JP5286018B2 - 情報処理装置、プログラム、および記録媒体 - Google Patents
情報処理装置、プログラム、および記録媒体 Download PDFInfo
- Publication number
- JP5286018B2 JP5286018B2 JP2008261027A JP2008261027A JP5286018B2 JP 5286018 B2 JP5286018 B2 JP 5286018B2 JP 2008261027 A JP2008261027 A JP 2008261027A JP 2008261027 A JP2008261027 A JP 2008261027A JP 5286018 B2 JP5286018 B2 JP 5286018B2
- Authority
- JP
- Japan
- Prior art keywords
- state
- communication
- address
- feature amount
- bot
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、ネットワーク上で実行された通信の結果に関する情報を処理する情報処理装置に関する。また、本発明は、本情報処理装置としてコンピュータを機能させるためのプログラム、およびそのプログラムを記録した記録媒体にも関する。
近年、コンピュータウィルスに感染したコンピュータに悪質な動作を実行させる、ボットと呼ばれるコンピュータウィルスによる被害が拡大している。ボットは、外部の指令サーバに通信セッションを確立して新たなコードをダウンロードする機能や、攻撃のための指令を受ける機能、指令に従って攻撃する機能などを持つ悪意のコードで構成されている。
昨今のボットは、多数の検体が作成されていること、Anti Virus(AV)のパターンファイルのダウンロードを阻止する機能を持つこと、二次感染や攻撃に関わる通信量を抑制する機能を持つことなどから、ボットの感染状態を検知することは難しい。これまで、ボットが指令サーバから新たな検体や指令を取得することに着目して、ユーザが操作しないPCから発信されるパケットの宛先の異常性を判定する研究がなされてきた(例えば非特許文献1参照)。また、PC内の正常なプロセスのWhitelistを作成しておき、これに一致しないプロセスが現れると異常と判定する研究もなされてきた(例えば非特許文献2参照)。これらはホスト型検知手法として注目されているが、個々のドメインや、Internet Service Provider(ISP)が管理するネットワーク上でボットを特定するネットワーク型検知手法には適していない。
ネットワーク型検知手法として、指令サーバとの通信に利用されがちなIRC(Internet Relay Chat)パケットに着目した検知手法が提案されている(例えば非特許文献3参照)。また、侵入検知システム(Intrusion Detection System:IDS)のアラートシナリオから、ボットらしさを評価する手法も提案されている(例えば非特許文献4参照)。
竹森敬祐,三宅優,"無操作ホストから発信されるパケットに注目したウイルス感染検知",情処研報,CSEC-36,pp.141-146,2007年3月 Weidong Cui, Randy H. katz, and Wai-tian Tan, "Design and Implementation of an Extrusion-based Break-In Detector for Personal Computers", 21st ACSAC, pp.361-370, 2005 J. Goebel, "Rishi: Identify Bot Contaminated Hosts by IRC Nickname Evaluation," In Proceeding of the HotBots’07, USENIX, April, 2007 G. Gu, P. Porras, V. Yegneswaran, M. Fong, and W. Lee, "BotHunter: Detecting Malware Infection Through IDS-Driven Dialog Correlation." In Proceedings of the Security'07, USENIX, August 2007
竹森敬祐,三宅優,"無操作ホストから発信されるパケットに注目したウイルス感染検知",情処研報,CSEC-36,pp.141-146,2007年3月 Weidong Cui, Randy H. katz, and Wai-tian Tan, "Design and Implementation of an Extrusion-based Break-In Detector for Personal Computers", 21st ACSAC, pp.361-370, 2005 J. Goebel, "Rishi: Identify Bot Contaminated Hosts by IRC Nickname Evaluation," In Proceeding of the HotBots’07, USENIX, April, 2007 G. Gu, P. Porras, V. Yegneswaran, M. Fong, and W. Lee, "BotHunter: Detecting Malware Infection Through IDS-Driven Dialog Correlation." In Proceedings of the Security'07, USENIX, August 2007
しかし、上記のネットワーク型検知手法では、IRC通信を伴わないボットが増えてきていることや、IDSのシグネチャに検知されないボットが増えてきていることなど、検知精度について問題がある。
本発明は、上述した課題に鑑みてなされたものであって、ボットに感染した装置に関する通信結果を精度よく抽出することができる情報処理装置、プログラム、および記録媒体を提供することを目的とする。
<第1の発明>
本発明は、上記の課題を解決するためになされたもので、ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する第1の記憶手段と、ボットに感染していることが既知である装置のIPアドレスを含む通信結果に基づいて予め算出された、ボットに感染した装置が行う通信に見られる複数の状態に係る特徴量を状態毎に記憶する第2の記憶手段と、前記第1の記憶手段によって記憶されている前記通信結果に基づいて、前記複数の状態の出現数を状態毎かつIPアドレス毎にカウントするカウント手段と、前記出現数に基づいて、前記複数の状態に係る特徴量を状態毎かつIPアドレス毎に算出する算出手段と、前記算出手段によって算出された特徴量と、前記第2の記憶手段によって記憶されている特徴量とを状態毎に比較する比較手段と、前記比較手段による比較の結果に基づいてIPアドレスを選択する選択手段と、前記第1の記憶手段によって記憶されている前記通信結果から、選択されたIPアドレスを含む通信結果を抽出する抽出手段と、を備えたことを特徴とする情報処理装置である。
本発明は、上記の課題を解決するためになされたもので、ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する第1の記憶手段と、ボットに感染していることが既知である装置のIPアドレスを含む通信結果に基づいて予め算出された、ボットに感染した装置が行う通信に見られる複数の状態に係る特徴量を状態毎に記憶する第2の記憶手段と、前記第1の記憶手段によって記憶されている前記通信結果に基づいて、前記複数の状態の出現数を状態毎かつIPアドレス毎にカウントするカウント手段と、前記出現数に基づいて、前記複数の状態に係る特徴量を状態毎かつIPアドレス毎に算出する算出手段と、前記算出手段によって算出された特徴量と、前記第2の記憶手段によって記憶されている特徴量とを状態毎に比較する比較手段と、前記比較手段による比較の結果に基づいてIPアドレスを選択する選択手段と、前記第1の記憶手段によって記憶されている前記通信結果から、選択されたIPアドレスを含む通信結果を抽出する抽出手段と、を備えたことを特徴とする情報処理装置である。
上記第1の発明によれば、ネットワーク上で実行された通信に係る通信結果から算出された、ボットに感染した装置が行う通信に見られる複数の状態に係る特徴量と、ボットに感染していることが既知である装置の通信結果から算出された、上記複数の状態に係る特徴量とを状態毎に比較した結果に基づいて選択されたIPアドレスを含む通信結果が抽出される。すなわち、上記第1の発明は、以下の2点を特徴とするものである。
(1)ネットワーク上で実行された通信に係る特徴量を、ボットに感染していることが既知である装置が実行した通信に係る特徴量と比較すること。
(2)ボットに感染した装置が行う通信に見られる複数の状態について状態毎に特徴量を比較すること。
したがって、上記第1の発明によれば、ボットに感染した装置に関する通信結果を精度よく抽出することができる。
(1)ネットワーク上で実行された通信に係る特徴量を、ボットに感染していることが既知である装置が実行した通信に係る特徴量と比較すること。
(2)ボットに感染した装置が行う通信に見られる複数の状態について状態毎に特徴量を比較すること。
したがって、上記第1の発明によれば、ボットに感染した装置に関する通信結果を精度よく抽出することができる。
<第2の発明>
また、本発明の情報処理装置において、前記所定の状態は、送受信関係の確立に失敗したという状態を含むことを特徴とする。
また、本発明の情報処理装置において、前記所定の状態は、送受信関係の確立に失敗したという状態を含むことを特徴とする。
<第3の発明>
また、本発明の情報処理装置において、前記所定の状態は、送信先のPortとしてTCP/UDPの135から139まで、445、1433、1434のPortのいずれかが使用されたという状態を含むことを特徴とする。
また、本発明の情報処理装置において、前記所定の状態は、送信先のPortとしてTCP/UDPの135から139まで、445、1433、1434のPortのいずれかが使用されたという状態を含むことを特徴とする。
<第4の発明>
また、本発明の情報処理装置において、前記所定の状態は、送信先のPortとしてTCPの1024以上(1433,1434を除く)のPortが使用されたという状態を含むことを特徴とする。
また、本発明の情報処理装置において、前記所定の状態は、送信先のPortとしてTCPの1024以上(1433,1434を除く)のPortが使用されたという状態を含むことを特徴とする。
<第5の発明>
また、本発明の情報処理装置において、前記所定の状態は、DNSサーバに対してドメイン名の名前解決を要求したが、エラーが発生したという応答、または当該ドメイン名に対応するIPアドレスが存在しないという応答があったという状態を含むことを特徴とする。
また、本発明の情報処理装置において、前記所定の状態は、DNSサーバに対してドメイン名の名前解決を要求したが、エラーが発生したという応答、または当該ドメイン名に対応するIPアドレスが存在しないという応答があったという状態を含むことを特徴とする。
<第6の発明>
また、本発明の情報処理装置において、前記所定の状態は、DNSサーバに対して、所定の国名以外の国名を有するドメイン名の名前解決を要求したという状態を含むことを特徴とする。
また、本発明の情報処理装置において、前記所定の状態は、DNSサーバに対して、所定の国名以外の国名を有するドメイン名の名前解決を要求したという状態を含むことを特徴とする。
<第7の発明>
また、本発明の情報処理装置において、前記所定の状態は、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得したという状態を含むことを特徴とする。
また、本発明の情報処理装置において、前記所定の状態は、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得したという状態を含むことを特徴とする。
<第8の発明>
また、本発明の情報処理装置において、前記所定の状態は、ユーザ名が不明であることを知らせるSMTP Responseがあったという状態を含むことを特徴とする。
また、本発明の情報処理装置において、前記所定の状態は、ユーザ名が不明であることを知らせるSMTP Responseがあったという状態を含むことを特徴とする。
上記第2〜第8の発明において、カウント手段が出現数をカウントする状態は、ボットに感染した装置が通信を行うことにより発生する、ボットに特有の状態である。したがって、上記第2〜第8の発明によれば、ボットに感染した装置が行った通信に係る通信結果をより高精度に抽出することができる。
<第9の発明>
また、本発明の情報処理装置において、前記第2の記憶手段はさらに、ボットに感染していないことが既知である装置のIPアドレスを含む通信結果に基づいて予め算出された、ボットに感染した装置が行う通信に見られる複数の状態に係る特徴量を状態毎に記憶し、前記選択手段は、前記算出手段によって算出された状態毎かつIPアドレス毎の前記特徴量が、前記第2の記憶手段によって記憶されている、ボットに感染していないことが既知である装置に係る状態毎の前記特徴量よりも、前記第2の記憶手段によって記憶されている、ボットに感染していることが既知である装置に係る状態毎の前記特徴量に近い場合に、前記算出手段によって算出された前記特徴量に係るIPアドレスを選択することを特徴とする。
また、本発明の情報処理装置において、前記第2の記憶手段はさらに、ボットに感染していないことが既知である装置のIPアドレスを含む通信結果に基づいて予め算出された、ボットに感染した装置が行う通信に見られる複数の状態に係る特徴量を状態毎に記憶し、前記選択手段は、前記算出手段によって算出された状態毎かつIPアドレス毎の前記特徴量が、前記第2の記憶手段によって記憶されている、ボットに感染していないことが既知である装置に係る状態毎の前記特徴量よりも、前記第2の記憶手段によって記憶されている、ボットに感染していることが既知である装置に係る状態毎の前記特徴量に近い場合に、前記算出手段によって算出された前記特徴量に係るIPアドレスを選択することを特徴とする。
上記第9の発明によれば、ボットに感染していることが既知である装置の通信結果から算出された、ボットに感染した装置が行う通信に見られる複数の状態に係る特徴量と共に、ボットに感染していないことが既知である装置の通信結果から算出された、上記複数の状態に係る特徴量も考慮されるので、ボットに感染した装置が行った通信に係る通信結果をより高精度に抽出することができる。
<第10の発明>
また、本発明は、ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する第1の記憶手段と、ボットに感染していることが既知である装置のIPアドレスを含む通信結果に基づいて予め算出された、ボットに感染した装置が行う通信に見られる複数の状態に係る特徴量を状態毎に記憶する第2の記憶手段と、ボットの指令サーバとして機能することが既知である装置のIPアドレスを含む通信結果に基づいて予め算出された、ボットの指令サーバが行う通信に見られる所定の状態に係る特徴量を記憶する第3の記憶手段と、前記第1の記憶手段によって記憶されている前記通信結果に基づいて、前記複数の状態の出現数を状態毎かつIPアドレス毎にカウントする第1のカウント手段と、前記第1の記憶手段によって記憶されている前記通信結果に基づいて、前記所定の状態の出現数をIPアドレス毎にカウントする第2のカウント手段と、前記第1のカウント手段によってカウントされた出現数に基づいて、前記複数の状態に係る特徴量を状態毎かつIPアドレス毎に算出する第1の算出手段と、前記第2のカウント手段によってカウントされた出現数に基づいて、前記所定の状態に係る特徴量をIPアドレス毎に算出する第2の算出手段と、前記第1の算出手段によって算出された特徴量と、前記第2の記憶手段によって記憶されている特徴量とを状態毎に比較する第1の比較手段と、前記第2の算出手段によって算出された特徴量と、前記第3の記憶手段によって記憶されている特徴量とを比較する第2の比較手段と、前記第1の比較手段による比較の結果に基づいてIPアドレスを選択する第1の選択手段と、前記第2の比較手段による比較の結果に基づいてIPアドレスを選択する第2の選択手段と、前記第1の記憶手段によって記憶されている前記通信結果から、前記第1の選択手段によって選択されたIPアドレスを送信元のIPアドレスに含み、前記第2の選択手段によって選択されたIPアドレスを送信先のIPアドレスに含む通信結果を抽出する抽出手段と、を備えたことを特徴とする情報処理装置である。
また、本発明は、ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する第1の記憶手段と、ボットに感染していることが既知である装置のIPアドレスを含む通信結果に基づいて予め算出された、ボットに感染した装置が行う通信に見られる複数の状態に係る特徴量を状態毎に記憶する第2の記憶手段と、ボットの指令サーバとして機能することが既知である装置のIPアドレスを含む通信結果に基づいて予め算出された、ボットの指令サーバが行う通信に見られる所定の状態に係る特徴量を記憶する第3の記憶手段と、前記第1の記憶手段によって記憶されている前記通信結果に基づいて、前記複数の状態の出現数を状態毎かつIPアドレス毎にカウントする第1のカウント手段と、前記第1の記憶手段によって記憶されている前記通信結果に基づいて、前記所定の状態の出現数をIPアドレス毎にカウントする第2のカウント手段と、前記第1のカウント手段によってカウントされた出現数に基づいて、前記複数の状態に係る特徴量を状態毎かつIPアドレス毎に算出する第1の算出手段と、前記第2のカウント手段によってカウントされた出現数に基づいて、前記所定の状態に係る特徴量をIPアドレス毎に算出する第2の算出手段と、前記第1の算出手段によって算出された特徴量と、前記第2の記憶手段によって記憶されている特徴量とを状態毎に比較する第1の比較手段と、前記第2の算出手段によって算出された特徴量と、前記第3の記憶手段によって記憶されている特徴量とを比較する第2の比較手段と、前記第1の比較手段による比較の結果に基づいてIPアドレスを選択する第1の選択手段と、前記第2の比較手段による比較の結果に基づいてIPアドレスを選択する第2の選択手段と、前記第1の記憶手段によって記憶されている前記通信結果から、前記第1の選択手段によって選択されたIPアドレスを送信元のIPアドレスに含み、前記第2の選択手段によって選択されたIPアドレスを送信先のIPアドレスに含む通信結果を抽出する抽出手段と、を備えたことを特徴とする情報処理装置である。
上記第10の発明によれば、ネットワーク上で実行された通信に係る通信結果から算出された、ボットに感染した装置が行う通信に見られる複数の状態に係る特徴量と、ボットに感染していることが既知である装置の通信結果から算出された、上記複数の状態に係る特徴量とを状態毎に比較した結果に基づいてIPアドレスが選択される。このIPアドレスは、ボットに感染した装置のIPアドレスである可能性が高い。また、ネットワーク上で実行された通信に係る通信結果から算出された、ボットに感染した装置が行う通信に見られる所定の状態に係る特徴量と、ボットの指令サーバとして機能することが既知である装置の通信結果から算出された、上記所定の状態に係る特徴量とを比較した結果に基づいてIPアドレスが選択される。このIPアドレスは、ボットの指令サーバのIPアドレスである可能性が高い。したがって、ボットに感染したと思われる装置のIPアドレスを送信元のIPアドレスに含み、ボットの指令サーバと思われる装置のIPアドレスを送信先のIPアドレスに含む通信結果を抽出することによって、ボットに感染した装置が指令サーバと行った通信に係る通信結果をより高精度に抽出することができる。
<第11の発明>
また、本発明は、上記の情報処理装置としてコンピュータを機能させるためのプログラムである。
また、本発明は、上記の情報処理装置としてコンピュータを機能させるためのプログラムである。
<第12の発明>
また、本発明は、上記のプログラムを記録したコンピュータ読み取り可能な記録媒体である。
また、本発明は、上記のプログラムを記録したコンピュータ読み取り可能な記録媒体である。
本発明によれば、ボットに感染した装置に関する通信結果を精度よく抽出することができる。
以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態による情報処理装置の構成を示している。通信監視部10は、ネットワーク上を伝送するパケットを取得し、そのパケットから通信情報を抽出する。通信情報記憶部11は、通信監視部10によって抽出された通信情報を記憶する。
通信情報は、通信の実行に係る送信側と受信側の関係を把握するのに必要な情報である。また、通信情報は、ネットワーク上で実行された通信の特徴を示す情報でもあり、この通信情報に基づいて異常な通信を検知することが可能である。本実施形態の通信情報は、時刻(Start Time,End Time)、通信プロトコル(ICMP,TCP,UDP等)、IPアドレス(Source IP,Destination IP)、Port番号(Source Port,Destination Port)、各種通信内容、および装置内で通信毎に付与される通信IDで構成されている。
通信解析部12は、通信情報記憶部11に記録されている所定時間内の通信結果に関する通信情報に基づいて通信内容を解析し、後述する所定の状態が発生したか否かを判定する。また、通信解析部12は、この判定結果に基づいてカウンタ13の動作を制御する。カウンタ13は、IPアドレス毎に用意されたカウンタの集合である。カウンタ13を構成する各カウンタは、対応するIPアドレスを送信元または送信先とする通信に係る複数の状態の出現数を状態毎にカウントする。ネットワーク上の全IPアドレスについて最初からカウンタを用意しておく必要はなく、通信情報から新たなIPアドレスが検出される毎に動的にカウンタを追加するようにしてもよい。
特徴量算出部14は、カウンタ13がカウントした複数の状態の出現数に基づいて、各状態に係る特徴量をIPアドレス毎に算出する。特徴量記憶部15は、ボットに感染していることが既知である装置のIPアドレスを含む通信結果に基づいて予め算出された特徴量(以下、ボット通信特徴量とする)を記憶する。このボット通信特徴量は、ボットに感染した装置が行う通信に見られる複数の状態に係る状態毎の特徴量である。例えば、特定の装置をボットに感染させて動作させておき、その装置が行う通信を本実施形態の情報処理装置に監視させ、通信結果に基づいてボット通信特徴量を算出させてもよい。
特徴量記憶部15は、ボットに感染していないことが既知である装置のIPアドレスを含む通信結果に基づいて予め算出された特徴量(以下、正常通信特徴量とする)も記憶する。この正常通信特徴量は、上記と同様にボットに感染した装置が行う通信に見られる複数の状態に係る状態毎の特徴量である。例えば、ボットに感染していないことが保証されている特定の装置を動作させておき、その装置が行う通信を本実施形態の情報処理装置に監視させ、通信結果に基づいて正常通信特徴量を算出させてもよい。
特徴量比較部16は、特徴量算出部14によって算出されたIPアドレス毎の特徴量と、特徴量記憶部15によって記憶されているボット通信特徴量・正常通信特徴量とを状態毎に比較する。判定部17は、特徴量比較部16による比較の結果に基づいて、各IPアドレスが正常であるか異常であるかを判定する。特徴量算出部14によって算出された特徴量が正常通信特徴量よりもボット通信特徴量に近い場合、判定対象のIPアドレスは異常であると判定される。また、特徴量算出部14によって算出された特徴量がボット通信特徴量よりも正常通信特徴量に近い場合、判定対象のIPアドレスは正常であると判定される。判定部17は、判定対象となったIPアドレスの中から、異常であると判定したIPアドレスのみを選択的に通信情報抽出部18に通知する。
通信情報抽出部18は、通信情報記憶部11に記憶されている通信情報から、通信情報抽出部18から通知されたIPアドレスを送信元または送信先のIPアドレスとして含む通信情報を抽出する。表示制御部19は、通信情報抽出部18によって抽出された通信情報を表示するためのグラフィック画像データを生成し、表示部20へ出力する。表示部20は、表示制御部19から出力されたグラフィック画像データに基づいて、通信情報を視覚化する。
次に、本実施形態で検出対象とする7種類の状態を説明する。これら7種類の状態は、いずれもボットに感染した装置が行う通信に見られる状態である。
第1の状態は、送受信関係の確立に失敗したという状態である。ボットに感染した装置は、感染を拡大するために、多数のDestination IP(送信先IP)を探索するが、送受信関係の確立に失敗する場合が多い。このため、ボットに感染した装置が行う通信では、送受信関係の確立の成功率が低いという特徴的なパターンが現れる。
第1の状態は、ICMP Echoパケットに対するICMP Replyパケットの有無を監視することによって検出可能である。ICMP EchoパケットとICMP Replyパケットは対になっており、正常時にはICMP Echoパケットに対してICMP Replyパケットが返信されるが、ボットに感染した装置ではICMP Replyパケットの返信率が低い。したがって、ICMP Echoパケットの数とICMP Replyパケットの数との差をカウントすることによって第1の状態の出現数をカウントすることが可能となる。この場合の特徴量は、ICMP Echoパケットの数からICMP Replyパケットの数を引いた数をICMP Echoパケットの数で割り算した値(ICMP Echoパケットに対してICMP Replyパケットが返信されない割合)とする。
第1の状態は、TCP-SYNパケットに対するTCP-SYN-ACKパケットの有無を監視することによっても検出可能である。TCP-SYNパケットとTCP-SYN-ACKパケットは対になっており、正常時にはTCP-SYNパケットに対してTCP-SYN-ACKパケットが返信されるが、ボットに感染した装置ではTCP-SYN-ACKパケットの返信率が低い。
したがって、TCP-SYNパケットとTCP-SYN-ACKパケットの数をカウントすることによって第1の状態の出現数をカウントすることが可能となる。この場合の特徴量は、TCP-SYNパケットの数からTCP-SYN-ACKパケットの数を引いた数をTCP-SYNパケットの数で割り算した値(TCP-SYNパケットに対してTCP-SYN-ACKパケットが返信されない割合)とする。
第1の状態は、接続の拒否を示すICMP Unreachableパケットの有無を監視することによっても検出可能である。正常時にはICMP Unreachableパケットが返信されることは少ないが、ボットに感染した装置ではICMP Unreachableパケットの返信率が高い。したがって、ICMP Unreachableパケットの数をカウントすることによって第1の状態の出現数をカウントすることが可能となる。この場合の特徴量は、ICMP Unreachableパケットの数を送信パケットの総数で割り算した値(全送信パケットに対してICMP Unreachableパケットが占める割合)とする。
第2の状態は、Destination Port(送信先Port)としてTCP/UDPの135から139まで、445、1433、1434のPortのいずれかが使用されたという状態である。ボットに感染した装置が他の装置に対して感染を拡大するとき、上記のPortに向かうパケットが観測されるという特徴的なパターンが現れる。
したがって、上記のPortがDestination Portに使用されているパケットの数をカウントすることによって、第2の状態の出現数をカウントすることが可能となる。この場合の特徴量は、上記のPortがDestination Portに使用されているTCP/UDPパケットの数をTCP/UDPパケットの総数で割り算した値(全TCP/UDPパケットに対して、上記Portを使用したTCP/UDPパケットが占める割合)とする。
第3の状態は、Destination Port(送信先Port)としてTCPの1024以上(1433,1434を除く)のPortが使用されたという状態である。ボットに感染した装置が指令サーバと通信を行うとき、上記のPortに向かうパケットが観測されるという特徴的なパターンが現れる。
したがって、上記のPortがDestination Portに使用されているパケットの数をカウントすることによって、第3の状態の出現数をカウントすることが可能となる。TCPの1433,1434のPortは第2の状態として検出することにしているので、第3の状態ではこれらのPortを検出対象から除いている。この場合の特徴量は、上記のPortがDestination Portに使用されているTCP-SYNパケットの数をTCP-SYNパケットの総数で割り算した値(全TCP-SYNパケットに対して、上記Portを使用したTCP-SYNパケットが占める割合)とする。
第4の状態は、DNSサーバに対してドメイン名の名前解決を要求したが、エラーが発生したという応答、または当該ドメイン名に対応するIPアドレスが存在しないという応答があったという状態である。指令サーバのIPアドレスが頻繁に変化するため、ボットに感染した装置は、指令サーバのドメイン名の名前解決をDNSサーバに要求し、ドメイン名に対応したIPアドレスをDNSサーバから取得する。
しかし、異常な文字列から構成されるFQDN(Fully Qualified Domain Name)の名前解決が要求されて名前解決に失敗することにより、検索エラーが頻発するという特徴的なパターンが現れる。このとき、DNSサーバから返信されるDNS Recursive ResponseパケットにはErrorが記録される。また、名前解決を要求されたドメイン名が既に存在しなくなっており、IPアドレスが見つからないことが頻発するという特徴的なパターンも現れる。このとき、DNSサーバから返信されるDNS Recursive ResponseパケットにはNo such Nameが記録される。
したがって、Errorが記録されたDNS Recursive ResponseパケットまたはNo such Nameが記録されたDNS Recursive Responseパケット(もしくはその両方)の数をカウントすることによって、第4の状態の出現数をカウントすることが可能となる。この場合の特徴量は、Errorが記録されたDNS Recursive ResponseパケットまたはNo such Nameが記録されたDNS Recursive Responseパケット(もしくはその両方)の数をDNS Recursive Responseパケットの総数で割り算した値(全DNS Recursive Responseパケットに対して所定のDNS Recursive Responseパケットが占める割合)とする。
第5の状態は、DNSサーバに対して、所定の国名以外の国名を有するドメイン名の名前解決を要求したという状態である。指令サーバは、グローバルIPアドレスを持ち、インターネット上に広く分布して存在する。このため、指令サーバは様々な国に分布して存在することになり、DNSサーバに名前解決を要求する対象のドメイン名として、様々な国名コードを含むドメイン名が現れるという特徴的なパターンが現れる。
したがって、DNSサーバから返信されるDNS Recursive Responseパケットとして、.jpドメイン以外のドメインを含むドメイン名が記録されたパケットの数をカウントすることによって、第5の状態の出現数をカウントすることが可能となる。この場合の特徴量は、.jpドメイン以外のドメインを含むドメイン名が記録されたDNS Recursive Responseパケットの数をDNS Recursive Responseパケットの総数で割り算した値(全DNS Recursive Responseパケットに対して、.jpドメイン以外のドメインを含むドメイン名が記録されたDNS Recursive Responseパケットが占める割合)とする。
第6の状態は、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得したという状態である。ボットに感染した装置が指令サーバから新たなコードを取得するときには、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得するという特徴的なパターンが現れる。通常、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得することは稀である。
したがって、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得する通信に係るパケットの数をカウントすることによって、第6の状態の出現数をカウントすることが可能となる。この場合の特徴量は、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得する通信に係るパケットの数を、HTTP GETコマンドによる通信に係るパケットの総数で割り算した値(HTTP GETコマンドによる通信に係る全パケットに対して、拡張子が.exeであるファイルを取得する通信に係るパケットが占める割合)とする。
第7の状態は、ユーザ名が不明であることを知らせるSMTP Responseパケットがあったという状態である。ボットに感染した装置がスパムメールを送信する場合に、スパムメールを受け取るユーザ名をランダムに指定することが多い。このため、ユーザ名が不明であることを示すUser Unknownが記録された多くのSMTP Responseパケットがメールサーバから返信されるという特徴的なパターンが現れる。
したがって、User Unknownが記録されたSMTP Responseパケットの数をカウントすることによって、第7の状態の出現数をカウントすることが可能となる。この場合の特徴量は、User Unknownが記録されたSMTP Responseパケットの数をSMTP Responseパケットの総数で割り算した値(全SMTP Responseパケットに対して、User Unknownが記録されたSMTP Responseパケットが占める割合)とする。
次に、本実施形態による情報処理装置の動作を説明する。図2は情報処理装置の動作の手順を示している。通信監視部10は、ネットワーク上を伝送するパケットを取得し、そのパケットから通信情報を抽出して通信情報記憶部11に格納する(ステップS100)。通信監視部10がパケットの監視を開始してから所定の単位時間が経過するまで、この動作が繰り返し実行される。
通信監視部10がパケットの監視を開始してから所定の単位時間が経過した場合(ステップS102でYESの場合)、通信解析部12は、上記の単位時間内に通信情報記憶部11に格納された通信情報を読み出し、各通信情報に基づいて通信内容を解析する。通信解析部12は、通信内容の解析により、検出対象としている所定の状態(上記第1〜第7の状態のいずれか)が発生したか否かを判定し、判定結果に基づいてカウンタ13を制御する。カウンタ13は、通信解析部12による制御に従って、所定の状態の出現数を状態毎かつIPアドレス毎にカウントする(ステップS104)。
以下、ステップS104の処理の具体例を説明する。前述したように、カウンタ13は、IPアドレス毎に用意されたカウンタの集合である。以下では、第1の状態(送受信関係の確立に失敗したという状態)を検出対象とする。
通信解析部12は、ICMP Echoパケットに対応する通信情報を検出した場合、通信情報に含まれるSource IP に対応するカウンタのカウント値を1増加させる。例えば、192.168.0.20をSource IPとするICMP Echoパケットに対応する通信情報が検出された場合、192.168.0.20に対応するカウンタのカウント値が1増加する。また、通信解析部12は、ICMP Replyパケットに対応する通信情報を検出した場合、通信情報に含まれるDestination IP に対応するカウンタのカウント値を1減少させる。例えば、192.168.0.20をDestination IPとするICMP Replyパケットに対応する通信情報が検出された場合、192.168.0.20に対応するカウンタのカウント値が1減少する。正常な通信では、ICMP Echoパケットに対してICMP Replyパケットが返信されるため、カウント値は増加しない。しかし、ボットに感染した装置が通信を行うと、ICMP Replyパケットの返信率が低下するため、カウント値が増加するようになる。
上記では、各IPアドレスに対して1個のカウンタを用意しているが、各IPアドレスに対して、ICMP Echoパケットの数をカウントするためのカウンタ(第1のカウンタ)と、ICMP Replyパケットの数をカウントするためのカウンタ(第2のカウンタ)とを用意してもよい。この場合、第1の状態の出現数は、第1のカウンタがカウントした値から第2のカウンタがカウントした値を減算した数となる。これに対して、上記のように各IPアドレスに対して1個のカウンタのみで第1の状態の出現数をカウントすることによって、カウンタ13の回路規模やカウント値の管理負荷を抑えることができる。
TCP-SYNパケットに対するTCP-SYN-ACKパケットの有無を監視することによって第1の状態を検出する場合には次のようにすればよい。すなわち、TCP-SYNパケットに対応する通信情報の検出に伴って、通信情報に含まれるSource IP に対応するカウンタのカウント値を1増加させ、TCP-SYN-ACKパケットに対応する通信情報の検出に伴って、その通信情報に含まれるDestination IP に対応するカウンタのカウント値を1減少させればよい。
ICMP Unreachableパケットの有無を監視することによって第1の状態を検出する場合には、ICMP Unreachableパケットに対応する通信情報の検出に伴って、その通信情報に含まれるDestination IP に対応するカウンタのカウント値を1増加させればよい。
第2の状態(Destination PortとしてTCP/UDPの135から139まで、445、1433、1434のPortのいずれかが使用されたという状態)を検出する場合には、これら特定のDestination Portを含む通信情報の検出に伴って、その通信情報に含まれるSource IP に対応するカウンタのカウント値を1増加させればよい。
第3の状態(Destination Port(送信先Port)としてTCPの1024以上(1433,1434を除く)のPortが使用されたという状態)を検出する場合には、1024以上(1433,1434を除く)のDestination Portを含む通信情報の検出に伴って、その通信情報に含まれるSource IP に対応するカウンタのカウント値を1増加させればよい。
第4の状態(DNSサーバに対してドメイン名の名前解決を要求したが、エラーが発生したという応答、または当該ドメイン名に対応するIPアドレスが存在しないという応答があったという状態)を検出する場合には、Errorが記録されたDNS Recursive ResponseパケットまたはNo such Nameが記録されたDNS Recursive Responseパケット(もしくはその両方)に対応する通信情報の検出に伴って、その通信情報に含まれるDestination IP に対応するカウンタのカウント値を1増加させればよい。
第5の状態(DNSサーバに対して、所定の国名以外の国名を有するドメイン名の名前解決を要求したという状態)を検出する場合には、.jpドメイン以外のドメインを含むドメイン名が記録されたDNS Recursive Responseパケットに対応する通信情報の検出に伴って、その通信情報に含まれるDestination IP に対応するカウンタのカウント値を1増加させればよい。
第6の状態(HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得したという状態)を検出する場合には、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得する通信に係るパケットに対応する通信情報の検出に伴って、その通信情報に含まれるSource IP またはDestination IP に対応するカウンタのカウント値を1増加させればよい。
第7の状態(ユーザ名が不明であることを知らせるSMTP Responseパケットがあったという状態)を検出する場合には、User Unknownが記録されたSMTP Responseパケットに対応する通信情報の検出に伴って、その通信情報に含まれるDestination IP に対応するカウンタのカウント値を1増加させればよい。
以下、情報処理装置の動作の説明に戻る。ステップS104に続いて、特徴量算出部14は、カウンタ13がカウントした複数の状態の出現数に基づいて、各状態に係る特徴量をIPアドレス毎に算出する(ステップS106)。図3は、特定のIPアドレスに関する特徴量の一例を示している。
図3では、状態A〜Jに対する特徴量が示されている。状態Aは第1の状態(送受信関係の確立に失敗したという状態)であり、これに対応する特徴量は、ICMP EchoパケットとICMP Replyパケットの数に基づいて算出された特徴量である。状態Bも第1の状態であり、これに対応する特徴量は、TCP-SYNパケットとTCP-SYN-ACKパケットの数に基づいて算出された特徴量である。状態Cも第1の状態であり、これに対応する特徴量は、ICMP Unreachableパケットの数に基づいて算出された特徴量である。図3では、状態A,B,Cは別々の状態として扱われている。
状態Dは第2の状態(Destination Port(送信先Port)としてTCP/UDPの135から139まで、445、1433、1434のPortのいずれかが使用されたという状態)である。状態Eは第3の状態(Destination Port(送信先Port)としてTCPの1024以上(1433,1434を除く)のPortが使用されたという状態)である。
状態Fは第4の状態(DNSサーバに対してドメイン名の名前解決を要求したが、エラーが発生したという応答、または当該ドメイン名に対応するIPアドレスが存在しないという応答があったという状態)であり、これに対応する特徴量は、Errorが記録されたDNS Recursive Responseパケットの数に基づいて算出された特徴量である。状態Gも第4の状態であり、これに対応する特徴量は、No such Nameが記録されたDNS Recursive Responseパケットの数に基づいて算出された特徴量である。図3では、状態F,Gは別々の状態として扱われている。
状態Hは第5の状態(DNSサーバに対して、所定の国名以外の国名を有するドメイン名の名前解決を要求したという状態)である。状態Iは第6の状態(HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得したという状態)である。状態Jは第7の状態(ユーザ名が不明であることを知らせるSMTP Responseパケットがあったという状態)である。
ステップS106に続いて、特徴量比較部16は、特徴量算出部14によって算出されたIPアドレス毎の特徴量と、特徴量記憶部15によって記憶されているボット通信特徴量・正常通信特徴量とを状態毎に比較する。このとき、特徴量比較部16は、比較結果を客観的に表す指標としてユークリッド距離を算出する(ステップS108)。
図4は、ボット通信特徴量と正常通信特徴量の一例を示している。図4では、状態A〜Jに対する特徴量が示されている。これらの状態A〜Jは、図3に示した状態A〜Jと同じである。3段に分けて特徴量が示されているが、上側2段の特徴量が正常通信特徴量であり、最下段の特徴量がボット通信特徴量である。
ユークリッド距離dabは以下の(1)式で表される。ただし、ajは、特徴量算出部14によって算出された、特定のIPアドレスに関する状態毎の特徴量である。bjは、特徴量記憶部15によって記憶されている状態毎のボット通信特徴量または正常通信特徴量である。また、jは状態のインデックスであり、Nは状態の総数である。
特徴量算出部14によって算出された特徴量とボット通信特徴量または正常通信特徴量が近い場合、ユークリッド距離は小さくなる。また、特徴量算出部14によって算出された特徴量とボット通信特徴量または正常通信特徴量が遠い場合、ユークリッド距離は大きくなる。特徴量比較部16は、特徴量算出部14によって算出された特徴量とボット通信特徴量および正常通信特徴量との全ての組合せについてユークリッド距離を算出する。
ステップS108に続いて、判定部17は、ステップS108で算出されたユークリッド距離に基づいて、各IPアドレスが正常であるか異常であるかを判定する(ステップS110)。具体的には、判定部17は、判定対象のIPアドレス毎に、ステップS108で算出されたユークリッド距離の中から最小のユークリッド距離を選択する。選択したユークリッド距離の算出に正常通信特徴量が用いられていれば、判定部17は判定対象のIPアドレスが正常であると判定する。また、選択したユークリッド距離の算出にボット通信特徴量が用いられていれば、判定部17は判定対象のIPアドレスが異常であると判定する。
図3および図4に示した例では、図3に示した特徴量と図4に示したボット通信特徴量とから算出されたユークリッド距離が最小となる。したがって、図3に示した特徴量に対応したIPアドレスは異常であると判定される。これに対して、特徴量算出部14によって算出された特徴量と正常通信特徴量とから算出されたユークリッド距離が最小となった場合には、特徴量算出部14によって算出された特徴量に対応したIPアドレスは正常であると判定される。
このように、特徴量の比較を行うことによって、観測された通信が正常であるか異常であるかの判定を行うことができる。図3および図4に示した例では10種類の状態に係る特徴量が用いられているが、これに限らず、前述した第1〜第7の状態の中から2種類以上の状態に係る特徴量を用いればよい。
ステップS110に続いて、判定部17は、異常であると判定したIPアドレスがあるか否かを判定する(ステップS112)。異常であると判定したIPアドレスがなかった場合(ステップS112でNOの場合)、以降のステップS114,S116の処理がスキップされる。また、異常であると判定したIPアドレスが1つ以上ある場合(ステップS112でYESの場合)、判定部17は、異常であると判定したIPアドレスを通信情報抽出部18に通知する。通信情報抽出部18は、通信情報記憶部11に記憶されている通信情報から、判定部17によって通知されたIPアドレスをSource IPまたはDestination IPに含む通信情報を抽出する(ステップS114)。
通信情報抽出部18は、抽出した通信情報を表示制御部19へ出力する。表示制御部19は、通信情報抽出部18によって抽出された通信情報を表示するためのグラフィック画像データを生成し、表示部20へ出力する。表示部20は、表示制御部19から出力されたグラフィック画像データに基づいて通信情報を視覚化する(ステップS116)。例えば、判定部17によって通知されたIPアドレスをSource IPに含む通信情報が抽出された場合に、その通信情報に含まれるSource IP とDestination IPの組合せを表示すればよい。このような視覚化によって、ボットに感染した装置による通信の状況を把握することができる。
ステップS116の後、処理を中止するなどの指示がなければ(ステップS118でYESの場合)、処理が再度ステップS100に戻る。また、処理を中止するなどの指示があった場合(ステップS118でNOの場合)には、一連の処理が終了する。
次に、本実施形態の変形例を説明する。本変形例は、ボットに感染した可能性がある装置のIPアドレスをSource IPに含み、指令サーバの可能性がある装置のIPアドレスをDestination IPに含む通信情報を抽出するというものである。本変形例では、上記と同様に図2のステップS104〜S114の処理が実行され、異常であると判定されたIPアドレスをSource IPに含む通信情報が抽出される。このSource IPと同じIPアドレスを有する装置はボットに感染している可能性が高い。
また、所定の状態(第3の状態)に関して図2のステップS104〜S114の処理が実行され、異常であると判定されたIPアドレスをDestination IPに含む通信情報が抽出される。このDestination IPと同じIPアドレスを有する装置は指令サーバである可能性が高い。第3の状態(Destination Port(送信先Port)としてTCPの1024以上(1433,1434を除く)のPortが使用されたという状態)は指令サーバにも見られるので、指令サーバのIPアドレスを含む通信情報を抽出する際には、第3の状態が検出対象となる。
本変形例において、特徴量記憶部15は、指令サーバとして機能することが既知である装置のIPアドレスを含む通信結果に基づいて予め算出された、第3の状態に係る特徴量(以下、指令サーバ通信特徴量とする)も記憶する。指令サーバのIPアドレスを含む通信情報を抽出するためにステップS108でユークリッド距離を算出する際には、この指令サーバ通信特徴量が使用される。
最終的に通信情報抽出部18は、ボットに感染した可能性がある装置が行った通信に係る通信情報に含まれるSource IPと同じIPアドレスをSource IPに含み、指令サーバの可能性がある装置が行った通信に係る通信情報に含まれるDestination IPと同じIPアドレスをDestination IPに含む通信情報を抽出する。この通信情報は、ボットに感染した可能性がある装置と、指令サーバの可能性がある装置との間で行われた通信に関係する。このように、ボットに感染した可能性がある装置のIPアドレスをSource IPに含み、指令サーバの可能性がある装置のIPアドレスをDestination IPに含む通信情報を抽出することによって、ボットに感染した装置が指令サーバと行った通信に係る通信結果をより高精度に抽出することができる。
上述したように、本実施形態によれば、ネットワーク上で実行された通信に係る特徴量を、ボットに感染していることが既知である装置が実行した通信に係る特徴量と比較すること、かつボットに感染した装置が行う通信に見られる複数の状態について状態毎に特徴量を比較することによって、ボットに感染した装置に関する通信結果を精度よく抽出することができる。
本実施形態で検出対象とする状態は、ボットに感染した装置が通信を行うことにより発生する、ボットに特有の状態である。したがって、本実施形態によれば、ボットに感染した装置が行った通信に係る通信結果をより高精度に抽出することができる。
また、ネットワーク上で実行された通信に係る特徴量を、ボットに感染していることが既知である装置が実行した通信に係る特徴量と、ボットに感染していないことが既知である装置が実行した通信に係る特徴量との両方と比較し、比較結果に基づいて通信結果を抽出することによって、ボットに感染した装置が行った通信に係る通信結果をより高精度に抽出することができる。
また、本実施形態の変形例によれば、ボットに感染した可能性がある装置のIPアドレスをSource IPに含み、指令サーバの可能性がある装置のIPアドレスをDestination IPに含む通信情報を抽出することによって、ボットに感染した装置が指令サーバと行った通信に係る通信結果をより高精度に抽出することができる。
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態による情報処理装置の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
10・・・通信監視部、11・・・通信情報記憶部(第1の記憶手段)、12・・・通信解析部、13・・・カウンタ(カウント手段)、14・・・特徴量算出部(算出手段)、15・・・特徴量記憶部(第2の記憶手段、第3の記憶手段)、16・・・特徴量比較部(比較手段)、17・・・判定部(選択手段)、18・・・通信情報抽出部(抽出手段)、19・・・表示制御部、20・・・表示部
Claims (5)
- ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する第1の記憶手段と、
ボットに感染していることが既知である装置のIPアドレスを含む通信結果に基づいて予め算出された、ボットに感染した装置が行う通信に見られる複数の状態に係る特徴量を状態毎に記憶する第2の記憶手段と、
前記第1の記憶手段によって記憶されている前記通信結果に基づいて、前記複数の状態の出現数を状態毎かつIPアドレス毎にカウントするカウント手段と、
前記出現数に基づいて、前記複数の状態に係る特徴量を状態毎かつIPアドレス毎に算出する算出手段と、
前記算出手段によって算出された特徴量と、前記第2の記憶手段によって記憶されている特徴量とを状態毎に比較する比較手段と、
前記比較手段による比較の結果に基づいてIPアドレスを選択する選択手段と、
前記第1の記憶手段によって記憶されている前記通信結果から、選択されたIPアドレスを含む通信結果を抽出する抽出手段と、
を備え、
前記第2の記憶手段はさらに、ボットに感染していないことが既知である装置のIPアドレスを含む通信結果に基づいて予め算出された、ボットに感染した装置が行う通信に見られる複数の状態に係る特徴量を状態毎に記憶し、
前記選択手段は、前記算出手段によって算出された状態毎かつIPアドレス毎の前記特徴量が、前記第2の記憶手段によって記憶されている、ボットに感染していないことが既知である装置に係る状態毎の前記特徴量よりも、前記第2の記憶手段によって記憶されている、ボットに感染していることが既知である装置に係る状態毎の前記特徴量に近い場合に、前記算出手段によって算出された前記特徴量に係るIPアドレスを選択し、
前記複数の状態は、
送受信関係の確立に失敗したという第1の状態、
送信先のPortとしてTCP/UDPの135から139まで、445、1433、1434のPortのいずれかが使用されたという第2の状態、
送信先のPortとしてTCPの1024以上であって、1433,1434を除くPortが使用されたという第3の状態、
DNSサーバに対してドメイン名の名前解決を要求したが、エラーが発生したという応答、または当該ドメイン名に対応するIPアドレスが存在しないという応答があったという第4の状態、
DNSサーバに対して、所定の国名以外の国名を有するドメイン名の名前解決を要求したという第5の状態、
HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得したという第6の状態、
ユーザ名が不明であることを知らせるSMTP Responseがあったという第7の状態、
のうちの複数の状態であり、
前記第1の状態の特徴量は、送受信関係の確立の成功率であり、
前記第2の状態の特徴量は、全TCP/UDPパケットに対して、送信先のPortとしてTCP/UDPの135から139まで、445、1433、1434のPortのいずれかが使用されたパケットが占める割合であり、
前記第3の状態の特徴量は、全TCPパケットに対して、送信先のPortとしてTCPの1024以上であって、1433,1434を除くPortが使用されたパケットが占める割合であり、
前記第4の状態の特徴量は、DNSサーバに対してドメイン名の名前解決を要求したときの全ての応答に対して、エラーが発生したという応答、または当該ドメイン名に対応するIPアドレスが存在しないという応答が占める割合であり、
前記第5の状態の特徴量は、第5の状態の特徴量は、DNSサーバに対してドメイン名の名前解決を要求したときの全ての応答に対して、所定の国名以外の国名を有するドメイン名が記録された応答が占める割合であり、
前記第6の状態の特徴量は、HTTP GETコマンドによる通信に係る全てのパケットに対して、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得する通信に係るパケットが占める割合であり、
前記第7の状態の特徴量は、全SMTP Responseパケットに対して、ユーザ名が不明であることを知らせるSMTP Responseパケットが占める割合である
ことを特徴とする情報処理装置。 - 前記第1の状態は、
ICMP Echoパケットに対してICMP Replyパケットが返信されないという状態A、
TCP-SYNパケットに対してTCP-SYN-ACKパケットが返信されないという状態B、
ICMP Unreachableパケットが返信されるという状態C
のいずれか1つ以上の状態であり、
前記状態Aの特徴量は、ICMP Echoパケットに対してICMP Replyパケットが返信されない割合であり、
前記状態Bの特徴量は、TCP-SYNパケットに対してTCP-SYN-ACKパケットが返信されない割合であり、
前記状態Cの特徴量は、全送信パケットに対してICMP Unreachableパケットが占める割合であり、
前記第1の状態が前記状態A、前記状態B、前記状態Cのうちの2つ以上の状態である場合、前記第2の記憶手段は、前記2つ以上の状態に係る特徴量を状態毎に記憶し、前記カウント手段は、前記2つ以上の状態の出現数を状態毎かつIPアドレス毎にカウントし、前記算出手段は、前記2つ以上の状態に係る特徴量を状態毎かつIPアドレス毎に算出する
ことを特徴とする請求項1に記載の情報処理装置。 - ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する第1の記憶手段と、
ボットに感染していることが既知である装置のIPアドレスを含む通信結果に基づいて予め算出された、ボットに感染した装置が行う通信に見られる複数の状態に係る特徴量を状態毎に記憶する第2の記憶手段と、
ボットの指令サーバとして機能することが既知である装置のIPアドレスを含む通信結果に基づいて予め算出された、ボットの指令サーバが行う通信に見られる所定の状態に係る特徴量を記憶する第3の記憶手段と、
前記第1の記憶手段によって記憶されている前記通信結果に基づいて、前記複数の状態の出現数を状態毎かつIPアドレス毎にカウントする第1のカウント手段と、
前記第1の記憶手段によって記憶されている前記通信結果に基づいて、前記所定の状態の出現数をIPアドレス毎にカウントする第2のカウント手段と、
前記第1のカウント手段によってカウントされた出現数に基づいて、前記複数の状態に係る特徴量を状態毎かつIPアドレス毎に算出する第1の算出手段と、
前記第2のカウント手段によってカウントされた出現数に基づいて、前記所定の状態に係る特徴量をIPアドレス毎に算出する第2の算出手段と、
前記第1の算出手段によって算出された特徴量と、前記第2の記憶手段によって記憶されている特徴量とを状態毎に比較する第1の比較手段と、
前記第2の算出手段によって算出された特徴量と、前記第3の記憶手段によって記憶されている特徴量とを比較する第2の比較手段と、
前記第1の比較手段による比較の結果に基づいてIPアドレスを選択する第1の選択手段と、
前記第2の比較手段による比較の結果に基づいてIPアドレスを選択する第2の選択手段と、
前記第1の記憶手段によって記憶されている前記通信結果から、前記第1の選択手段によって選択されたIPアドレスを送信元のIPアドレスに含み、前記第2の選択手段によって選択されたIPアドレスを送信先のIPアドレスに含む通信結果を抽出する抽出手段と、
を備え、
前記複数の状態は、
送受信関係の確立に失敗したという第1の状態、
送信先のPortとしてTCP/UDPの135から139まで、445、1433、1434のPortのいずれかが使用されたという第2の状態、
送信先のPortとしてTCPの1024以上であって、1433,1434を除くPortが使用されたという第3の状態、
DNSサーバに対してドメイン名の名前解決を要求したが、エラーが発生したという応答、または当該ドメイン名に対応するIPアドレスが存在しないという応答があったという第4の状態、
DNSサーバに対して、所定の国名以外の国名を有するドメイン名の名前解決を要求したという第5の状態、
HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得したという第6の状態、
ユーザ名が不明であることを知らせるSMTP Responseがあったという第7の状態、
のうちの複数の状態であり、
前記第1の状態の特徴量は、送受信関係の確立の成功率であり、
前記第2の状態の特徴量は、全TCP/UDPパケットに対して、送信先のPortとしてTCP/UDPの135から139まで、445、1433、1434のPortのいずれかが使用されたパケットが占める割合であり、
前記第3の状態の特徴量は、全TCPパケットに対して、送信先のPortとしてTCPの1024以上であって、1433,1434を除くPortが使用されたパケットが占める割合であり、
前記第4の状態の特徴量は、DNSサーバに対してドメイン名の名前解決を要求したときの全ての応答に対して、エラーが発生したという応答、または当該ドメイン名に対応するIPアドレスが存在しないという応答が占める割合であり、
前記第5の状態の特徴量は、第5の状態の特徴量は、DNSサーバに対してドメイン名の名前解決を要求したときの全ての応答に対して、所定の国名以外の国名を有するドメイン名が記録された応答が占める割合であり、
前記第6の状態の特徴量は、HTTP GETコマンドによる通信に係る全てのパケットに対して、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得する通信に係るパケットが占める割合であり、
前記第7の状態の特徴量は、全SMTP Responseパケットに対して、ユーザ名が不明であることを知らせるSMTP Responseパケットが占める割合である
ことを特徴とする情報処理装置。 - 請求項1〜請求項3のいずれかに記載の情報処理装置としてコンピュータを機能させるためのプログラム。
- 請求項4に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008261027A JP5286018B2 (ja) | 2008-10-07 | 2008-10-07 | 情報処理装置、プログラム、および記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008261027A JP5286018B2 (ja) | 2008-10-07 | 2008-10-07 | 情報処理装置、プログラム、および記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010092236A JP2010092236A (ja) | 2010-04-22 |
| JP5286018B2 true JP5286018B2 (ja) | 2013-09-11 |
Family
ID=42254891
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008261027A Expired - Fee Related JP5286018B2 (ja) | 2008-10-07 | 2008-10-07 | 情報処理装置、プログラム、および記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5286018B2 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5702352B2 (ja) * | 2012-10-31 | 2015-04-15 | 株式会社オプティム | ユーザ端末、信頼性管理サーバ、不正遠隔操作防止方法、及び不正遠隔操作防止プログラム |
| JP6174520B2 (ja) * | 2014-05-22 | 2017-08-02 | 日本電信電話株式会社 | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム |
| US10038706B2 (en) * | 2014-10-31 | 2018-07-31 | Verisign, Inc. | Systems, devices, and methods for separating malware and background events |
| US20170155667A1 (en) * | 2015-11-30 | 2017-06-01 | Symantec Corporation | Systems and methods for detecting malware infections via domain name service traffic analysis |
| JP2018169897A (ja) * | 2017-03-30 | 2018-11-01 | 日本電信電話株式会社 | 検知装置、検知方法及び検知プログラム |
| JP2018169907A (ja) * | 2017-03-30 | 2018-11-01 | 日本電信電話株式会社 | 検知装置、検知方法及び検知プログラム |
| JP6783261B2 (ja) | 2018-02-15 | 2020-11-11 | 日本電信電話株式会社 | 脅威情報抽出装置及び脅威情報抽出システム |
| EP3964988B1 (en) | 2019-06-04 | 2023-11-08 | Nippon Telegraph And Telephone Corporation | Sensing device, sensing method, and sensing program |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4084317B2 (ja) * | 2004-02-16 | 2008-04-30 | 日本電信電話株式会社 | ワーム検出方法 |
| JP2005244429A (ja) * | 2004-02-25 | 2005-09-08 | Intelligent Cosmos Research Institute | ネットワーク異常検出の特徴量抽出方法、その方法をコンピュータに実行させるプログラム、その特徴量抽出装置およびネットワーク異常検出システム |
| US7457823B2 (en) * | 2004-05-02 | 2008-11-25 | Markmonitor Inc. | Methods and systems for analyzing data related to possible online fraud |
| JP4479459B2 (ja) * | 2004-10-19 | 2010-06-09 | 横河電機株式会社 | パケット解析システム |
| JP4412156B2 (ja) * | 2004-11-30 | 2010-02-10 | 沖電気工業株式会社 | 処理装置 |
| JP4170299B2 (ja) * | 2005-01-31 | 2008-10-22 | 独立行政法人 宇宙航空研究開発機構 | 通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置 |
| JP2007013262A (ja) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 |
| JP2007157059A (ja) * | 2005-12-08 | 2007-06-21 | Securebrain Corp | プロアクティブな不正プログラム検出方法、検出装置及びコンピュータプログラム |
| JP4774307B2 (ja) * | 2006-02-06 | 2011-09-14 | アラクサラネットワークス株式会社 | 不正アクセス監視装置及びパケット中継装置 |
| JP4823813B2 (ja) * | 2006-08-28 | 2011-11-24 | Kddi株式会社 | 異常検知装置、異常検知プログラム、および記録媒体 |
| JP2008131565A (ja) * | 2006-11-24 | 2008-06-05 | Hitachi Ltd | ログ可視化システム,可視化方法及びログ可視化装置 |
| JP4883409B2 (ja) * | 2007-01-22 | 2012-02-22 | 独立行政法人情報通信研究機構 | データ類似性検査方法及び装置 |
| JP2008219525A (ja) * | 2007-03-05 | 2008-09-18 | Tohoku Univ | ネットワーク異常検知方法およびネットワーク異常検知システム |
-
2008
- 2008-10-07 JP JP2008261027A patent/JP5286018B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010092236A (ja) | 2010-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5286018B2 (ja) | 情報処理装置、プログラム、および記録媒体 | |
| Binkley et al. | An algorithm for anomaly-based botnet detection. | |
| US8977747B2 (en) | System and method for detection of aberrant network behavior by clients of a network access gateway | |
| US7873998B1 (en) | Rapidly propagating threat detection | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| JP6159018B2 (ja) | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム | |
| TW201703465A (zh) | 網路異常偵測技術 | |
| JP5655191B2 (ja) | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム | |
| US9203848B2 (en) | Method for detecting unauthorized access and network monitoring apparatus | |
| JP5947838B2 (ja) | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム | |
| JP2006314077A (ja) | ネットワーク制御装置と制御システム並びに制御方法 | |
| US7506372B2 (en) | Method and apparatus for controlling connection rate of network hosts | |
| CN110266668B (zh) | 一种端口扫描行为的检测方法及装置 | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| Maier et al. | An assessment of overt malicious activity manifest in residential networks | |
| US10963562B2 (en) | Malicious event detection device, malicious event detection method, and malicious event detection program | |
| Burghouwt et al. | Detection of covert botnet command and control channels by causal analysis of traffic flows | |
| JP4825767B2 (ja) | 異常検知装置、プログラム、および記録媒体 | |
| US8572745B2 (en) | System, method, and computer program product for selecting a wireless network based on security information | |
| Khakpour et al. | Firewall fingerprinting | |
| JP5328283B2 (ja) | 情報処理装置、プログラム、および記録媒体 | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| Eimann | Network event detection with entropy measures | |
| JP5135163B2 (ja) | 情報処理装置およびプログラム | |
| JP2009049592A (ja) | Ipフロー計測回路およびipフロー計測方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110819 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110823 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130121 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130219 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20130415 Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130415 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130507 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130603 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5286018 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |