchez, C. E. Jones, F. Tchakountio, S. T. Kent, and W. T. Strayer"Hash-Based IP Traceback,"Proceeding or SIGCOMM ’01, August 2001. Steven Bellovin, and Marcus Leech, Tom Taylor, "ICMP Traceback Messages," IETF, Internet Draft, draft-ietf-itrace-04.txt, Aug. 2003. D. Song and A Perrig, "Advanced and Authenticated Marking Schemes for IP Traceback," Proc. of IEEE Inforcom, April, 2001.
図5は、ボットによる通信のモデルを示している。ボットによる通信には、攻撃を行う加害者PC(Personal Computer)500,501と、攻撃を受ける被害者PC510,511,512,513と、攻撃コード(実行ファイル)の配信や攻撃指示を行う指令サーバ520,521とが関係している。外部の加害者PC500は、ボットをダウンロードする初期コードを加害者PC501に埋め込む。加害者PC501は、この初期コードに従って指令サーバ520から新たなコードを受信する。さらに、加害者PC501は、指令サーバ521から指令を受け取り、被害者PCに対して各種攻撃を行う。
本発明者らは、通信プロセスと通信の宛先をモニタするツールを実装し、加害者PCの通信挙動をモニタした。図6はこの様子を示している。加害者PCは初期のコード“^21.tmp.exe”を起動すると、新たにコード“nbin.exe”を取得した(時刻14:06:51)。この53秒後、加害者PCはコード“nbin.exe”により外部サーバとの通信を開始してコード“EventLogger.exe”を取得した(時刻14:07:44)。また、90秒後には加害者PCはコード“EventLogger.exe”により新たな通信を開始した(時刻14:08:21)。上記の3種類のコードによる通信が指令サーバとの通信である。
上記のようにボットに感染した加害者PCが指令サーバと行う通信と、加害者PCが被害者PCと行う攻撃のための通信は別個の通信であり、通信に使用するパケットも異なる。このため、従来のIPトレースバック方式では、被害者PCに到着したパケットの情報に基づいて被害者PCから加害者PCまでの通信を追跡することはできるが、被害者PCに到着したパケットとは異なるパケットを用いている指令サーバまでの通信を追跡することはできなかった。
本発明は、上述した課題に鑑みてなされたものであって、ボットに感染した装置が指令サーバと行う通信を検出することができる情報処理装置、情報処理システム、プログラム、および記録媒体を提供することを目的とする。
本発明は、上記の課題を解決するためになされたもので、既知の正常な通信を実行したときに起動した通信プロセスと、攻撃パケットの送信に利用されるポート番号とを記憶する既知情報記憶手段と、監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、前記通信履歴に含まれる通信プロセスが、前記既知情報記憶手段が記憶する通信プロセスと一致するか否かを判定する通信プロセス判定手段と、前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、前記通信履歴の中から、前記通信プロセス判定手段による判定の結果、前記既知情報記憶手段が記憶する通信プロセスと一致しないと判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する抽出手段とを備えたことを特徴とする情報処理装置である。
既知の正常な通信とは、ボットに感染していないことが保証されている装置が行う通信である。通信履歴に含まれる通信プロセスが、既知の正常な通信を実行したときに起動した通信プロセスと一致した場合、当該通信プロセスによる通信は正常な通信であると判定することができる。これに対して、通信履歴に含まれる通信プロセスが、既知の正常な通信を実行したときに起動した通信プロセスと一致しなかった場合、当該通信プロセスによる通信は指令サーバとの通信である可能性がある。
しかし、当該通信の中には、被害者の装置を宛先とし、攻撃パケットの送信に利用した通信が含まれている可能性がある。そこで、攻撃パケットの送信に利用されることが既知であるポート番号を用いた判定を行うことにより、被害者の装置を宛先とする通信を除外することが可能となる。すなわち、通信履歴に含まれるポート番号が、攻撃パケットの送信に利用されるポート番号と一致した場合、当該ポート番号を利用した通信は、攻撃パケットの送信に利用した通信であると判定することができる。また、通信履歴に含まれるポート番号が、攻撃パケットの送信に利用されるポート番号と一致しなかった場合、当該ポート番号を利用した通信は指令サーバとの通信である可能性がある。
したがって、通信プロセスに関する判定と、通信に利用したポート番号に関する判定とを組み合わせることによって、既知の正常な通信と、攻撃パケットの送信に利用した通信とを除外し、指令サーバとの通信を検出することができる。
また、本発明の情報処理装置において、前記通信履歴はさらに、監視対象となった通信を実行したときに起動した通信プロセスによる通信の宛先の識別情報を含み、攻撃パケットを受信した装置の識別情報を含むメッセージを他の装置から受信する受信手段と、前記通信履歴に含まれる識別情報が、前記メッセージに含まれる識別情報と一致するか否かを判定する識別情報判定手段とをさらに備え、前記抽出手段は、前記識別情報判定手段による判定の結果、前記メッセージに含まれる識別情報と一致する識別情報が前記通信履歴に含まれる場合に前記通信履歴の抽出を行うことを特徴とする。
本発明では、指令サーバから指令を受けて被害者の装置へ攻撃パケットを送信した加害者の装置の通信履歴を処理対象とすることが特に効果的である。加害者の装置の通信履歴には、被害者の装置へ攻撃パケットを送信した通信に係る通信履歴が含まれている。したがって、攻撃パケットを受信した装置の識別情報と一致する識別情報が通信履歴に含まれる場合に通信履歴の抽出を行うことによって、指令サーバとの通信の検出精度を向上することができる。
また、本発明は、上記の情報処理装置としてコンピュータを機能させるためのプログラムである。
また、本発明は、上記のプログラムを格納したコンピュータ読み取り可能な記録媒体である。
また、本発明は、第1の情報処理装置および第2の情報処理装置を備えた情報処理システムであって、前記第1の情報処理装置は、既知の正常な通信を実行したときに起動した通信プロセスと、攻撃パケットの送信に利用されるポート番号とを記憶する既知情報記憶手段と、監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信の宛先の識別情報と、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、前記通信履歴に含まれる通信プロセスが、前記既知情報記憶手段が記憶する通信プロセスと一致するか否かを判定する通信プロセス判定手段と、前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、前記通信履歴の中から、前記通信プロセス判定手段による判定の結果、前記既知情報記憶手段が記憶する通信プロセスと一致しないと判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する第1の抽出手段と、前記第1の抽出手段が抽出した前記通信履歴を前記第2の情報処理装置へ送信する送信手段とを備え、前記第2の情報処理装置は、複数の前記第1の情報処理装置から前記通信履歴を受信する受信手段と、前記受信手段が受信した前記通信履歴の中から、共通の識別情報を有する前記通信履歴を抽出する第2の抽出手段とを備えたことを特徴とする情報処理システムである。
ボットでは、加害者として機能する複数の装置が同一の指令サーバと通信を行う特徴がある。この特徴を利用して、複数の第1の通信装置で抽出した通信履歴の中から共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信の検出精度を向上することができる。
本発明によれば、ボットに感染した装置が指令サーバと行う通信を検出することができるという効果が得られる。
以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態による情報処理システムの構成を示している。本情報処理システムは、ボットによる被害者または加害者となる端末装置1(例えばPC)と、端末装置1から受信する通信履歴に基づいて通信の解析を行うサーバ2とを備えている。本情報処理システムでは複数台の端末装置1が存在しているが、図1では1台のみを図示し、他の端末装置1の図示を省略している。
以下、端末装置1が備える構成およびその動作を説明する。端末装置1は、既知情報記憶部100、通信監視部101、通信履歴記憶部102、被害報告部103、被害情報受信部104、被害情報記憶部105、加害者判定部106、通信解析部107、および通信履歴報告部108を備えている。端末装置1は被害者にも加害者にもなり得ることから、端末装置1は、被害者としての処理構成(被害報告部103)と、加害者としての処理構成(既知情報記憶部100、通信解析部107、通信履歴報告部108)との両方を備えている。既知情報記憶部100、通信履歴記憶部102、および被害情報記憶部105は、異なる記録媒体で構成されていてもよいし、同一の記録媒体上の異なる記憶領域で構成されていてもよい。
既知情報記憶部100は、予め得られている既知情報を記憶する。サーバ2などの他の装置から既知情報を受信することによって端末装置1が既知情報を取得してもよいし、既知情報が格納された記録媒体から既知情報を読み出すことによって端末装置1が既知情報を取得してもよい。既知情報の詳細については後述する。
通信監視部101は、端末装置1が他の装置と行う通信を監視し、通信結果を通信履歴として通信履歴記憶部102に格納する。通信監視部101の機能は、例えばMicrosoft(登録商標)社から提供されているPort Reporterというツールにより実現することが可能である。あるいは、Windows(登録商標) XP標準のIPHLPAPI.DLLで、TCPについてはAllocateAndGetTcpExTableFromStack()、UDPについてはUDP:AllocateAndGetUdpExTableFromStack()というAPIを100msec程度の周期で呼び出すことによっても、通信監視部101の機能を実現することが可能である。
通信履歴記憶部102は通信履歴を記憶する。この通信履歴には、監視対象となった通信の宛先を識別する識別情報と、監視対象となった通信を実行したときに起動した通信プロセスを識別する情報(本実施形態では通信プロセス名)と、監視対象となった通信が利用したポート番号と、監視対象となった通信を行った時刻(通信時刻)とが含まれる。識別情報は、IPアドレスまたはドメイン名、もしくはその両方であり、ドメイン名はFQDN(Fully Qualified Domain Name)であってもよい。以下に登場する他の識別情報についても同様である。識別情報を構成するIPアドレスとドメイン名とを関連付けるには、通信時にDNSサーバに名前解決を依頼した後、DNSサーバから返信されるパケットにIPアドレスとドメイン名の両者が含まれていることを利用すればよい。
被害報告部103は、端末装置1がボットによる攻撃パケットを受信し被害者となった場合に、攻撃パケットの受信に係る通信履歴を含むメッセージをサーバ2へ送信することによって、サーバ2に被害を報告する。サーバ2へ送信する通信履歴には、端末装置1の識別情報と攻撃パケットの受信時刻(攻撃時刻とする)が含まれる。この通信履歴を含むメッセージの送信は、例えば攻撃を受けたことを認識したユーザが端末装置1に入力した指示に基づいて行われる。
ボットによる攻撃に関する通信履歴を各端末装置1から受信したサーバ2は、各端末装置1の通信履歴を統合した被害情報を生成し、被害情報を含むメッセージを端末装置1へ送信する。この被害情報には、攻撃パケットを受信した端末装置1の識別情報と攻撃時刻(あるいは攻撃時刻を含む時間範囲でもよい)が含まれている。被害情報受信部104は、被害情報を含むサーバ2からのメッセージを受信し、メッセージに含まれる被害情報を被害情報記憶部105に格納する。被害情報記憶部105は被害情報を記憶する。
加害者判定部106は、端末装置1が加害者であるか否かを判定する。この判定には、被害情報記憶部105が記憶する被害情報に含まれる識別情報および攻撃時刻と、通信履歴記憶部102が記憶する通信履歴に含まれる識別情報および通信時刻とが用いられる。具体的には、加害者判定部106は、まず被害情報記憶部105から被害情報を読み出すと共に、通信履歴記憶部102から通信履歴を読み出す。続いて、加害者判定部106は、被害情報に含まれる攻撃時刻と、通信履歴に含まれる通信時刻とを比較し、攻撃時刻を基準とする前後の所定時間以内の通信時刻を含む通信履歴を以降の処理対象とする。
続いて、加害者判定部106は、被害情報に含まれる識別情報(攻撃パケットを受信した端末装置1の識別情報)と、通信履歴に含まれる識別情報(通信の宛先の装置の識別情報)とが一致するか否かを判定する。被害情報に含まれる識別情報が、通信履歴に含まれるいずれかの識別情報と一致した場合、自身の端末装置1が加害者であると判断することが可能である。また、被害情報に含まれる識別情報が、通信履歴に含まれるどの識別情報とも一致しなかった場合、自身の端末装置1が加害者ではないと判断することが可能である。
続いて、加害者判定部106は判定結果を通信解析部107に通知する。本実施形態では、端末装置1が加害者であると判断された場合に通信解析部107は以降の処理を行い、端末装置1が加害者ではないと判断された場合に通信解析部107は以降の処理を行わない。
通信解析部107は、既知情報記憶部100が記憶する既知情報と、通信履歴記憶部102が記憶する通信履歴とに基づいて、端末装置1が行った通信を解析し、指令サーバとの通信に係る通信履歴を抽出する。通信解析部107のより具体的な動作については後述する。通信履歴報告部108は、通信解析部107が抽出した通信履歴を含むメッセージをサーバ2へ送信する。
次に、サーバ2が備える構成およびその動作を説明する。サーバ2は、被害情報受信部200、被害情報記憶部201、被害情報配信部202、通信履歴受信部203、通信履歴記憶部204、および通信解析部205を備えている。被害情報記憶部201と通信履歴記憶部204は、異なる記録媒体で構成されていてもよいし、同一の記録媒体上の異なる記憶領域で構成されていてもよい。
被害情報受信部200は、各端末装置1から送信された、被害情報を含むメッセージを受信し、メッセージに含まれる各被害情報を統合して被害情報記憶部201に格納する。被害情報記憶部201は被害情報を記憶する。被害情報配信部202は、被害情報記憶部201から被害情報を読み出し、被害情報を含むメッセージを端末装置1へ送信することによって、被害情報を各端末装置1に配信する。
通信履歴受信部203は、端末装置1から送信された、通信履歴を含むメッセージを受信し、メッセージに含まれる通信履歴を通信履歴記憶部204に格納する。通信履歴記憶部204は通信履歴を記憶する。通信解析部205は、通信履歴記憶部204が記憶する通信履歴に基づいて、各端末装置1が行った通信を解析する。通信解析部205のより具体的な動作については後述する。
次に、端末装置1が備える通信解析部107のより具体的な構成および動作を説明する。図2は通信解析部107の構成を示している。通信解析部107は、通信プロセス判定部107a、ポート番号判定部107b、および通信履歴抽出部107cを備えている。通信解析部107による通信の解析には、既知情報記憶部100に格納されている既知情報と、通信履歴記憶部102に格納されている通信履歴とが用いられる。
既知情報記憶部100は、通信解析部107が参照する既知情報として、ホワイトリストおよびポート番号リストを記憶する。ホワイトリストは、ボットに感染していないことが保証されている装置の通信結果から得られた、既知の正常な通信を実行したときに起動した通信プロセスに係る通信プロセス名をリスト化したものである。また、ポート番号リストは、攻撃パケットの送信に利用されるポート番号をリスト化したものである。ポート番号リストには、攻撃に頻繁に利用されるTCP-Port 25,TCP-Port 135-139,UDP-Port 53が含まれる。
通信プロセス判定部107aは、通信履歴記憶部102から通信履歴を読み出すと共に、既知情報記憶部100からホワイトリストを読み出す。続いて、通信プロセス判定部107aは、通信履歴に含まれる通信プロセス名がホワイトリスト内の通信プロセス名と一致するか否かを判定する。通信履歴に含まれる通信プロセス名がホワイトリスト内のいずれかの通信プロセス名と一致した場合、この通信プロセスによる通信は正常な通信であると判定することができる。これに対して、通信履歴に含まれる通信プロセス名がホワイトリスト内のどの通信プロセス名とも一致しなかった場合、この通信プロセス名による通信は指令サーバとの通信である可能性がある。したがって、通信プロセス判定部107aによる判定の結果から、指令サーバとの通信に係る通信履歴の候補を特定することが可能である。
通信プロセス判定部107aは、ホワイトリスト内のどの通信プロセス名とも一致しなかった通信プロセス名を判定結果として通信履歴抽出部107cに通知する。この通信プロセス名を含む通信履歴は、指令サーバとの通信に係る通信履歴の候補であるが、ボットは指令サーバとの通信以外に被害者への攻撃も行うため、上記の通信履歴の候補から、被害者への攻撃に係る通信履歴を除外する必要がある。ポート番号判定部107bは、このための判定を行う。
ポート番号判定部107bは、既知情報記憶部100からポート番号リストを読み出すと共に、通信履歴記憶部102から通信履歴を読み出す。続いて、ポート番号判定部107bは、通信履歴に含まれるポート番号がポート番号リスト内のポート番号と一致するか否かを判定する。通信履歴に含まれるポート番号がポート番号リスト内のいずれかのポート番号と一致した場合、このポート番号を利用した通信は、攻撃パケットの送信に利用した通信であると判定することができる。また、通信履歴に含まれるポート番号がポート番号リスト内のどのポート番号とも一致しなかった場合、このポート番号を利用した通信は指令サーバとの通信である可能性がある。したがって、ポート番号判定部107bによる判定の結果から、被害者を宛先とする通信を除外し、指令サーバとの通信に係る通信履歴の候補を特定することが可能である。ポート番号判定部107bは、ポート番号リスト内のどのポート番号とも一致しなかったポート番号を判定結果として通信履歴抽出部107cに通知する。
通信履歴抽出部107cは、通信履歴記憶部102から通信履歴を読み出し、通信プロセス判定部107aによる判定の結果と、ポート番号判定部107bによる判定の結果とに基づいて、指令サーバとの通信に係る通信履歴を抽出する。具体的には、通信履歴抽出部107cは、通信プロセス判定部107aによる判定の結果、ホワイトリスト内のどの通信プロセス名とも一致しないと判定された通信プロセス名を含み、かつポート番号判定部107bによる判定の結果、ポート番号リスト内のどのポート番号とも一致しないと判定されたポート番号を含む通信履歴を抽出する。上記のようにして抽出された通信履歴が、指令サーバとの通信に係る通信履歴として特定されたものである。また、抽出された通信履歴に含まれる識別情報が指令サーバの識別情報となる。上記の通信履歴の抽出の際に、被害情報に含まれる攻撃時刻を基準とした前後の所定時間以内の通信時刻を含む通信履歴を処理対象としてもよい。
次に、既知情報記憶部100が記憶するホワイトリストの作成方法を説明する。図3は、ホワイトリストの作成に係る端末装置の構成(通信監視部300およびホワイトリスト記憶部301)を示している。この端末装置は、ボットなどのウィルスに感染していないことが保証されているものとする。通信監視部300は、端末装置が他の装置と行う通信を長期間(例えば1週間程度)監視し、通信の実行時に起動した通信プロセスに係る通信プロセス名をホワイトリストとしてホワイトリスト記憶部301に格納する。
ホワイトリスト記憶部301はホワイトリストを記憶する。ホワイトリスト記憶部301に格納されるホワイトリストは、各種通信の実行時に起動した通信プロセスに係る通信プロセス名をリスト化したものである。この各種通信として、アプリケーションや各種ファイルの更新に係る通信や、LANおよびDNSのアドレスの通知に係る通信、Ajaxと呼ばれるWebアプリケーションがWebブラウザの起動などのユーザ操作と並行してWebサーバと行う通信などがある。
次に、サーバ2が備える通信解析部205のより具体的な動作を説明する。サーバ2の通信履歴記憶部204には、指令サーバとの通信に係る通信履歴として各端末装置1で抽出された通信履歴が格納されている。各通信履歴は、端末装置1毎に区別できるようになっている。通信解析部205は、通信履歴記憶部204から複数の端末装置1についての通信履歴を読み出し、それらに共通する識別情報があるか否かを判定する。
より具体的には、通信解析部205はまず、1つの端末装置1についての通信履歴から、互いに異なる1または複数の識別情報を抽出し、各識別情報と出現頻度のペアを記憶装置に格納する。ここで、「互いに異なる」と記載したのは、1つの端末装置1についての通信履歴が複数のレコードからなり、同一の識別情報が複数レコードに記録されている場合に、同一の識別情報を1回だけ抽出する(その結果、抽出された識別情報は全て異なる)ことを明示するためである。最初の端末装置1についての通信履歴を処理したときには各識別情報の出現頻度は1にセットされる。
続いて、通信解析部205は、他の1つの端末装置1についての通信履歴から、互いに異なる1または複数の識別情報を抽出し、記憶装置に格納されている各識別情報と比較する。通信履歴から抽出した識別情報が、記憶装置に格納されているいずれかの識別情報と一致した場合、その識別情報の出現頻度に1が加算される。また、通信履歴から抽出した識別情報が、記憶装置に格納されているどの識別情報とも一致しなかった場合、新たな識別情報と出現頻度(値は1)のペアが記憶装置に格納される。通信解析部205は、全ての端末装置1についての通信履歴を処理するまで上記の処理を繰り返す。上記の処理が終了したら、通信解析部205は記憶装置から出現頻度を読み出し、その出現頻度が所定値N(Nは2以上)以上である場合に、その出現頻度とペアになっている識別情報を記憶装置から読み出す。この識別情報は、指令サーバの識別情報として信頼度が高いものとなる。
ボットでは、加害者として機能する複数の端末装置1が同一の指令サーバと通信を行う特徴がある。したがって、複数の端末装置1で抽出した通信履歴の中から、共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信に係る通信履歴の抽出精度を高めることができる。
図4は、共通の識別情報を有する通信履歴が抽出される様子を示している。加害者となった端末装置1a,1b,1c,1dから通信履歴がサーバ2に報告される。4つの端末装置の通信履歴のうち、端末装置1b,1cからの通信履歴が、共通する識別情報を有している。この識別情報は、指令サーバの識別情報として、より信頼度が高いものとなる。通信プロセス名(図4の「nbin.exe」)も取得されている場合には、共通する通信プロセス名を有する通信履歴を抽出することによって、指令サーバとの通信に係る通信履歴の抽出精度をより高めることができる。
上述したように、本実施形態によれば、通信プロセスに関する判定と、通信に利用したポート番号に関する判定とを組み合わせることによって、既知の正常な通信と、攻撃パケットの送信に利用した通信とを除外し、指令サーバとの通信を検出することができる。
また、加害者判定部106による判定の結果、端末装置1が加害者であると判断された場合に通信履歴の抽出を行うことによって、指令サーバとの通信の検出精度を向上することができる。さらに、加害者であると判断された端末装置1が、指令サーバ2との通信に係る通信履歴のみをサーバ2に報告することによって、端末装置1の正常な通信履歴の漏洩を防止することができる。
また、複数の端末装置1で抽出した通信履歴の中から、共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信の検出精度を向上することができる。
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態による端末装置1の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
本発明の一実施形態による情報処理システムの構成を示すブロック図である。 本発明の一実施形態による端末装置が備える通信解析部の構成を示すブロック図である。 本発明の一実施形態におけるホワイトリストの作成方法を説明するためのブロック図である。 本発明の一実施形態によるサーバが備える通信解析部の動作を説明するための参考図である。 ボットによる通信のモデルを示す参考図である。 ボットによる通信をモニタした結果を示す参考図である。
符号の説明
1・・・端末装置(第1の情報処理装置)、2・・・サーバ(第2の情報処理装置)、100・・・既知情報記憶部(既知情報記憶手段)、101・・・通信監視部、102,204・・・通信履歴記憶部(通信履歴記憶手段)、103・・・被害報告部(送信手段)、104,200・・・被害情報受信部(受信手段)、105,201・・・被害情報記憶部、106・・・加害者判定部、107,205・・・通信解析部(第1の抽出手段、第2の抽出手段)、107a・・・通信プロセス判定部(通信プロセス判定手段)、107b・・・ポート番号判定部(ポート番号判定手段)、107c・・・通信履歴抽出部(抽出手段)、108・・・通信履歴報告部、202・・・被害情報配信部、203・・・通信履歴受信部(受信手段)

Claims (5)

  1. 既知の正常な通信を実行したときに起動した通信プロセスと、攻撃パケットの送信に利用されるポート番号とを記憶する既知情報記憶手段と、
    監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、
    前記通信履歴に含まれる通信プロセスが、前記既知情報記憶手段が記憶する通信プロセスと一致するか否かを判定する通信プロセス判定手段と、
    前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、
    前記通信履歴の中から、前記通信プロセス判定手段による判定の結果、前記既知情報記憶手段が記憶する通信プロセスと一致しないと判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する抽出手段と、
    を備えたことを特徴とする情報処理装置。
  2. 前記通信履歴はさらに、監視対象となった通信を実行したときに起動した通信プロセスによる通信の宛先の識別情報を含み、
    攻撃パケットを受信した装置の識別情報を含むメッセージを他の装置から受信する受信手段と、
    前記通信履歴に含まれる識別情報が、前記メッセージに含まれる識別情報と一致するか否かを判定する識別情報判定手段とをさらに備え、
    前記抽出手段は、前記識別情報判定手段による判定の結果、前記メッセージに含まれる識別情報と一致する識別情報が前記通信履歴に含まれる場合に前記通信履歴の抽出を行う
    ことを特徴とする請求項1に記載の情報処理装置。
  3. 請求項1または請求項2に記載の情報処理装置としてコンピュータを機能させるためのプログラム。
  4. 請求項3に記載のプログラムを格納したコンピュータ読み取り可能な記録媒体。
  5. 第1の情報処理装置および第2の情報処理装置を備えた情報処理システムであって、
    前記第1の情報処理装置は、
    既知の正常な通信を実行したときに起動した通信プロセスと、攻撃パケットの送信に利用されるポート番号とを記憶する既知情報記憶手段と、
    監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信の宛先の識別情報と、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、
    前記通信履歴に含まれる通信プロセスが、前記既知情報記憶手段が記憶する通信プロセスと一致するか否かを判定する通信プロセス判定手段と、
    前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、
    前記通信履歴の中から、前記通信プロセス判定手段による判定の結果、前記既知情報記憶手段が記憶する通信プロセスと一致しないと判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する第1の抽出手段と、
    前記第1の抽出手段が抽出した前記通信履歴を前記第2の情報処理装置へ送信する送信手段とを備え、
    前記第2の情報処理装置は、
    複数の前記第1の情報処理装置から前記通信履歴を受信する受信手段と、
    前記受信手段が受信した前記通信履歴の中から、共通の識別情報を有する前記通信履歴を抽出する第2の抽出手段とを備えた
    ことを特徴とする情報処理システム。
JP2008165748A 2008-06-25 2008-06-25 情報処理装置、情報処理システム、プログラム、および記録媒体 Expired - Fee Related JP5116578B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008165748A JP5116578B2 (ja) 2008-06-25 2008-06-25 情報処理装置、情報処理システム、プログラム、および記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008165748A JP5116578B2 (ja) 2008-06-25 2008-06-25 情報処理装置、情報処理システム、プログラム、および記録媒体

Publications (2)

Publication Number Publication Date
JP2010009186A JP2010009186A (ja) 2010-01-14
JP5116578B2 true JP5116578B2 (ja) 2013-01-09

Family

ID=41589631

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008165748A Expired - Fee Related JP5116578B2 (ja) 2008-06-25 2008-06-25 情報処理装置、情報処理システム、プログラム、および記録媒体

Country Status (1)

Country Link
JP (1) JP5116578B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9767280B2 (en) 2012-10-09 2017-09-19 Canon Denshi Kabushiki Kaisha Information processing apparatus, method of controlling the same, information processing system, and information processing method
JP6165469B2 (ja) * 2013-03-01 2017-07-19 キヤノン電子株式会社 情報処理装置およびその制御方法、並びに、情報処理システム
WO2016113911A1 (ja) 2015-01-16 2016-07-21 三菱電機株式会社 データ判定装置、データ判定方法及びプログラム
JP7444596B2 (ja) * 2018-12-27 2024-03-06 キヤノン電子株式会社 情報処理システム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006350561A (ja) * 2005-06-14 2006-12-28 Matsushita Electric Ind Co Ltd 攻撃検出装置
JP4159100B2 (ja) * 2006-04-06 2008-10-01 インターナショナル・ビジネス・マシーンズ・コーポレーション 情報処理装置による通信を制御する方法およびプログラム
JP2007323428A (ja) * 2006-06-01 2007-12-13 Hitachi Ltd ボット検出装置、ボット検出方法、およびプログラム

Also Published As

Publication number Publication date
JP2010009186A (ja) 2010-01-14

Similar Documents

Publication Publication Date Title
JP5119059B2 (ja) 情報処理装置、情報処理システム、プログラム、および記録媒体
Pa et al. IoTPOT: A novel honeypot for revealing current IoT threats
Goebel et al. Rishi: Identify Bot Contaminated Hosts by IRC Nickname Evaluation.
Wagner et al. Experiences with worm propagation simulations
US8561188B1 (en) Command and control channel detection with query string signature
US8566946B1 (en) Malware containment on connection
US8204984B1 (en) Systems and methods for detecting encrypted bot command and control communication channels
JP5713445B2 (ja) 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム
US7873998B1 (en) Rapidly propagating threat detection
US10218733B1 (en) System and method for detecting a malicious activity in a computing environment
Gadge et al. Port scan detection
Sieklik et al. Evaluation of TFTP DDoS amplification attack
CN110166480B (zh) 一种数据包的分析方法及装置
JP2009181335A (ja) 解析システム、解析方法および解析プログラム
JPWO2008084729A1 (ja) アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム
CN107682470B (zh) 一种检测nat地址池中公网ip可用性的方法及装置
US20190230097A1 (en) Bot Characteristic Detection Method and Apparatus
JP5389855B2 (ja) 解析システム、解析方法および解析プログラム
JP5116578B2 (ja) 情報処理装置、情報処理システム、プログラム、および記録媒体
Gorecki et al. Trumanbox: Improving dynamic malware analysis by emulating the internet
KR101072981B1 (ko) 분산 서비스 거부 공격의 방어 시스템
JP5116577B2 (ja) 情報処理装置、情報処理システム、プログラム、および記録媒体
TW201132055A (en) Routing device and related packet processing circuit
JP4999787B2 (ja) トレースバック装置、トレースバックシステム、dnsサーバ、プログラム、および記録媒体
Vitale et al. Inmap-t: Leveraging TTCN-3 to test the security impact of intra network elements

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110131

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110201

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120912

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120925

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121016

R150 Certificate of patent or registration of utility model

Ref document number: 5116578

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151026

Year of fee payment: 3

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees