JP5699162B2 - コンピュータ資源の乗っ取りを検出する方法 - Google Patents

コンピュータ資源の乗っ取りを検出する方法 Download PDF

Info

Publication number
JP5699162B2
JP5699162B2 JP2012545374A JP2012545374A JP5699162B2 JP 5699162 B2 JP5699162 B2 JP 5699162B2 JP 2012545374 A JP2012545374 A JP 2012545374A JP 2012545374 A JP2012545374 A JP 2012545374A JP 5699162 B2 JP5699162 B2 JP 5699162B2
Authority
JP
Japan
Prior art keywords
external network
network
computer resource
unique code
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012545374A
Other languages
English (en)
Other versions
JP2013515419A (ja
Inventor
クルビー,ロラン
マルタン,アントニー
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2013515419A publication Critical patent/JP2013515419A/ja
Application granted granted Critical
Publication of JP5699162B2 publication Critical patent/JP5699162B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、コンピュータ資源の乗っ取りを検出する方法に関する。
インターネットなどの公衆網に接続された、パーソナルコンピュータや移動電話などのコンピュータ資源をもつユーザは、ますます増えつつある。
こうした接続は同時に、「海賊」または「ハッカー」とも呼ばれる、悪意のある第三者によって、ウィルスと呼ばれるソフトウェアを使うことによって、こうした資源を汚染させ、不正または違法ですらある操作のために資源の活動を乗っ取るのに使われる可能性がある。
概して、乗っ取られた資源のユーザは、自分のコンピュータを満足に保護し、かつ/またはこうした資源の汚染を検出できるようにするためのコンピュータトレーニングを受けていない。
このため、コンピュータ資源の乗っ取りは一般に、こうした資源の働きを妨害しないように実行され、具体的には、こうした資源のユーザが、汚染に関して疑いをもたないようにする。
これは、「ボットネットワーク」の短縮形である「ボット」または「ボットネット」と呼ばれるコンピュータウィルスでのケースであり、このウィルスは、汚染されたコンピュータに対する目に見える影響を最小限に抑えながら伝播する。
このようなウィルスは、それにもかかわらず、汚染され乗っ取られた資源のユーザに特に損害を与える海賊操作を実行し得ることが留意されるべきである。
一例として、知られている「離散」ウィルスは、コード番号および銀行口座番号などの機密データを盗んで、こうした機密データを詐欺的に使う可能性がある第三者に送信し得る。
また、サービスを妨害し、もしくは停止するために、(数百もしくは数千もの感染したマシンからの)インターネットサイトへの大量の偽のネットワークメッセージを生成する「分散型サービス拒否」(DDOS)スパムの送付を命じ得る、または不法なコンテンツ、たとえば、小児愛的コンテンツの運営を命じる場合さえもある離散ウィルスも存在する。
この場合、ウィルスは、乗っ取られた資源のユーザの評判、または民事責任にさえも影響し得る。
実際、ユーザは、コンピュータ工学を専門としないユーザにとって容易でないのだが、適切なセキュリティ措置を実装していることを示すことができない場合、こうしたユーザは、自分の汚染されたコンピュータ資源によって行われた損害に対する賠償を負わされる危険を冒すと思われる。
最終的に、「離散」ウィルスに伴う最後の問題は、強い汚染能力にある。というのは、コンピュータ資源の誤動作にユーザが気づかない場合、ユーザがウィルスを除去する行動をとる前に汚染が伝播してしまうまでに、かなりの時間が経過し得るからである。
コンピュータ資源の乗っ取りを検出するために、アンチウィルスソフトウェアの実装が一般的だが、新規ウィルスが頻繁に生成されるのにもかかわらず、アンチウィルスデータベース中のウィルスの署名またはフィンガープリントが静的である統計的手法を用いる、前もって定義されたウィルスに限定され、一部のウィルスは、デジタルフィンガープリントを動的に修正する能力をもつ。さらに、アンチウィルスソフトウェアを定期的にアップデートするユーザは少ない。
または、コンピュータ資源のユーザは、特にユーザが、多くの従業員を雇っている会社であるときは、データ機密性の問題に直面する。
実際、この場合、多くの国、たとえばフランスの法律は、企業またはサービスプロバイダが、従業員または加入者によって行われる、インターネットサービスへの私的接続を監視することを禁じているので、潜在的に危険なサイトへの接続を検出することは不可能になっている。
本発明は、セキュリティおよび機密性制約を受けるコンピュータ資源から形成される内部ネットワークの外側では、資源の挙動、すなわち資源が実行する、こうしたセキュリティおよび機密性制約をもたない外部ネットワーク、一般にはインターネットなどの公衆網との接続および/または通信を分析することによって、内部ネットワークにおけるコンピュータ資源の乗っ取りを識別することが可能であることを観察した結果である。
本発明は、多くのケースにおいて、たとえば、ユーザが小規模もしくは中規模の会社、または個人であるとき、ユーザは、こうした資源の挙動を分析するため、また、挙動分析を通して乗っ取りを検出するための手段をもたないという観察も含む。
このような理由により、本発明は、サービスプロバイダによって管理される接続を通して、内部ネットワークに特有のセキュリティおよび機密性基準をもたない外部ネットワークに接続された、このようなセキュリティおよび機密性基準を実装するこの内部ネットワークに配置されたコンピュータ資源の乗っ取りを検出する方法に関し、この方法は、以下のステップを含むことを特徴とする:
− 外部ネットワークと通信するための、コンピュータ資源によって実装される接続パラメータを格納するステップ、
− この格納された接続パラメータを、前記格納された接続パラメータに対応する一意のコードを生成するが、前記格納された接続パラメータの識別を可能にさせない不可逆関数に基づいて処理するステップ、および
− 外部ネットワークに配置されたサーバが、前記一意のコードから、コンピュータ資源の活動を分析し、コンピュータ資源のいかなる乗っ取りも検出できるようにするために、前記生成されたコードを、このサーバに送るステップ。
本発明を用いると、内部ネットワークの外側にいるオペレータは、内部ネットワークの機密性およびセキュリティ基準に準拠しながら、資源の挙動を分析することができる。したがって、限られたコンピュータ分析手段しかもたないユーザは、接続の機密性およびセキュリティを守ったまま資源の乗っ取りを検出するのに必要な手段および専門知識をもつ外部オペレータに頼ることができる。
一般に、接続パラメータは、(google.fr)というタイプのドメイン名、および/または(smtp.neuf.fr)というタイプの発信eメールサーバでよく、SMTPとは、「簡易メール転送プロトコル」という発信メールプロトコルである。
この方法をいくつかのドメイン名および/または発信メールサーバに適用すると、メールサーバは次いで、その集中度および/または多様性により、分析した資源の乗っ取りを疑うに足るようにする活動を検出することが可能になる。
一実施形態では、この方法は、次の、内部ネットワークから外部ネットワークに送信されるパケットのヘッダーおよび/もしくは本体の内容、内部ネットワークによって外部ネットワークに発行されたDNSリクエストに含まれる識別子、または内部ネットワークによって外部ネットワークに送られるeメールの受信者の識別子という要素の少なくとも1つを接続パラメータとして検討するステップを含む。
一実施形態によれば、この方法は、ハッシュ関数を使って、前記接続パラメータ、具体的には、ドメイン名やメールサーバアドレスなどに基づく一意のコードを生成するステップを含む。
一実施形態では、この方法は、資源の乗っ取りを検出するため、または新規接続パラメータを生成するために、内部ネットワーク内での接続パラメータの内部分析を、パラメータの処理に先立って実施するステップを含む。
一実施形態によれば、この方法は、内部分析についての報告をリモートサーバに送る追加ステップを含む。
一実施形態では、この方法は、リモートサーバに送られる、生成された一意のコードとともに、非コード化パラメータを送るステップを含む。
一実施形態によれば、この方法は、外部ネットワークに接続してコンピュータ資源の乗っ取りを検出する際のユーザの使用条件についての情報を検討するステップを含む。
一実施形態では、この方法は、外部ネットワークにアクセスするための、ユーザの条件についての情報を検討するステップを含み、この情報は、サービスプロバイダによって、資源の乗っ取りを検出するために送られる。
本発明は、サービスプロバイダによって管理される接続を通して、内部ネットワークに特有のセキュリティおよび機密性基準をもたない外部ネットワークに接続された、このようなセキュリティおよび機密性基準を実装するこの内部ネットワーク内に配置されたコンピュータ資源にも関し、この資源は、以下を備えることを特徴とする:
− 外部ネットワークと通信するために実装される接続パラメータを格納するための手段、
− この格納されたパラメータを、この格納された接続パラメータに対応する一意のコードを生成するが、生成された対応する一意のコードから、前記接続パラメータの識別を可能にさせない不可逆関数に基づいて処理するための手段、および
− 外部ネットワークに配置されたサーバが、前記一意のコードから、コンピュータ資源の活動を分析し、前述の実施形態の1つに記載の方法を用いて、コンピュータ資源のいかなる乗っ取りも検出できるようにするために、生成された一意のコードを、このサーバに送るための手段。
本発明は、サービスプロバイダによって管理される接続を通して、内部ネットワークに特有のセキュリティおよび機密性基準をもたない外部ネットワークに接続された、このようなセキュリティおよび機密性基準を実装するこの内部ネットワークに配置されたコンピュータ資源の乗っ取りを検出するサーバにも関し、このサーバは、外部ネットワークに配置され、前述の実施形態の1つに記載の方法を用いて、こうしたコンピュータ資源によって生成された一意のコードから、コンピュータ資源を分析するための手段を備えることを特徴とする。
添付の図面を参照して、例示目的で行われるとともに非限定的である以下の記述を考察すると、本発明の他の特性および利益が明らかになるであろう。
本発明の一実施形態を概略的に示す図である。 本発明によるサーバによって実装される分析テーブルである。
図1を参照すると、本発明による、コンピュータ資源101の乗っ取りを検出する方法が、内部ネットワークに特有のセキュリティおよび機密性基準を実装する内部ネットワーク100向けに実施される。
この例では、内部ネットワーク100は、いくつかの相互接続端末を備える、会社のイントラネットであり、機密性基準は、所与の端末によってリクエストされたドメイン名を識別することに対する禁止を含み、セキュリティ基準は、この例では、インターネットによって形成される外部ネットワーク102と通信するための、ADSL(非対称デジタル加入者線)高速接続104の必須使用を含む。
したがって、インターネット102が、上で言及したセキュリティおよび機密性基準をもたないとしても、接続104を管理するサービスプロバイダは、本発明を利用することによって、この外部ネットワーク102からの、ネットワーク100内部のコンピュータ資源の乗っ取りを検出する方法を実施することができる。
その目的のために、内部ネットワーク100は、外部ネットワーク102と通信するためにコンピュータ資源101によって実装される接続パラメータ108をフィルタリングし格納するためのステップ106を実施する。
本実施形態では、我々は、以下の要素の少なくとも1つを、フィルタリングされ格納されることが可能な接続パラメータとして検討する:
− 内部ネットワーク100から外部ネットワーク102に送られるデータパケットのヘッダーおよび/または本体の内容。このため、一部のパケットの本体および/またはヘッダーの内容は、資源の乗っ取り、またはいくつかの、たとえば2つより多い発信メールプロバイダ(SMTPサーバ)経由で送られる比較的大量のeメール(1秒あたり複数のメッセージ)など、あらゆる疑わしい活動の特性を示し得る。
− 外部ネットワーク上のDNSサーバに送られるリクエストに含まれる識別子108。
その目的のために、DNSサーバの役割は、あるドメイン名、たとえばwww.alcatel−lucent.comに対して発行されたリクエストを解読することであることが留意されるべきである。より具体的には、DNSサーバは、ドメイン名を、93.178.174.3などの形をとる、少なくとも1つのIP(インターネットプロトコル)アドレスと関連づけるデータベースをもつ。
次いで、DNSサーバを照会することにより、たとえば、資源が通信しているサーバの多様性の観点で、内部資源101が乗っ取られている最中は、この多様性が通常は異常に高いことを理解した上で、内部資源101の活動を学習することが可能である。
− この場合、SMTP、すなわち「簡易メール転送プロトコル」を使うなどして、外部ネットワークに送られるeメールを処理するSMTPサーバなどのメールサーバの識別子。このため、やはり、乗っ取られる資源は、たとえば、望ましくないメール、すなわち「スパム」を生成中であるとき、特に高く、変動する活動を示す。
こうしたパラメータに基づいて、本発明は、こうした格納された接続パラメータ108を、各格納された接続パラメータ108から一意のコードを生成する不可逆関数に基づいて処理するためのステップ112を実施して、対応するコードからの、処理された接続パラメータ108の今後行われるどの識別も阻止する。
本発明のこの実施形態では、ハッシュ関数を使って、格納された接続パラメータを、たとえばMD5やSHA−1関数などの一意のコードにエンコードする。
したがって、接続パラメータの機密性は保たれるが、それにもかかわらず、特に、行われる接続の多様性および量によって、資源101の挙動を分析することが可能である。
内部ネットワーク100では、資源の乗っ取りを内部で検出するため、および/または新規パラメータ、たとえば、ステップ114で、資源101によって行われる通信の機密性を保証する報告に入れて後で送信される統計パラメータを生成するために、パラメータの分析110は、パラメータを処理する前に実行され得ることが留意されるべきである。
図2を参照すると、このタイプの事前または内部分析は、たとえばリクエストされたDNS名、たとえば「4thfirework.com」や「fireholiday.com」によって行われる接続を、DNSプロトコルの使用を乗っ取る、いわゆる「高速フロー」ネットワーク内での資源の乗っ取りを疑い、または特徴づけることを可能にする、たとえば以下のようなパラメータの要約で要約し得る:
− 異なるインターネットサーバから発した、単一ドメイン名からの様々なリクエストに関して戻されたアドレスを分析するように設計される「メッセージ発生」。このため、ボットネットにリンクされたドメイン名に関連づけられたアドレスは、いかなる地理的、技術的、または管理上のリンクもなく、世界中に配置された、個人所有のマシンのアドレスであるが、これは、正規および/または正当なドメイン名に対して該当するはずである。
− 数秒間のみの、戻されたDNSデータの活動時間(すなわちTTL)、
このステップ114は、いくつかの報告に基づいて、たとえば、様々な接続104が実装されるときに実施され得る。
本実施形態では、非コード化データも可能であり、すなわち、未処理の接続パラメータが、ステップ114でコード化データとともに、次いで、機密性制約が許す場合は外側サーバ118に直接送信される。
したがって、この情報セットは、ステップ116で、外部ネットワーク102上に配置された前記サーバ118に送信される。サーバ118は次いで、ステップ112で生成された一意のコード、およびステップ110で送られた可能性のあるあらゆる接続パラメータも、外部から分析して、コンピュータ資源101の活動を調べ、ステップ120で、コンピュータ資源の乗っ取りを検出することができる。
その目的のために、資源101の挙動は、接続に関して、様々なタイプの汚染に対応する所定の挙動と比較され得る。
既に上述したように特定のDNS挙動を識別することによって、またはウィルスに特有のドメイン名が送信され得る際にこうしたドメイン名を認識することによって、たとえば「高速フロー」挙動が検出され得る。
同様に、スパムを送るために乗っ取られた資源は、資源101のSMTP挙動、すなわちこうした資源101によって送られるeメールの受信者に関連した挙動、またはスパムが送られているウェブサイトもしくはボットネットウィルスを特定する送信済みeメールの内容における挙動を分析することによって検出され得る。
資源101のユーザの加入条件に依存して、他の検出プロセスが実装されてもよい。たとえば、私人は一般に、資源101による、HTTPリクエストの受信が、乗っ取りへの手がかりと見なされ得るようなHTTPサーバを自宅では運営せず、このユーザのアドレスに、安全なHTTPSページを使って、以下のようなメッセージをトリガすることができる:
「Laurent Clevyさん:ご利用のサービスプロバイダによる「ネットワーク侵入監視」サービスへの加入に基づき、このメッセージをお送りしています。当サービスでは、あなたのコンピュータから異常な挙動を検出しましたので、下記の安全なリンクを使って、ご自分のウェブプロファイルを変更してください。 https://local/webprofile/LC」
リンク「https://local/webprofile/LC」をクリックすることによって、この例ではLaurent Clevyという名前のユーザは、以下のようなメッセージを受け取る:
「あなたのコンピュータに格納された情報に第三者がアクセスできるようなHTTPサイトを運営していますか? はい/いいえ」。
次いで、ユーザは、他の例では、eメールを意図的に送るサーバを指示することなどによって、自分の資源による異常な挙動を検出するのを助ければよい。
また、ユーザは、ステップ122で、スライディング期間に亘って分析を実施するために行われるすべての接続の格納を認めるよう要求される場合があり、所定の時間より前からある格納データが消去される。
本発明は、高速インターネットアクセス回線を開設するときの加入を通じて実施される場合に多くの変形形態をとり得る。
この場合、ユーザは、資源乗っ取り検出サービス、すなわちDNSおよび/またはSMTPリクエストを監視して、汚染された資源の活動特性を検出するサービスに加入することができる。
このような加入は、電話によって行われ、次いでユーザ自身によって、ユーザが、接続104、一般にはコンピュータ資源101がコンピュータである場合のADSL「非対称デジタル加入者線」ボックスを安全にするのに必要な手段をインストールするときに設定され得る。
他のケースでは、たとえば、資源101が、電話、スマートフォン、PDA「携帯情報端末」、および/または可搬型コンピュータなどの移動端末である場合、上で言及したステップ108、110、112、114を実施するのに要求される手段の構成は、製造時に端末内で構成されてよく、こうした資源は、この実装に対して要求される限られた手段に制約される。
そのとき、加入は、速度、警告、予防のためのデータ格納、および資源101のユーザを助けるのを担当する技師が手配可能かどうかに関して、支援が増してゆく3つのサービスレベルを含み得る。
さらに、加入イベントにおいて、サービスプロバイダは、様々なステップで情報を提供し得る:
− 接続パラメータをフィルタリングし格納するステップ106において、ユーザのeメールアドレスの1つまたは複数についての情報が、ステップ124で送られて、こうしたeメールを移送し、かつ/または格納するように設計されたサーバを識別できるようにし、そうすることによって、資源からこうしたサーバへの接続が予測可能と見なされ得る。
− ハッシュ化ステップ112において、感染されていることが疑われるパケットを分析するのを可能にする、送信パケットを格納するための、考えられるあらゆる認証に関する情報。サービスプロバイダにこのような認証が与えられると、こうしたパケットは、たとえば、所定の時間格納されているパケットが消去されるように、スライディング時間窓の間に分析され得る。
− 資源の乗っ取りを防止するための処理ステップ128において、たとえば、資源101によって送られるパケットの完全な格納、現在のアンチウィルスソフトウェアでスキャンされた個人データのバックアップ、および、具体的にはインターネットをブラウズし、eメールを送るための安全なソフトウェアの提案されたダウンロードを含む。
この場合、サービスプロバイダは、ステップ130で、資源101のユーザの、予防的処理サービスへの加入契約についての、たとえば加入契約に含まれても含まれなくてもよい選択肢に関する情報を提供し得る。
− 基本的処理ステップ132において、本実施形態では、ユーザの資源101の乗っ取られた活動の検出についての、個人データの秘匿性の危険性の警告についての、限られた診断についての、およびリモート支援のための連絡先アドレスについての、ユーザへの通信を含む。
この場合、サービスプロバイダは、ステップ134で、汚染された資源101をウィルス除去するように、或いは、汚染された資源101を特定し、戦略的データをバックアップし、可能であれば代替ソリューションを供給するための、リクエストされた時間枠内に資源101の現場に技師を派遣することを意図した後の処理操作−または現場処理138−に対する見積りを提示するように設計された、この予防的処理サービスへのまたはリモート処理サービス136への加入契約についての情報を提供し得る。
図1に示されるように、ステップ132、136、138は、資源の挙動の分析を実行するオペレータとの、資源101のユーザによって保持される加入契約に応じて、連続して実施され得る。
本発明は、多くの変形例を対象とする。このため、現在、インターネットへの接続のための他のネットワークパラメータが、一般に匿名であり、またはインターネットオペレータ(IPアドレス)によって与えられるので、ドメイン名および/または発信メールサーバ名を主に参照して記載したが、本発明は、インターネットプロトコル以外の通信プロトコルによる等価なパラメータで実施され得ることが明らかである。
さらに、本発明は、いくつかの接続パラメータの分析を実装することによって、かつコンピュータウィルス汚染を検出する様々な方法を組み合わせることによって構成され得ることが明らかである。

Claims (10)

  1. サービスプロバイダによって管理される接続(104)を通して、内部ネットワーク(100)に特有のセキュリティおよび機密性基準をもたない外部ネットワーク(102)に接続された、このようなセキュリティおよび機密性基準を実装する内部ネットワーク(100)内に配置されたコンピュータ資源(101)の乗っ取りを検出する方法であって、
    外部ネットワーク(102)と通信するための、コンピュータ資源(101)によって実装される接続パラメータ(108)を格納するステップ(106)であって、前記接続パラメータ(108)は、内部ネットワークから外部ネットワークに送信されるパケットの本体の内容を含む、格納するステップ(106)と、
    前記格納された接続パラメータ(108)を、前記格納された接続パラメータ(108)に対応する一意のコードを生成するが、前記生成された対応する一意のコードからの前記格納された接続パラメータ(108)の識別を可能にさせない不可逆関数に基づいて処理するステップ(112)と、
    外部ネットワークに配置されたサーバ(118)が、前記生成された一意のコードからコンピュータ資源(101)の活動を分析し、コンピュータ資源のいかなる乗っ取りも検出できるようにするために、前記生成された一意のコードを、このサーバ(118)に送るステップ(114)とを含むことを特徴とする、方法。
  2. 次の、内部ネットワークから外部ネットワークに送信されるパケットの本体の内容、内部ネットワークによって外部ネットワークに発行されたDNSリクエストに含まれる識別子、または内部ネットワークによって外部ネットワークに送られるeメールの受信者の識別子という要素の少なくとも1つを、接続パラメータ(108)として検討するステップを含むことを特徴とする、請求項1に記載の方法。
  3. ハッシュ関数を使って、前記格納された接続パラメータ(108)に基づく一意のコードを生成するステップ(112)を含むことを特徴とする、請求項1または2に記載の方法。
  4. 内部ネットワーク(100)内での前記接続パラメータ(108)の内部分析を、その処理に先立って実行して、コンピュータ資源(101)の乗っ取りを検出し、または新規接続パラメータ(108)を生成するステップ(110)を含むことを特徴とする、請求項1から3のいずれか一項に記載の方法。
  5. 内部分析報告をリモートサーバ(118)に送信するステップ(113)を含むことを特徴とする、請求項4に記載の方法。
  6. リモートサーバ(118)に送信される前記生成された一意のコードとともに、接続パラメータ(108)を送るステップを含むことを特徴とする、請求項1から5のいずれか一項に記載の方法。
  7. コンピュータ資源の乗っ取りを検出するために、コンピュータ資源(101)を使って外部ネットワーク(102)に接続するためのユーザの条件についての情報を検討するステップ(124)を含むことを特徴とする、請求項1から6のいずれか一項に記載の方法。
  8. コンピュータ資源(101)を使って外部ネットワーク(102)にアクセスするためのユーザの条件に関連した情報を検討するステップ(130、134)であって、この情報が、コンピュータ資源の乗っ取りを検出するためにサービスプロバイダによって送られるステップを含むことを特徴とする、請求項1から7のいずれか一項に記載の方法。
  9. サービスプロバイダによって管理される接続(104)を通して、内部ネットワーク(100)に特有のセキュリティおよび機密性基準をもたない外部ネットワーク(102)に接続された、このようなセキュリティおよび機密性基準を実装する内部ネットワーク(100)に配置されたコンピュータ資源(101)であって、
    外部ネットワーク(102)と通信するために実装される接続パラメータ(108)を格納するための手段であって、前記接続パラメータ(108)は、内部ネットワークから外部ネットワークに送信されるパケットの本体の内容を含む、格納するための手段と、
    この格納された接続パラメータ(108)を、前記格納された接続パラメータ(108)に対応する一意のコードを生成するが、前記生成された対応する一意のコードからの、前記格納された接続パラメータ(108)の識別を可能にさせない不可逆関数(112)に基づいて処理するための手段と、
    外部ネットワーク(102)に配置されたサーバが、請求項1から8のいずれか一項に記載の方法を用いて、前記生成された一意のコードからコンピュータ資源(101)の活動を分析し、コンピュータ資源のいかなる乗っ取りも検出できるようにするために、前記生成された一意のコードを、このサーバ(118)に送るための手段(114)とを備えることを特徴とする、コンピュータ資源(101)。
  10. サービスプロバイダによって管理される接続(104)を通して、内部ネットワーク(100)に特有のセキュリティおよび機密性基準をもたない外部ネットワーク(102)に接続された、このようなセキュリティおよび機密性基準を実装する内部ネットワーク(100)に配置されたコンピュータ資源(101)の乗っ取りを検出するサーバ(118)であって、外部ネットワーク(102)に配置され、請求項1から8のいずれか一項に記載の方法を用いて、こうしたコンピュータ資源によって生成された一意のコードからコンピュータ資源を分析するための手段を備えることを特徴とする、サーバ(118)。
JP2012545374A 2009-12-21 2010-12-08 コンピュータ資源の乗っ取りを検出する方法 Expired - Fee Related JP5699162B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0959335A FR2954547B1 (fr) 2009-12-21 2009-12-21 Procede de detection d?un detournement de ressources informatiques
FR0959335 2009-12-21
PCT/FR2010/052639 WO2011083226A1 (fr) 2009-12-21 2010-12-08 Procédé de détection d'un détournement de ressources informatiques

Publications (2)

Publication Number Publication Date
JP2013515419A JP2013515419A (ja) 2013-05-02
JP5699162B2 true JP5699162B2 (ja) 2015-04-08

Family

ID=42291509

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012545374A Expired - Fee Related JP5699162B2 (ja) 2009-12-21 2010-12-08 コンピュータ資源の乗っ取りを検出する方法

Country Status (7)

Country Link
US (1) US9104874B2 (ja)
EP (1) EP2517139A1 (ja)
JP (1) JP5699162B2 (ja)
KR (1) KR101443472B1 (ja)
CN (1) CN102792306B (ja)
FR (1) FR2954547B1 (ja)
WO (1) WO2011083226A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9191399B2 (en) * 2012-09-11 2015-11-17 The Boeing Company Detection of infected network devices via analysis of responseless outgoing network traffic
EP3117320B1 (en) * 2014-03-11 2020-08-19 Vectra AI, Inc. Method and system for detecting external control of compromised hosts
US9396332B2 (en) 2014-05-21 2016-07-19 Microsoft Technology Licensing, Llc Risk assessment modeling
CN108737327B (zh) * 2017-04-14 2021-11-16 阿里巴巴集团控股有限公司 拦截恶意网站的方法、装置、系统和存储器
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
US11159538B2 (en) * 2018-01-31 2021-10-26 Palo Alto Networks, Inc. Context for malware forensics and detection
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100856149B1 (ko) * 1999-11-26 2008-09-03 네테카 인코포레이티드 전자 메일 서버 및 전자 메일 통신을 용이하게 하기 위한 방법
US20030172291A1 (en) * 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
US7690040B2 (en) * 2004-03-10 2010-03-30 Enterasys Networks, Inc. Method for network traffic mirroring with data privacy
WO2005091107A1 (en) * 2004-03-16 2005-09-29 Netcraft Limited Security component for use with an internet browser application and method and apparatus associated therewith
WO2007075813A2 (en) * 2005-12-23 2007-07-05 Advanced Digital Forensic Solutions, Inc. Enterprise-wide data identification, sharing and management, and searching forensic data
WO2007081960A2 (en) * 2006-01-10 2007-07-19 Advanced Digital Forensic Solutions, Inc. Enterprise-wide data identification, sharing and management
JP4287456B2 (ja) * 2006-10-26 2009-07-01 株式会社東芝 サービス不能攻撃を防止するサーバ装置、方法およびプログラム
US8352738B2 (en) * 2006-12-01 2013-01-08 Carnegie Mellon University Method and apparatus for secure online transactions
US8312536B2 (en) 2006-12-29 2012-11-13 Symantec Corporation Hygiene-based computer security
US8020207B2 (en) * 2007-01-23 2011-09-13 Alcatel Lucent Containment mechanism for potentially contaminated end systems
US8677479B2 (en) * 2007-04-16 2014-03-18 Microsoft Corporation Detection of adversaries through collection and correlation of assessments
KR20090037540A (ko) * 2007-10-12 2009-04-16 한국정보보호진흥원 클라이언트 애플리케이션을 탐지하기 위한 복합형 네트워크탐지 방법
US7836142B2 (en) * 2008-02-22 2010-11-16 Time Warner Cable, Inc. System and method for updating a dynamic domain name server
US7921212B2 (en) * 2008-10-14 2011-04-05 At&T Intellectual Property I, L.P. Methods and apparatus to allocate bandwidth between video and non-video services in access networks

Also Published As

Publication number Publication date
JP2013515419A (ja) 2013-05-02
KR101443472B1 (ko) 2014-09-22
FR2954547B1 (fr) 2012-10-12
WO2011083226A1 (fr) 2011-07-14
CN102792306B (zh) 2016-05-25
KR20120084806A (ko) 2012-07-30
EP2517139A1 (fr) 2012-10-31
US9104874B2 (en) 2015-08-11
CN102792306A (zh) 2012-11-21
FR2954547A1 (fr) 2011-06-24
US20120272316A1 (en) 2012-10-25

Similar Documents

Publication Publication Date Title
US10326779B2 (en) Reputation-based threat protection
EP3206364B1 (en) Message authenticity and risk assessment
US8413238B1 (en) Monitoring darknet access to identify malicious activity
US8161540B2 (en) System and method for unified communications threat management (UCTM) for converged voice, video and multi-media over IP flows
JP5699162B2 (ja) コンピュータ資源の乗っ取りを検出する方法
US8230505B1 (en) Method for cooperative intrusion prevention through collaborative inference
JP6006788B2 (ja) ドメイン名をフィルタリングするためのdns通信の使用
US8484733B2 (en) Messaging security device
US20150040220A1 (en) System and Method for Unified Communications Threat Management (UCTM) for Converged Voice, Video and Multi-Media Over IP Flows
WO2006120368A1 (en) An anti-phishing system
JP4692776B2 (ja) Sipベースのアプリケーションを保護する方法
Livingood et al. Recommendations for the Remediation of Bots in ISP Networks
US20230403296A1 (en) Analyses and aggregation of domain behavior for email threat detection by a cyber security system
Gruber et al. Security status of voip based on the observation of real-world attacks on a honeynet
Berger et al. Internet security meets the IP multimedia subsystem: an overview
McInnes et al. Analysis of a pbx toll fraud honeypot
Hofbauer et al. CDRAS: An approach to dealing with Man-in-the-Middle attacks in the context of Voice over IP
Schmidt et al. Sender Scorecards for the prevention of unsolicited communication
Arnaldy et al. Analysis of Apilogy. id Email Domain Security Status Using DMARC (Domain-Based Message Authentication, Reporting, and Conformance)
KR20100027829A (ko) 가상 프록시 서버를 이용한 에스아이피 공격탐지 시스템 및방법
Livingood et al. RFC 6561: Recommendations for the Remediation of Bots in ISP Networks
Zhang et al. Investigation of the information security in mobile internet
Kamthe et al. Email security: The challenges of network security
Keromytis et al. Survey and Analysis of VoIP/IMS Vulnerabilities
INFORMATIONSYSTEMSSEC Proactive Security for VoIP Networks

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131025

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20140203

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20140210

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140305

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140916

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150203

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150216

R150 Certificate of patent or registration of utility model

Ref document number: 5699162

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees
S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350