JP5655185B2 - Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program - Google Patents
Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program Download PDFInfo
- Publication number
- JP5655185B2 JP5655185B2 JP2011142901A JP2011142901A JP5655185B2 JP 5655185 B2 JP5655185 B2 JP 5655185B2 JP 2011142901 A JP2011142901 A JP 2011142901A JP 2011142901 A JP2011142901 A JP 2011142901A JP 5655185 B2 JP5655185 B2 JP 5655185B2
- Authority
- JP
- Japan
- Prior art keywords
- malware
- communication
- port number
- infected
- terminal detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、マルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラムに関する。 The present invention relates to a malware-infected terminal detection device, a malware-infected terminal detection method, and a malware-infected terminal detection program.
従来、情報漏洩や不正アクセス等の脅威をもたらすコンピュータウィルスやスパイウェア、ボットプログラムといった悪意のある不正なコンピュータプログラム(以下、「マルウェア」と呼ぶことがある)が猛威を振るっている。 Conventionally, malicious and malicious computer programs (hereinafter sometimes referred to as “malware”) such as computer viruses, spyware, and bot programs that pose threats such as information leakage and unauthorized access have been blaming.
マルウェアによる脅威を抑制するためには、マルウェアに感染した端末からマルウェアを駆除することが重要である。マルウェアを駆除するために、ユーザは、一つの様態として、マルウェアに感染した端末に対して、アンチウィルスソフトウェア等を利用して対処してきた。ところが、1.4秒に1件の新種マルウェアが出現しているという報告もある(非特許文献1)ことから、アンチウィルスソフトウェアで検知するだけでは対応が追いつかないことが多い。このため、端末ごとにおける対応だけでなく、マルウェアに感染した端末をネットワーク側から検出し、対処することが好ましい。 In order to suppress the threat of malware, it is important to remove the malware from terminals infected with malware. In order to remove malware, users have dealt with terminals infected with malware by using anti-virus software as one aspect. However, there is a report that one new malware appears in 1.4 seconds (Non-Patent Document 1), and therefore, it is often impossible to catch up with detection only by anti-virus software. For this reason, it is preferable not only to cope with each terminal but also to detect and deal with a terminal infected with malware from the network side.
マルウェアには、例えば、IRC(Internet Relay Chat)やHTTP(HyperText Transfer Protocol)等のように、一般に用いられるプロトコルで通信するものがある(非特許文献2)。このようなプロトコルの利用によりマルウェアに感染した端末の通信をネットワーク上で検知する手法としては、例えば、マルウェアの一種であるボットがC&C(Command And Control)サーバと通信する際の特徴的なペイロードを判定基準とするものがある。 Some malware communicates with a commonly used protocol such as IRC (Internet Relay Chat) and HTTP (HyperText Transfer Protocol) (Non-Patent Document 2). As a method for detecting communication of a terminal infected with malware by using such a protocol on a network, for example, a characteristic payload when a bot, which is a kind of malware, communicates with a C & C (Command And Control) server is used. Some are used as criteria.
具体的に、特徴的なペイロードとしては、マルウェアとC&CサーバとがIRCプロトコルにより通信する際のNICK(nickname)や、C&Cサーバから送信されるTOPIC等が挙げられる。そして、多くのマルウェアに共通するペイロードのパターンが含まれている場合には、該当のプログラムをマルウェアとして検知する。 Specifically, the characteristic payload includes NICK (nickname) when malware and the C & C server communicate by the IRC protocol, TOPIC transmitted from the C & C server, and the like. When a payload pattern common to many malwares is included, the corresponding program is detected as malware.
また、主要な通信プロトコルで使用されるWell−Knownポートとは異なるポートで行なわれる通信をマルウェアの判定基準とすることが考えられる(非特許文献3)。 In addition, it is conceivable that communication performed on a port different from the well-known port used in the main communication protocol is used as a criterion for judging malware (Non-Patent Document 3).
従来技術では、迅速にマルウェア感染端末を検知することができないという問題がある。具体的には、従来技術では、マルウェアに共通するペイロードのパターンを検出するために、特徴的なペイロードを利用しているものの、新種のマルウェアの出現数は膨大であるためそのパターンを網羅することは困難である。また、そもそも、従来技術では、マルウェアに共通するペイロードのパターンが利用されないものについては検知することができない。また、従来技術では、例えば、IRCやHTTP等の通信において、マルウェアに感染していないユーザであっても、Well−Knownポートとは異なるポートで通信を行なうこともあるため、Well−Knownポートとは異なるポートの通信を一纏めにマルウェアの判定基準とするのは好ましくない。 In the prior art, there is a problem that a malware-infected terminal cannot be detected quickly. Specifically, the conventional technology uses a characteristic payload to detect a payload pattern common to malware, but the number of new types of malware that appear is enormous, so it covers that pattern. It is difficult. In the first place, the conventional technology cannot detect a case where a payload pattern common to malware is not used. In the prior art, for example, even in a communication such as IRC or HTTP, even a user who is not infected with malware may communicate with a port different from the well-known port. It is not preferable that communication of different ports is collectively used as a judgment criterion for malware.
そこで、本発明は、上記に鑑みてなされたものであって、迅速にマルウェア感染端末を検知することが可能であるマルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラムを提供することを目的とする。 Therefore, the present invention has been made in view of the above, and provides a malware-infected terminal detection device, a malware-infected terminal detection method, and a malware-infected terminal detection program capable of quickly detecting a malware-infected terminal. For the purpose.
上述した課題を解決し、目的を達成するため、本発明に係るマルウェア感染端末検知装置は、ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する特定部と、マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを取得する取得部と、前記特定部で特定されたポート番号が前記通信プロトコルに対応するWell−Knownポートではないではないと判定し、さらに、前記特定部で特定された通信プロトコル及びポート番号と、前記取得部で取得された通信プロトコル及びポート番号とが一致すると判定する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する検知部とを有する。 In order to solve the above-described problems and achieve the object, the malware-infected terminal detection apparatus according to the present invention includes a specifying unit that specifies a communication protocol in network communication and a port number used in the network communication, and malware. An acquisition unit that acquires a communication protocol of communication involving the malware when operated and a port number used in communication involving the malware, and the port number specified by the specifying unit are included in the communication protocol. determined not to not be a corresponding Well-Known port, further, when judges that the communication protocol and the port number identified by the identifying unit, and the acquired communication protocols and port numbers by the acquisition unit coincides In addition, it is detected that the terminal performing the network communication is infected with malware. And a knowledge section.
本発明に係るマルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラムの一つの様態によれば、迅速にマルウェア感染端末を検知することができるという効果を奏する。 According to one aspect of the malware-infected terminal detection device, the malware-infected terminal detection method, and the malware-infected terminal detection program according to the present invention, it is possible to quickly detect a malware-infected terminal.
以下に添付図面を参照して、本発明に係るマルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラムの実施例を説明する。なお、以下の実施例により本発明が限定されるものではない。 Embodiments of a malware-infected terminal detection device, a malware-infected terminal detection method, and a malware-infected terminal detection program according to the present invention will be described below with reference to the accompanying drawings. In addition, this invention is not limited by the following examples.
[システム構成]
図1を用いて、実施例1に係るシステム構成を説明する。図1は、実施例1に係るシステム構成例を示す図である。
[System configuration]
A system configuration according to the first embodiment will be described with reference to FIG. FIG. 1 is a diagram illustrating a system configuration example according to the first embodiment.
例えば、図1に示すように、本発明に係るマルウェア感染端末検知装置は、内部ネットワークと外部ネットワークとのネットワークにおけるパケットを分岐するネットワークタップに接続される。かかるネットワークタップは、各種のネットワークにおけるパケットの分岐を、ネットワークに影響を及ぼすことなく実行できる。すなわち、ネットワークタップは、ネットワーク上のパケットを遅延させたり、接続されるネットワーク機器に負荷を与えたりしない。なお、ネットワークを流れるパケットを分岐できる機器であれば良いため、ネットワークタップに限られるものではない。 For example, as shown in FIG. 1, the malware-infected terminal detection device according to the present invention is connected to a network tap that branches a packet in an internal network and an external network. Such a network tap can perform packet branching in various networks without affecting the network. In other words, the network tap does not delay the packet on the network or give a load to the connected network device. Note that the device is not limited to the network tap because any device capable of branching a packet flowing through the network may be used.
上記構成において、マルウェア感染端末検知装置は、ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する。そして、マルウェア感染端末検知装置は、マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを取得する。続いて、マルウェア感染端末検知装置は、特定されたポート番号が通信プロトコルに対応するWell−Knownポートではない場合、且つ、特定された通信プロトコル及びポート番号と、取得された通信プロトコル及びポート番号とが一致する場合に、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する。なお、マルウェア感染端末検知装置による詳細な処理については後述する。 In the above configuration, the malware-infected terminal detection device identifies a communication protocol in network communication and a port number used in the network communication. Then, the malware-infected terminal detection device acquires a communication protocol of communication related to the malware when the malware is operated and a port number used in communication related to the malware. Subsequently, when the identified port number is not a well-known port corresponding to the communication protocol, the malware-infected terminal detection device, and the identified communication protocol and port number, the acquired communication protocol and port number, If they match, it is detected that the terminal performing network communication is infected with malware. Detailed processing by the malware-infected terminal detection device will be described later.
[マルウェア感染端末検知装置の構成]
次に、図2を用いて、実施例1に係るマルウェア感染端末検知装置の構成を説明する。図2は、実施例1に係るマルウェア感染端末検知装置の構成例を示す図である。
[Configuration of Malware Infected Device Detection Device]
Next, the configuration of the malware-infected terminal detection device according to the first embodiment will be described with reference to FIG. FIG. 2 is a diagram illustrating a configuration example of the malware-infected terminal detection device according to the first embodiment.
例えば、図2に示すように、マルウェア感染端末検知装置100は、記憶部110と、制御部120とを有する。記憶部110は、例えば、制御部120による各種処理に要するデータや、制御部120による各種処理結果を記憶する。また、記憶部110は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置である。かかる記憶部110には、マルウェア情報記憶部111が含まれる。
For example, as illustrated in FIG. 2, the malware-infected
制御部120は、例えば、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有する。また、制御部120は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路、又はCPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路である。かかる制御部120には、特定部121と、取得部122と、検知部123とが含まれる。
The
特定部121は、例えば、ネットワークタップ等により分岐されたパケットのペイロードを分析し、ネットワーク通信における通信プロトコルを特定する。同様に、特定部121は、ネットワーク通信で利用される宛先ポート番号を特定する。また、特定部121は、ネットワーク通信における送信元IPアドレスと、宛先IPアドレスとをさらに特定する。そして、特定部121は、上記各種情報を特定した場合に特定した旨を取得部122に通知するとともに、特定した各種情報を検知部123に通知する。
For example, the
取得部122は、例えば、特定部121からの通知を受けると、マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルを取得する。同様に、取得部122は、マルウェアが関与した通信で利用された宛先ポート番号を取得する。また、取得部122は、マルウェアが関与した通信で利用される宛先IPアドレスをさらに取得する。そして、取得部122は、取得した各種情報を検知部123に通知する。取得部122が取得する各種情報は、一つの様態として、マルウェア情報記憶部111に記憶される。他の様態として、取得部122が取得する各種情報は、マルウェア感染端末検知装置100に接続される外部の記憶装置やネットワーク上のサーバ装置等に記憶される。
For example, when receiving the notification from the
図3は、マルウェア情報記憶部111によって記憶される情報の例を示す図である。例えば、図3に示すように、マルウェア情報記憶部111は、「プロトコル」と、「宛先FQDN(Fully Qualified Domain Name)」と、「宛先IPアドレス」と、「宛先ポート番号」とを対応付けて記憶する。これらのうち、「プロトコル」は、例えば、ネットワーク通信における通信プロトコルである。ここでのネットワーク通信とは、図1に示したネットワークだけでなく、他の任意のシステムにおけるネットワークも含まれる。
FIG. 3 is a diagram illustrating an example of information stored by the malware
また、「宛先FQDN」は、例えば、主にHTTPプロトコルに対応するFQDNである。また、「宛先IPアドレス」は、例えば、各通信プロトコルにおけるネットワークの通信先のIPアドレスである。また、「宛先ポート番号」は、例えば、各宛先IPアドレスに対応するポート番号である。 The “destination FQDN” is, for example, an FQDN mainly corresponding to the HTTP protocol. The “destination IP address” is, for example, an IP address of a network communication destination in each communication protocol. The “destination port number” is a port number corresponding to each destination IP address, for example.
例を挙げると、マルウェア情報記憶部111は、プロトコル「IRC」と、宛先IPアドレス「a.b.c.d」と、宛先ポート番号「10324」とを対応付けて記憶する。他の例を挙げると、マルウェア情報記憶部111は、プロトコル「HTTP」と、宛先FQDN「www.mal.com」と、宛先IPアドレス「e.f.g.h」と、宛先ポート番号「80」とを対応付けて記憶する。
For example, the malware
図2の説明に戻り、検知部123は、例えば、特定部121によって特定されたポート番号が通信プロトコルに対応するWell−Knownポートではない場合に、特定部121によって特定された通信プロトコル及び宛先ポート番号と、取得部122によって取得された通信プロトコル及び宛先ポート番号とが一致するか否かを判定する。このとき、検知部123は、これらの情報が一致する場合に、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する。なお、マルウェアに感染していることを検知された端末については、特定部121で特定した送信元IPアドレスを利用することにより識別できる。
Returning to the description of FIG. 2, for example, when the port number specified by the specifying
また、検知部123は、特定部121によって特定された宛先ポート番号が通信プロトコルに対応するWell−Knownポートである場合に、通信プロトコル及びポート番号に加え、特定部121や取得部122それぞれで特定又は取得された宛先IPアドレスが一致するか否かも判定する。このとき、検知部123は、宛先IPアドレスも一致する場合に、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する。なお、マルウェアに感染していることを検知された端末については、同様に、特定部121で特定した送信元IPアドレスを利用することにより識別できる。
Further, when the destination port number specified by the specifying
また、マルウェアに感染した端末を検知した検知部123は、該当する通信プロトコルとポート番号とを新たなマルウェア情報として、マルウェア情報記憶部111に対応付けて登録しても良い。このとき、検知部123は、宛先IPアドレスについても登録するようにしても良い。これにより、マルウェア感染端末検知装置100によるその後のマルウェア感染端末検知に係る処理に活用することができる。
The
つまり、マルウェア情報記憶部111は、マルウェアによる通信を検知した他の装置或いはマルウェア感染端末検知装置100によって事前に検知されたマルウェア情報を予め記憶するとともに、マルウェア感染端末検知装置100によって検知されるマルウェア情報を記憶していくことになる。
That is, the malware
[マルウェア感染端末検知処理の流れ]
次に、図4を用いて、実施例1に係るマルウェア感染端末検知処理を説明する。図4は、実施例1に係るマルウェア感染端末検知処理の流れの例を示すフローチャートである。
[Malware infected device detection process flow]
Next, the malware-infected terminal detection process according to the first embodiment will be described with reference to FIG. FIG. 4 is a flowchart illustrating an example of the flow of the malware-infected terminal detection process according to the first embodiment.
例えば、図4に示すように、マルウェア感染端末検知装置100は、ネットワーク通信における所定の各種情報を特定する(ステップS101)。ここで、所定の各種情報とは、通信プロトコル及び宛先ポート番号の組み合わせ、又は、通信プロトコル、宛先ポート番号及び宛先IPアドレスの組み合わせである。
For example, as illustrated in FIG. 4, the malware-infected
そして、マルウェア感染端末検知装置100は、特定した宛先ポート番号が通信プロトコルに対応するWell−Knownポートとは異なるか否かを判定する(ステップS102)。このとき、マルウェア感染端末検知装置100は、Well−Knownポートとは異なる場合に(ステップS102肯定)、特定したプロトコル、宛先ポート番号がマルウェア情報に該当するか否かを判定する(ステップS103)。すなわち、マルウェア感染端末検知装置100は、マルウェア情報記憶部111等からプロトコル及び宛先ポート番号を取得し、特定したプロトコル及び宛先ポート番号と一致するか否かを判定する。
Then, the malware-infected
このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当すると判定した場合に(ステップS103肯定)、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する(ステップS104)。一方、マルウェア感染端末検知装置100は、マルウェア情報に該当しないと判定した場合に(ステップS103否定)、処理を終了する。
At this time, when it is determined that the malware-infected
また、マルウェア感染端末検知装置100は、Well−Knownポートである場合に(ステップS102否定)、特定したプロトコル、宛先ポート番号及び宛先IPアドレスがマルウェア情報に該当するか否かを判定する(ステップS105)。すなわち、マルウェア感染端末検知装置100は、マルウェア情報記憶部111等からプロトコル、宛先ポート番号及び宛先IPアドレスを取得し、特定したプロトコル、宛先ポート番号及び宛先IPアドレスと一致するか否かを判定する。
Further, when the malware-infected
このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当すると判定した場合に(ステップS105肯定)、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する(ステップS104)。一方、マルウェア感染端末検知装置100は、マルウェア情報に該当しないと判定した場合に(ステップS105否定)、処理を終了する。
At this time, when it is determined that the malware-infected
[実施例1による効果]
上述したように、マルウェア感染端末検知装置100は、通信プロトコルと宛先ポート番号とに基づいてマルウェアを検知するので、特徴的なペイロードのパターンに基づいてマルウェアを検知する従来技術と比較して、迅速にマルウェア感染端末を検知することができる。また、マルウェア感染端末検知装置100は、通信プロトコルと宛先ポート番号とに基づいてマルウェアを検知するので、マルウェアに共通するペイロードのパターンが利用されないマルウェアについても検知することができ、マルウェア感染端末の検知精度を向上させることができる。
[Effects of Example 1]
As described above, since the malware-infected
また、マルウェア感染端末検知装置100は、Well−Knownポートとは異なる宛先ポート番号で行なわれる通信において、プロトコルと宛先ポート番号との組み合わせがマルウェア情報と一致する場合に、マルウェア感染端末からの通信として検知する。この結果、マルウェア感染端末検知装置100は、Well−Knownポートとは異なる宛先ポート番号を利用した通信をマルウェア感染端末からの通信として一律に検知するために誤検知が多くなる従来技術と比較して、マルウェア感染端末の検知精度を向上させることができる。
In addition, in the communication performed with the destination port number different from the well-known port, the malware-infected
さて、これまで本発明に係るマルウェア感染端末検知装置100の実施例について説明したが、上述した実施例以外にも種々の異なる形態にて実施されてよいものである。そこで、(1)帯域制御又は通信遮断、(2)処理順序、(3)マルウェア感染端末検知に係る判定、(4)構成、(5)プログラム、において異なる実施例を説明する。
The embodiments of the malware-infected
(1)帯域制御又は通信遮断
上記実施例1では、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する場合を説明したが、マルウェア感染端末による通信として検知されたネットワーク通信に対して、帯域の制御又は通信の遮断をさらに実行しても良い。これにより、マルウェアに関するネットワーク通信の拡大を抑制することができる。また、検知されたマルウェア情報をネットワーク通信に対する帯域の制御又は通信の遮断に活用するだけでなく、ネットワークを監視する監視装置等の他の装置へ通知することにしても良い。
(1) Bandwidth control or communication blocking In the first embodiment, the case where it is detected that a terminal performing network communication is infected with malware has been described. On the other hand, band control or communication cutoff may be further executed. Thereby, expansion of the network communication regarding malware can be suppressed. In addition, the detected malware information may be used not only for bandwidth control or communication interruption for network communication but also for notification to other devices such as a monitoring device for monitoring the network.
(2)処理順序
また、上記実施例1では、マルウェア感染端末を検知する際に宛先ポート番号がWell−Knownポートであるか否かを判定する場合を説明したが、かかる判定の処理についてはこの処理順序に限られるものではない。図5は、実施例2に係るマルウェア感染端末検知処理の流れの例を示すフローチャートである。
(2) Processing order In the first embodiment, the case where it is determined whether or not the destination port number is a well-known port when detecting a malware-infected terminal has been described. The processing order is not limited. FIG. 5 is a flowchart illustrating an example of a flow of malware-infected terminal detection processing according to the second embodiment.
例えば、図5に示すように、マルウェア感染端末検知装置100は、ネットワーク通信における所定の各種情報を特定する(ステップS201)。ここで、所定の各種情報とは、通信プロトコル及び宛先ポート番号の組み合わせ、又は、通信プロトコル、宛先ポート番号及び宛先IPアドレスの組み合わせである。
For example, as illustrated in FIG. 5, the malware-infected
そして、マルウェア感染端末検知装置100は、特定したプロトコルがマルウェア情報に該当するか否かを判定する(ステップS202)。すなわち、マルウェア感染端末検知装置100は、マルウェア情報記憶部111等からプロトコルを取得し、特定したプロトコルと一致するか否かを判定する。このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当する場合に(ステップS202肯定)、特定した宛先IPアドレス、宛先ポート番号がマルウェア情報に該当するか否かを判定する(ステップS203)。すなわち、マルウェア感染端末検知装置100は、マルウェア情報記憶部111等から取得したプロトコルに対応する宛先IPアドレス、宛先ポート番号を取得し、特定した宛先IPアドレス、宛先ポート番号と一致するか否かを判定する。
Then, the malware-infected
このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当する場合に(ステップS203肯定)、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する(ステップS206)。一方、マルウェア感染端末検知装置100は、マルウェア情報に該当しない場合に(ステップS203否定)、特定した宛先ポート番号がWell−Knownポートとは異なるか否かを判定する(ステップS204)。ここで、マルウェア情報に該当しない場合(ステップS203否定)とは、宛先IPアドレスと宛先ポート番号との少なくとも何れか一つが一致しなかったことを意味する。
At this time, if the malware-infected
このとき、マルウェア感染端末検知装置100は、Well−Knownポートとは異なると判定した場合に(ステップS204肯定)、特定した宛先ポート番号がマルウェア情報に該当するか否かを判定する(ステップS205)。すなわち、マルウェア感染端末検知装置100は、取得したポート番号が、Well−Knownポートではない特定した宛先ポート番号と一致するか否かを判定する。このとき、マルウェア感染端末検知装置100は、マルウェア情報に該当する場合に(ステップS205肯定)、ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する(ステップS206)。
At this time, when it is determined that the malware-infected
また、マルウェア感染端末検知装置100は、マルウェア情報に該当しない場合(ステップS202否定,ステップS205否定)、又は、特定した宛先ポート番号がWell−Knownポートである場合に(ステップS204否定)、処理を終了する。なお、ステップS202〜ステップS205の処理は、適宜、順序を入れ替えて実行されても良い。
In addition, the malware-infected
(3)マルウェア感染端末検知に係る判定
また、上記実施例では、通信プロトコルと宛先ポート番号との組み合わせが、マルウェア情報に該当するか否かによりマルウェア感染端末を検知する場合を説明したが、通信プロトコルと宛先IPアドレスとの組み合わせが、マルウェア情報に該当するか否かによりマルウェア感染端末を検知しても良い。
(3) Determination related to detection of malware-infected terminal In the above embodiment, the case where a malware-infected terminal is detected based on whether the combination of the communication protocol and the destination port number corresponds to malware information has been described. Malware infected terminals may be detected based on whether the combination of the protocol and the destination IP address corresponds to malware information.
また、このとき、通信プロトコルと、宛先IPアドレスと、さらに宛先ポート番号とを対応付けてマルウェア情報記憶部111等に登録し、その後、通信プロトコルと宛先ポート番号との組み合わせが、マルウェア情報に該当するか否かによりマルウェア感染端末を検知するようにしても良い。
At this time, the communication protocol, the destination IP address, and the destination port number are associated with each other and registered in the malware
また、このようにしてマルウェア情報記憶部111に登録された通信プロトコル、宛先IPアドレス及び宛先ポート番号は、その後のマルウェア感染端末検知処理において、マルウェア情報として利用される。すなわち、マルウェア情報記憶部111に登録されたマルウェア情報は、通信プロトコルと宛先ポート番号との組み合わせ、通信プロトコルと宛先IPアドレスとの組み合わせ、通信プロトコルと宛先ポート番号と宛先IPアドレスとの組み合わせで、マルウェア感染端末検知に係る判定に利用される。
Further, the communication protocol, the destination IP address, and the destination port number registered in the malware
また、上述してきたマルウェア感染端末検知処理は、通信プロトコルに対応する宛先ポート番号がWell−Knownポートでない場合だけでなく、Well−Knownポートである場合に実行されても良い。 Moreover, the malware-infected terminal detection process described above may be executed not only when the destination port number corresponding to the communication protocol is not a well-known port, but also when the destination port number is a well-known port.
(4)構成
また、上記文書中や図面中等で示した処理手順、制御手順、具体的名称、各種のデータやパラメタ等を含む情報(例えば、マルウェア情報記憶部111に記憶される情報等)については、特記する場合を除いて任意に変更することができる。
(4) Configuration In addition, information (eg, information stored in the malware information storage unit 111) including the processing procedure, control procedure, specific name, various data, parameters, and the like shown in the document and drawings Can be arbitrarily changed unless otherwise specified.
また、図示したマルウェア感染端末検知装置100の各構成要素は、機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は、図示のものに限られず、その全部又は一部を各種の負担や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合することができる。
Each component of the malware-infected
図6は、実施例2に係るシステム構成例を示す図である。例えば、図6に示すように、実施例2に係るマルウェア感染端末検知装置は、内部ネットワークと外部ネットワークとのインラインに配置されても良い。このとき、実施例2に係るマルウェア感染端末検知装置の各構成要素やその機能は実施例1と同様のものとなる。すなわち、実施例2に係るマルウェア感染端末検知装置は、ネットワークタップ等を経由せずに、ネットワーク上のパケットのペイロードから各種情報を特定し、マルウェア情報に該当するか否かを判定して、マルウェアを検知することになる。 FIG. 6 is a diagram illustrating a system configuration example according to the second embodiment. For example, as illustrated in FIG. 6, the malware-infected terminal detection device according to the second embodiment may be arranged inline between the internal network and the external network. At this time, each component and function of the malware-infected terminal detection device according to the second embodiment are the same as those in the first embodiment. That is, the malware-infected terminal detection apparatus according to the second embodiment identifies various types of information from the payload of a packet on the network without going through a network tap or the like, and determines whether the malware information corresponds to the malware information. Will be detected.
また、マルウェア感染端末検知装置100にて行われる各処理機能は、その全部又は任意の一部が、CPU及び該CPUにて解析実行されるプログラムにて実現され、或いは、ワイヤードロジックによるハードウェアとして実現され得る。
Each processing function performed by the malware-infected
(5)プログラム
図7は、本発明に係るマルウェア感染端末検知プログラムがコンピュータを用いて具体的に実現されることを示す図である。図7に例示するように、コンピュータ1000は、例えば、メモリ1001と、CPU1002と、ハードディスクドライブインタフェース1003と、ディスクドライブインタフェース1004と、シリアルポートインタフェース1005と、ビデオアダプタ1006と、ネットワークインタフェース1007とを有し、これらの各部はバス1008によって接続される。
(5) Program FIG. 7 is a diagram showing that the malware-infected terminal detection program according to the present invention is specifically realized using a computer. As illustrated in FIG. 7, the
メモリ1001は、図7に例示するように、ROM1001a及びRAM1001bを含む。ROM1001aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1003は、図7に例示するように、ハードディスクドライブ1009に接続される。ディスクドライブインタフェース1004は、図7に例示するように、ディスクドライブ1010に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1010に挿入される。シリアルポートインタフェース1005は、図7に例示するように、例えばマウス1011、キーボード1012に接続される。ビデオアダプタ1006は、図7に例示するように、例えばディスプレイ1013に接続される。
As illustrated in FIG. 7, the memory 1001 includes a
ここで、図7に例示するように、ハードディスクドライブ1009は、例えば、OS(Operating System)1009a、アプリケーションプログラム1009b、プログラムモジュール1009c、プログラムデータ1009dを記憶する。すなわち、本発明に係るマルウェア感染端末検知プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1009cとして、例えばハードディスクドライブ1009に記憶される。具体的には、上記実施例で説明した特定部121と同様の処理を実行する特定手順と、取得部122と同様の処理を実行する取得手順と、検知部123と同様の処理を実行する検知手順とが記述されたプログラムモジュール1009cが、ハードディスクドライブ1009に記憶される。また、上記実施例で説明したマルウェア情報記憶部111に記憶されるデータのように、マルウェア感染端末検知プログラムによる処理に用いられるデータは、プログラムデータ1009dとして、例えばハードディスクドライブ1009に記憶される。そして、CPU1002が、ハードディスクドライブ1009に記憶されたプログラムモジュール1009cやプログラムデータ1009dを必要に応じてRAM1001bに読み出し、特定手順、取得手順、検知手順を実行する。
Here, as illustrated in FIG. 7, the
なお、マルウェア感染端末検知プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ハードディスクドライブ1009に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1010等を介してCPU1002によって読み出されてもよい。あるいは、マルウェア感染端末検知プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1007を介してCPU1002によって読み出されてもよい。
Note that the
100 マルウェア感染端末検知装置
110 記憶部
111 マルウェア情報記憶部
120 制御部
121 特定部
122 取得部
123 検知部
100 Malware Infected
Claims (6)
マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを取得する取得部と、
前記特定部で特定されたポート番号が前記通信プロトコルに対応するWell−Knownポートではないと判定し、さらに、前記特定部で特定された通信プロトコル及びポート番号と、前記取得部で取得された通信プロトコル及びポート番号とが一致すると判定する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する検知部と
を有することを特徴とするマルウェア感染端末検知装置。 A specifying unit for specifying a communication protocol in network communication and a port number used in the network communication;
An acquisition unit that acquires a communication protocol of communication involving the malware when the malware is operated and a port number used in communication involving the malware;
It is determined that the port number specified by the specifying unit is not a well -known port corresponding to the communication protocol, and the communication protocol and port number specified by the specifying unit and the communication acquired by the acquiring unit A malware-infected terminal detection apparatus, comprising: a detection unit that detects that a terminal performing network communication is infected with malware when it is determined that a protocol and a port number match.
前記取得部は、前記マルウェアが関与した通信における宛先IPアドレスをさらに取得し、
前記検知部は、前記特定部で特定されたポート番号が前記通信プロトコルに対応するWell−Knownポートである場合、且つ、前記特定部で特定された通信プロトコル、ポート番号及び宛先IPアドレスと、前記取得部で取得された通信プロトコル、ポート番号及び宛先IPアドレスとが一致する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する
ことを特徴とする請求項1に記載のマルウェア感染端末検知装置。 The specifying unit further specifies a destination IP address in the network communication;
The acquisition unit further acquires a destination IP address in communication involving the malware,
When the port number specified by the specifying unit is a well-known port corresponding to the communication protocol, and the communication unit, the port number and the destination IP address specified by the specifying unit, The method according to claim 1, wherein when the communication protocol, the port number, and the destination IP address acquired by the acquisition unit match, it is detected that the terminal performing the network communication is infected with malware. The malware-infected terminal detection device described.
前記特定部は、前記ネットワーク通信における宛先IPアドレスをさらに特定し、
前記取得部は、前記検知部によって前記記憶部に登録された宛先IPアドレスを含むマルウェア情報をさらに取得し、
前記検知部は、前記特定部で特定された通信プロトコル、ポート番号及び宛先IPアドレスと、前記取得部で取得された通信プロトコル、ポート番号及び宛先IPアドレスとが一致する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する
ことを特徴とする請求項1に記載のマルウェア感染端末検知装置。 The detection unit associates, as malware information, a communication protocol in the network communication detected as communication by a terminal infected with malware, a port number used in the network communication, and a destination IP address in the network communication. Registered in the storage unit,
The specifying unit further specifies a destination IP address in the network communication;
The acquisition unit further acquires malware information including a destination IP address registered in the storage unit by the detection unit,
The detection unit performs the network communication when the communication protocol, port number and destination IP address specified by the specifying unit match the communication protocol, port number and destination IP address acquired by the acquisition unit. The malware-infected terminal detection device according to claim 1, wherein the terminal that is performing detection of malware infection is detected.
ことを特徴とする請求項1〜3の何れか一つに記載のマルウェア感染端末検知装置。 The communication control part which performs control of a zone | band, or interruption | blocking of communication with respect to the said network communication detected as communication by the terminal infected with the malware by the said detection part is characterized by the above-mentioned. The malware-infected terminal detection device according to any one of the above.
ネットワーク通信における通信プロトコルと、該ネットワーク通信で利用されるポート番号とを特定する特定工程と、
マルウェアを動作させたときに該マルウェアが関与した通信の通信プロトコルと、該マルウェアが関与した通信で利用されたポート番号とを取得する取得工程と、
前記特定工程で特定されたポート番号が前記通信プロトコルに対応するWell−Knownポートではないと判定し、さらに、前記特定工程で特定された通信プロトコル及びポート番号と、前記取得工程で取得された通信プロトコル及びポート番号とが一致すると判定する場合に、前記ネットワーク通信を行なっている端末がマルウェアに感染していることを検知する検知工程と
を含んだことを特徴とするマルウェア感染端末検知方法。 A malware-infected terminal detection method executed by a malware-infected terminal detection device,
A specifying step of specifying a communication protocol in network communication and a port number used in the network communication;
An acquisition step of acquiring a communication protocol of communication involving the malware when operating the malware and a port number used in communication involving the malware;
It is determined that the port number specified in the specifying step is not a well -known port corresponding to the communication protocol, and the communication protocol and port number specified in the specifying step and the communication acquired in the acquiring step And a detection step of detecting that the terminal performing the network communication is infected with malware when it is determined that the protocol and the port number match.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011142901A JP5655185B2 (en) | 2011-06-28 | 2011-06-28 | Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011142901A JP5655185B2 (en) | 2011-06-28 | 2011-06-28 | Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013011948A JP2013011948A (en) | 2013-01-17 |
JP5655185B2 true JP5655185B2 (en) | 2015-01-21 |
Family
ID=47685797
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011142901A Expired - Fee Related JP5655185B2 (en) | 2011-06-28 | 2011-06-28 | Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5655185B2 (en) |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002073433A (en) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | Break-in detecting device and illegal break-in measures management system and break-in detecting method |
US7290283B2 (en) * | 2001-01-31 | 2007-10-30 | Lancope, Inc. | Network port profiling |
JP3581345B2 (en) * | 2001-12-13 | 2004-10-27 | 株式会社東芝 | Packet transfer device and packet transfer method |
JP2005025269A (en) * | 2003-06-30 | 2005-01-27 | Toshiba Corp | Network relay device and method for inspecting security |
JP3903969B2 (en) * | 2003-08-06 | 2007-04-11 | セイコーエプソン株式会社 | Worm infection prevention system |
JP2005128792A (en) * | 2003-10-23 | 2005-05-19 | Trend Micro Inc | Communication device, program and storage medium |
JP2007013262A (en) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | Program, method and apparatus for worm determination |
JP2010033100A (en) * | 2006-10-26 | 2010-02-12 | Nec Corp | Communication device and detection device of intrusion to network |
JP5009244B2 (en) * | 2008-07-07 | 2012-08-22 | 日本電信電話株式会社 | Malware detection system, malware detection method, and malware detection program |
JP5476578B2 (en) * | 2009-01-06 | 2014-04-23 | 独立行政法人情報通信研究機構 | Network monitoring system and method |
JP5258676B2 (en) * | 2009-06-12 | 2013-08-07 | Kddi株式会社 | Rule information changing method, management apparatus and program in firewall |
-
2011
- 2011-06-28 JP JP2011142901A patent/JP5655185B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2013011948A (en) | 2013-01-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6106780B2 (en) | Malware analysis system | |
US9306964B2 (en) | Using trust profiles for network breach detection | |
US10462159B2 (en) | Botnet detection system and method | |
JP5886422B2 (en) | System, apparatus, program, and method for protocol fingerprint acquisition and evaluation correlation | |
US20190058714A1 (en) | Dynamic Decryption of Suspicious Network Traffic Based on Certificate Validation | |
US9405903B1 (en) | Sinkholing bad network domains by registering the bad network domains on the internet | |
KR101236822B1 (en) | Method for detecting arp spoofing attack by using arp locking function and recordable medium which program for executing method is recorded | |
JP6159018B2 (en) | Extraction condition determination method, communication monitoring system, extraction condition determination apparatus, and extraction condition determination program | |
US20150143454A1 (en) | Security management apparatus and method | |
JP2008011537A (en) | Packet classification for network security device | |
US11258812B2 (en) | Automatic characterization of malicious data flows | |
US11616793B2 (en) | System and method for device context and device security | |
WO2015167523A1 (en) | Packet logging | |
US9444830B2 (en) | Web server/web application server security management apparatus and method | |
JP5389739B2 (en) | Analysis system, analysis apparatus, analysis method, and analysis program | |
US20230336524A1 (en) | In-line detection of algorithmically generated domains | |
JP2018026747A (en) | Aggression detection device, aggression detection system and aggression detection method | |
JP7028559B2 (en) | Attack detection system, attack detection method and attack detection program | |
JP6162021B2 (en) | Analysis device, malicious communication destination registration method, and malicious communication destination registration program | |
JP6592196B2 (en) | Malignant event detection apparatus, malignant event detection method, and malignant event detection program | |
JP5655185B2 (en) | Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program | |
Woodiss-Field et al. | Towards evaluating the effectiveness of botnet detection techniques | |
JP2017092755A (en) | Unified threat management device and virus detection method for unified threat management device | |
Ceron et al. | MARS: From traffic containment to network reconfiguration in malware-analysis systems | |
WO2020245930A1 (en) | Sensing device, sensing method, and sensing program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131004 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20131004 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140626 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140715 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140904 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140924 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140925 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5655185 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |