JP5568344B2 - 攻撃検出装置、攻撃検出方法、及びプログラム - Google Patents
攻撃検出装置、攻撃検出方法、及びプログラム Download PDFInfo
- Publication number
- JP5568344B2 JP5568344B2 JP2010062952A JP2010062952A JP5568344B2 JP 5568344 B2 JP5568344 B2 JP 5568344B2 JP 2010062952 A JP2010062952 A JP 2010062952A JP 2010062952 A JP2010062952 A JP 2010062952A JP 5568344 B2 JP5568344 B2 JP 5568344B2
- Authority
- JP
- Japan
- Prior art keywords
- dns
- request messages
- attack
- domain
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
このような高度化かつ巧妙化したマルウェアとして、通信のパラメータを、形式は正常に見せつつ、悪意ある行為のために用いたものが考えられる。例えば、DNSサーバへの名前解決の問い合わせ(DNSクエリ)や、DNSクエリに対するDNSサーバからの応答(DNSレスポンス)の形式をとりつつ、これらの通信で交換する情報を悪意ある行為のために用いるもの等である。
しかしながら、このようなマルウェアによる攻撃は、通信のパラメータの形式としては正常なため、攻撃として検出するのは非常に困難であった。
また、特許文献1では、DNSクエリに着目してネットワーク攻撃を検出しているものの、実際の攻撃が開始された時点で攻撃検出を行うのではなく、攻撃者がDNSによる名前解決を要求した時点で攻撃検出を行うものであり、DNSの形式をとりつつ通信で交換する情報を悪意ある行為のために用いるようなマルウェアによる攻撃を検出するものではない。
まず、本実施の形態が適用されるコンピュータシステムについて説明する。
図1は、このようなコンピュータシステムの全体構成例を示した図である。
図示するように、このコンピュータシステムでは、クライアント10a,10b,10cと社内DNSサーバ20とが社内LAN(Local Area Network)70に接続されており、攻撃者DNSサーバ30がインターネット80に接続されている。そして、攻撃検出装置40が社内LAN70とインターネット80の両方に接続されている。
インターネット80は、TCP/IPを用いて全世界のネットワークを相互に接続した巨大なネットワークである。
そこで、まず、この攻撃検出装置40の機能構成について説明する。
図2は、攻撃検出装置40の機能構成例を示したブロック図である。
図示するように、攻撃検出装置40は、DNSデータ抽出部41と、ドメインデータ抽出部42と、抽出条件記憶部43と、ブラックリスト照合部44と、ブラックリスト記憶部45とを備えている。また、ドメインデータ検査部46と、検査条件記憶部47と、ブラックリスト更新部48と、アラート発信部49とを備えている。
以下、3種類の脅威のそれぞれを検出する攻撃検出装置40を第1〜第3の実施の形態とし、これらの実施の形態の動作について説明する。
この第1の実施の形態で検出する脅威は、ボットに感染したクライアント10が、DNSクエリに含まれるFQDNの下位レベルのドメイン名に情報を埋め込むことで外部のC&Cサーバと通信を行うという脅威である。具体的には、クライアント10が、まず、例えば「command.bot.example.jp」というFQDNを含むDNSデータを社内DNSサーバ20に送信することにより、C&Cサーバにコマンドを要求する。これにより、DNSデータは、「bot.example.jp」というドメインを管理する攻撃者DNSサーバ30に行き着き、攻撃者DNSサーバ30がIPアドレスを含むDNSデータをクライアント10に返す。ここで、クライアント10のボットは、FQDNとIPアドレスと処理との対応を有しており、あるFQDNの名前解決の要求に対してあるIPアドレスが返された場合に、そのFQDNとそのIPアドレスに対応付けられた処理を実行する。例えば、FQDN「command.bot.example.jp」とIPアドレス「xxx.xxx.xxx.1」と処理「スパムメールの送信」とが対応付けられ、FQDN「command.bot.example.jp」とIPアドレス「xxx.xxx.xxx.2」と処理「ウェブページの改竄」とが対応付けられていたとする。すると、FQDN「command.bot.example.jp」を含むDNSデータに対して、攻撃者DNSサーバ30がIPアドレス「xxx.xxx.xxx.1」を含むDNSデータを返せば、クライアント10はスパムメールを送信し、攻撃者DNSサーバ30がIPアドレス「xxx.xxx.xxx.2」を含むDNSデータを返せば、クライアント10はウェブページを改竄する。
尚、図中、「login.bot.example.jp」は、C&Cサーバへのログインを要求する記述であり、「info.bot.example.jp」は、指示された処理を実行して得られた情報をC&Cサーバに伝える記述であり、「logout.bot.example.jp」は、C&Cサーバからのログアウトを要求する記述である。そして、これらの記述を含む上りDNSデータに対して返される下りDNSデータにおいて、IPアドレス「xxx.xxx.xxx.1」は「OK」を意味しており、IPアドレス「xxx.xxx.xxx.2」は「NG」を意味しているものとする。
尚、図では、英語表記のドメイン名を示したが、これはあくまで例示であり、日本語のドメイン名やマルチ言語のドメイン名に対しても本実施の形態は適用可能である。また、IPアドレスとしては、IPv4のアドレスを示したが、これも例示であり、IPv6のアドレスに対しても本実施の形態は適用可能である。
攻撃検出装置40では、まず、DNSデータ抽出部41が、社内LAN70からインターネット80へ流れるネットワークトラフィックからデータをキャプチャする(ステップ401)。次に、ステップ401でキャプチャしたデータが、抽出条件記憶部43に記憶されたDNSデータ抽出条件を満たすかどうかを判定する(ステップ402)。具体的には、ステップ401でキャプチャしたデータが上りDNSデータであるかどうかを判定する。そして、上りDNSデータでなければ、ステップ401に戻ってキャプチャを続けるが、上りDNSデータであれば、ステップ403へ進む。
ここで、上位ブラックリスト内の上位ドメイン名がそのデータに含まれていないと判定された場合、ブラックリスト照合部44は、ブラックリスト記憶部45に記憶された下位ブラックリスト内の下位ドメイン名がそのデータに含まれているかどうかを判定する(ステップ405)。
また、ステップ404で上位ブラックリスト内の上位ドメイン名がデータに含まれていると判定された場合や、ステップ405で下位ブラックリスト内の下位ドメイン名がデータに含まれていると判定された場合も、アラート発信部49が、DNSを悪用した不正通信による攻撃を検出した旨のアラートを外部に出力する(ステップ410)。
攻撃検出装置40では、まず、DNSデータ抽出部41が、インターネット80から社内LAN70へ流れるネットワークトラフィックからデータをキャプチャする(ステップ421)。次に、ステップ421でキャプチャしたデータが、抽出条件記憶部43に記憶されたDNSデータ抽出条件を満たすかどうかを判定する(ステップ422)。具体的には、ステップ421でキャプチャしたデータが下りDNSデータであるかどうかを判定する。そして、下りDNSデータでなければ、ステップ421に戻ってキャプチャを続けるが、下りDNSデータであれば、ステップ423へ進む。
また、同じFQDNの名前解決の要求に対して異なるIPアドレスが返されていることも検出するようにした。これにより、DNSを悪用した不正通信による攻撃が行われている虞があることを検知可能となった。
この第2の実施の形態で検出する脅威は、ボットに感染したクライアント10が、DNSクエリに含まれるFQDNの下位レベルのドメイン名に情報を埋め込むことで外部に情報を持ち出すという脅威である。具体的には、クライアント10のボットが、例えば「example.jp」というドメインのサブドメインに、クライアント10のOS、ユーザ名、パスワード、プロセス名等の情報を埋め込んだFQDNを含むDNSデータを社内DNSサーバ20に送信する。これにより、DNSデータは、「example.jp」というドメインを管理する攻撃者DNSサーバ30に行き着き、攻撃者DNSサーバ30がクライアント10のOS、ユーザ名、パスワード、プロセス名等の情報を詐取する。
尚、図では、英語表記のドメイン名を示したが、これはあくまで例示であり、日本語のドメイン名やマルチ言語のドメイン名に対しても本実施の形態は適用可能である。
攻撃検出装置40では、まず、DNSデータ抽出部41が、社内LAN70からインターネット80へ流れるネットワークトラフィックからデータをキャプチャする(ステップ441)。次に、ステップ441でキャプチャしたデータが、抽出条件記憶部43に記憶されたDNSデータ抽出条件を満たすかどうかを判定する(ステップ442)。具体的には、ステップ441でキャプチャしたデータが上りDNSデータであるかどうかを判定する。そして、上りDNSデータでなければ、ステップ441に戻ってキャプチャを続けるが、上りDNSデータであれば、ステップ443へ進む。
ここで、上位ブラックリスト内の上位ドメイン名がそのデータに含まれていないと判定された場合、ブラックリスト照合部44は、ブラックリスト記憶部45に記憶された下位ブラックリスト内の下位ドメイン名がそのデータに含まれているかどうかを判定する(ステップ445)。
また、ステップ444で上位ブラックリスト内の上位ドメイン名がデータに含まれていると判定された場合や、ステップ445で下位ブラックリスト内の下位ドメイン名がデータに含まれていると判定された場合も、アラート発信部49が、DNSを悪用した情報持ち出しによる攻撃を検出した旨のアラートを外部に出力する(ステップ452)。
また、所定長以上のFQDNの名前解決を要求するDNSデータが送信されていることも検出するようにした。これにより、DNSを悪用した情報持ち出しによる攻撃が行われている虞があることを検知可能となった。
この第3の実施の形態で検出する脅威は、DNSキャッシュポイズニング攻撃を受けた社内DNSサーバ20が、自身が管理するドメインの存在しないサブドメインへの問い合わせを大量に行うという脅威である。
図8は、この第3の実施の形態で送信される上りDNSデータに含まれる情報の具体例を示したものである。ここで、「example.jp」は社内DNSサーバ20が管理するドメインであるが、「aaaa」、「bbbb」等のサブドメインは存在していないものとする。
尚、図では、英語表記のドメイン名を示したが、これはあくまで例示であり、日本語のドメイン名やマルチ言語のドメイン名に対しても本実施の形態は適用可能である。
図9は、上りDNSデータを抽出して攻撃を検出するときの攻撃検出装置40の動作を示したフローチャートである。
攻撃検出装置40では、まず、DNSデータ抽出部41が、社内LAN70からインターネット80へ流れるネットワークトラフィックからデータをキャプチャする(ステップ461)。次に、ステップ461でキャプチャしたデータが、抽出条件記憶部43に記憶されたDNSデータ抽出条件を満たすかどうかを判定する(ステップ462)。具体的には、ステップ461でキャプチャしたデータが上りDNSデータであるかどうかを判定する。そして、上りDNSデータでなければ、ステップ461に戻ってキャプチャを続けるが、上りDNSデータであれば、ステップ463へ進む。
即ち、社内DNSサーバ20のキャッシュに保持するサブドメインのリストと、ステップ466で問い合わせた結果、存在すると判断されたサブドメインのリストとを突合する。そして、これらのリストの差分を汚染情報として抽出し、ブラックリスト化する。
尚、本実施の形態において、攻撃検出装置40は、社内LAN70とインターネット80の境界におけるネットワークトラフィックをモニタするものとしたが、これには限らない。例えば、社内DNSサーバ20におけるネットワークトラフィックをモニタするようにしてもよい。
Claims (6)
- DNS(Domain Name System)を悪用した攻撃を検出する攻撃検出装置であって、
コンピュータからDNSサーバへ送信されたドメインの名前解決を要求する形式の複数の要求メッセージを取得する取得手段と、
前記取得手段により取得された前記複数の要求メッセージの中に、悪用された前記コンピュータにより埋め込まれた情報であり、不正通信による攻撃または情報持ち出しによる攻撃に用いられる予め定められた情報を有するサブドメインの名前解決を要求する形式の1つ以上の要求メッセージが含まれているかどうかを判定する判定手段と、
前記複数の要求メッセージの中に前記1つ以上の要求メッセージが含まれていると前記判定手段により判定された場合に、外部に警告情報を出力する出力手段と
を備えたことを特徴とする攻撃検出装置。 - 前記取得手段により取得された前記複数の要求メッセージから、同じドメインに属するサブドメインの名前解決を要求する形式の複数の特定要求メッセージを抽出する抽出手段を更に備え、
前記判定手段は、前記抽出手段により抽出された前記複数の特定要求メッセージの中に、前記予め定められた情報を有するサブドメインの名前解決を要求する形式の1つ以上の要求メッセージが含まれているかどうかを更に判定することを特徴とする請求項1に記載の攻撃検出装置。 - DNS(Domain Name System)を悪用した攻撃を検出する攻撃検出装置であって、
コンピュータからDNSサーバへ送信されたドメインの名前解決を要求する形式の複数の要求メッセージを取得する取得手段と、
前記取得手段により取得された前記複数の要求メッセージの中に、同じドメインに属する同じサブドメインの名前解決を要求する形式の所定数以上の要求メッセージからなる特定要求メッセージ群が含まれているかどうかを判定する判定手段と、
前記複数の要求メッセージの中に前記特定要求メッセージ群が含まれていると前記判定手段により判定された場合に、外部に警告情報を出力する出力手段とを備え、
前記取得手段は、前記DNSサーバから前記コンピュータへ送信されたドメインの名前解決の結果であるIPアドレスを応答する形式の複数の応答メッセージを更に取得し、
前記判定手段は、前記取得手段により取得された前記複数の応答メッセージの中に、同じドメインに属する同じサブドメインの名前解決の結果として各々が異なるIPアドレスを応答する形式の2つ以上の応答メッセージからなる特定応答メッセージ群が含まれているかどうかを更に判定し、
前記出力手段は、前記複数の応答メッセージの中に前記特定応答メッセージ群が含まれていると前記判定手段により判定された場合に、前記コンピュータに対しDNSを悪用した不正通信による攻撃が行われている虞がある旨の情報を前記警告情報として出力することを特徴とする攻撃検出装置。 - DNS(Domain Name System)を悪用した攻撃を検出する攻撃検出装置であって、
コンピュータからDNSサーバへ送信されたドメインの名前解決を要求する形式の複数の要求メッセージを取得する取得手段と、
前記取得手段により取得された前記複数の要求メッセージの中に、同じドメインに属する同じサブドメインの名前解決を要求する形式の所定数以上の要求メッセージからなる特定要求メッセージ群が含まれているかどうかを判定する判定手段と、
前記複数の要求メッセージの中に前記特定要求メッセージ群が含まれていると前記判定手段により判定された場合に、外部に警告情報を出力する出力手段とを備え、
前記判定手段は、前記取得手段により取得された前記複数の要求メッセージの中に、所定長以上の名前を有するサブドメインの名前解決を要求する形式の1つ以上の要求メッセージが含まれているかどうかを更に判定し、
前記出力手段は、前記複数の要求メッセージの中に前記1つ以上の要求メッセージが含まれていると前記判定手段により判定された場合に、前記コンピュータに対しDNSを悪用した情報持ち出しによる攻撃が行われている虞がある旨の情報を前記警告情報として出力することを特徴とする攻撃検出装置。 - DNS(Domain Name System)を悪用した攻撃を検出する攻撃検出方法であって、
コンピュータからDNSサーバへ送信されたドメインの名前解決を要求する形式の複数の要求メッセージを取得するステップと、
取得された前記複数の要求メッセージの中に、悪用された前記コンピュータにより埋め込まれた情報であり、不正通信による攻撃または情報持ち出しによる攻撃に用いられる予め定められた情報を有するサブドメインの名前解決を要求する形式の1つ以上の要求メッセージが含まれているかどうかを判定するステップと、
前記複数の要求メッセージの中に前記1つ以上の要求メッセージが含まれていると判定された場合に、外部に警告情報を出力するステップと
を含むことを特徴とする攻撃検出方法。 - コンピュータに、
自コンピュータ又は他のコンピュータからDNSサーバへ送信されたドメインの名前解決を要求する形式の複数の要求メッセージを取得する機能と、
取得された前記複数の要求メッセージの中に、悪用された自コンピュータ又は他のコンピュータにより埋め込まれた情報であり、不正通信による攻撃または情報持ち出しによる攻撃に用いられる予め定められた情報を有するサブドメインの名前解決を要求する形式の1つ以上の要求メッセージが含まれているかどうかを判定する機能と、
前記複数の要求メッセージの中に前記1つ以上の要求メッセージが含まれていると判定された場合に、外部に警告情報を出力する機能と
を実現させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010062952A JP5568344B2 (ja) | 2010-03-18 | 2010-03-18 | 攻撃検出装置、攻撃検出方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010062952A JP5568344B2 (ja) | 2010-03-18 | 2010-03-18 | 攻撃検出装置、攻撃検出方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011199507A JP2011199507A (ja) | 2011-10-06 |
JP5568344B2 true JP5568344B2 (ja) | 2014-08-06 |
Family
ID=44877171
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010062952A Active JP5568344B2 (ja) | 2010-03-18 | 2010-03-18 | 攻撃検出装置、攻撃検出方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5568344B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6238221B2 (ja) | 2013-03-19 | 2017-11-29 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | ソフトウェアの実行を監視する装置、方法およびプログラム |
WO2014175250A1 (ja) * | 2013-04-23 | 2014-10-30 | 日本電気株式会社 | 通信端末、制御装置、通信システム、通信方法及びプログラム |
JP5986955B2 (ja) * | 2013-05-17 | 2016-09-06 | 西日本電信電話株式会社 | Dnsキャッシュポイズニング判定装置、dnsキャッシュポイズニング判定方法、及びdnsキャッシュポイズニング判定プログラム |
US9729413B2 (en) * | 2014-10-07 | 2017-08-08 | Coudmark, Inc. | Apparatus and method for identifying domain name system tunneling, exfiltration and infiltration |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4296184B2 (ja) * | 2006-03-13 | 2009-07-15 | 日本電信電話株式会社 | 攻撃検出装置、攻撃検出方法および攻撃検出プログラム |
-
2010
- 2010-03-18 JP JP2010062952A patent/JP5568344B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2011199507A (ja) | 2011-10-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
US10095866B2 (en) | System and method for threat risk scoring of security threats | |
US8935419B2 (en) | Filtering device for detecting HTTP request and disconnecting TCP connection | |
EP2739003B1 (en) | Systems and methods to detect and respond to distributed denial of service (DDoS) attacks | |
KR101689299B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
US8347394B1 (en) | Detection of downloaded malware using DNS information | |
JP6315640B2 (ja) | 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム | |
EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
JP6159018B2 (ja) | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム | |
JP4148526B2 (ja) | ネットワークアドレス変換機器を検出する装置および方法。 | |
JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
US11777960B2 (en) | Detection of DNS (domain name system) tunneling and exfiltration through DNS query analysis | |
JP5568344B2 (ja) | 攻撃検出装置、攻撃検出方法、及びプログラム | |
US20220263846A1 (en) | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF | |
Choi et al. | A model of analyzing cyber threats trend and tracing potential attackers based on darknet traffic | |
CN113678419B (zh) | 端口扫描检测 | |
Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
JP3760919B2 (ja) | 不正アクセス防止方法、装置、プログラム | |
CN111371917B (zh) | 一种域名检测方法及系统 | |
JP4753264B2 (ja) | ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) | |
CN108965277B (zh) | 一种基于dns的感染主机分布监测方法与系统 | |
US20230362176A1 (en) | System and method for locating dga compromised ip addresses | |
EP3964988A1 (en) | Sensing device, sensing method, and sensing program | |
CN116865983A (zh) | 攻击检测方法和网络安全装置 | |
CN115987662A (zh) | Dns缓存投毒攻击检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130318 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131111 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131119 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131226 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140603 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140623 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5568344 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |