JP5986338B2 - 監視装置、監視方法、および、監視プログラム - Google Patents
監視装置、監視方法、および、監視プログラム Download PDFInfo
- Publication number
- JP5986338B2 JP5986338B2 JP2016507494A JP2016507494A JP5986338B2 JP 5986338 B2 JP5986338 B2 JP 5986338B2 JP 2016507494 A JP2016507494 A JP 2016507494A JP 2016507494 A JP2016507494 A JP 2016507494A JP 5986338 B2 JP5986338 B2 JP 5986338B2
- Authority
- JP
- Japan
- Prior art keywords
- website
- information
- inspection
- malignant
- black list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims description 10
- 238000012806 monitoring device Methods 0.000 title description 25
- 238000000034 method Methods 0.000 title description 20
- 238000007689 inspection Methods 0.000 claims description 47
- 238000012217 deletion Methods 0.000 claims description 11
- 230000037430 deletion Effects 0.000 claims description 11
- 230000003211 malignant effect Effects 0.000 description 67
- 230000004083 survival effect Effects 0.000 description 26
- 238000012790 confirmation Methods 0.000 description 25
- 238000010586 diagram Methods 0.000 description 12
- 238000012545 processing Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000032683 aging Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、監視装置、監視方法、および、監視プログラムに関する。
マルウェア感染やフィッシング攻撃等のさまざまなサイバー攻撃に、悪意のあるウェブサイト(以下、悪性ウェブサイト)が用いられている。悪性ウェブサイトを、あらかじめブラックリスト化することで、ユーザの悪性ウェブサイトへのアクセスを遮断し、攻撃を防ぐことができる。悪性ウェブサイトの発見方法は、検索エンジンのキーワード検索により列挙したURL(Uniform Resource Locator)を検査する方法や、ハイパーリンクを辿って発見する方法、スパムメールのURLを検査する方法、ユーザ申告に基づく方法等、様々な方法が存在する(非特許文献1〜4参照)。
一般的に、ブラックリストに登録できるエントリー数の上限が存在する。またブラックリストに登録されるエントリー数が多いほど、URLのマッチングの処理が増加するため、利用されなくなった悪性ウェブサイトはなるべくブラックリストから除外することが望ましい。このためブラックリストに登録された悪性ウェブサイトのURLを一定期間(例えば、24時間、7日間等)経過後に除外したり(以下、エイジングと称す)、応答のない悪性ウェブサイトのURLを削除したりすることが行われている。
The Honeynet Project、"Know Your Enemy: Malicious Web Servers"、[online]、[平成26年1月7日検索]、インターネット<http://www.honeynet.org/papers/mws>
Mitsuaki Akiyama,"Searching structural neighborhood of malicious URLs to improve blacklisting",IEEE/IPSJ SAINT,2011
Jack W.Stokes,"WebCop: Locating Neighborhoods of Malware on the Web",USENIX LEET,2010
Luca Invernizzi,"EvilSeed: A Guided Approach to Finding Malicious Web Pages",IEEE Security and Privacy,2012
Mitsuaki Akiyama,"Design and Implementation of High Interaction Client Honeypot for Drive-by-Download Attacks,IEICE Transaction on Communication,Vol.93-B,pp.1131-1139,2010
しかし、前記したエイジングによりブラックリストからURLを削除すると、実際には悪性ウェブサイトとして生存しているウェブサイトのURLを除外してしまう可能性がある。
また、応答のない悪性ウェブサイトのURLをブラックリストから削除する方法においても、悪性ウェブサイト側でクローキングと呼ばれる、セキュリティ検査の回避手法が用いられると、検査システム側で実際には生存している悪性ウェブサイトについて生存していないと判断してしまうおそれがある。このクローキングの例としては、例えば、悪性ウェブサイト側で、自身のウェブサイトにアクセスするクライアントのIPアドレス(Internet Protocol address)情報を記録しておき、2回目以降、同じIPアドレスのクライアントからのアクセスを禁止する方法がある。
悪性ウェブサイト側でこのようなクローキングが行われると、検査システムは悪性ウェブサイトに1回しか正常にアクセスできない。このため、例えば、検査システムが、HTTP(HyperText Transfer Protocol)の正常応答(“200 OK”ステータスコードの応答)により悪性ウェブサイトの生存確認をする場合、悪性ウェブサイト側でクローキングが行われていると、検査システムは、この悪性ウェブサイト側からの応答が得られない(例えば、“200 OK”ステータスコードを応答するが、コンテンツが無害もしくはコンテンツが無い)。その結果、検査システムは、実際にはこの悪性ウェブサイトが生存しているにもかかわらず生存していないと判断し、この悪性ウェブサイトのURLをブラックリストから削除してしまうという問題がある。
そこで、本発明は前記した問題を解決し、実際に生存している悪性ウェブサイトの情報をブラックリストに登録することを課題とする。
上述した課題を解決し、目的を達成するために、本発明は、改ざんされたウェブサイトのコンテンツに挿入されたリダイレクトコードを検査する検査部と、前記検査の結果、前記リダイレクトコードに新たなウェブサイトの情報が記述されているとき、前記ウェブサイトの情報をブラックリストに追加する追加部と、前記検査の結果、前記リダイレクトコードに記述されなくなった前記ウェブサイトの情報を前記ブラックリストから削除する削除部とを備えることを特徴とする。
本発明によれば、実際に生存している悪性ウェブサイトの情報を削除することなく、実際には生存していない悪性ウェブサイトの情報がブラックリストに登録され続けることを防止することができる。その結果、新たな悪性ウェブサイトの情報をブラックリストに追加するとともに、ブラックリストのエントリー数の増大を抑制し、ブラックリストを用いたフィルタリングの処理時間を低減することができる。
以下、本発明を実施するための形態(実施形態)について説明する。なお、本実施形態により本発明が限定されるものではない。
本実施形態のシステムの構成図を図1に示す。システムは、検査対象のウェブサイト10と、悪性ウェブサイト20と、監視装置30と、ブラックリスト40とを含んで構成される。
ウェブサイト10は、監視装置30による検査対象のウェブサイトであり、予め改ざんされていることが知られているものとする。このウェブサイト10はコンテンツ11を含む。このコンテンツ11は、攻撃者の改ざんにより、当該コンテンツ11へのアクセスを、悪性ウェブサイト20にリダイレクトするためのコード(リダイレクトコード)が埋め込まれているものとする。
悪性ウェブサイト20は攻撃者により管理されるウェブサイトであり、悪性コンテンツ21を含む。
監視装置30は、継続的にウェブサイト10のコンテンツ11のリダイレクトコードを検査し、その検査結果を用いて、ブラックリスト40への登録や削除を行う。例えば、監視装置30は、コンテンツ11に挿入されたリダイレクトコードから、新たな悪性ウェブサイト20の情報を発見すると、この悪性ウェブサイト20の情報をブラックリスト40に登録する。この悪性ウェブサイト20の情報は、URL、FQDN(Fully Qualified Domain Name)、FQDNに割り当てられているIPアドレス等である。また、監視装置30は、ウェブサイトのコンテンツ11のリダイレクトコードを検査し、当該リダイレクトコードに、以前ブラックリスト40に登録した悪性ウェブサイト20の情報がなくなったとき、この悪性ウェブサイト20の情報をブラックリスト40から削除する。
ブラックリスト40は悪性ウェブサイト20の情報を示した情報である。
なお、監視装置30が検査対象とするウェブサイト10は、図1に示すように複数でもよいし、単数でもよい。
また、コンテンツ11のリダイレクトコードに記述されなくなった悪性ウェブサイト20の情報であっても、所定期間経過後に再度記述される場合もある。このような場合、監視装置30がブラックリスト40からいったん当該情報を削除しても、再度の検査により発見され、ブラックリスト40に登録されることになる。
次に、図2を用いて、監視装置30を詳細に説明する。図2は、監視装置の構成を示す図である。
監視装置30は、入出力部31と、通信部32と、制御部33と、記憶部34とを備える。
入出力部31は、外部装置(例えば、ブラックリスト40を記憶する装置)との間での各種データの入出力を司る。通信部32は、ウェブサイト10等との通信を司る。
制御部33は、検査部331と、追加部332と、削除部333とを備える。
検査部331は、検査対象のウェブサイト10のコンテンツ11のリダイレクトコードを検査する。例えば、検査部331は、所定期間ごとに、検査対象のウェブサイト10のコンテンツ11のリダイレクトコードに記述されるリダイレクト先、具体例を挙げると、コンテンツ11のiframeタグやscriptタグのsrc属性に記述される悪性ウェブサイト20の情報(例えば、URL)を検査する。そして、このリダイレクトコードに悪性ウェブサイト20の情報が記述されていれば、検査部331は、この悪性ウェブサイト20の情報を取得し、記憶部34の悪性ウェブサイト生存確認テーブルに記録する。この悪性ウェブサイト生存確認テーブルの詳細は後記する。なお、検査部331による検査の間隔は、例えば、1日等、一般的な悪性ウェブサイト20のURLの生存期間等を考慮して設定することが好ましい。これは、悪性ウェブサイト20のURLの生存期間に比べて長過ぎる検査の間隔を設定すると、悪性ウェブサイト20のURLが生存していたにもかかわらず検査部331における検査漏れが生じる可能性があり、また悪性ウェブサイト20のURLの生存期間に比べて短過ぎる検査の間隔を設定すると、検査部331における検査の処理負荷が過大になってしまう可能性があるからである。なお、上記の検査の間隔は、監視装置30のユーザが適宜変更可能である。
追加部332は、悪性ウェブサイト生存確認テーブルを参照して、検査対象のウェブサイト10のうち、少なくともいずれかのウェブサイト10のコンテンツ11のリダイレクトコードに記述された新たな悪性ウェブサイト20の情報をブラックリスト40に追加する。
削除部333は、検査部331による検査の結果、いずれのウェブサイト10のコンテンツ11のリダイレクトコードにも記述されなくなった悪性ウェブサイト20の情報をブラックリスト40から削除する。
記憶部34は、前記した悪性ウェブサイト生存確認テーブルを記憶する。この悪性ウェブサイト生存確認テーブルは、検査部331による各ウェブサイト10の検査結果を示した情報であり、検査対象のウェブサイト10ごとに、当該ウェブサイト10のコンテンツ11のリダイレクトコードに記述される悪性ウェブサイト20(出現ウェブサイト)の情報と、その悪性ウェブサイト20の情報が記述された期間とを対応付けて示した情報である。この悪性ウェブサイト生存確認テーブルは、検査部331による検査が行われるたび更新される。
この悪性ウェブサイト生存確認テーブルは、例えば、図3A〜図3Cに示すような複数のテーブルから構成される。ここでは図3AはウェブサイトAのコンテンツ11においてリダイレクト先に「example.com」、「example.net」、「example.org」それぞれが記述された期間(生存期間)を示し、図3BはウェブサイトBのコンテンツ11においてリダイレクト先に「example.com」、「example.net」、「example.org」が記述された期間を示し、図3CはウェブサイトCのコンテンツ11においてリダイレクト先に「example.com」、「example.net」、「example.org」が記述された期間を示す。図3A〜図3C、および図4A〜図4Cにおける塗りつぶし部分は、当該ウェブサイトにおいて当該出現ウェブサイトへのリダイレクトがあった期間を示す。
なお、この悪性ウェブサイト生存確認テーブルにおける、出現ウェブサイトの情報は、検査部331により新たな悪性ウェブサイト20を発見されたときに追加される。
この悪性ウェブサイト生存確認テーブルから、出現ウェブサイトの情報とその生存期間との対応情報を取り出すと、図4A〜図4Cに示すようになる。図4Aは「example.com」の各ウェブサイト10での生存期間を示し、図4Bは「example.net」の各ウェブサイト10での生存期間を示し、図4Cは「example.org」の各ウェブサイト10での生存期間を示す。
なお、上記の図4A〜図4Cの情報における「全体」の行は、当該出現ウェブサイトが、当該期間において、いずれかのウェブサイト10に生存したことを示す。例えば、図4Aに示す「example.com」の場合、ウェブサイトAではDay1からDay3の間生存し、ウェブサイトBではDay3からDay4まで生存し、全体としてはDay1からDay4まで生存したことを示す。同様に、図4Bに示す「example.net」は全体としてDay3からDay5まで生存し、図4Cに示す「example.org」は全体としてDay4からDay7まで生存したことを示す。
追加部332は、例えば、前記した悪性ウェブサイト生存確認テーブルを参照し、検査対象のウェブサイト10のうちいずれかのウェブサイト10で新規に出現した悪性ウェブサイト20の情報をブラックリスト40に追加する。また、削除部333は、悪性ウェブサイト生存確認テーブルを参照し、検査対象のウェブサイト10のうちいずれのウェブサイト10にも生存しなくなった悪性ウェブサイト20の情報をブラックリスト40から削除する。なお、当該悪性ウェブサイト20の情報をブラックリスト40から削除するタイミングは、削除部333が悪性ウェブサイト生存確認テーブルを参照し、検査対象のウェブサイト10のうちいずれのウェブサイト10にも当該悪性ウェブサイト20の情報が生存しなくなったと判断した直後でもよいし、当該判断から所定時間経過後であってもよい。後者の場合、削除部333は、例えば、当該判断から、検査部331に設定された検査の間隔(例えば、1日等)が経過してから削除する。このようにすることで、直前の検査では生存しないと判断されたが、その次の検査で生存すると判断された悪性ウェブサイト20の情報があったとき、当該悪性ウェブサイト20の情報を、削除部333がブラックリスト40から削除してしまうことを避けることができる。
(処理手順)
また、監視装置30が行う処理のフローチャートを図5に示す。
また、監視装置30が行う処理のフローチャートを図5に示す。
まず、監視装置30の検査部331は、検査対象のウェブサイト10のコンテンツ11を列挙する(S1)。そして検査部331は、検査対象のウェブサイト10のコンテンツ11について順番に検査を行う。すなわち、検査部331は、検査対象のウェブサイト10のコンテンツ11の1つを検査し、このコンテンツ11におけるリダイレクト先の悪性ウェブサイト20を列挙する(S2)。
S2で列挙された出現ウェブサイト(悪性ウェブサイト20)が新規なものであれば(S3でYes)、検査部331は、悪性ウェブサイト生存確認テーブルの出現ウェブサイトの情報を追加する(S4)。その後、検査部331は悪性ウェブサイト生存確認テーブルに検査結果を反映し(S5)、S2で列挙したすべての出現ウェブサイトについて処理を実行し(S6でYes)、かつ、すべての検査対象のウェブサイト10のコンテンツを検査したことを確認すると(S7でYes)、S8へ進む。一方、S2で列挙された出現ウェブサイト(悪性ウェブサイト20)が新規なものでなければ(S3でNo)、S5へ進む。
なお、S2で列挙した出現ウェブサイトのうち、まだ処理を実行していない出現ウェブサイトがあれば(S6でNo)、S3へ戻り、検査対象のウェブサイト10のコンテンツ11のうち、まだ検査していないコンテンツ11があれば(S7でNo)、S2へ戻る。
S7でYesのとき、削除部333は、悪性ウェブサイト生存確認テーブルに格納されている各悪性ウェブサイト20(出現ウェブサイト)のうち、前回の検査ではいずれかのウェブサイト10で生存していたが、今回の検査では生存していなかったものをブラックリスト40から除外(削除)し、また、追加部332は新規に出現した悪性ウェブサイト20の情報をブラックリスト40に追加する(S8)。
監視装置30が上記の処理を所定期間ごとに実行し、ブラックリスト40における悪性ウェブサイト20の情報の追加と削除とを行う。このようにすることで、監視装置30は、検査対象のウェブサイト10のうちいずれかのウェブサイト10でリダイレクト先として記述された新規な悪性ウェブサイト20の情報をブラックリスト40に登録することができる。また、監視装置30は、その後、どのウェブサイト10においてもリダイレクト先として記述されなくなった悪性ウェブサイト20の情報をブラックリスト40から削除することができる。
(その他の実施形態)
なお、前記した監視装置30は、悪性ウェブサイト20の生存期間の長さに応じて、当該悪性ウェブサイト20をブラックリスト40に残すか否かの判断を行うようにしてもよい。
なお、前記した監視装置30は、悪性ウェブサイト20の生存期間の長さに応じて、当該悪性ウェブサイト20をブラックリスト40に残すか否かの判断を行うようにしてもよい。
例えば、監視装置30の削除部333は、ブラックリスト40に登録されている悪性ウェブサイト20の情報のうち、悪性ウェブサイト生存確認テーブルに示される生存期間の短い悪性ウェブサイト20の情報から優先的に削除する。また、削除部333は、どのウェブサイト10においても生存しなくなった悪性ウェブサイト20の情報であっても、悪性ウェブサイト生存確認テーブルに示される過去の生存期間が比較的長いものであったとき削除対象外としてもよい。
このようにすることで、ブラックリスト40に比較的生存期間が長い(または長かった)悪性ウェブサイト20の情報ほど優先的にブラックリスト40に残ることになる。
さらに、監視装置30は、悪性ウェブサイト生存確認テーブルを参照して、過去に多数のウェブサイト10において生存していた悪性ウェブサイト20の情報ほど優先的にブラックリスト40に残すようにしてもよい。
なお、検査対象のウェブサイト10は、当該ウェブサイト10の管理者等が侵入に気付くことや、外部機関からの注意喚起等により早期に修正されることがある。このため、ウェブサイト10として事前に用意したおとりのウェブサイト(非特許文献5参照)を用いてもよい。このようにすることで、長期的に悪性ウェブサイト20へのリダイレクトを観測できる。また、この手法では改ざんされたウェブサイトを探す手間がかからないため、効率的な観測が可能である。
以上説明した監視装置30によれば、実際に生存している悪性ウェブサイト20の情報をブラックリスト40から削除することなく、実際には生存していない悪性ウェブサイト20の情報がブラックリスト40に登録され続けることを防止することができる。その結果、監視装置30は、新たな悪性ウェブサイト20の情報をブラックリスト40に追加するとともに、ブラックリスト40のエントリー数の増大を抑制し、ブラックリスト40を用いたフィルタリングの処理時間を低減することができる。
(プログラム)
また、上記実施形態に係る監視装置30が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、監視装置30と同様の機能を実現する監視プログラムを実行するコンピュータの一例を説明する。
また、上記実施形態に係る監視装置30が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、監視装置30と同様の機能を実現する監視プログラムを実行するコンピュータの一例を説明する。
図6は、監視プログラムを実行するコンピュータを示す図である。図6に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図6に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した悪性ウェブサイト生存確認テーブルは、例えばハードディスクドライブ1090やメモリ1010に記憶される。
また、監視プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明した監視装置30が実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。
また、監視プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、監視プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、監視プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 ウェブサイト
11 コンテンツ
20 悪性ウェブサイト
21 悪性コンテンツ
30 監視装置
31 入出力部
32 通信部
33 制御部
34 記憶部
40 ブラックリスト
331 検査部
332 追加部
333 削除部
11 コンテンツ
20 悪性ウェブサイト
21 悪性コンテンツ
30 監視装置
31 入出力部
32 通信部
33 制御部
34 記憶部
40 ブラックリスト
331 検査部
332 追加部
333 削除部
Claims (5)
- 改ざんされたウェブサイトのコンテンツに挿入されたリダイレクトコードを検査する検査部と、
前記検査の結果、前記リダイレクトコードに新たなウェブサイトの情報が記述されているとき、前記ウェブサイトの情報をブラックリストに追加する追加部と、
前記検査の結果、前記リダイレクトコードに記述されなくなった前記ウェブサイトの情報を前記ブラックリストから削除する削除部と
を備えることを特徴とする監視装置。 - 前記検査部は、1以上の改ざんされたウェブサイトのコンテンツを検査し、
前記追加部は、前記検査の結果、少なくともいずれかの前記ウェブサイトのコンテンツのリダイレクトコードに新たなウェブサイトの情報が記述されているとき、前記ウェブサイトの情報を前記ブラックリストに追加し、
前記削除部は、前記検査の結果、いずれのウェブサイトのコンテンツのリダイレクトコードにも記述されなくなった前記ウェブサイトの情報を前記ブラックリストから削除すること
を特徴とする請求項1に記載の監視装置。 - 前記追加部は、前記ウェブサイトの情報として、URL(Uniform Resource Locator)、FQDN(Fully Qualified Domain Name)、または、当該FQDNに割り当てられているIP(Internet Protocol)アドレスを取得すること
を特徴とする請求項1または2に記載の監視装置。 - 改ざんされたウェブサイトのコンテンツに挿入されたリダイレクトコードを検査するステップと、
前記検査の結果、前記リダイレクトコードに新たなウェブサイトの情報が記述されているとき、前記ウェブサイトの情報をブラックリストに追加する追加ステップと、
前記検査の結果、前記リダイレクトコードに記述されなくなった前記ウェブサイトの情報を前記ブラックリストから削除するステップと
を含んだことを特徴とする監視方法。 - 改ざんされたウェブサイトのコンテンツに挿入されたリダイレクトコードを検査するステップと、
前記検査の結果、前記リダイレクトコードに新たなウェブサイトの情報が記述されているとき、前記ウェブサイトの情報をブラックリストに追加する追加ステップと、
前記検査の結果、前記リダイレクトコードに記述されなくなった前記ウェブサイトの情報を前記ブラックリストから削除するステップと
をコンピュータに実行させることを特徴とする監視プログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014050278 | 2014-03-13 | ||
| JP2014050278 | 2014-03-13 | ||
| PCT/JP2015/056660 WO2015137249A1 (ja) | 2014-03-13 | 2015-03-06 | 監視装置、監視方法、および、監視プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP5986338B2 true JP5986338B2 (ja) | 2016-09-06 |
| JPWO2015137249A1 JPWO2015137249A1 (ja) | 2017-04-06 |
Family
ID=54071695
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016507494A Active JP5986338B2 (ja) | 2014-03-13 | 2015-03-06 | 監視装置、監視方法、および、監視プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10108797B2 (ja) |
| EP (1) | EP3091465B1 (ja) |
| JP (1) | JP5986338B2 (ja) |
| CN (1) | CN106104554B (ja) |
| WO (1) | WO2015137249A1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6711000B2 (ja) * | 2016-02-12 | 2020-06-17 | 日本電気株式会社 | 情報処理装置、ウィルス検出方法及びプログラム |
| US10860715B2 (en) * | 2016-05-26 | 2020-12-08 | Barracuda Networks, Inc. | Method and apparatus for proactively identifying and mitigating malware attacks via hosted web assets |
| JP6823201B2 (ja) * | 2017-12-20 | 2021-01-27 | 日本電信電話株式会社 | 分類装置、分類方法、および、分類プログラム |
| CN108282489B (zh) * | 2018-02-07 | 2020-01-31 | 网宿科技股份有限公司 | 一种漏洞扫描方法、服务端及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120036580A1 (en) * | 2010-07-19 | 2012-02-09 | Sitelock, Llc | Selective website vulnerability and infection testing |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7272853B2 (en) * | 2003-06-04 | 2007-09-18 | Microsoft Corporation | Origination/destination features and lists for spam prevention |
| US8914309B2 (en) * | 2004-08-20 | 2014-12-16 | Ebay Inc. | Method and system for tracking fraudulent activity |
| US7873635B2 (en) * | 2007-05-31 | 2011-01-18 | Microsoft Corporation | Search ranger system and double-funnel model for search spam analyses and browser protection |
| US9351193B2 (en) * | 2009-01-28 | 2016-05-24 | Headwater Partners I Llc | Intermediate networking devices |
| US20120084151A1 (en) * | 2009-12-30 | 2012-04-05 | Kozak Frank J | Facilitation of user management of unsolicited server operations and extensions thereto |
| US20120084349A1 (en) * | 2009-12-30 | 2012-04-05 | Wei-Yeh Lee | User interface for user management and control of unsolicited server operations |
| GB2505533B (en) | 2012-12-14 | 2014-07-09 | F Secure Corp | Security method and apparatus |
| CN103475669B (zh) | 2013-09-25 | 2016-04-27 | 上海交通大学 | 基于关联分析的网站信用黑名单生成方法及系统 |
| US9485206B2 (en) * | 2013-12-19 | 2016-11-01 | Websafety, Inc. | Devices and methods for improving web safety and deterrence of cyberbullying |
-
2015
- 2015-03-06 WO PCT/JP2015/056660 patent/WO2015137249A1/ja active Application Filing
- 2015-03-06 JP JP2016507494A patent/JP5986338B2/ja active Active
- 2015-03-06 US US15/121,272 patent/US10108797B2/en active Active
- 2015-03-06 CN CN201580012784.2A patent/CN106104554B/zh active Active
- 2015-03-06 EP EP15762284.6A patent/EP3091465B1/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120036580A1 (en) * | 2010-07-19 | 2012-02-09 | Sitelock, Llc | Selective website vulnerability and infection testing |
Non-Patent Citations (2)
| Title |
|---|
| JPN6015017754; 八木 毅 Takeshi Yagi: 'Webサイトへのマルウェア感染攻撃に用いられるボットネットの分析 Analysis of Botnets Using Malware' CSS2013コンピュータセキュリティシンポジウム2013論文集 合同開催 マルウェア対策研究人材育 第2013巻, 20131014, p.368-375, 一般社団法人情報処理学会 * |
| JPN6015017755; 秋山 満昭 Mitsuaki AKIYAMA: '改ざんWebサイトのリダイレクトに基づく悪性Webサイトの生存期間測定 Measuring Lifetime of Malici' 情報処理学会 研究報告 セキュリティ心理学とトラスト(SPT) 2014-SPT-008 [onli , 20140320, 情報処理学会 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3091465B1 (en) | 2019-03-06 |
| US20160364567A1 (en) | 2016-12-15 |
| CN106104554B (zh) | 2019-03-15 |
| EP3091465A1 (en) | 2016-11-09 |
| US10108797B2 (en) | 2018-10-23 |
| CN106104554A (zh) | 2016-11-09 |
| WO2015137249A1 (ja) | 2015-09-17 |
| EP3091465A4 (en) | 2017-06-07 |
| JPWO2015137249A1 (ja) | 2017-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10505956B1 (en) | System and method for detecting malicious links in electronic messages | |
| US10164993B2 (en) | Distributed split browser content inspection and analysis | |
| US10917380B2 (en) | Device and associated methodology for collecting communication partner IP addresses | |
| JP5917573B2 (ja) | リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法 | |
| US7849507B1 (en) | Apparatus for filtering server responses | |
| JP5986338B2 (ja) | 監視装置、監視方法、および、監視プログラム | |
| JP5980968B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| WO2015001970A1 (ja) | 不正アクセス検知システム及び不正アクセス検知方法 | |
| Eto et al. | Nicter: A large-scale network incident analysis system: Case studies for understanding threat landscape | |
| WO2015141665A1 (ja) | ウェブサイト情報抽出装置、システム、ウェブサイト情報抽出方法、および、ウェブサイト情報抽出プログラム | |
| JP5752642B2 (ja) | 監視装置および監視方法 | |
| JP6450022B2 (ja) | 解析装置、解析方法、および、解析プログラム | |
| JP5805585B2 (ja) | 中継サーバおよび代理アクセス方法 | |
| JP2011188071A (ja) | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム | |
| US11582226B2 (en) | Malicious website discovery using legitimate third party identifiers | |
| Akiyama et al. | Improved blacklisting: inspecting the structural neighborhood of malicious URLs | |
| Agbefu et al. | Domain information based blacklisting method for the detection of malicious webpages | |
| US10805300B2 (en) | Computer network cross-boundary protection | |
| JP6478730B2 (ja) | 悪性url候補取得装置、悪性url候補取得方法、及びプログラム | |
| JP6254401B2 (ja) | 情報処理装置、情報処理方法、情報処理システム | |
| Purohit et al. | Enhanced Link Redirection Interface for Secured Browsing using Web Browser Extensions | |
| PRANDINI et al. | DEVELOPMENT OF A FRAMEWORK FOR THE ANALYSIS OF DOCUMENT-BASED PHISHING CAMPAIGNS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160802 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160804 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5986338 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |