JP5465651B2 - リスト生成方法、リスト生成装置及びリスト生成プログラム - Google Patents
リスト生成方法、リスト生成装置及びリスト生成プログラム Download PDFInfo
- Publication number
- JP5465651B2 JP5465651B2 JP2010267224A JP2010267224A JP5465651B2 JP 5465651 B2 JP5465651 B2 JP 5465651B2 JP 2010267224 A JP2010267224 A JP 2010267224A JP 2010267224 A JP2010267224 A JP 2010267224A JP 5465651 B2 JP5465651 B2 JP 5465651B2
- Authority
- JP
- Japan
- Prior art keywords
- url
- character string
- malicious
- partial
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
実施例1に係るリスト生成装置の構成について説明する。図1は、実施例1に係るリスト生成装置1の構成の一例を説明するための図である。図1に示すように、実施例1に係るリスト生成装置1は、部分URL生成部2と、近隣URL抽出部3と、悪性URL決定部4とを有し、ネットワーク5と接続されている。そして、実施例1に係るリスト生成装置1は、悪質な資源情報の格納先を示す悪性統一資源位置指定子に基づいて、新規の悪性統一資源位置指定子を決定してリストに反映する。なお、資源情報の格納先を示す統一資源位置指定子としては、URLが挙げられる。
まず、実施例2に係るリスト生成装置の構成について説明する。図2は、実施例2に係るリスト生成装置100の構成の一例を説明するための図である。図2に示すように、実施例2に係るリスト生成装置100、入出力制御I/F部10と、入力部20と、表示部30と、通信部40と、ブラックリスト記憶部51と、判定基準記憶部52と、近隣URL記憶部53と、制御部60とを有している。そして、リスト生成装置100は、図2に示すように、インターネット200と接続されている。
次に、実施例2に係るリスト生成装置100による処理の手順について、図8を用いて説明する。なお、図8においては、情報収集部61によってブラックリスト及び判定基準が収集され、それぞれブラックリスト記憶部51及び判定基準記憶部52に格納された後の手順について示している。図8は、実施例2に係るリスト生成装置100によるリスト生成処理の手順を示すシーケンス図である。
上述したように、実施例2によれば、部分URL生成部62が、悪質な資源情報の格納先を示す悪性URLに含まれる任意の文字列を組み合わせた部分URLを生成する。そして、近隣URL抽出部63が、部分URL生成部62によって生成された部分URLを含む近隣URLをネットワーク上から抽出する。そして、悪性URL決定部64が、近隣URL抽出部63によって抽出された近隣URLが指定する格納先に格納された情報が悪性か否かを判定し、悪性であった場合に当該近隣URLを新規の悪性URLとしてブラックリストに反映すると決定する。従って、実施例2に係るリスト生成装置100は、攻撃者によって部分的に変更されたURLを悪性URLとして効率的に検出することができ、ブラックリストを維持管理することを容易にすることを可能にする。
上述した実施例2では、検索コマンドとして「site:」のみを用いてクエリを生成する場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、他の検索コマンドと組み合わせたクエリを生成する場合であってもよい。図9は、近隣URL抽出部63によるクエリ生成の一例を説明するための図である。
上述した実施例2では、1つの検索エンジンに近隣探索を実行させる場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、複数の検索エンジンにより近隣探索を実行する場合であってもよい。図10は、複数の検索エンジンを用いた場合の近隣探索の一例を説明するための図である。
上述した実施例2では、ドメイン内の文字列検索コマンドの一例として「site:」を用いる場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、検索エンジンごとの固有の検索コマンドを用いる場合であってもよい。例を挙げると、サブドメインのレベルに関係なく、指定したドメイン名が含まれるURLを検索範囲とする検索コマンドを用いる場合であってもよい。このような検索コマンドとしては、例えば、「domain:」などが知られている。
上述した実施例2では、近隣URLがマルウェアなどを含むサイトであるか否かにより悪性URLを決定する場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、近隣URLがフィッシングサイトや有害サイトであるか否かにより悪性URLを決定する場合であってもよい。
上述した実施例1及び2では、リストを生成する専用装置を例に挙げて説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、プロキシサーバなどに搭載されたフィルタリング装置に組み込む場合であってもよい。かかる場合には、部分URL生成部62、近隣URL抽出部63及び悪性URL決定部64をフィルタリング装置に組み込み、フィルタリング装置が有するブラックリストを更新する。
上述した実施例2では、悪性URL決定部64がクライアント型ハニーポットとして機能することで悪性URLを決定する場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、悪性URL決定部64が、インターネット200に接続された他のクライアント型ハニーポットに近隣URLを転送して、検査を実行させた結果に基づいて、悪性URLを決定する場合であってもよい。
上述した実施例2では、URLのスキームがHTTPである場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、URLのスキームがHTTPSやFTP(File Transfer Protocol)である場合であってもよい。
例えば、各装置の分散・統合の具体的形態(例えば、図2の形態)は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合することができる。一例を挙げると、ブラックリスト記憶部51と判定基準記憶部52とを一つの記憶部として統合してもよく、一方、近隣URL抽出部63を、クエリを生成するクエリ生成部と、検索エンジンに近隣探索を実行させる探索実行部とに分散してもよい。
上記実施例で説明したリスト生成装置100は、あらかじめ用意されたプログラムをコンピュータで実行することで実現することもできる。そこで、以下では、図2に示したリスト生成装置100と同様の機能を実現するリスト生成プログラムを実行するコンピュータの一例を説明する。
2、62 部分URL生成部
3、63 近隣URL抽出部
4、64 悪性URL決定部
Claims (7)
- 悪質な資源情報の格納先を示す悪性統一資源位置指定子に含まれる任意の文字列を組み合わせた部分文字列を生成する部分文字列生成ステップと、
前記部分文字列生成ステップによって生成された前記部分文字列を含む統一資源位置指定子をネットワーク上から抽出する抽出ステップと、
前記抽出ステップによって抽出された統一資源位置指定子が指定する格納先に格納された情報が悪性か否かを判定し、悪性であった場合に当該統一資源位置指定子を新規の悪性統一資源位置指定子として前記悪性統一資源位置指定子のリストに反映すると決定する決定ステップと、
を含み、コンピュータで実行されることを特徴とするリスト生成方法。 - 前記部分文字列生成ステップは、前記統一資源位置指定子としてURLを対象とし、悪性URLのドメイン部及びパス部それぞれにおいて、階層構造の上位層の文字列から順に段階的に連結した複数の部分文字列を生成し、
前記抽出ステップは、URLの階層構造に基づいて、前記部分文字列生成ステップによって生成された複数の部分文字列それぞれが対応する階層に配置されたURLを抽出することを特徴とする請求項1に記載のリスト生成方法。 - 前記部分文字列生成ステップは、前記悪性URLのドメイン部のみの部分文字列を生成する場合に、当該部分文字列にトップレベルドメイン又はパブリックサフィックスに加えて少なくとも1つ以上の文字列を含ませることを特徴とする請求項2に記載のリスト生成方法。
- 前記抽出ステップは、前記部分文字列に対して1つ又は複数の検索コマンドを付与したクエリを生成し、生成したクエリを検索エンジンに実行させることにより、当該部分文字列が対応する階層に配置されたURLを抽出することを特徴とする請求項1又は2に記載のリスト生成方法。
- 前記抽出ステップは、前記クエリを複数の検索エンジンに実行させることにより、前記部分文字列が対応する階層に配置されたURLを抽出することを特徴とする請求項4に記載のリスト生成方法。
- 悪質な資源情報の格納先を示す悪性統一資源位置指定子に含まれる任意の文字列を組み合わせた部分文字列を生成する部分文字列生成部と、
前記部分文字列生成部によって生成された前記部分文字列を含む統一資源位置指定子をネットワーク上から抽出する抽出部と、
前記抽出部によって抽出された統一資源位置指定子が指定する格納先に格納された情報が悪性か否かを判定し、悪性であった場合に当該統一資源位置指定子を新規の悪性統一資源位置指定子として前記悪性統一資源位置指定子のリストに反映すると決定する決定部と、
を有することを特徴とするリスト生成装置。 - コンピュータに請求項1〜5のいずれか1つに記載のリスト生成方法を実行させるためのリスト生成プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010267224A JP5465651B2 (ja) | 2010-11-30 | 2010-11-30 | リスト生成方法、リスト生成装置及びリスト生成プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010267224A JP5465651B2 (ja) | 2010-11-30 | 2010-11-30 | リスト生成方法、リスト生成装置及びリスト生成プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012118713A JP2012118713A (ja) | 2012-06-21 |
JP5465651B2 true JP5465651B2 (ja) | 2014-04-09 |
Family
ID=46501473
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010267224A Active JP5465651B2 (ja) | 2010-11-30 | 2010-11-30 | リスト生成方法、リスト生成装置及びリスト生成プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5465651B2 (ja) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015087835A1 (ja) | 2013-12-10 | 2015-06-18 | 日本電信電話株式会社 | Urlマッチング装置、urlマッチング方法、および、urlマッチングプログラム |
JP6039826B2 (ja) * | 2014-01-31 | 2016-12-07 | 株式会社日立製作所 | 不正アクセスの検知方法および検知システム |
EP3101580B1 (en) | 2014-03-19 | 2019-02-27 | Nippon Telegraph and Telephone Corporation | Website information extraction device, system, website information extraction method, and website information extraction program |
AU2015266653A1 (en) * | 2014-05-30 | 2016-09-15 | Beestripe Llc | Method of redirecting search queries |
CN107251037B (zh) | 2015-02-20 | 2021-02-12 | 日本电信电话株式会社 | 黑名单生成装置、黑名单生成系统、黑名单生成方法和记录介质 |
JP6378808B2 (ja) * | 2017-06-28 | 2018-08-22 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 接続先情報判定装置、接続先情報判定方法、及びプログラム |
JP2023067463A (ja) | 2021-11-01 | 2023-05-16 | 富士通株式会社 | ドメイン検索プログラム、ドメイン検索方法および情報処理装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4021681B2 (ja) * | 2002-02-22 | 2007-12-12 | 日本電信電話株式会社 | ページレイティング/フィルタリング方法および装置とページレイティング/フィルタリングプログラムおよび該プログラムを記録したコンピュータ読取り可能な記録媒体 |
JP2005293123A (ja) * | 2004-03-31 | 2005-10-20 | Nippon Telegraph & Telephone West Corp | コンテンツフィルタリングシステム、その方法およびプログラム |
JP2007249584A (ja) * | 2006-03-15 | 2007-09-27 | Softec:Kk | クライアントデータベース構築方法、データ検索方法、データ検索システム、データ検索フィルタリングシステム、クライアントデータベース構築プログラム、データ検索プログラム、データ検索フィルタリングプログラム及びプログラムを格納したコンピュータで読み取り可能な記録媒体並びに記録した機器 |
JP5415390B2 (ja) * | 2010-10-28 | 2014-02-12 | 日本電信電話株式会社 | フィルタリング方法、フィルタリングシステム及びフィルタリングプログラム |
-
2010
- 2010-11-30 JP JP2010267224A patent/JP5465651B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012118713A (ja) | 2012-06-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5465651B2 (ja) | リスト生成方法、リスト生成装置及びリスト生成プログラム | |
JP5989919B2 (ja) | Urlマッチング装置、urlマッチング方法、および、urlマッチングプログラム | |
US10740363B2 (en) | Domain classification based on domain name system (DNS) traffic | |
JP5415390B2 (ja) | フィルタリング方法、フィルタリングシステム及びフィルタリングプログラム | |
EP3547635A1 (en) | Method and device for detecting webshell | |
JP6315640B2 (ja) | 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム | |
RU2634209C1 (ru) | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью | |
WO2014116857A1 (en) | Domain classification based on client request behavior | |
JP5813810B2 (ja) | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム | |
JP6030272B2 (ja) | ウェブサイト情報抽出装置、システム、ウェブサイト情報抽出方法、および、ウェブサイト情報抽出プログラム | |
JP5389739B2 (ja) | 解析システム、解析装置、解析方法及び解析プログラム | |
JPWO2018163464A1 (ja) | 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム | |
Kondracki et al. | Catching transparent phish: Analyzing and detecting mitm phishing toolkits | |
Marnerides et al. | Identifying infected energy systems in the wild | |
US8392421B1 (en) | System and method for internet endpoint profiling | |
CN109241483B (zh) | 一种基于域名推荐的网站发现方法和系统 | |
Akiyama et al. | Improved blacklisting: inspecting the structural neighborhood of malicious URLs | |
Pletinckx et al. | Certifiably vulnerable: Using certificate transparency logs for target reconnaissance | |
Arya et al. | A client-side anti-pharming (CSAP) approach | |
JP2009230662A (ja) | ウェブサイト判定装置及びウェブサイト判定プログラム | |
Quinkert et al. | Dorkpot: A honeypotbased analysis of google dorks | |
JP6478730B2 (ja) | 悪性url候補取得装置、悪性url候補取得方法、及びプログラム | |
Vilches et al. | Aztarna, a footprinting tool for robots | |
Bennett | Search Engines That Scan For Internet-Connected Services: Classification and Empirical Study | |
Wang et al. | Design and Implementation of Web Honeypot Detection System Based on Search Engine |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121226 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131120 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131126 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131224 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140121 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140122 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5465651 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |