JP5242775B2 - 低速および/または分散型のスキャニングマルウェアに感染した企業ネットワークホストを識別するための方法およびシステム - Google Patents
低速および/または分散型のスキャニングマルウェアに感染した企業ネットワークホストを識別するための方法およびシステム Download PDFInfo
- Publication number
- JP5242775B2 JP5242775B2 JP2011510084A JP2011510084A JP5242775B2 JP 5242775 B2 JP5242775 B2 JP 5242775B2 JP 2011510084 A JP2011510084 A JP 2011510084A JP 2011510084 A JP2011510084 A JP 2011510084A JP 5242775 B2 JP5242775 B2 JP 5242775B2
- Authority
- JP
- Japan
- Prior art keywords
- hosts
- host
- list
- monitored
- given
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、一般に、ネットワーク化された通信の分野に関し、より詳細には、企業ネットワークにおける低速および/または分散型のスキャニングマルウェアに感染したホストを検出するための方法およびシステムに関する。
企業ネットワークは、コンピュータリソースが共有され、互いに接続される様々なビジネス、教育機関、政府機関、およびその他の組織において見られる。これらのネットワークは、所有者の知識および許可なしにネットワーク処理デバイスのリソースを使用するワームなどのマルウェアに感染しやすい。そのようなマルウェアは、感染したホストコンピュータが、そのネットワークに接続された他の企業ホストに、ときとして、スキャニングパケットと呼ばれるネットワークパケットを送信する自己複製のプロセスを介して、企業における様々なネットワークホストに広がる可能性がある。シグネチャベースの技術が、トラフィック異常方法とともに、修復アクションのためにマルウェアに感染したホストを識別するのに役立つように開発されている。シグネチャベースの方法は、ワームが検出および修復アクションを回避するようにシグネチャを変更することが非常に容易であるので、一般に、効果的でなく、さらにゼロデイ攻撃から保護しない。ときとして、ステルスワームと呼ばれる低速のスキャニングマルウェアは、所与の期間内にいくつかのスキャニングパケットだけしか送信しないことで動作し、高性能のステルスワームは、トラフィック異常分析による検出を回避するように実際のネットワークトラフィックに基づいて、スキャニングパケットの伝送レートを調整する。ストームマルウェアなどの高性能のステルスワームは、企業内で高度なスキャニング技術、および分散型のスキャニングを使用して、検出されることを回避する。
このタイプの低速の分散型のスキャニングマルウェアは、企業における2つ以上のホスト上に複製されると、感染したホストの間で企業ネットワークアドレス空間を分割し、各ホストが、ネットワークの異なるサブセットをスキャニングパケットで標的にする。このようにして、それぞれの感染したホストは、少数の隣接ホストだけしかスキャンしない可能性があり、その結果、既存の技術による検出がさらに回避される。したがって、低速のスキャニングマルウェア、および分散型および/または低速のスキャニングマルウェアは、新たな課題をもたらし、従来のマルウェア検出技術は、これらの悪意のあるプログラムに感染した企業ネットワークホストを識別することに関して概ね、効果的でない。
以下は、本発明の基本的な理解を容易にする本発明の1つまたは複数の態様の概要であり、この概要は、本発明の広範な概観ではなく、本発明のいくつかの要素を特定することも、本発明の範囲を線引きすることも意図してはいない。むしろ、この概要の主要な目的は、本発明のいくつかの概念を、後段で提示されるより詳細な説明に先立って簡略化された形態で提示することである。本開示の様々な態様は、企業ネットワークにおける低速および/または分散型のスキャニングマルウェアを識別することに特に有用性があり、ただし、後段で説明される概念は、ネットワーク内の様々な形態の悪意のあるソフトウェアを検出するため、または識別するために他の状況で使用されることも可能である。企業ネットワークは、しばしば、企業ファイアウォールの背後に位置しているが、低速のスキャニングマルウェアは、フラッシュUSBメモリデバイス、電子メール添付ファイル、またはその他の手段などによって、ネットワーク上の1つまたは複数のホストに導入される可能性がある。感染したホストまたは複数のホストが、その後、マルウェアによって使用されて、他のネットワークホストを感染させるように自己複製を開始することが可能であり、本開示の対抗策がない場合、ネットワークにおける他のローカルホストを感染させようと試みるスキャニングパケットを送信する可能性がある。本明細書で開示されるシステムおよび方法は、企業ネットワークにおけるパケットトラフィックを監視して、マルウェアが、低速および/または分散型のスキャニング技術を使用する可能性があるにもかかわらず、マルウェアスキャニングパケットのいずれの特定のシグネチャ態様にも関係なく、感染したローカルホストを識別する、または検出するように、有利に実施されることが可能である。
本開示の1つまたは複数の態様によれば、低速および/または分散型のスキャニングマルウェアに感染していることが疑われる企業ネットワークホストを識別するための方法が、提供される。この方法は、現行測定期間内にそれぞれの所与のホストがパケットを送信または受信した企業ホストの現行測定期間リストを構築し、ならびに2つ以上の測定期間リストに基づいて統計を蓄積することを含む。これらの統計から、監視される1つまたは複数のホストに関するカウント値が導き出され、各カウント値は、それぞれの所与の監視されるホストがパケットを送信または受信した他のホストの数を示す。この方法は、このカウント値が閾値を超えた場合、監視される1つまたは複数のホストを、低速および/または分散型のスキャニングマルウェアに感染していることが疑われるとして選択的に識別することを含む。このようにして、この方法は、異常に、または予想外に多数の他のホストと通信する企業ネットワークホストに低速の、スキャンする分散型のマルウェア感染が選択的に帰することができる。
現行測定期間リストは、いくつかの実施形態において、様々な仕方で、例えば、それぞれの所与のホストに関して、その所与のホストが現行測定期間内にパケットを送信した他のホストを示すファンアウトリストを作成することによって、またはそれぞれの所与のホストに関して、それぞれの所与のホストが現行測定期間内に受信したパケットの送信元の他のホストを示すファンインリストを作成することによって、構築されることが可能である。ローカルネットワークの実質的に完全なカバレッジが存在する場合、これら2つの技術のいずれかが使用されることが可能である。部分的なカバレッジ状況の場合、ファンアウトリスト52aをカウントすることが、範囲に含まれる感染したホストを検出することになるので、有利である。さらに、この方法の様々な実施形態は、有利には、電子メールサーバ、ウェブプロキシ、NTPサーバなどの役割をするホストなどの1つまたは複数の企業ホストを、監視されるホストから選択的に除外することを規定することが、これらのホストは、企業ネットワーク内の多数の隣接ホストにパケットを送信すること、およびそのような隣接ホストからパケットを受信することが通常に予期されるので、可能である。この方法は、監視されるホストに関するカウント値の平均に少なくとも部分的に基づいて、閾値を計算することをさらに含むことが可能である。通常、ファンインおよびファンアウトを常に把握しておくことは、計算およびストレージを多く使用する(スイッチ上のリソースの点で)可能性があるが、説明される実施形態は、有利には、アドレス空間が、それぞれが単一のビットを要求する数千に過ぎない、サブネット内のIPアドレスを追跡する。また、このアプローチは、処理を単純化し、ネットワーク要素は、単にサブネットマスクを使用して、関心対象のビットを抽出することが可能である。
本開示の他の態様は、現行測定期間内にそれぞれの所与のホストがパケットを送信または受信した企業ホストの現行測定期間リストを構築し、ならびに2つ以上の測定期間リストに基づいて統計を蓄積することを含む、低速および/または分散型のスキャニングマルウェアに感染していることが疑われる企業ネットワークホストを識別するための方法を提供する。この方法は、監視される1つまたは複数のホストに関する蓄積された統計から、それぞれの所与の監視されるホストがパケットを送信または受信した他のホストの数の変化をそれぞれが示すカウント変化値を導き出すこと、およびカウント変化値が変化閾値を超えた、監視される1つまたは複数のホストを、低速および/または分散型のスキャニングマルウェアに感染していることが疑われるとして選択的に識別することをさらに含む。
本開示のさらなる態様によれば、低速および/または分散型のスキャニングマルウェアに感染していることが疑われる企業ネットワークホストを識別するためのシステムが、提供される。このシステムは、企業ネットワークに動作可能に結合され、現行測定期間内にそれぞれの所与のホストがパケットを送信または受信した企業ホストの現行測定期間リストを構築するように動作するネットワーク要素、ならびにこのネットワーク要素からの2つ以上の測定期間リストに基づいて統計を蓄積させるように動作するマルウェア検出構成要素を含む。マルウェア検出構成要素は、監視される1つまたは複数のホストに関する蓄積された統計からカウント値を導き出す分析構成要素を含み、各カウント値は、それぞれの所与の監視されるホストがパケットを送信または受信した他のホストの数を示す。この分析構成要素は、カウント値が閾値を超えた、監視される1つまたは複数のホストを、低速および/または分散型のスキャニングマルウェアに感染していることが疑われるとして選択的に識別するようにさらに動作する。一実施形態において、ネットワーク要素は、企業スイッチであることが可能であり、マルウェア検出構成要素は、このネットワーク要素に動作可能に結合された企業管理ステーションにおいて実施されることが可能である。いくつかの実施形態におけるネットワーク要素は、現行測定期間リストをファンアウトリストまたはファンインリストとして作成するように動作し、さらに分析構成要素は、監視されるホストに関するカウント値の平均に少なくとも部分的に基づいて、閾値を計算することが可能である。さらに、様々な実施形態において、分析構成要素は、企業内の多数の他のホストを相手にネットワークパケットを交換することが通常に予期される電子メールサーバ、ウェブプロキシ、NTPサーバなどの役割をするホストなどの1つまたは複数の企業ホストを、監視されるホストから選択的に除外する。
以下の説明および図面は、本発明の原理が実行されることが可能な、いくつかの例示的な仕方を示す、本発明のいくつかの例示的な実施形態を詳細に示す。本発明の様々な目的、利点、および新規の特徴が、図面と併せて考慮される場合、本発明の以下の詳細な説明から明白となろう。
本開示の様々な態様のいくつかの実施形態または実施例が、同様の参照符号が同様の要素を指すのに使用される、図面に関連して以下に例示され、説明される。ビジネス、教育機関、政府機関、あるいは以上の下位区分または組合せであることが可能であり、企業ネットワーク10、20を含む例示的な企業2が図1に示される。例示的な実施形態において、企業ネットワークは、ルータ14を介して動作可能に結合された一次ネットワーク部分10とサブネット20を含み、さらに関連する企業管理ステーション26を有するエッジスイッチ16を含む。1つの適切なエッジスイッチは、Alcatel−Lucent OmniSwitch Seriesエッジスイッチである。ネットワーク10、20は、スイッチ16、または他の構成要素を介して、インターネット4などの1つまたは複数の外部ネットワークに動作可能に結合されることが可能であり、さらに任意の数の一次部分およびサブネット部分を含むことが可能である。さらに、企業ネットワーク10、20は、互いに様々な信号、メッセージ、パケットなどを交換するために1つまたは複数の有線接続および/または無線接続を介して互いに通信するように結合された、任意の数の動作可能に互いに接続されたコンピューティングデバイスを含み、本開示の様々な態様を不明瞭にしないように、いくつかのデバイスおよび相互接続だけが示されている。これらは、ネットワークホストコンピューティングデバイスまたはノードNとして示され、10個のそのようなノードN0−N9が図1に示されるが、本開示は、任意の整数のノードまたはホストを有する企業ネットワークにおいて実施されることが可能である。図1に示される企業例は、電子メールサーバN0、ウェブプロキシN1、およびNTPサーバN2を含む企業サーバとして機能する様々なノードを含む。さらに、この事例ではユーザコンピュータである、様々な汎用ホストN3−N9が、ネットワーク10、20に結合され、これらのホストN3−N9のうち2つ、N4およびN7が図面において円で囲まれて、これらの2つのホストが、企業2における他のホストを感染させようと試みるように低速および/または分散型のスキャニングを使用するマルウェアに感染している例示的なシナリオを示す。本開示によれば、企業スイッチ16および/または管理ステーション26は、低速および/または分散型のスキャニングマルウェアに感染していることが疑われる企業ネットワークホストNを識別するマルウェア検出構成要素30、30aを備える。
やはり図2を参照すると、可能な1つの実施形態において、企業スイッチ16が、ファンアウトリスト52aおよび/またはファンインリスト52bを含むことが可能な現行測定期間リスト50を構築し、さらに企業管理ステーション26におけるマルウェア検出構成要素30が、疑われるホストNのリスト80を作成する蓄積された統計54の分析を可能にする。他の実施形態において、マルウェア検出構成要素30aが、企業スイッチ16の中に含められることも可能であり(図1に示されるとおり)、あるいはマルウェア検出システムが、企業2の任意のネットワーク要素において実施される、または企業ネットワーク10、20に動作可能に結合された2つ以上の要素において分散されて実施されることも可能である。
図2の例におけるスイッチ16および管理ステーション26は、低速および/または分散型のスキャニングマルウェアに感染していることが疑われる企業ネットワークホストN4およびN7を識別するための例示的なシステムを構成する構成要素を含む。さらに、マルウェアシステム構成要素は、一体型であるか、分散されて実施されるかにかかわらず、本明細書で説明される様々な機能が、ネットワーク10、20を有する企業2において実行されることが可能な、任意の適切なハードウェア、ソフトウェア、ファームウェア、ロジック、または他の形態として実施されることが可能である。さらに、マルウェア検出/識別システム構成要素は、様々なメッセージ、パケット、信号、データなどが、任意の適切なメッセージングプロトコルに準拠して送受信される、有線であれ、無線であれ、有線と無線の組合せであれ、企業2における任意の形態、タイプ、およびトポロジのネットワークにおいて実施されることが可能であり、このネットワークは、様々なネットワーク化された構成要素へのメッセージ、そのような構成要素からのメッセージ、またはそのような構成要素間のメッセージが、パケットにセグメント化される、または分割されることが可能であり、さらに1つまたは複数の層が、別の層からのペイロード部分の周囲に或る制御情報を追加して、カプセル化されたパケットまたはメッセージを形成することができる任意の適切な多層スキーム(例えば、OSI基本参照モデル、またはこのモデルから派生したモデルもしくは変種)に従って運用されることが可能である。これに関して、本明細書で使用されるパケットは、或る所与の層または複数の層の中でネットワーク10、20を介して送信されるすべての形態のフレーム、データパケットなどを包含することを意図している。
図1および図2の実施形態における例示的なマルウェア識別システムは、現行測定期間内にそれぞれの所与のホストNがパケットを送信または受信した企業ホストNの現行測定期間リスト50を構築するように動作するネットワーク10、20上のスイッチネットワーク要素16を含む。可能な1つの実施形態において、リスト50は、それぞれの所与のホストNに関して、その所与のホストNが現行測定期間内にパケットを送信した他のホストNを示すファンアウトリスト52aとして構築される。別の可能な実施形態は、それぞれの所与のホストNに関して、それぞれの所与のホストNが現行測定期間内に受信したパケットの送信元の他のホストNを示すファンインリスト52bを作成することを含む。さらに、例示される実施形態において、エッジスイッチ16は、理想的には、スイッチ16が、ネットワーク10、20上のホストNの間で転送される各パケットを追跡することができるので、一例において、約10分などの、所与の測定期間内にこれらのリスト50の1つまたは複数を作成することに適している。また、システムは、スイッチ16からの2つ以上の測定期間リスト50に基づいて統計54を蓄積するマルウェア検出構成要素30も含む。例えば、スイッチ16は、各測定間隔または各測定期間の後、企業管理ステーション26の構成要素30を現行測定期間リスト50で更新することが可能であり、これらの測定期間は、一様でなくてもよく、測定期間の長さは、本開示の範囲内で変更されることが可能である。
やはり図3および図4を参照すると、図3は、企業ネットワーク10、20におけるパケットの測定、および現行測定期間リストの構築を示す流れ図100を示し、図4は、本開示による、図1の企業スイッチ16によって構築された例示的な現行測定期間リスト150を示す。図3に示されるとおり、スイッチ16は、102で、現行測定期間にわたって各ホストに関してリストを構築し、その後、検出構成要素30の統計54を現行測定期間リスト150で更新する。リスト150は、その後、106でクリアされ、次の測定期間が108で始まり、このプロセスが繰り返されることが可能である。
図4に示されるとおり、例示的な現行測定期間リスト150は、企業2における各受信側ノードN0−N9に関して、その受信側ノードが現行測定期間内に各列の一番上に示される近隣ホストからパケットを受信しなかった場合、「0」を示すリスト(行)を示し、代替として、受信側ホストノードが、列に示されるホストから1つまたは複数のパケットを受信している場合、「1」を示す。この実施形態において、リスト150の各行は、受信側ホストが現行測定期間内に受信したパケットの送信元の他のホストNを示すファンインリスト52bを提供する。また、例示的なリスト150の列は、それぞれの所与のホストNに関して、その所与のホストNが現行測定期間内にパケットを送信した他のホストNを示すファンアウトリスト52aを構成する。図4は、感染したホストN4およびN7が企業2において分散型のスキャニングを実行している状況を示し、図4で円に囲まれた「1」151によって示されるとおり、ホストN4が、ノードN0−N3およびN5にスキャニングパケットを送信し、これらのノードN0−N3およびN5から応答パケットを受信している一方で、ノード7は、ノードN6、N8、およびN9にスキャニングパケットを送信し、これらのノードN6、N8、およびN9から応答パケットを受信している。さらに、図4に示されるとおり、企業2における複数のホストNは、マルウェア構成要素30において「ホワイトリスト」70に含められる、電子メールサーバ、ウェブプロキシ、またはNTPサーバの役割をするホストN0−N2と、この例では、「監視されるホスト」N3−N9である残りのホストノードに分けられることが可能である。
次に図2および図5A−図7を参照すると、例示的な検出構成要素30が、スイッチ16からの現行測定期間リスト50に基づいて統計54を蓄積する分析構成要素60を含む。これらの統計54を蓄積することは、所与の行に関して現行測定期間リスト150からの「1」を足し、この結果を、監視される複数のホストNのそれぞれに関する累積カウント値に足すことなどの、1つまたは複数の数学操作を含むことが可能である。図6および図7は、分析構成要素60が、監視される1つまたは複数のホストN3−N9に関する蓄積された統計54からカウント値251aを導き出し、各カウント値251aが、それぞれの所与の監視されるホストN3−N9が、測定期間の2つ以上に相当する或る期間にわたってパケットを送信した他のホストNの数を示している、スイッチ16からのファンアウトデータ52aに基づく蓄積された統計250aの例を示す。蓄積された統計は、代替として、Kが1より大きい正の整数である、最新の整数K個の測定期間の移動和を実行することなどによって、最新のいくつかの測定期間に基づくことも可能である。変化のレートを計算すること、積分、平均、フィルタリングなどの、他の数学操作が統計54を蓄積することにかかわることも可能である。
蓄積された統計54に基づいて、分析構成要素60は、監視される1つまたは複数のホストN3−N9を、低速および/または分散型のスキャニングマルウェアに感染していることが疑われるとして選択的に識別するように動作する。これに関して構成要素60は、そのように感染していることが疑われるホストNを示すリスト80(図2)を構築することができる。一例において、分析構成要素60は、容疑者N4およびN7を、カウント値251aが閾値THを超えた企業ホストとして識別する。図7のグラフ260が、予想外に高いカウント値が見られるホストノードを識別し、したがって、低速および/または分散型のスキャニングマルウェアを複製するようにスキャニングをおそらく行っているホストN4およびN7を識別するように、監視されるホストN3−N9のカウント値の平均にオフセットを足した値に閾値THが設定される、図6のファンアウトカウント値251aに基づく例を与える。これに関して、閾値THおよび分析は、監視されるいくつかのホストN3−N9に関してだけ選択的に行われ、それによって、例えば、図2のホワイトリスト70の中でリストアップされるノードを除外することによって、容疑者リストから1つまたは複数の企業ホストN1−N3を除外することが可能である。図6および図7の説明される例において、ホストN4およびN7が、予想されるより高いカウント値251a(図7の閾値THを超える)を示し、このため、マルウェアに感染していることが疑われて、図2の疑われるホストリスト80の中にリストアップされる。
本開示の様々な態様は、ソフトウェアの点で、またはアルゴリズムの点で、および/または当業者が自らの作業の内容を伝えるコンピュータメモリ内のデータビットに対する操作の記号表現の点で例示され、説明される。このため、説明される構成要素30、60などのアルゴリズム、スクリプト、計算、およびその他の操作は、所望される結果をもたらすプログラミングされたソフトウェアコードまたは他のプログラミングもしくは構成を介する、コンピュータによって実施されるステップとして実施されることが可能であり、そのようなステップは、コンピュータメモリ内の格納されたメモリの状態などの物理的な量の操作または変換を含む。特に、いくつかの実施形態は、ネットワーク10、20に送信された、またはネットワーク10、20から受信されたデータおよびパケットを操作する、電子メモリの中に格納された、プログラミングされたコンピュータ実行可能命令に従って動作するソフトウェア構成要素を含むことが可能であり、そのようなデータも同様に、少なくとも或る期間にわたって電子メモリの中に格納されることが可能であり、本明細書で説明されるパケットおよびデータは、限定なしに、格納され、転送され、組み合わされ、比較され、さらにそれ以外で操作されることが可能である光信号、電気信号、または磁気信号を含む任意の適切な形態であることが可能であり、さらにこれらの信号は、ビット、値、要素、シンボル、文字、項、数などの様々な用語で呼ばれることも可能である。
これに関して、特に明記しない限り、または説明から明白であるとおり、「処理すること」または「算出すること」または「計算すること」または「決定すること」または「表示すること」などの用語は、コンピュータシステムのレジスタおよびメモリの中の物理的な、電子的量として表されるデータを操作して、コンピュータシステムメモリもしくはコンピュータシステムレジスタ、あるいは他のそのような情報格納デバイス、情報伝送デバイス、または情報表示デバイスの中の物理的な量として同様に表される他のデータに変換するコンピュータシステム、または類似する電子コンピューティングデバイスのアクションおよびプロセスを指す。さらに、本開示の様々なソフトウェアによって実施される態様は、通常、何らかの形態のプログラム記憶媒体上に符号化される、または何らかのタイプの伝送媒体を介して実施される。このプログラム記憶媒体は、磁気型(例えば、フロッピー(登録商標)ディスクもしくはハードディスク)または光学型(例えば、コンパクトディスク読取り専用メモリ、つまり、「CD ROM」)であることが可能であり、さらに読取り専用型であっても、ランダムアクセス型であってもよい。同様に、伝送媒体は、より対線、同軸ケーブル、光ファイバ、または当技術分野で知られている他の何らかの適切な伝送媒体であることが可能である。本開示は、いずれの所与の実施形態の、これらの態様によっても限定されない。
この実施形態における分析構成要素60は、概ね、図5Aに例示される方法200を説明する流れ図に従って動作する。例示的な方法200、およびその他の方法は、一連の動作またはイベントの形態で以下に例示され、説明されるものの、本開示の様々な方法は、そのような動作またはイベントの例示される順序によって限定されないことが認識されよう。これに関して、以降、特に明記される場合を除き、一部の動作またはイベントは、本開示に従って本明細書で例示され、説明されるのとは異なる順序で、および/または他の動作またはイベントと同時に行われることも可能である。例示されるすべてのステップが、本開示によるプロセスまたは方法を実施するのに要求されるわけではなく、さらにそのような動作の1つまたは複数は、組み合わされてもよいことにさらに留意されたい。本開示の例示される方法、およびその他の方法は、本明細書で例示され、説明されるマルウェア検出態様をもたらすために、ハードウェアで、ソフトウェアで、またはハードウェアとソフトウェアの組合せで実施されることが可能である。
図5Aの202で、構成要素60は、オプションとして、企業における多数のホストノードNと通常に通信することが予期される企業サーバ(例えば、図1の例における電子メールサーバN0、ウェブプロキシN1、および/またはNTPサーバN2)を識別する例外リストまたは除外リスト(例えば、前出の図2におけるホワイトリスト70)を作成してもよい。204で、分析構成要素60は、現行測定期間リスト(例えば、図4のリスト150)を統計(図6の統計250a)に組み込み、次に210で、疑われるマルウェアホストを選択的に識別する。212で、分析構成要素60は、オプションとして、監視されるホストのセットからホワイトリスト70(図1)上のホストN0−N2を除外してもよい。
214で、構成要素60は、所与の監視されるホストがパケットを送信または受信した他のホストの数を示す、監視される1つまたは複数のホストN3−N9に関する蓄積された統計250aからのカウント値251aを導き出し、さらに、オプションとして、216で、監視されるホストN3−N9に関するカウント値251aの平均に少なくとも部分的に基づいて閾値THを計算する。このため、図6および図7のファンアウト例では、閾値THは、図6における監視されるホストN3−N9のカウント値251aの平均(5.43)にオフセット(図7における約0.5)を足した値として算出される。他の実施形態において、オフセットは、0であることが可能である。閾値が、好ましくは、本当に感染したホストをその他のホストから区別しながら、偽陽性の可能性を減らすように、他の式を介して計算され、ただし、ホワイトリスト70の使用が、トラフィックパターンが多数の隣接ホストを含むことが知られているホストを排除することに役立つ、さらなる実施形態が可能である。さらに他の実施形態において、所定の閾値THが使用されることが可能である。218で、分析構成要素60が、カウント値251aが閾値THを超えた、監視されるホストNの1つまたは複数を、低速および/または分散型のスキャニングマルウェアに感染していることが疑われるとして選択的に識別し、さらにこれらのホストNを疑われるホストリスト70(図1)に追加する。図6および図7の説明される例では、ホストN4およびN7が、そのようにして、容疑者として識別される(例えば、N4およびN7に関するカウント値9および12がそれぞれ、閾値THを超える)。
次に図8および図9を参照すると、蓄積された統計250bがファンインデータ52bに基づいて集計され、さらに分析構成要素60が、監視されるホストN3−N9のそれぞれに関して、その所与の監視されるホストNが受信したパケットの送信元の他のホストNを示すカウント値251b(図8)を導き出す別の例が示される。図9のグラフ280で見られるとおり、この実施形態における分析構成要素60は、図5Aの218で、カウント値251bが閾値THを超えた、監視される1つまたは複数のホストN4およびN7を、低速および/または分散型のスキャニングマルウェアに感染していることが疑われるとして選択的に識別する。
図10は、感染したホストN4またはN7のいずれかが、マルウェアを複製して、ホストN9を感染させることに成功した、更新された状況(ファンアウトデータを使用する)を示す。図10のグラフ290に見られるとおり、この更新された統計は、ホストN9に関するカウント値が、現時点で、閾値THを超えていることを示し、その結果、分析構成要素60が、ホストN4、N7、およびN9におけるマルウェアは、これらのホストN4、N7、およびN9の間で事実上、実質的に一様にスキャニングを効果的に分割しているものの、これらの企業ホストのそれぞれに関するカウント値が閾値THを超えているので、ホストN4、N7、およびN9を、低速および/または分散型のスキャニングマルウェアに感染していることが疑われるとして識別する。
図5Bは、パケットトラフィックの変化を精査して、企業2における感染している可能性があるホストが識別される、別の可能な実施形態を示す。この例における分析構成要素60は、この場合も、オプションとして、202で例外リストまたはホワイトリストを作成し、204で、企業ホストに関する蓄積された統計に現行測定期間リストを組み込む。次に212で、企業サーバの1つまたは複数が、オプションとして、監視されるホストのセットから除外される。この実施形態において、分析構成要素60は、220で、カウント変化値を導き出し、ただし、各カウント変化値は、それぞれの所与の監視されるホストNがパケットを送信または受信した他のホストNの数の変化を示す(この実施形態は、前述した実施形態の場合と同様に、ファンインデータまたはファンアウトデータを使用することができる)。222で、次に分析構成要素60は、カウント変化値が変化閾値ΔTHを超えた、監視される1つまたは複数のホストNを、低速および/または分散型のスキャニングマルウェアに感染していることが疑われるとして選択的に識別する。
本発明は、1つまたは複数の例示的な実施例または実施形態に関連して例示され、説明されてきたものの、本明細書、および添付の図面を読み、理解すると、当業者には均等の代替形態および変形形態が思い浮かべられよう。特に、前述した構成要素(アセンブリ、デバイス、システム、回路など)によって実行される様々な機能に関して、そのような構成要素を説明するのに使用される用語(「手段」への言及を含め)は、特に明記しない限り、本発明の本明細書で説明される例示的な実施形態における機能を実行する、開示される構造と構造上、均等でないとしても、説明される構成要素の指定された機能を実行する(すなわち、機能上、均等である)任意の構成要素に対応するものとされる。さらに、本発明の特定の特徴は、いくつかの実施形態のうち1つだけの実施形態に関連して説明されている可能性があるものの、そのような特徴は、任意の所与の用途、または特定の用途に関して所望され、有利であり得るとおり、その他の実施形態の他の1つまたは複数の特徴と組み合わされてもよい。また、「含んでいる」、「含む」、「有している」、「有する」、「伴う」という用語、または以上の変種が、詳細な説明において、および/または特許請求の範囲において使用される限りで、そのような用語は、「備える」という用語と同様に包含的であるものとされる。
Claims (10)
- 低速および/または分散型のスキャニングマルウェアに感染していることが疑われる企業ネットワークホストを識別する方法であって、
ある測定期間内にそれぞれの所与のホストがパケットを送信または受信した企業ホストの測定期間リストを構築し、
測定期間リストからカウント値を導き出し、各カウント値が、測定期間内にそれぞれの所与の監視されるホストがパケットを送信または受信した他のホストの数を示すこと、
2つ以上の測定期間リストに基づいてそれぞれの所与の監視されるホストのカウント値を蓄積して累積カウント値を得ること、および
累積カウント値が閾値を超えた、監視される1つまたは複数のホストを、低速および/または分散型のスキャニングマルウェアに感染していることが疑われるとして選択的に識別することを含む、方法。 - 測定期間リストを構築することが、それぞれの所与のホストに関して、その所与のホストが測定期間内にパケットを送信した他のホストを示すファンアウトリストを作成することを含む、請求項1に記載の方法。
- 測定期間リストを構築することが、それぞれの所与のホストに関して、それぞれの所与のホストが測定期間内に受信したパケットの送信元の他のホストを示すファンインリストを作成することを含む、請求項1に記載の方法。
- 監視されるホストに関するカウント値の平均に少なくとも部分的に基づいて、閾値を計算することをさらに含む、請求項1に記載の方法。
- 監視されるホストから1つまたは複数の企業ホストを選択的に除外することをさらに含む、請求項1に記載の方法。
- 監視されるホストから1つまたは複数の企業ホストを選択的に除外することが、電子メールサーバ、ウェブプロキシ、またはNTPサーバの役割をする1つまたは複数のホストを除外することを含む、請求項5に記載の方法。
- 低速および/または分散型のスキャニングマルウェアに感染していることが疑われる企業ネットワークホストを識別するためのシステムであって、
企業ネットワークに動作可能に結合され、ある測定期間内にそれぞれの所与のホストがパケットを送信または受信した企業ホストの測定期間リストを構築するように動作するネットワーク要素と、
ネットワーク要素からの測定期間リストからカウント値を導き出し、各カウント値が測定期間内にそれぞれの所与の監視されるホストがパケットを送信または受信した他のホストの数を示し、2つ以上の測定期間リストに基づいてそれぞれの所与の監視されるホストのカウント値を蓄積して累積カウント値を得るように動作するマルウェア検出構成要素とを備え、
マルウェア検出構成要素が、累積カウント値が閾値を超えた、監視される1つまたは複数のホストを、低速および/または分散型のスキャニングマルウェアに感染していることが疑われるとして選択的に識別するように動作する分析構成要素を備える、システム。 - ネットワーク要素が企業スイッチである、請求項7に記載のシステム。
- マルウェア検出構成要素が、ネットワーク要素に動作可能に結合された企業管理ステーションにおいて実施される、請求項7に記載のシステム。
- 低速および/または分散型のスキャニングマルウェアに感染していることが疑われる企業ネットワークホストを識別する方法であって、
ある測定期間内にそれぞれの所与のホストがパケットを送信または受信した企業ホストの測定期間リストを構築し、
測定期間リストからカウント値を導き出し、各カウント値が測定期間内にそれぞれの所与の監視されるホストがパケットを送信または受信した他のホストの数を示すこと、
2つ以上の測定期間リストに基づいてそれぞれの所与の監視されるホストのカウント値を比較してカウント変化値を得ること、および
カウント変化値が変化閾値を超えた、監視される1つまたは複数のホストを、低速および/または分散型のスキャニングマルウェアに感染していることが疑われるとして選択的に識別することを含む、方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/124,431 | 2008-05-21 | ||
| US12/124,431 US8341740B2 (en) | 2008-05-21 | 2008-05-21 | Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware |
| PCT/IB2009/053478 WO2009141812A2 (en) | 2008-05-21 | 2009-05-14 | Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011522473A JP2011522473A (ja) | 2011-07-28 |
| JP5242775B2 true JP5242775B2 (ja) | 2013-07-24 |
Family
ID=41254607
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011510084A Expired - Fee Related JP5242775B2 (ja) | 2008-05-21 | 2009-05-14 | 低速および/または分散型のスキャニングマルウェアに感染した企業ネットワークホストを識別するための方法およびシステム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8341740B2 (ja) |
| EP (1) | EP2294785A2 (ja) |
| JP (1) | JP5242775B2 (ja) |
| KR (1) | KR101286791B1 (ja) |
| CN (1) | CN102037705A (ja) |
| WO (1) | WO2009141812A2 (ja) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8955122B2 (en) | 2007-04-04 | 2015-02-10 | Sri International | Method and apparatus for detecting malware infection |
| US8220054B1 (en) * | 2008-10-31 | 2012-07-10 | Trend Micro, Inc. | Process exception list updating in a malware behavior monitoring program |
| US10187353B2 (en) * | 2010-06-02 | 2019-01-22 | Symantec Corporation | Behavioral classification of network data flows |
| US20120066759A1 (en) * | 2010-09-10 | 2012-03-15 | Cisco Technology, Inc. | System and method for providing endpoint management for security threats in a network environment |
| US20120090027A1 (en) * | 2010-10-12 | 2012-04-12 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting abnormal host based on session monitoring |
| KR20120060655A (ko) * | 2010-12-02 | 2012-06-12 | 한국전자통신연구원 | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 |
| US10574630B2 (en) * | 2011-02-15 | 2020-02-25 | Webroot Inc. | Methods and apparatus for malware threat research |
| US8990938B2 (en) * | 2011-08-29 | 2015-03-24 | Arbor Networks, Inc. | Analyzing response traffic to detect a malicious source |
| US20130333041A1 (en) * | 2012-06-12 | 2013-12-12 | International Business Machines Corporation | Method and Apparatus for Automatic Identification of Affected Network Resources After a Computer Intrusion |
| WO2014195890A1 (en) | 2013-06-06 | 2014-12-11 | Topspin Security Ltd. | Methods and devices for identifying the presence of malware in a network |
| US20150150079A1 (en) * | 2013-11-26 | 2015-05-28 | Bluecat Networks Inc. | Methods, systems and devices for network security |
| US9781131B2 (en) * | 2015-04-22 | 2017-10-03 | Aktiebolaget Skf | Systems and methods for securing remote configuration |
| US9571513B2 (en) * | 2015-04-23 | 2017-02-14 | International Business Machines Corporation | Monitoring device monitoring network |
| US10219306B2 (en) * | 2015-05-08 | 2019-02-26 | Federated Wireless, Inc. | Cloud based access solution for enterprise deployment |
| US9894036B2 (en) | 2015-11-17 | 2018-02-13 | Cyber Adapt, Inc. | Cyber threat attenuation using multi-source threat data analysis |
| US11122039B2 (en) | 2015-12-23 | 2021-09-14 | Comptel Oy | Network management |
| US10218733B1 (en) * | 2016-02-11 | 2019-02-26 | Awake Security, Inc. | System and method for detecting a malicious activity in a computing environment |
| US10237287B1 (en) * | 2016-02-11 | 2019-03-19 | Awake Security, Inc. | System and method for detecting a malicious activity in a computing environment |
| KR101951730B1 (ko) * | 2016-11-02 | 2019-02-25 | 주식회사 아이티스테이션 | 지능형 지속위협 환경에서의 통합 보안 시스템 |
| US10931685B2 (en) * | 2016-12-12 | 2021-02-23 | Ut-Battelle, Llc | Malware analysis and recovery |
| US11310249B2 (en) * | 2018-03-26 | 2022-04-19 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for defending computing systems from attack |
| US10986116B1 (en) * | 2020-07-16 | 2021-04-20 | SOURCE Ltd. | System and method for analyzing and correcting an anomaly in split computer networks |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1483725A4 (en) * | 2002-01-22 | 2008-10-29 | Yeda Res & Dev | METHOD FOR ANALYZING DATA FOR IDENTIFYING NETWORK MOTIVES |
| US20050033989A1 (en) * | 2002-11-04 | 2005-02-10 | Poletto Massimiliano Antonio | Detection of scanning attacks |
| US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
| US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
| US20050050337A1 (en) * | 2003-08-29 | 2005-03-03 | Trend Micro Incorporated, A Japanese Corporation | Anti-virus security policy enforcement |
| US7725934B2 (en) * | 2004-12-07 | 2010-05-25 | Cisco Technology, Inc. | Network and application attack protection based on application layer message inspection |
| US7607170B2 (en) * | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
| US7587761B2 (en) * | 2005-06-10 | 2009-09-08 | At&T Corp. | Adaptive defense against various network attacks |
| US20060294588A1 (en) * | 2005-06-24 | 2006-12-28 | International Business Machines Corporation | System, method and program for identifying and preventing malicious intrusions |
| JP2007013263A (ja) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 |
| US7979368B2 (en) * | 2005-07-01 | 2011-07-12 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
| US7757283B2 (en) * | 2005-07-08 | 2010-07-13 | Alcatel Lucent | System and method for detecting abnormal traffic based on early notification |
| US7584507B1 (en) * | 2005-07-29 | 2009-09-01 | Narus, Inc. | Architecture, systems and methods to detect efficiently DoS and DDoS attacks for large scale internet |
| US8438643B2 (en) * | 2005-09-22 | 2013-05-07 | Alcatel Lucent | Information system service-level security risk analysis |
| US8544098B2 (en) * | 2005-09-22 | 2013-09-24 | Alcatel Lucent | Security vulnerability information aggregation |
| US20070067845A1 (en) * | 2005-09-22 | 2007-03-22 | Alcatel | Application of cut-sets to network interdependency security risk assessment |
| US7712134B1 (en) * | 2006-01-06 | 2010-05-04 | Narus, Inc. | Method and apparatus for worm detection and containment in the internet core |
| US20070226799A1 (en) * | 2006-03-21 | 2007-09-27 | Prem Gopalan | Email-based worm propagation properties |
| US8510834B2 (en) * | 2006-10-09 | 2013-08-13 | Radware, Ltd. | Automatic signature propagation network |
| US7768921B2 (en) * | 2006-10-30 | 2010-08-03 | Juniper Networks, Inc. | Identification of potential network threats using a distributed threshold random walk |
| US7792779B2 (en) * | 2007-06-05 | 2010-09-07 | Intel Corporation | Detection of epidemic outbreaks with Persistent Causal-Chain Dynamic Bayesian Networks |
| US20090276852A1 (en) * | 2008-05-01 | 2009-11-05 | International Business Machines Corporation | Statistical worm discovery within a security information management architecture |
-
2008
- 2008-05-21 US US12/124,431 patent/US8341740B2/en active Active
-
2009
- 2009-05-14 EP EP09750265A patent/EP2294785A2/en not_active Withdrawn
- 2009-05-14 JP JP2011510084A patent/JP5242775B2/ja not_active Expired - Fee Related
- 2009-05-14 WO PCT/IB2009/053478 patent/WO2009141812A2/en active Application Filing
- 2009-05-14 KR KR1020107026022A patent/KR101286791B1/ko not_active IP Right Cessation
- 2009-05-14 CN CN200980118182XA patent/CN102037705A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011522473A (ja) | 2011-07-28 |
| WO2009141812A2 (en) | 2009-11-26 |
| KR20100135926A (ko) | 2010-12-27 |
| KR101286791B1 (ko) | 2013-07-17 |
| WO2009141812A3 (en) | 2010-01-14 |
| US20090293122A1 (en) | 2009-11-26 |
| EP2294785A2 (en) | 2011-03-16 |
| US8341740B2 (en) | 2012-12-25 |
| CN102037705A (zh) | 2011-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5242775B2 (ja) | 低速および/または分散型のスキャニングマルウェアに感染した企業ネットワークホストを識別するための方法およびシステム | |
| AU2019216687B2 (en) | Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness | |
| US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| Fachkha et al. | Internet-scale Probing of CPS: Inference, Characterization and Orchestration Analysis. | |
| Oprea et al. | Detection of early-stage enterprise infection by mining large-scale log data | |
| Bhuyan et al. | E‐LDAT: a lightweight system for DDoS flooding attack detection and IP traceback using extended entropy metric | |
| JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
| Elejla et al. | Intrusion detection systems of ICMPv6-based DDoS attacks | |
| Bouyeddou et al. | Detection of smurf flooding attacks using Kullback-Leibler-based scheme | |
| Haddadi et al. | DoS-DDoS: taxonomies of attacks, countermeasures, and well-known defense mechanisms in cloud environment | |
| Bou-Harb et al. | A systematic approach for detecting and clustering distributed cyber scanning | |
| CN110581850A (zh) | 一种基于网络流量基因检测方法 | |
| CN112261052A (zh) | 基于流规则分析的sdn数据平面异常行为检测方法及系统 | |
| CN108322454B (zh) | 一种网络安全检测方法及装置 | |
| KR101124615B1 (ko) | 집단행동 악성코드 검색 방법 및 장치 | |
| Yong et al. | Understanding botnet: From mathematical modelling to integrated detection and mitigation framework | |
| Kongshavn et al. | Mitigating DDoS using weight‐based geographical clustering | |
| Shaikh et al. | Effective network security monitoring: from attribution to target-centric monitoring | |
| KR20100084488A (ko) | 집단행동 악성코드 검색 방법 및 장치 | |
| Zhou et al. | Limiting self-propagating malware based on connection failure behavior | |
| Ibrahim | A comprehensive study of distributed denial of service attack with the detection techniques | |
| Bou-Harb et al. | On detecting and clustering distributed cyber scanning | |
| Hsin et al. | A study of alert-based collaborative defense | |
| Xu et al. | Defense of scapegoating attack in network tomography | |
| Zhang et al. | Hybrid spreading of the internet worm conficker |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110118 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120725 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120821 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121116 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130306 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130403 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160412 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |