JP5655185B2 - Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program - Google Patents

Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program Download PDF

Info

Publication number
JP5655185B2
JP5655185B2 JP2011142901A JP2011142901A JP5655185B2 JP 5655185 B2 JP5655185 B2 JP 5655185B2 JP 2011142901 A JP2011142901 A JP 2011142901A JP 2011142901 A JP2011142901 A JP 2011142901A JP 5655185 B2 JP5655185 B2 JP 5655185B2
Authority
JP
Japan
Prior art keywords
malware
communication
port number
infected
terminal detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011142901A
Other languages
Japanese (ja)
Other versions
JP2013011948A (en
Inventor
一史 青木
一史 青木
伊藤 光恭
光恭 伊藤
弘喜 高倉
弘喜 高倉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nagoya University NUC
Nippon Telegraph and Telephone Corp
Tokai National Higher Education and Research System NUC
Original Assignee
Nagoya University NUC
Nippon Telegraph and Telephone Corp
Tokai National Higher Education and Research System NUC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nagoya University NUC, Nippon Telegraph and Telephone Corp, Tokai National Higher Education and Research System NUC filed Critical Nagoya University NUC
Priority to JP2011142901A priority Critical patent/JP5655185B2/en
Publication of JP2013011948A publication Critical patent/JP2013011948A/en
Application granted granted Critical
Publication of JP5655185B2 publication Critical patent/JP5655185B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、マルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラムに関する。   The present invention relates to a malware-infected terminal detection device, a malware-infected terminal detection method, and a malware-infected terminal detection program.

従来、情報漏洩や不正アクセス等の脅威をもたらすコンピュータウィルスやスパイウェア、ボットプログラムといった悪意のある不正なコンピュータプログラム(以下、「マルウェア」と呼ぶことがある)が猛威を振るっている。   Conventionally, malicious and malicious computer programs (hereinafter sometimes referred to as “malware”) such as computer viruses, spyware, and bot programs that pose threats such as information leakage and unauthorized access have been blaming.

マルウェアによる脅威を抑制するためには、マルウェアに感染した端末からマルウェアを駆除することが重要である。マルウェアを駆除するために、ユーザは、一つの様態として、マルウェアに感染した端末に対して、アンチウィルスソフトウェア等を利用して対処してきた。ところが、1.4秒に1件の新種マルウェアが出現しているという報告もある(非特許文献1)ことから、アンチウィルスソフトウェアで検知するだけでは対応が追いつかないことが多い。このため、端末ごとにおける対応だけでなく、マルウェアに感染した端末をネットワーク側から検出し、対処することが好ましい。   In order to suppress the threat of malware, it is important to remove the malware from terminals infected with malware. In order to remove malware, users have dealt with terminals infected with malware by using anti-virus software as one aspect. However, there is a report that one new malware appears in 1.4 seconds (Non-Patent Document 1), and therefore, it is often impossible to catch up with detection only by anti-virus software. For this reason, it is preferable not only to cope with each terminal but also to detect and deal with a terminal infected with malware from the network side.

マルウェアには、例えば、IRC(Internet Relay Chat)やHTTP(HyperText Transfer Protocol)等のように、一般に用いられるプロトコルで通信するものがある(非特許文献2)。このようなプロトコルの利用によりマルウェアに感染した端末の通信をネットワーク上で検知する手法としては、例えば、マルウェアの一種であるボットがC&C(Command And Control)サーバと通信する際の特徴的なペイロードを判定基準とするものがある。   Some malware communicates with a commonly used protocol such as IRC (Internet Relay Chat) and HTTP (HyperText Transfer Protocol) (Non-Patent Document 2). As a method for detecting communication of a terminal infected with malware by using such a protocol on a network, for example, a characteristic payload when a bot, which is a kind of malware, communicates with a C & C (Command And Control) server is used. Some are used as criteria.

具体的に、特徴的なペイロードとしては、マルウェアとC&CサーバとがIRCプロトコルにより通信する際のNICK(nickname)や、C&Cサーバから送信されるTOPIC等が挙げられる。そして、多くのマルウェアに共通するペイロードのパターンが含まれている場合には、該当のプログラムをマルウェアとして検知する。   Specifically, the characteristic payload includes NICK (nickname) when malware and the C & C server communicate by the IRC protocol, TOPIC transmitted from the C & C server, and the like. When a payload pattern common to many malwares is included, the corresponding program is detected as malware.

また、主要な通信プロトコルで使用されるWell−Knownポートとは異なるポートで行なわれる通信をマルウェアの判定基準とすることが考えられる(非特許文献3)。   In addition, it is conceivable that communication performed on a port different from the well-known port used in the main communication protocol is used as a criterion for judging malware (Non-Patent Document 3).

“McAfee脅威レポート:2010年第三四半期”、[online]、[平成23年4月6日検索]、インターネット<http://www.macafee.com/japan/security/threateport10q3.asp>“McAfee Threat Report: Third Quarter 2010”, [online], [Search April 6, 2011], Internet <http://www.macafee.com/japan/security/threateport10q3.asp> Jan Goebel、Thorsten Holz、“Rishi:Identify Bot Contaminated Hosts by IRC Nickname Evaluation”、USENIX First Workshop on Hot Topic in Understanding Botnets(HotBots ’07)、2007.4.10Jan Goebel, Thorsten Holz, “Rishi: Identify Bot Contaminated Hosts by IRC Nickname Evaluation”, USENIX First Workshop on Hot Topic in Understanding Botnets (HotBots '07), 2007.4.10. Holger Dreger、Anja Feldmann、Michael Mai、Vern Paxson、Robin Sommer、“Dynamic Application‐Layer Protocol Analysis for Network Intrusion Detection”、15th USENIX Security Symposium、2006.8.4Holger Dreger, Anja Feldmann, Michael Mai, Vern Paxson, Robin Sommer, “Dynamic Application-Layer Protocol Analysis for Network Intrusion Detection”, 15th USENIX Security Symposium, 2006.8.4

従来技術では、迅速にマルウェア感染端末を検知することができないという問題がある。具体的には、従来技術では、マルウェアに共通するペイロードのパターンを検出するために、特徴的なペイロードを利用しているものの、新種のマルウェアの出現数は膨大であるためそのパターンを網羅することは困難である。また、そもそも、従来技術では、マルウェアに共通するペイロードのパターンが利用されないものについては検知することができない。また、従来技術では、例えば、IRCやHTTP等の通信において、マルウェアに感染していないユーザであっても、Well−Knownポートとは異なるポートで通信を行なうこともあるため、Well−Knownポートとは異なるポートの通信を一纏めにマルウェアの判定基準とするのは好ましくない。   In the prior art, there is a problem that a malware-infected terminal cannot be detected quickly. Specifically, the conventional technology uses a characteristic payload to detect a payload pattern common to malware, but the number of new types of malware that appear is enormous, so it covers that pattern. It is difficult. In the first place, the conventional technology cannot detect a case where a payload pattern common to malware is not used. In the prior art, for example, even in a communication such as IRC or HTTP, even a user who is not infected with malware may communicate with a port different from the well-known port. It is not preferable that communication of different ports is collectively used as a judgment criterion for malware.

そこで、本発明は、上記に鑑みてなされたものであって、迅速にマルウェア感染端末を検知することが可能であるマルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラムを提供することを目的とする。   Therefore, the present invention has been made in view of the above, and provides a malware-infected terminal detection device, a malware-infected terminal detection method, and a malware-infected terminal detection program capable of quickly detecting a malware-infected terminal. For the purpose.

上述した課題を解決し、目的を達成するため、本発明に係るマルウェア感染端末検知装置は、ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する特定部と、マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを取得する取得部と、前記特定部で特定されたポート番号が前記通信プロトコルに対応するWell−Knownポートではないではないと判定し、さらに、前記特定部で特定された通信プロトコル及びポート番号と、前記取得部で取得された通信プロトコル及びポート番号とが一致すると判定する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する検知部とを有する。 In order to solve the above-described problems and achieve the object, the malware-infected terminal detection apparatus according to the present invention includes a specifying unit that specifies a communication protocol in network communication and a port number used in the network communication, and malware. An acquisition unit that acquires a communication protocol of communication involving the malware when operated and a port number used in communication involving the malware, and the port number specified by the specifying unit are included in the communication protocol. determined not to not be a corresponding Well-Known port, further, when judges that the communication protocol and the port number identified by the identifying unit, and the acquired communication protocols and port numbers by the acquisition unit coincides In addition, it is detected that the terminal performing the network communication is infected with malware. And a knowledge section.

本発明に係るマルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラムの一つの様態によれば、迅速にマルウェア感染端末を検知することができるという効果を奏する。   According to one aspect of the malware-infected terminal detection device, the malware-infected terminal detection method, and the malware-infected terminal detection program according to the present invention, it is possible to quickly detect a malware-infected terminal.

図1は、実施例1に係るシステム構成例を示す図である。FIG. 1 is a diagram illustrating a system configuration example according to the first embodiment. 図2は、実施例1に係るマルウェア感染端末検知装置の構成例を示す図である。FIG. 2 is a diagram illustrating a configuration example of the malware-infected terminal detection device according to the first embodiment. 図3は、マルウェア情報記憶部によって記憶される情報の例を示す図である。FIG. 3 is a diagram illustrating an example of information stored by the malware information storage unit. 図4は、実施例1に係るマルウェア感染端末検知処理の流れの例を示すフローチャートである。FIG. 4 is a flowchart illustrating an example of the flow of the malware-infected terminal detection process according to the first embodiment. 図5は、実施例2に係るマルウェア感染端末検知処理の流れの例を示すフローチャートである。FIG. 5 is a flowchart illustrating an example of a flow of malware-infected terminal detection processing according to the second embodiment. 図6は、実施例2に係るシステム構成例を示す図である。FIG. 6 is a diagram illustrating a system configuration example according to the second embodiment. 図7は、本発明に係るマルウェア感染端末検知プログラムがコンピュータを用いて具体的に実現されることを示す図である。FIG. 7 is a diagram showing that the malware-infected terminal detection program according to the present invention is specifically implemented using a computer.

以下に添付図面を参照して、本発明に係るマルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラムの実施例を説明する。なお、以下の実施例により本発明が限定されるものではない。   Embodiments of a malware-infected terminal detection device, a malware-infected terminal detection method, and a malware-infected terminal detection program according to the present invention will be described below with reference to the accompanying drawings. In addition, this invention is not limited by the following examples.

[システム構成]
図1を用いて、実施例1に係るシステム構成を説明する。図1は、実施例1に係るシステム構成例を示す図である。 [System configuration]
A system configuration according to the first embodiment will be described with reference to FIG. FIG. 1 is a diagram illustrating a system configuration example according to the first embodiment.

例えば、図1に示すように、本発明に係るマルウェア感染端末検知装置は、内部ネットワークと外部ネットワークとのネットワークにおけるパケットを分岐するネットワークタップに接続される。かかるネットワークタップは、各種のネットワークにおけるパケットの分岐を、ネットワークに影響を及ぼすことなく実行できる。すなわち、ネットワークタップは、ネットワーク上のパケットを遅延させたり、接続されるネットワーク機器に負荷を与えたりしない。なお、ネットワークを流れるパケットを分岐できる機器であれば良いため、ネットワークタップに限られるものではない。   For example, as shown in FIG. 1, the malware-infected terminal detection device according to the present invention is connected to a network tap that branches a packet in an internal network and an external network. Such a network tap can perform packet branching in various networks without affecting the network. In other words, the network tap does not delay the packet on the network or give a load to the connected network device. Note that the device is not limited to the network tap because any device capable of branching a packet flowing through the network may be used.

上記構成において、マルウェア感染端末検知装置は、ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する。そして、マルウェア感染端末検知装置は、マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを取得する。続いて、マルウェア感染端末検知装置は、特定されたポート番号が通信プロトコルに対応するWell−Knownポートではない場合、且つ、特定された通信プロトコル及びポート番号と、取得された通信プロトコル及びポート番号とが一致する場合に、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する。なお、マルウェア感染端末検知装置による詳細な処理については後述する。   In the above configuration, the malware-infected terminal detection device identifies a communication protocol in network communication and a port number used in the network communication. Then, the malware-infected terminal detection device acquires a communication protocol of communication related to the malware when the malware is operated and a port number used in communication related to the malware. Subsequently, when the identified port number is not a well-known port corresponding to the communication protocol, the malware-infected terminal detection device, and the identified communication protocol and port number, the acquired communication protocol and port number, If they match, it is detected that the terminal performing network communication is infected with malware. Detailed processing by the malware-infected terminal detection device will be described later.

[マルウェア感染端末検知装置の構成]
次に、図2を用いて、実施例1に係るマルウェア感染端末検知装置の構成を説明する。図2は、実施例1に係るマルウェア感染端末検知装置の構成例を示す図である。 [Configuration of Malware Infected Device Detection Device]
Next, the configuration of the malware-infected terminal detection device according to the first embodiment will be described with reference to FIG. FIG. 2 is a diagram illustrating a configuration example of the malware-infected terminal detection device according to the first embodiment.

例えば、図2に示すように、マルウェア感染端末検知装置100は、記憶部110と、制御部120とを有する。記憶部110は、例えば、制御部120による各種処理に要するデータや、制御部120による各種処理結果を記憶する。また、記憶部110は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置である。かかる記憶部110には、マルウェア情報記憶部111が含まれる。   For example, as illustrated in FIG. 2, the malware-infected terminal detection device 100 includes a storage unit 110 and a control unit 120. The storage unit 110 stores, for example, data required for various processes by the control unit 120 and various processing results by the control unit 120. The storage unit 110 is, for example, a semiconductor memory device such as a random access memory (RAM), a read only memory (ROM), and a flash memory, or a storage device such as a hard disk or an optical disk. The storage unit 110 includes a malware information storage unit 111.

制御部120は、例えば、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有する。また、制御部120は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路、又はCPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路である。かかる制御部120には、特定部121と、取得部122と、検知部123とが含まれる。   The control unit 120 includes, for example, a control program, a program defining various processing procedures, and an internal memory for storing required data. The control unit 120 is an integrated circuit such as an ASIC (Application Specific Integrated Circuit) or an FPGA (Field Programmable Gate Array), or an electronic circuit such as a CPU (Central Processing Unit) or an MPU (Micro Processing Unit). The control unit 120 includes a specifying unit 121, an acquisition unit 122, and a detection unit 123.

特定部121は、例えば、ネットワークタップ等により分岐されたパケットのペイロードを分析し、ネットワーク通信における通信プロトコルを特定する。同様に、特定部121は、ネットワーク通信で利用される宛先ポート番号を特定する。また、特定部121は、ネットワーク通信における送信元IPアドレスと、宛先IPアドレスとをさらに特定する。そして、特定部121は、上記各種情報を特定した場合に特定した旨を取得部122に通知するとともに、特定した各種情報を検知部123に通知する。   For example, the specifying unit 121 analyzes a payload of a packet branched by a network tap or the like, and specifies a communication protocol in network communication. Similarly, the specifying unit 121 specifies a destination port number used in network communication. The specifying unit 121 further specifies a source IP address and a destination IP address in network communication. Then, the specifying unit 121 notifies the acquisition unit 122 that the various types of information have been specified, and notifies the detection unit 123 of the specified various types of information.

取得部122は、例えば、特定部121からの通知を受けると、マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルを取得する。同様に、取得部122は、マルウェアが関与した通信で利用された宛先ポート番号を取得する。また、取得部122は、マルウェアが関与した通信で利用される宛先IPアドレスをさらに取得する。そして、取得部122は、取得した各種情報を検知部123に通知する。取得部122が取得する各種情報は、一つの様態として、マルウェア情報記憶部111に記憶される。他の様態として、取得部122が取得する各種情報は、マルウェア感染端末検知装置100に接続される外部の記憶装置やネットワーク上のサーバ装置等に記憶される。   For example, when receiving the notification from the specifying unit 121, the acquiring unit 122 acquires a communication protocol of communication in which the malware is involved when the malware is operated. Similarly, the acquisition unit 122 acquires a destination port number used in communication involving malware. In addition, the acquisition unit 122 further acquires a destination IP address used for communication involving malware. Then, the acquisition unit 122 notifies the detection unit 123 of various types of acquired information. Various types of information acquired by the acquisition unit 122 are stored in the malware information storage unit 111 as one aspect. As another aspect, various information acquired by the acquisition unit 122 is stored in an external storage device connected to the malware-infected terminal detection device 100, a server device on a network, or the like.

図3は、マルウェア情報記憶部111によって記憶される情報の例を示す図である。例えば、図3に示すように、マルウェア情報記憶部111は、「プロトコル」と、「宛先FQDN(Fully Qualified Domain Name)」と、「宛先IPアドレス」と、「宛先ポート番号」とを対応付けて記憶する。これらのうち、「プロトコル」は、例えば、ネットワーク通信における通信プロトコルである。ここでのネットワーク通信とは、図1に示したネットワークだけでなく、他の任意のシステムにおけるネットワークも含まれる。   FIG. 3 is a diagram illustrating an example of information stored by the malware information storage unit 111. For example, as illustrated in FIG. 3, the malware information storage unit 111 associates “protocol”, “destination FQDN (Fully Qualified Domain Name)”, “destination IP address”, and “destination port number” with each other. Remember. Among these, “protocol” is, for example, a communication protocol in network communication. The network communication here includes not only the network shown in FIG. 1 but also a network in any other system.

また、「宛先FQDN」は、例えば、主にHTTPプロトコルに対応するFQDNである。また、「宛先IPアドレス」は、例えば、各通信プロトコルにおけるネットワークの通信先のIPアドレスである。また、「宛先ポート番号」は、例えば、各宛先IPアドレスに対応するポート番号である。   The “destination FQDN” is, for example, an FQDN mainly corresponding to the HTTP protocol. The “destination IP address” is, for example, an IP address of a network communication destination in each communication protocol. The “destination port number” is a port number corresponding to each destination IP address, for example.

例を挙げると、マルウェア情報記憶部111は、プロトコル「IRC」と、宛先IPアドレス「a.b.c.d」と、宛先ポート番号「10324」とを対応付けて記憶する。他の例を挙げると、マルウェア情報記憶部111は、プロトコル「HTTP」と、宛先FQDN「www.mal.com」と、宛先IPアドレス「e.f.g.h」と、宛先ポート番号「80」とを対応付けて記憶する。   For example, the malware information storage unit 111 stores the protocol “IRC”, the destination IP address “abcd”, and the destination port number “10324” in association with each other. As another example, the malware information storage unit 111 includes a protocol “HTTP”, a destination FQDN “www.mal.com”, a destination IP address “ef.g.h”, and a destination port number “80”. Is stored in association with each other.

図2の説明に戻り、検知部123は、例えば、特定部121によって特定されたポート番号が通信プロトコルに対応するWell−Knownポートではない場合に、特定部121によって特定された通信プロトコル及び宛先ポート番号と、取得部122によって取得された通信プロトコル及び宛先ポート番号とが一致するか否かを判定する。このとき、検知部123は、これらの情報が一致する場合に、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する。なお、マルウェアに感染していることを検知された端末については、特定部121で特定した送信元IPアドレスを利用することにより識別できる。   Returning to the description of FIG. 2, for example, when the port number specified by the specifying unit 121 is not a well-known port corresponding to the communication protocol, the detecting unit 123 specifies the communication protocol and destination port specified by the specifying unit 121. It is determined whether the number matches the communication protocol and destination port number acquired by the acquisition unit 122. At this time, when these pieces of information match, the detection unit 123 detects that a terminal performing network communication is infected with malware. A terminal detected to be infected with malware can be identified by using the transmission source IP address specified by the specifying unit 121.

また、検知部123は、特定部121によって特定された宛先ポート番号が通信プロトコルに対応するWell−Knownポートである場合に、通信プロトコル及びポート番号に加え、特定部121や取得部122それぞれで特定又は取得された宛先IPアドレスが一致するか否かも判定する。このとき、検知部123は、宛先IPアドレスも一致する場合に、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する。なお、マルウェアに感染していることを検知された端末については、同様に、特定部121で特定した送信元IPアドレスを利用することにより識別できる。   Further, when the destination port number specified by the specifying unit 121 is a well-known port corresponding to the communication protocol, the detecting unit 123 specifies each of the specifying unit 121 and the acquiring unit 122 in addition to the communication protocol and the port number. Alternatively, it is also determined whether or not the acquired destination IP addresses match. At this time, when the destination IP address also matches, the detection unit 123 detects that the terminal performing network communication is infected with malware. Similarly, a terminal detected to be infected with malware can be identified by using the source IP address specified by the specifying unit 121.

また、マルウェアに感染した端末を検知した検知部123は、該当する通信プロトコルとポート番号とを新たなマルウェア情報として、マルウェア情報記憶部111に対応付けて登録しても良い。このとき、検知部123は、宛先IPアドレスについても登録するようにしても良い。これにより、マルウェア感染端末検知装置100によるその後のマルウェア感染端末検知に係る処理に活用することができる。   The detection unit 123 that has detected a terminal infected with malware may register the corresponding communication protocol and port number as new malware information in association with the malware information storage unit 111. At this time, the detection unit 123 may also register the destination IP address. Thereby, it can utilize for the process which concerns on the subsequent malware infection terminal detection by the malware infection terminal detection apparatus 100. FIG.

つまり、マルウェア情報記憶部111は、マルウェアによる通信を検知した他の装置或いはマルウェア感染端末検知装置100によって事前に検知されたマルウェア情報を予め記憶するとともに、マルウェア感染端末検知装置100によって検知されるマルウェア情報を記憶していくことになる。   That is, the malware information storage unit 111 stores in advance malware information detected in advance by another device that detects communication by malware or the malware-infected terminal detection device 100, and malware detected by the malware-infected terminal detection device 100. Information will be memorized.

[マルウェア感染端末検知処理の流れ]
次に、図4を用いて、実施例1に係るマルウェア感染端末検知処理を説明する。図4は、実施例1に係るマルウェア感染端末検知処理の流れの例を示すフローチャートである。 [Malware infected device detection process flow]
Next, the malware-infected terminal detection process according to the first embodiment will be described with reference to FIG. FIG. 4 is a flowchart illustrating an example of the flow of the malware-infected terminal detection process according to the first embodiment.

例えば、図4に示すように、マルウェア感染端末検知装置100は、ネットワーク通信における所定の各種情報を特定する(ステップS101)。ここで、所定の各種情報とは、通信プロトコル及び宛先ポート番号の組み合わせ、又は、通信プロトコル、宛先ポート番号及び宛先IPアドレスの組み合わせである。   For example, as illustrated in FIG. 4, the malware-infected terminal detection device 100 specifies predetermined various information in network communication (step S101). Here, the predetermined various information is a combination of a communication protocol and a destination port number, or a combination of a communication protocol, a destination port number and a destination IP address.

そして、マルウェア感染端末検知装置100は、特定した宛先ポート番号が通信プロトコルに対応するWell−Knownポートとは異なるか否かを判定する(ステップS102)。このとき、マルウェア感染端末検知装置100は、Well−Knownポートとは異なる場合に(ステップS102肯定)、特定したプロトコル、宛先ポート番号がマルウェア情報に該当するか否かを判定する(ステップS103)。すなわち、マルウェア感染端末検知装置100は、マルウェア情報記憶部111等からプロトコル及び宛先ポート番号を取得し、特定したプロトコル及び宛先ポート番号と一致するか否かを判定する。   Then, the malware-infected terminal detection device 100 determines whether or not the identified destination port number is different from the well-known port corresponding to the communication protocol (step S102). At this time, if the malware-infected terminal detection device 100 is different from the well-known port (Yes in step S102), the malware-infected terminal detection device 100 determines whether the specified protocol and destination port number correspond to the malware information (step S103). That is, the malware-infected terminal detection apparatus 100 acquires a protocol and a destination port number from the malware information storage unit 111 and the like, and determines whether or not the specified protocol and destination port number match.

このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当すると判定した場合に(ステップS103肯定)、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する(ステップS104)。一方、マルウェア感染端末検知装置100は、マルウェア情報に該当しないと判定した場合に(ステップS103否定)、処理を終了する。   At this time, when it is determined that the malware-infected terminal detection device 100 corresponds to the malware information (Yes at Step S103), the malware-infected terminal detection device 100 detects that the terminal performing network communication is infected with malware (Step S104). On the other hand, when it is determined that the malware-infected terminal detection device 100 does not correspond to the malware information (No at Step S103), the process ends.

また、マルウェア感染端末検知装置100は、Well−Knownポートである場合に(ステップS102否定)、特定したプロトコル、宛先ポート番号及び宛先IPアドレスがマルウェア情報に該当するか否かを判定する(ステップS105)。すなわち、マルウェア感染端末検知装置100は、マルウェア情報記憶部111等からプロトコル、宛先ポート番号及び宛先IPアドレスを取得し、特定したプロトコル、宛先ポート番号及び宛先IPアドレスと一致するか否かを判定する。   Further, when the malware-infected terminal detection device 100 is a well-known port (No in step S102), the malware-infected terminal detection device 100 determines whether or not the specified protocol, destination port number, and destination IP address correspond to malware information (step S105). ). That is, the malware-infected terminal detection device 100 acquires a protocol, a destination port number, and a destination IP address from the malware information storage unit 111 and the like, and determines whether or not they match the specified protocol, destination port number, and destination IP address. .

このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当すると判定した場合に(ステップS105肯定)、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する(ステップS104)。一方、マルウェア感染端末検知装置100は、マルウェア情報に該当しないと判定した場合に(ステップS105否定)、処理を終了する。   At this time, when it is determined that the malware-infected terminal detection device 100 corresponds to the malware information (Yes at Step S105), the malware-infected terminal detection device 100 detects that the terminal performing network communication is infected with malware (Step S104). On the other hand, when it is determined that the malware-infected terminal detection device 100 does not correspond to the malware information (No at Step S105), the process ends.

[実施例1による効果]
上述したように、マルウェア感染端末検知装置100は、通信プロトコルと宛先ポート番号とに基づいてマルウェアを検知するので、特徴的なペイロードのパターンに基づいてマルウェアを検知する従来技術と比較して、迅速にマルウェア感染端末を検知することができる。また、マルウェア感染端末検知装置100は、通信プロトコルと宛先ポート番号とに基づいてマルウェアを検知するので、マルウェアに共通するペイロードのパターンが利用されないマルウェアについても検知することができ、マルウェア感染端末の検知精度を向上させることができる。 [Effects of Example 1]
As described above, since the malware-infected terminal detection device 100 detects malware based on the communication protocol and the destination port number, the malware-infected terminal detection device 100 is faster than the conventional technology that detects malware based on a characteristic payload pattern. Can detect malware-infected terminals. Moreover, since the malware-infected terminal detection apparatus 100 detects malware based on the communication protocol and the destination port number, it can also detect malware that does not use a payload pattern common to malware, and can detect malware-infected terminals. Accuracy can be improved.

また、マルウェア感染端末検知装置100は、Well−Knownポートとは異なる宛先ポート番号で行なわれる通信において、プロトコルと宛先ポート番号との組み合わせがマルウェア情報と一致する場合に、マルウェア感染端末からの通信として検知する。この結果、マルウェア感染端末検知装置100は、Well−Knownポートとは異なる宛先ポート番号を利用した通信をマルウェア感染端末からの通信として一律に検知するために誤検知が多くなる従来技術と比較して、マルウェア感染端末の検知精度を向上させることができる。   In addition, in the communication performed with the destination port number different from the well-known port, the malware-infected terminal detection device 100 performs communication from the malware-infected terminal when the combination of the protocol and the destination port number matches the malware information. Detect. As a result, the malware-infected terminal detection apparatus 100 is compared with the conventional technique in which false detections increase because the communication using the destination port number different from the well-known port is uniformly detected as the communication from the malware-infected terminal. It is possible to improve the detection accuracy of malware-infected terminals.

さて、これまで本発明に係るマルウェア感染端末検知装置100の実施例について説明したが、上述した実施例以外にも種々の異なる形態にて実施されてよいものである。そこで、(1)帯域制御又は通信遮断、(2)処理順序、(3)マルウェア感染端末検知に係る判定、(4)構成、(5)プログラム、において異なる実施例を説明する。   The embodiments of the malware-infected terminal detection device 100 according to the present invention have been described so far, but may be implemented in various different forms other than the embodiments described above. Therefore, different embodiments will be described in (1) bandwidth control or communication cut-off, (2) processing order, (3) determination relating to malware-infected terminal detection, (4) configuration, and (5) program.

(1)帯域制御又は通信遮断
上記実施例1では、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する場合を説明したが、マルウェア感染端末による通信として検知されたネットワーク通信に対して、帯域の制御又は通信の遮断をさらに実行しても良い。これにより、マルウェアに関するネットワーク通信の拡大を抑制することができる。また、検知されたマルウェア情報をネットワーク通信に対する帯域の制御又は通信の遮断に活用するだけでなく、ネットワークを監視する監視装置等の他の装置へ通知することにしても良い。 (1) Bandwidth control or communication blocking In the first embodiment, the case where it is detected that a terminal performing network communication is infected with malware has been described. On the other hand, band control or communication cutoff may be further executed. Thereby, expansion of the network communication regarding malware can be suppressed. In addition, the detected malware information may be used not only for bandwidth control or communication interruption for network communication but also for notification to other devices such as a monitoring device for monitoring the network.

(2)処理順序
また、上記実施例1では、マルウェア感染端末を検知する際に宛先ポート番号がWell−Knownポートであるか否かを判定する場合を説明したが、かかる判定の処理についてはこの処理順序に限られるものではない。図5は、実施例2に係るマルウェア感染端末検知処理の流れの例を示すフローチャートである。 (2) Processing order In the first embodiment, the case where it is determined whether or not the destination port number is a well-known port when detecting a malware-infected terminal has been described. The processing order is not limited. FIG. 5 is a flowchart illustrating an example of a flow of malware-infected terminal detection processing according to the second embodiment.

例えば、図5に示すように、マルウェア感染端末検知装置100は、ネットワーク通信における所定の各種情報を特定する(ステップS201)。ここで、所定の各種情報とは、通信プロトコル及び宛先ポート番号の組み合わせ、又は、通信プロトコル、宛先ポート番号及び宛先IPアドレスの組み合わせである。   For example, as illustrated in FIG. 5, the malware-infected terminal detection device 100 specifies predetermined various information in network communication (step S201). Here, the predetermined various information is a combination of a communication protocol and a destination port number, or a combination of a communication protocol, a destination port number and a destination IP address.

そして、マルウェア感染端末検知装置100は、特定したプロトコルがマルウェア情報に該当するか否かを判定する(ステップS202)。すなわち、マルウェア感染端末検知装置100は、マルウェア情報記憶部111等からプロトコルを取得し、特定したプロトコルと一致するか否かを判定する。このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当する場合に(ステップS202肯定)、特定した宛先IPアドレス、宛先ポート番号がマルウェア情報に該当するか否かを判定する(ステップS203)。すなわち、マルウェア感染端末検知装置100は、マルウェア情報記憶部111等から取得したプロトコルに対応する宛先IPアドレス、宛先ポート番号を取得し、特定した宛先IPアドレス、宛先ポート番号と一致するか否かを判定する。   Then, the malware-infected terminal detection device 100 determines whether or not the identified protocol corresponds to malware information (step S202). That is, the malware-infected terminal detection apparatus 100 acquires a protocol from the malware information storage unit 111 or the like, and determines whether or not it matches the specified protocol. At this time, if the malware-infected terminal detection device 100 corresponds to the malware information (Yes at Step S202), the malware-infected terminal detection device 100 determines whether or not the specified destination IP address and destination port number correspond to the malware information (Step S203). That is, the malware-infected terminal detection device 100 acquires a destination IP address and a destination port number corresponding to the protocol acquired from the malware information storage unit 111 and the like, and determines whether or not the specified destination IP address and destination port number match. judge.

このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当する場合に(ステップS203肯定)、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する(ステップS206)。一方、マルウェア感染端末検知装置100は、マルウェア情報に該当しない場合に(ステップS203否定)、特定した宛先ポート番号がWell−Knownポートとは異なるか否かを判定する(ステップS204)。ここで、マルウェア情報に該当しない場合(ステップS203否定)とは、宛先IPアドレスと宛先ポート番号との少なくとも何れか一つが一致しなかったことを意味する。   At this time, if the malware-infected terminal detection apparatus 100 corresponds to the malware information (Yes at Step S203), the malware-infected terminal detection apparatus 100 detects that the terminal performing network communication is infected with malware (Step S206). On the other hand, if the malware-infected terminal detection device 100 does not correspond to the malware information (No at Step S203), the malware-infected terminal detection device 100 determines whether or not the specified destination port number is different from the Well-Knowed port (Step S204). Here, the case where the information does not correspond to malware information (No in step S203) means that at least one of the destination IP address and the destination port number does not match.

このとき、マルウェア感染端末検知装置100は、Well−Knownポートとは異なると判定した場合に(ステップS204肯定)、特定した宛先ポート番号がマルウェア情報に該当するか否かを判定する(ステップS205)。すなわち、マルウェア感染端末検知装置100は、取得したポート番号が、Well−Knownポートではない特定した宛先ポート番号と一致するか否かを判定する。このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当する場合に(ステップS205肯定)、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する(ステップS206)。   At this time, when it is determined that the malware-infected terminal detection device 100 is different from the well-known port (Yes in step S204), the malware-infected terminal detection device 100 determines whether the specified destination port number corresponds to the malware information (step S205). . That is, the malware-infected terminal detection device 100 determines whether or not the acquired port number matches the specified destination port number that is not a well-known port. At this time, if the malware-infected terminal detection device 100 corresponds to the malware information (Yes at Step S205), the malware-infected terminal detection device 100 detects that the terminal performing network communication is infected with malware (Step S206).

また、マルウェア感染端末検知装置100は、マルウェア情報に該当しない場合(ステップS202否定,ステップS205否定)、又は、特定した宛先ポート番号がWell−Knownポートである場合に(ステップS204否定)、処理を終了する。なお、ステップS202〜ステップS205の処理は、適宜、順序を入れ替えて実行されても良い。   In addition, the malware-infected terminal detection device 100 performs the process when it does not correspond to the malware information (No at Step S202, No at Step S205) or when the specified destination port number is a Well-Knowed port (No at Step S204). finish. Note that the processes of step S202 to step S205 may be executed by changing the order as appropriate.

(3)マルウェア感染端末検知に係る判定
また、上記実施例では、通信プロトコルと宛先ポート番号との組み合わせが、マルウェア情報に該当するか否かによりマルウェア感染端末を検知する場合を説明したが、通信プロトコルと宛先IPアドレスとの組み合わせが、マルウェア情報に該当するか否かによりマルウェア感染端末を検知しても良い。 (3) Determination related to detection of malware-infected terminal In the above embodiment, the case where a malware-infected terminal is detected based on whether the combination of the communication protocol and the destination port number corresponds to malware information has been described. Malware infected terminals may be detected based on whether the combination of the protocol and the destination IP address corresponds to malware information.

また、このとき、通信プロトコルと、宛先IPアドレスと、さらに宛先ポート番号とを対応付けてマルウェア情報記憶部111等に登録し、その後、通信プロトコルと宛先ポート番号との組み合わせが、マルウェア情報に該当するか否かによりマルウェア感染端末を検知するようにしても良い。   At this time, the communication protocol, the destination IP address, and the destination port number are associated with each other and registered in the malware information storage unit 111 and the like, and then the combination of the communication protocol and the destination port number corresponds to the malware information. Malware-infected terminals may be detected depending on whether or not to do so.

また、このようにしてマルウェア情報記憶部111に登録された通信プロトコル、宛先IPアドレス及び宛先ポート番号は、その後のマルウェア感染端末検知処理において、マルウェア情報として利用される。すなわち、マルウェア情報記憶部111に登録されたマルウェア情報は、通信プロトコルと宛先ポート番号との組み合わせ、通信プロトコルと宛先IPアドレスとの組み合わせ、通信プロトコルと宛先ポート番号と宛先IPアドレスとの組み合わせで、マルウェア感染端末検知に係る判定に利用される。   Further, the communication protocol, the destination IP address, and the destination port number registered in the malware information storage unit 111 in this way are used as malware information in the subsequent malware-infected terminal detection process. That is, the malware information registered in the malware information storage unit 111 is a combination of a communication protocol and a destination port number, a combination of a communication protocol and a destination IP address, and a combination of a communication protocol, a destination port number and a destination IP address. Used for determination related to detection of malware-infected terminals.

また、上述してきたマルウェア感染端末検知処理は、通信プロトコルに対応する宛先ポート番号がWell−Knownポートでない場合だけでなく、Well−Knownポートである場合に実行されても良い。   Moreover, the malware-infected terminal detection process described above may be executed not only when the destination port number corresponding to the communication protocol is not a well-known port, but also when the destination port number is a well-known port.

(4)構成
また、上記文書中や図面中等で示した処理手順、制御手順、具体的名称、各種のデータやパラメタ等を含む情報(例えば、マルウェア情報記憶部111に記憶される情報等)については、特記する場合を除いて任意に変更することができる。 (4) Configuration In addition, information (eg, information stored in the malware information storage unit 111) including the processing procedure, control procedure, specific name, various data, parameters, and the like shown in the document and drawings Can be arbitrarily changed unless otherwise specified.

また、図示したマルウェア感染端末検知装置100の各構成要素は、機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は、図示のものに限られず、その全部又は一部を各種の負担や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合することができる。   Each component of the malware-infected terminal detection device 100 shown in the figure is functionally conceptual and does not necessarily need to be physically configured as shown. In other words, the specific form of distribution / integration of each device is not limited to the one shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various burdens or usage conditions. Can be integrated.

図6は、実施例2に係るシステム構成例を示す図である。例えば、図6に示すように、実施例2に係るマルウェア感染端末検知装置は、内部ネットワークと外部ネットワークとのインラインに配置されても良い。このとき、実施例2に係るマルウェア感染端末検知装置の各構成要素やその機能は実施例1と同様のものとなる。すなわち、実施例2に係るマルウェア感染端末検知装置は、ネットワークタップ等を経由せずに、ネットワーク上のパケットのペイロードから各種情報を特定し、マルウェア情報に該当するか否かを判定して、マルウェアを検知することになる。   FIG. 6 is a diagram illustrating a system configuration example according to the second embodiment. For example, as illustrated in FIG. 6, the malware-infected terminal detection device according to the second embodiment may be arranged inline between the internal network and the external network. At this time, each component and function of the malware-infected terminal detection device according to the second embodiment are the same as those in the first embodiment. That is, the malware-infected terminal detection apparatus according to the second embodiment identifies various types of information from the payload of a packet on the network without going through a network tap or the like, and determines whether the malware information corresponds to the malware information. Will be detected.

また、マルウェア感染端末検知装置100にて行われる各処理機能は、その全部又は任意の一部が、CPU及び該CPUにて解析実行されるプログラムにて実現され、或いは、ワイヤードロジックによるハードウェアとして実現され得る。   Each processing function performed by the malware-infected terminal detection device 100 is realized in part or in part by a CPU and a program that is analyzed and executed by the CPU, or as hardware by wired logic. Can be realized.

(5)プログラム
図7は、本発明に係るマルウェア感染端末検知プログラムがコンピュータを用いて具体的に実現されることを示す図である。図7に例示するように、コンピュータ1000は、例えば、メモリ1001と、CPU1002と、ハードディスクドライブインタフェース1003と、ディスクドライブインタフェース1004と、シリアルポートインタフェース1005と、ビデオアダプタ1006と、ネットワークインタフェース1007とを有し、これらの各部はバス1008によって接続される。 (5) Program FIG. 7 is a diagram showing that the malware-infected terminal detection program according to the present invention is specifically realized using a computer. As illustrated in FIG. 7, the computer 1000 includes, for example, a memory 1001, a CPU 1002, a hard disk drive interface 1003, a disk drive interface 1004, a serial port interface 1005, a video adapter 1006, and a network interface 1007. These units are connected by a bus 1008.

メモリ1001は、図7に例示するように、ROM1001a及びRAM1001bを含む。ROM1001aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1003は、図7に例示するように、ハードディスクドライブ1009に接続される。ディスクドライブインタフェース1004は、図7に例示するように、ディスクドライブ1010に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1010に挿入される。シリアルポートインタフェース1005は、図7に例示するように、例えばマウス1011、キーボード1012に接続される。ビデオアダプタ1006は、図7に例示するように、例えばディスプレイ1013に接続される。   As illustrated in FIG. 7, the memory 1001 includes a ROM 1001a and a RAM 1001b. The ROM 1001a stores a boot program such as BIOS (Basic Input Output System). The hard disk drive interface 1003 is connected to the hard disk drive 1009 as illustrated in FIG. The disk drive interface 1004 is connected to the disk drive 1010 as illustrated in FIG. For example, a removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1010. The serial port interface 1005 is connected to, for example, a mouse 1011 and a keyboard 1012 as illustrated in FIG. The video adapter 1006 is connected to a display 1013, for example, as illustrated in FIG.

ここで、図7に例示するように、ハードディスクドライブ1009は、例えば、OS(Operating System)1009a、アプリケーションプログラム1009b、プログラムモジュール1009c、プログラムデータ1009dを記憶する。すなわち、本発明に係るマルウェア感染端末検知プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1009cとして、例えばハードディスクドライブ1009に記憶される。具体的には、上記実施例で説明した特定部121と同様の処理を実行する特定手順と、取得部122と同様の処理を実行する取得手順と、検知部123と同様の処理を実行する検知手順とが記述されたプログラムモジュール1009cが、ハードディスクドライブ1009に記憶される。また、上記実施例で説明したマルウェア情報記憶部111に記憶されるデータのように、マルウェア感染端末検知プログラムによる処理に用いられるデータは、プログラムデータ1009dとして、例えばハードディスクドライブ1009に記憶される。そして、CPU1002が、ハードディスクドライブ1009に記憶されたプログラムモジュール1009cやプログラムデータ1009dを必要に応じてRAM1001bに読み出し、特定手順、取得手順、検知手順を実行する。   Here, as illustrated in FIG. 7, the hard disk drive 1009 stores, for example, an OS (Operating System) 1009a, an application program 1009b, a program module 1009c, and program data 1009d. That is, the malware-infected terminal detection program according to the present invention is stored in, for example, the hard disk drive 1009 as a program module 1009c in which a command executed by the computer 1000 is described. Specifically, a specific procedure for executing processing similar to that of the specifying unit 121 described in the above embodiment, an acquisition procedure for executing processing similar to that of the acquisition unit 122, and detection for executing processing similar to that of the detection unit 123 A program module 1009c describing the procedure is stored in the hard disk drive 1009. Further, like data stored in the malware information storage unit 111 described in the above embodiment, data used for processing by the malware-infected terminal detection program is stored as, for example, the hard disk drive 1009 as program data 1009d. Then, the CPU 1002 reads the program module 1009c and program data 1009d stored in the hard disk drive 1009 to the RAM 1001b as necessary, and executes a specific procedure, an acquisition procedure, and a detection procedure.

なお、マルウェア感染端末検知プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ハードディスクドライブ1009に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1010等を介してCPU1002によって読み出されてもよい。あるいは、マルウェア感染端末検知プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1007を介してCPU1002によって読み出されてもよい。   Note that the program module 1009c and the program data 1009d related to the malware-infected terminal detection program are not limited to being stored in the hard disk drive 1009, but are stored in, for example, a removable storage medium and read by the CPU 1002 via the disk drive 1010 or the like. May be issued. Alternatively, the program module 1009c and the program data 1009d related to the malware-infected terminal detection program are stored in another computer connected via a network (LAN (Local Area Network), WAN (Wide Area Network), etc.), and the network interface The data may be read out by the CPU 1002 via 1007.

100 マルウェア感染端末検知装置
110 記憶部
111 マルウェア情報記憶部
120 制御部
121 特定部
122 取得部
123 検知部 100 Malware Infected Terminal Detection Device 110 Storage Unit 111 Malware Information Storage Unit 120 Control Unit 121 Identification Unit 122 Acquisition Unit 123 Detection Unit

Claims (6)

ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する特定部と、
マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを取得する取得部と、
前記特定部で特定されたポート番号が前記通信プロトコルに対応するWell−Knownポートではないと判定し、さらに、前記特定部で特定された通信プロトコル及びポート番号と、前記取得部で取得された通信プロトコル及びポート番号とが一致すると判定する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する検知部と
を有することを特徴とするマルウェア感染端末検知装置。 A specifying unit for specifying a communication protocol in network communication and a port number used in the network communication;
An acquisition unit that acquires a communication protocol of communication involving the malware when the malware is operated and a port number used in communication involving the malware;
It is determined that the port number specified by the specifying unit is not a well -known port corresponding to the communication protocol, and the communication protocol and port number specified by the specifying unit and the communication acquired by the acquiring unit A malware-infected terminal detection apparatus, comprising: a detection unit that detects that a terminal performing network communication is infected with malware when it is determined that a protocol and a port number match. 前記特定部は、前記ネットワーク通信における宛先IPアドレスをさらに特定し、
前記取得部は、前記マルウェアが関与した通信における宛先IPアドレスをさらに取得し、
前記検知部は、前記特定部で特定されたポート番号が前記通信プロトコルに対応するWell−Knownポートである場合、且つ、前記特定部で特定された通信プロトコル、ポート番号及び宛先IPアドレスと、前記取得部で取得された通信プロトコル、ポート番号及び宛先IPアドレスとが一致する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する
ことを特徴とする請求項1に記載のマルウェア感染端末検知装置。 The specifying unit further specifies a destination IP address in the network communication;
The acquisition unit further acquires a destination IP address in communication involving the malware,
When the port number specified by the specifying unit is a well-known port corresponding to the communication protocol, and the communication unit, the port number and the destination IP address specified by the specifying unit, The method according to claim 1, wherein when the communication protocol, the port number, and the destination IP address acquired by the acquisition unit match, it is detected that the terminal performing the network communication is infected with malware. The malware-infected terminal detection device described. 前記検知部は、マルウェアに感染している端末による通信として検知した前記ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号と、該ネットワーク通信における宛先IPアドレスとをマルウェア情報として対応付けて記憶部に登録し、
前記特定部は、前記ネットワーク通信における宛先IPアドレスをさらに特定し、
前記取得部は、前記検知部によって前記記憶部に登録された宛先IPアドレスを含むマルウェア情報をさらに取得し、
前記検知部は、前記特定部で特定された通信プロトコル、ポート番号及び宛先IPアドレスと、前記取得部で取得された通信プロトコル、ポート番号及び宛先IPアドレスとが一致する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する
ことを特徴とする請求項1に記載のマルウェア感染端末検知装置。 The detection unit associates, as malware information, a communication protocol in the network communication detected as communication by a terminal infected with malware, a port number used in the network communication, and a destination IP address in the network communication. Registered in the storage unit,
The specifying unit further specifies a destination IP address in the network communication;
The acquisition unit further acquires malware information including a destination IP address registered in the storage unit by the detection unit,
The detection unit performs the network communication when the communication protocol, port number and destination IP address specified by the specifying unit match the communication protocol, port number and destination IP address acquired by the acquisition unit. The malware-infected terminal detection device according to claim 1, wherein the terminal that is performing detection of malware infection is detected. 前記検知部によってマルウェアに感染している端末による通信として検知された前記ネットワーク通信に対して、帯域の制御又は通信の遮断を実行する通信制御部をさらに有する
ことを特徴とする請求項1〜3の何れか一つに記載のマルウェア感染端末検知装置。 The communication control part which performs control of a zone | band, or interruption | blocking of communication with respect to the said network communication detected as communication by the terminal infected with the malware by the said detection part is characterized by the above-mentioned. The malware-infected terminal detection device according to any one of the above. マルウェア感染端末検知装置で実行されるマルウェア感染端末検知方法であって、
ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する特定工程と、
マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを取得する取得工程と、
前記特定工程で特定されたポート番号が前記通信プロトコルに対応するWell−Knownポートではないと判定し、さらに、前記特定工程で特定された通信プロトコル及びポート番号と、前記取得工程で取得された通信プロトコル及びポート番号とが一致すると判定する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する検知工程と
を含んだことを特徴とするマルウェア感染端末検知方法。 A malware-infected terminal detection method executed by a malware-infected terminal detection device,
A specifying step of specifying a communication protocol in network communication and a port number used in the network communication;
An acquisition step of acquiring a communication protocol of communication involving the malware when operating the malware and a port number used in communication involving the malware;
It is determined that the port number specified in the specifying step is not a well -known port corresponding to the communication protocol, and the communication protocol and port number specified in the specifying step and the communication acquired in the acquiring step And a detection step of detecting that the terminal performing the network communication is infected with malware when it is determined that the protocol and the port number match. コンピュータを請求項1〜4に記載のマルウェア感染端末検知装置として機能させるためのマルウェア感染端末検知プログラム。   The malware infection terminal detection program for functioning a computer as a malware infection terminal detection apparatus of Claims 1-4.
JP2011142901A 2011-06-28 2011-06-28 Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program Expired - Fee Related JP5655185B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011142901A JP5655185B2 (en) 2011-06-28 2011-06-28 Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011142901A JP5655185B2 (en) 2011-06-28 2011-06-28 Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program

Publications (2)

Publication Number Publication Date
JP2013011948A JP2013011948A (en) 2013-01-17
JP5655185B2 true JP5655185B2 (en) 2015-01-21

Family

ID=47685797

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011142901A Expired - Fee Related JP5655185B2 (en) 2011-06-28 2011-06-28 Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program

Country Status (1)

Country Link
JP (1) JP5655185B2 (en)

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002073433A (en) * 2000-08-28 2002-03-12 Mitsubishi Electric Corp Break-in detecting device and illegal break-in measures management system and break-in detecting method
US7290283B2 (en) * 2001-01-31 2007-10-30 Lancope, Inc. Network port profiling
JP3581345B2 (en) * 2001-12-13 2004-10-27 株式会社東芝 Packet transfer device and packet transfer method
JP2005025269A (en) * 2003-06-30 2005-01-27 Toshiba Corp Network relay device and method for inspecting security
JP3903969B2 (en) * 2003-08-06 2007-04-11 セイコーエプソン株式会社 Worm infection prevention system
JP2005128792A (en) * 2003-10-23 2005-05-19 Trend Micro Inc Communication device, program and storage medium
JP2007013262A (en) * 2005-06-28 2007-01-18 Fujitsu Ltd Program, method and apparatus for worm determination
JP2010033100A (en) * 2006-10-26 2010-02-12 Nec Corp Communication device and detection device of intrusion to network
JP5009244B2 (en) * 2008-07-07 2012-08-22 日本電信電話株式会社 Malware detection system, malware detection method, and malware detection program
JP5476578B2 (en) * 2009-01-06 2014-04-23 独立行政法人情報通信研究機構 Network monitoring system and method
JP5258676B2 (en) * 2009-06-12 2013-08-07 Kddi株式会社 Rule information changing method, management apparatus and program in firewall

Also Published As

Publication number Publication date
JP2013011948A (en) 2013-01-17

Similar Documents

Publication Publication Date Title
JP6106780B2 (en) Malware analysis system
US9306964B2 (en) Using trust profiles for network breach detection
US10462159B2 (en) Botnet detection system and method
JP5886422B2 (en) System, apparatus, program, and method for protocol fingerprint acquisition and evaluation correlation
US20190058714A1 (en) Dynamic Decryption of Suspicious Network Traffic Based on Certificate Validation
US9405903B1 (en) Sinkholing bad network domains by registering the bad network domains on the internet
KR101236822B1 (en) Method for detecting arp spoofing attack by using arp locking function and recordable medium which program for executing method is recorded
JP6159018B2 (en) Extraction condition determination method, communication monitoring system, extraction condition determination apparatus, and extraction condition determination program
US20150143454A1 (en) Security management apparatus and method
JP2008011537A (en) Packet classification for network security device
US11258812B2 (en) Automatic characterization of malicious data flows
US11616793B2 (en) System and method for device context and device security
WO2015167523A1 (en) Packet logging
US9444830B2 (en) Web server/web application server security management apparatus and method
JP5389739B2 (en) Analysis system, analysis apparatus, analysis method, and analysis program
US20230336524A1 (en) In-line detection of algorithmically generated domains
JP2018026747A (en) Aggression detection device, aggression detection system and aggression detection method
JP7028559B2 (en) Attack detection system, attack detection method and attack detection program
JP6162021B2 (en) Analysis device, malicious communication destination registration method, and malicious communication destination registration program
JP6592196B2 (en) Malignant event detection apparatus, malignant event detection method, and malignant event detection program
JP5655185B2 (en) Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program
Woodiss-Field et al. Towards evaluating the effectiveness of botnet detection techniques
JP2017092755A (en) Unified threat management device and virus detection method for unified threat management device
Ceron et al. MARS: From traffic containment to network reconfiguration in malware-analysis systems
WO2020245930A1 (en) Sensing device, sensing method, and sensing program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20131004

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20131004

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140715

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140904

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140924

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140925

R150 Certificate of patent or registration of utility model

Ref document number: 5655185

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees