JP6063340B2 - Command source specifying device, command source specifying method, and command source specifying program - Google Patents
Command source specifying device, command source specifying method, and command source specifying program Download PDFInfo
- Publication number
- JP6063340B2 JP6063340B2 JP2013096603A JP2013096603A JP6063340B2 JP 6063340 B2 JP6063340 B2 JP 6063340B2 JP 2013096603 A JP2013096603 A JP 2013096603A JP 2013096603 A JP2013096603 A JP 2013096603A JP 6063340 B2 JP6063340 B2 JP 6063340B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- server
- grouping
- command source
- opposing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、マルウェアの解析技術に関連するものであり、特に、マルウェアに感染した感染装置に対して指令を行う指令者装置を特定する技術に関するものである。 The present invention relates to a malware analysis technique, and more particularly to a technique for specifying a commander apparatus that gives a command to an infected apparatus infected with malware.
近年、様々なマルウェア(不正ソフトウェア)が出現している。マルウェアの中には、感染後にインターネット上のC&Cサーバ(Command&Control Server)に接続することで指令者からの命令を待ち受け、ボットネットを構成するものがある。なお、C&Cサーバとは、マルウェアに感染してボットと化したコンピュータ群(ボットネット)に指令(Command)を送り、制御(Control)の中心となるサーバのことである。 In recent years, various malware (unauthorized software) has appeared. Some malware configures a botnet by waiting for commands from the commander by connecting to a C & C server (Command & Control Server) on the Internet after infection. Note that the C & C server is a server that sends a command (Command) to a computer group (botnet) infected with malware and turned into a bot, and is the center of control.
このようなマルウェアが多数ばらまかれると、多数の装置が感染し、C&Cサーバに接続しにいくことになる。指令者はこれら多数のマルウェアに対してC&Cサーバ経由で指令を送信することで感染装置を操作することが可能となる。このような遠隔操作を防ぐ方法として、感染装置とC&Cサーバとの接続を断つ方法は従来から存在する。 If many such malwares are scattered, many devices will be infected and will connect to the C & C server. The commander can operate the infected apparatus by transmitting commands to these many malwares via the C & C server. As a method for preventing such remote operation, there is a method for disconnecting the connection between the infected apparatus and the C & C server.
しかしながら、C&Cサーバが複数ある場合には、1つのC&Cサーバとの接続を断ったとしてもマルウェアは次のC&Cサーバへ接続を行う。このため、C&Cサーバが多数あるような場合には、全てのC&Cサーバを突き止めて接続を断つ必要があり、非効率である。 However, when there are a plurality of C & C servers, the malware connects to the next C & C server even if the connection with one C & C server is cut off. For this reason, when there are many C & C servers, it is necessary to locate all the C & C servers and disconnect them, which is inefficient.
本発明は上記の点に鑑みてなされたものであり、C&Cサーバを経由して感染装置に対して操作指令を行う指令者装置を特定し、指令者装置とC&Cサーバとの間の接続を断つことを可能とする技術を提供することを目的とする。 The present invention has been made in view of the above points, and identifies a commander device that issues an operation command to an infected device via a C & C server, and disconnects the connection between the commander device and the C & C server. It is an object to provide a technology that makes it possible.
上記の課題を解決するために、本発明は、所定のサーバと通信を行う対向装置と当該所定のサーバとの間の通信に係るパケットの情報を取得する取得手段と、
前記取得手段により取得されたパケットの情報に基づき、前記通信が所定の条件に合致するか否かに応じて前記対向装置をグループ分けするグループ分け手段と、
前記グループ分け手段によるグループ分けにより得られたグループのうち、属する装置数が他のグループよりも少ないグループに属する対向装置を、当該対向装置以外の対向装置に対して前記所定のサーバ経由で指令を行う指令者装置の候補であると特定する特定手段と、を備えることを特徴とする指令元特定装置として構成される。
In order to solve the above-described problem, the present invention provides an acquisition unit that acquires information on a packet related to communication between an opposite apparatus that communicates with a predetermined server and the predetermined server;
Grouping means for grouping the opposing devices according to whether or not the communication matches a predetermined condition based on the information of the packet acquired by the acquisition means;
Of the groups obtained by the grouping by the grouping means, commands the opposing device belonging to the group having a smaller number of devices than other groups to the opposing device other than the opposing device via the predetermined server. And a specifying unit that specifies that the commander device is a candidate for the commander device to be performed.
なお、前記グループ分け手段によるグループ分けにより得られたグループのうち、属する装置数が他のグループよりも少ないグループに属する対向装置は、例えば、前記グループ分け手段によりグループ分けされた対向装置のうち、グループに属する装置数が最小の対向装置である。 Of the groups obtained by grouping by the grouping means, the opposing device belonging to a group having a smaller number of devices than other groups is, for example, the opposing device grouped by the grouping means, The opposite device has the smallest number of devices belonging to the group.
前記特定手段は、前記取得手段により取得されたパケットの情報に基づいて、前記候補とされた対向装置が前記所定のサーバにパケットを送信した後に、当該所定のサーバが、前記候補とされた対向装置以外の対向装置にパケットを送信する動作を行うか否かを判定し、当該動作を行う場合に前記候補とされた対向装置を前記指令者装置であると判定するようにしてもよい。 The specifying unit transmits the packet to the predetermined server based on the information on the packet acquired by the acquiring unit, and then the predetermined server is set as the candidate It may be determined whether or not to perform an operation of transmitting a packet to an opposite device other than the device, and when the operation is performed, the opposite device determined as the candidate may be determined to be the commander device.
前記所定の条件は、例えば、送信バイト数、送信周期、httpヘッダ、又は、ポート番号に基づく条件である。また、例えば、前記所定のサーバは、C&Cサーバであり、前記候補とされた対向装置以外の対向装置は、マルウェア感染装置である。 The predetermined condition is, for example, a condition based on the number of transmission bytes, a transmission cycle, an http header, or a port number. Further, for example, the predetermined server is a C & C server, and the opposing device other than the candidate opposing device is a malware infection device.
前記グループ分け手段は、対向装置から前記所定のサーバに送信されるパケットのポート番号が特定の値である場合に、もしくは、対向装置から送信されるパケットのバイト数に対し、前記所定のサーバからの応答パケットのバイト数が所定の閾値以上大きい場合に、当該対向装置を前記グループ分けの対象から除外するようにしてもよい。 When the port number of the packet transmitted from the opposite device to the predetermined server is a specific value, or the number of bytes of the packet transmitted from the opposite device, When the number of bytes of the response packet is larger than a predetermined threshold, the opposite device may be excluded from the grouping target.
また、本発明は、前記指令元特定装置が実行する指令元特定方法、及び、コンピュータを、前記指令元特定装置の各手段として機能させるための指令元特定プログラムとして構成することもできる。 The present invention can also be configured as a command source specifying method executed by the command source specifying device and a command source specifying program for causing a computer to function as each means of the command source specifying device.
本発明によれば、C&Cサーバを経由して感染装置に対して操作指令を行う指令者装置を特定することができるので、指令者装置とC&Cサーバとの間の接続を断つことで、感染装置が遠隔操作されることを迅速に防止することが可能となる。 According to the present invention, it is possible to specify the commander device that issues an operation command to the infected device via the C & C server, so that the infected device is disconnected by disconnecting the connection between the commander device and the C & C server. Can be quickly prevented from being remotely operated.
以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。 Embodiments of the present invention will be described below with reference to the drawings. The embodiment described below is only an example, and the embodiment to which the present invention is applied is not limited to the following embodiment.
本実施の形態では、C&Cサーバと他の装置との間の通信を監視し、当該C&Cサーバと通信している対向装置と当該C&Cサーバとの間の通信に係るパケットの情報に基づいて、C&Cサーバとの通信パターンを解析し、当該通信パターンにより対向装置をグループ分けする。そして、本実施の形態では、通信パターンに属する対向装置数が多いグループをマルウェア感染装置のグループとみなし、それ以外を指令者装置として抽出することとしている。以下、本実施の形態での処理内容をより詳細に説明する。 In the present embodiment, the communication between the C & C server and another device is monitored, and the C & C is based on the packet information related to the communication between the opposite device communicating with the C & C server and the C & C server. The communication pattern with the server is analyzed, and the opposing devices are grouped according to the communication pattern. In this embodiment, a group having a large number of opposing devices belonging to a communication pattern is regarded as a group of malware-infected devices, and the others are extracted as commander devices. Hereinafter, the processing content in this Embodiment is demonstrated in detail.
(システム構成)
図1に、本発明の実施の形態に係るシステムの全体構成図を示す。図1に示す例では、マルウェアに感染した感染装置10、C&Cサーバ20、及び指令者装置30が通信ネットワーク40(例:インターネット)に接続されている。また、本発明に係る指令者装置特定のための解析処理等を実行する指令元特定装置100が通信ネットワーク40に接続されている。図1に示すように、指令者装置30がC&Cサーバ20経由で感染装置に指令を送る。
(System configuration)
FIG. 1 shows an overall configuration diagram of a system according to an embodiment of the present invention. In the example shown in FIG. 1, the infected
本実施の形態では、感染装置10は、定期的にC&Cサーバ20に対し、接続が有効であり、自分が制御下にいることを示すKeepAliveパケットを送信することを想定している。また、C&Cサーバ20と他の装置との間の通信に係るパケットが通過する通信装置50が通信ネットワーク40内に存在する。指令元特定装置100は、当該通信装置50により送受信されるパケットを監視し、後述する指令者装置30の特定処理を行う。
In the present embodiment, it is assumed that the infected
上記の通信装置50は、例えばルータ、スイッチ等であり、1台とは限らず、複数台であってもよい。また、上記のパケットの監視方法については、例えば、指令元特定装置100が、通信装置50により送受信される全てのパケットを取得(キャプチャ)し、取得したパケットを解析することとしてもよいし、所定のフロープロトコルを用いて、予め指定したフロー条件(例:送信先IPアドレス、送信元IPアドレス)に合致するパケットのみを取得し、解析することとしてもよい。また、取得する情報としては、パケットの全ての情報を取得してもよいし、解析に必要な情報(例:ヘッダ情報)のみを取得することとしてもよい。
The
以下で説明する例では、全てのパケットの情報を取得することを想定している。なお、本実施の形態において、パケットの取得及び解析はリアルタイムに行ってもよいし、リアルタイムでなくてもよい。リアルタイムでない場合とは、例えば、ある期間において送受信されるパケットをサンプルとして取得しておき、後で解析を行うような場合である。 In the example described below, it is assumed that information of all packets is acquired. In the present embodiment, acquisition and analysis of packets may be performed in real time or may not be performed in real time. The case where it is not real time is, for example, a case where a packet transmitted and received in a certain period is acquired as a sample and analyzed later.
図2に、本実施の形態に係る指令元特定装置100の機能構成図を示す。図2に示すように、指令元特定装置100は、パケット情報取得部101、対象パケット情報抽出部102、グループ分け処理部103、指令者装置特定部104、通信切断処理部105、パケット情報格納部106、C&Cサーバ情報格納部107を備える。これらの機能部の概要は以下のとおりである。指令元特定装置100の動作詳細については動作説明のところで説明する。
FIG. 2 shows a functional configuration diagram of command
パケット情報取得部101は、通信装置50において送受信されるパケットの情報を取得し、取得した情報をパケット情報格納部106に格納する。本例では、現在時刻(タイムスタンプ)が付されたパケット情報が取得され、パケット情報格納部106にはタイムスタンプとともにパケット情報が格納される。上記タイムスタンプは、当該パケットが通信装置50により受信もしくは送信される時刻と見なしてよい。
The packet
C&Cサーバ情報格納部107には、別途行われた解析等により、C&Cサーバ20のアドレス(IPアドレス等)であると特定されたアドレスが格納されており、対象パケット情報抽出部102は、当該アドレスを送信先アドレスもしくは送信元アドレスとして持つパケットの情報をパケット情報格納部106から抽出する。
The C & C server
グループ分け処理部103は、対象パケット情報抽出部102により抽出されたC&Cサーバ20との通信に係るパケットの対向装置側のアドレス(IPアドレス等)を所定のパターンでグループ分けし、グループ分けした結果を指令者装置特定部104に渡す。指令者装置特定部104は、グループ分け処理部103によるグループ分けの結果に基づき指令者装置30の(アドレスの)候補を特定し、当該候補について所定の通信動作が検出された場合に、指令者装置30の候補を指令者装置30として特定する。通信切断処理部105は、指令者装置特定部104により特定された指令者装置30の通信を切断する処理を行う。
The
本実施の形態に係る指令元特定装置100は、指令元特定装置100として使用するコンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、指令元特定装置100における各機能部は、コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、各部で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。
The command
(指令元特定装置100の動作)
以下、図3のフローチャートの手順に沿って指令元特定装置100の動作を説明する。なお、指令元特定装置100は、様々なC&Cサーバに対しての指令装置の特定を行うことができるが、以下の例では、特定のC&Cサーバ20に着目した処理を示している。
(Operation of command source specifying device 100)
Hereinafter, the operation of the command
パケット情報取得部101は、通信装置50において送受信されるパケットの情報を取得し、取得した情報をタイムスタンプとともにパケット情報格納部106に格納する(ステップ101)。この処理は、常時あるいは所定の期間、通信装置50においてパケットが送受信される度に行われる。
The packet
次に、対象パケット情報抽出部102が、C&Cサーバ情報格納部107に格納されているC&Cサーバ20のアドレスを送信先アドレスもしくは送信元アドレスとして持つパケットの情報をパケット情報格納部106から抽出する(ステップ102)。
Next, the target packet
そして、グループ分け処理部103は、対象パケット情報抽出部102により抽出されたC&Cサーバ20との通信に係るパケットの情報を解析することで、C&Cサーバ20と通信する対向装置(のアドレス(例:IPアドレス))をグループ分けし、グループ分けした結果を指令者装置特定部104に渡す(ステップ103)。
Then, the
本実施の形態では、例えば、C&Cサーバ20宛てパケットの送信周期、C&Cサーバ20宛てパケットの送信バイト数、C&Cサーバ20を送信元とするパケットの送信バイト数、C&Cサーバ20宛てパケットのhttpヘッダ、C&Cサーバ20宛てパケットのポート番号、C&Cサーバ20を送信元とするパケットのポート番号のうちのいずれか1つ又は複数を用いて、対向装置をグループ分けする。
In the present embodiment, for example, the transmission cycle of packets addressed to the C &
C&Cサーバ20宛てパケットの送信周期に関して、前述した感染装置10からのKeepAliveパケットは、所定時間間隔で送信される場合が多いことが想定されることから、同じ送信周期で送信されるパケットの送信元(送信元のアドレスであり、対向装置を表す、以下同様)が複数ある場合、それらは同じグループにまとめられる。また、例えば、上記のような送信周期のパケットを送信していない送信元が1つだけであるとすると、当該送信元は上記グループ以外のグループに分類される。このようなグループ分け処理は、タイムスタンプを参照することで実現可能である。
Regarding the transmission cycle of the packet addressed to the C &
パケットの送信バイト数に関して、感染装置10から送信されるKeepAliveパケットのバイト数、及びKeepAliveパケットに対する応答パケットのバイト数はそれぞれ固定的に決まっている場合があることが想定されることから、同じ送信バイト数を持つC&Cサーバ20宛てパケットの送信元、もしくは、同じ送信バイト数を持つC&Cサーバ20を送信元とするパケットの送信先をそれぞれ同じグループとする。
Regarding the number of transmitted bytes of the packet, it is assumed that the number of bytes of the KeepAlive packet transmitted from the
httpヘッダに関し、例えば、httpヘッダ中のuser agentの情報が同じパケットの送信元を同一のグループとすることができる。更に、マルウェアに感染した感染装置10は、C&Cサーバとhttpで通信することが多く、また、感染装置10から送信されるhttpパケットに付されるhttpヘッダは、通常のブラウザから送信されるパケットのヘッダに比べて、不要な情報が削除された内容を持つという特徴がある。そこで、情報量が所定の値より小さいhttpヘッダを持つパケットの送信元を同じグループにすることとしてもよい。
With regard to the http header, for example, transmission sources of packets having the same user agent information in the http header can be set to the same group. In addition, the
ポート番号に関して、例えば、WebサーバがC&Cサーバにされた場合、C&Cサーバ宛てパケットの宛先ポート番号は、通常のWebサーバとは異なる所定の値となることが想定されることから、同じ宛先ポート番号を有するC&Cサーバ宛てパケットの送信元を同じグループとする。また、マルウェア側の送信ポートがあるポートに固定されることも考えられるため、送信元ポートが同じであるC&Cサーバ20宛てパケットの送信元を同じグループに分類する、もしくは宛先ポートが同じであるC&Cサーバ20からのパケットの送信先を同じグループに分類する。
Regarding the port number, for example, when the Web server is a C & C server, the destination port number of the packet addressed to the C & C server is assumed to be a predetermined value different from that of a normal Web server. The source of packets addressed to the C & C server having the same group. In addition, since it is possible that the transmission port on the malware side is fixed to a certain port, the transmission source of packets addressed to the C &
グループ分け処理部103は、上記のグループ分けを、送信周期、送信バイト数、httpヘッダ、ポート番号等のいずれか1つについて行ってもよいし、複数について行ってもよい。また、以上のグループ分けの方法は一例に過ぎず、他の条件を用いてグループ分けを行ってもよい。例えば、送信周期、送信バイト数は、KeepAliveパケットの規則性に着目したものであるが、その他にも、感染装置10が送受信するパケットにおいて規則性が見られるパケットがあれば当該規則性に基づく条件でグループ分けを行うことができる。
The
次に、指令者装置特定部104が、グループ分け処理部103によるグループ分けの結果を用いて、指令者装置30の候補の抽出を行う(ステップ104)。ここでは、指令者装置特定部104は、グループ分け処理部103によるグループ分けの結果、グループに属する対向装置(のアドレス)の数が最も少ないグループに属する対向装置を指令者装置30の候補として特定する。あるいは、対向装置の数が所定の値以上であるグループ以外のグループに属する対向装置を指令者装置30の候補として特定してもよい。
Next, the commander
例えば、グループ分け処理部103がある条件でグループ分けを行った結果、図4に示すような結果が得られたものとする。つまり、10個の対向装置を含むグループA、5個の対向装置を含むグループB、及び1個の対向装置を含むグループCとグループDが得られたものとする。このとき、指令者装置特定部104は、グループCの対向装置C1とグループDの対向装置D1を指令者装置30の候補として決定する。ここで、候補が1つだけであれば、それを指令者装置30として特定してもよいし、1つだけである場合も、後述する指令者装置特定処理を行ってもよい。
For example, it is assumed that the
なお、グループ分け処理部103が、例えば、送信周期と送信バイト数のように、複数の条件に基づいてグループ分けを行う場合、それぞれについて得られた指令者装置30の候補のANDをとって指令者装置30の候補とすることができる。例えば、送信周期でグループ分けした結果、対向装置X1とX2が候補として特定され、送信バイト数でグループ分けした結果、対向装置X1とY1が候補として特定された場合、これらのANDをとって、対向装置X1を指令者装置30の候補とする。
In addition, when the
次に、指令者装置特定部104は、ステップ104で得られた指令者装置候補について、所定の挙動を示したか否かを調べることで指令者装置30であるかどうかの特定を行う。
Next, the commander
本実施の形態では、パケット情報格納部106に格納されたパケット情報を解析することで、指令者装置候補がパケットをC&Cサーバ20に送信した後に、以下の(1)、(2)のいずれかのパターンの送信がある場合に、指令者装置候補を指令者装置30と特定する。
In the present embodiment, by analyzing the packet information stored in the packet
(1)C&Cサーバ20が指令者装置候補からパケットを受信した後、すぐに感染装置10へパケットを送信する。この動作は、C&Cサーバ20を経由した指令送信の動作に相当する。
(1) Immediately after the C &
(2)C&Cサーバ20が指令者装置候補からパケットを受信した後、感染装置10からのパケット(周期的に送られるKeepAliveと推定できるパケット)を受信したタイミングで、当該感染装置10へパケットを送信する。この動作は、指令を一旦C&Cサーバ20が保持し、感染装置10からのアクセスに応じて指令を送る動作であると推定できる。ここでの送信パケットは、KeepAliveの応答とは、バイト数等が異なることが考えられるため、(2)において感染装置10へのパケットのバイト数等がKeepAliveの応答と異なることが確認できた場合は、より確実に指令者からの指令に係るパケットが送られたものと推定できる。
(2) After receiving the packet from the commander device candidate, the C &
上記の動作において、感染装置10へのパケットもしくは感染装置10からのパケットであることを識別するための感染装置10のアドレスは、ステップ103でのグループ分けの結果、指令者装置候補と推定されたグループ以外のグループに含まれる対向装置のアドレスのうちのいずれかに該当するかどうかで識別できる。
In the above operation, the address of the infecting
なお、C&Cサーバ20が、C&Cサーバ20と同じIPアドレスを持つ通常のWebサーバとして使われる場合が考えられ、その場合、ステップ103でのグループ分けの結果、あるグループに属する対向装置が感染装置10もしくは指令者装置30ではなく、Webサーバにアクセスする一般の端末である場合があり得る。そのため、グループ分け処理部103は、Webサーバにアクセスする一般の端末を識別し、これを除外してグループ分けを行うことが望ましい。
Note that the C &
通常のWebサーバへのアクセスかどうかは、例えば、パケットにおける送信先のポート番号が80(通常のWebサーバのポート番号)かどうかで判別できる。また、送信元から送信されるパケットの送信バイト数に対し、サーバからの送信バイト数が相当に大きい(所定の閾値以上大きい)かどうかで判別することもできる。 Whether the access is to a normal Web server can be determined, for example, based on whether the destination port number in the packet is 80 (normal Web server port number). It is also possible to determine whether or not the number of transmission bytes from the server is considerably large (larger than a predetermined threshold) with respect to the number of transmission bytes of the packet transmitted from the transmission source.
ステップ105において指令者装置30のアドレス(例:IPアドレス)が特定されると、続いて、通信切断処理部105は、指令者装置30がC&Cサーバ20との通信を行うことができないように、指令者装置30とC&Cサーバ20との間の通信を切断する処理を行う(ステップ106)。この処理は特定の方法に限られず、例えば、通信装置50に対して指令者装置30からC&Cサーバ20へのパケットを転送しないよう指示することでもよいし、より加入者側に近い設備に対する指示、例えば指令者装置30のアクセス回線設備に対して指令者装置30からC&Cサーバ20への通信を行わないようにする指示を行ってもよい。また、指令元特定装置100が通信切断処理部105を備えることは必須ではなく、通信切断処理部105を備えなくてもよい。この場合、例えば、オペレータが通信切断のための処理や指令者装置30に対する何らかの警告を行う。
When the address (eg, IP address) of the
以上、図1の構成に基づく処理例を説明したが、本発明は図1に示す構成に限られずに適用できる。例えば、図5に示すように、C&Cサーバが多段構成である場合にも適用できる。非常に多数の感染装置をコントロール配下とする場合、図5に示すように、C&Cサーバが多段構成とされる場合がある。このような場合、これまでに説明したグループ分けの技術を用いることで、まず、感染装置10とC&Cサーバ20−1間の通信と、C&Cサーバ20−1とC&Cサーバ20−2間の通信とを判別することでC&Cサーバ20−2を特定し、次に、C&Cサーバ20−1とC&Cサーバ20−2間の通信と、C&Cサーバ20−2とC&Cサーバ20−3間の通信とを判別することでC&Cサーバ20−3を特定し、最後に、C&Cサーバ20−2とC&Cサーバ20−3間の通信と、C&Cサーバ20−3と指令者装置30間の通信とを判別することで指令者装置30を特定する。
The processing example based on the configuration of FIG. 1 has been described above, but the present invention can be applied without being limited to the configuration shown in FIG. For example, as shown in FIG. 5, the present invention can also be applied when the C & C server has a multi-stage configuration. When a very large number of infected devices are under control, the C & C server may be configured in multiple stages as shown in FIG. In such a case, by using the grouping technique described so far, first, communication between the
(実施の形態のまとめ、効果)
上記のように、本実施の形態では、C&Cサーバ20と対向装置との間の通信を監視し、対向装置とC&Cサーバ20との間の通信に係るパケットの情報に基づいて、C&Cサーバ20との通信パターンを解析し、当該通信パターンにより対向装置をグループ分けすることにより指令者装置30を抽出し、指令者装置30とC&Cサーバ20との間の接続を断つこととした。これにより、感染装置10が遠隔操作により被害を受けることを迅速に停止することが可能となる。
(Summary of the embodiment, effects)
As described above, in the present embodiment, the communication between the C &
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。 The present invention is not limited to the above-described embodiments, and various modifications and applications are possible within the scope of the claims.
10 感染装置
20 C&Cサーバ
30 指令者装置30
40 通信ネットワーク
100 指令元特定装置
101 パケット情報取得部
102 対象パケット情報抽出部
103 グループ分け処理部
104 指令者装置特定部
105 通信切断処理部
106 パケット情報格納部
107 C&Cサーバ情報格納部
10 Infection Device 20 C &
40
Claims (7)
前記取得手段により取得されたパケットの情報に基づき、前記通信が所定の条件に合致するか否かに応じて前記対向装置をグループ分けするグループ分け手段と、
前記グループ分け手段によるグループ分けにより得られたグループのうち、属する装置数が他のグループよりも少ないグループに属する対向装置を、当該対向装置以外の対向装置に対して前記所定のサーバ経由で指令を行う指令者装置の候補であると特定する特定手段と、
を備えることを特徴とする指令元特定装置。 An acquisition unit that acquires information on a packet related to communication between the opposite device that communicates with the predetermined server and the predetermined server;
Grouping means for grouping the opposing devices according to whether or not the communication matches a predetermined condition based on the information of the packet acquired by the acquisition means;
Of the groups obtained by the grouping by the grouping means, commands the opposing device belonging to the group having a smaller number of devices than other groups to the opposing device other than the opposing device via the predetermined server. A specifying means for specifying that the commander device is a candidate to perform;
A command source specifying device comprising:
ことを特徴とする請求項1に記載の指令元特定装置。 The specifying unit transmits the packet to the predetermined server based on the information on the packet acquired by the acquiring unit, and then the predetermined server is set as the candidate It is determined whether or not to perform an operation of transmitting a packet to an opposite device other than the device, and when the operation is performed, the opposite device determined as the candidate is determined to be the commander device. The command source specifying device according to 1.
ことを特徴とする請求項1又は2に記載の指令元特定装置。 The command source specifying device according to claim 1, wherein the predetermined condition is a condition based on a transmission byte count, a transmission cycle, an http header, or a port number.
ことを特徴とする請求項1ないし3のうちいずれか1項に記載の指令元特定装置。 The command source according to any one of claims 1 to 3, wherein the predetermined server is a C & C server, and the opposing device other than the candidate opposing device is a malware infection device. Specific device.
対向装置から前記所定のサーバに送信されるパケットのポート番号が特定の値である場合に、もしくは、対向装置から送信されるパケットのバイト数に対し、前記所定のサーバからの応答パケットのバイト数が所定の閾値以上大きい場合に、当該対向装置を前記グループ分けの対象から除外する
ことを特徴とする請求項1ないし4のうちいずれか1項に記載の指令元特定装置。 The grouping means includes
When the port number of the packet transmitted from the opposite device to the predetermined server is a specific value or the number of bytes of the response packet from the predetermined server with respect to the number of bytes of the packet transmitted from the opposite device The command source identification device according to any one of claims 1 to 4, wherein the counter device is excluded from the grouping target when the value is larger than a predetermined threshold value.
所定のサーバと通信を行う対向装置と当該所定のサーバとの間の通信に係るパケットの情報を取得する取得ステップと、
前記取得ステップにより取得されたパケットの情報に基づき、前記通信が所定の条件に合致するか否かに応じて前記対向装置をグループ分けするグループ分けステップと、
前記グループ分けステップによるグループ分けにより得られたグループのうち、属する装置数が他のグループよりも少ないグループに属する対向装置を、当該対向装置以外の対向装置に対して前記所定のサーバ経由で指令を行う指令者装置の候補であると特定する特定ステップと、
を備えることを特徴とする指令元特定方法。 A command source identification method executed by the command source identification device,
An acquisition step of acquiring information on a packet relating to communication between the opposite device that communicates with the predetermined server and the predetermined server;
A grouping step of grouping the opposing devices according to whether or not the communication matches a predetermined condition based on the information of the packet acquired by the acquiring step;
Among the groups obtained by grouping in the grouping step, a command is sent to the opposing device other than the opposing device to the opposing device belonging to the group having a smaller number of devices belonging to the other group via the predetermined server. A specific step that identifies the commander device as a candidate to perform;
A command source specifying method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013096603A JP6063340B2 (en) | 2013-05-01 | 2013-05-01 | Command source specifying device, command source specifying method, and command source specifying program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013096603A JP6063340B2 (en) | 2013-05-01 | 2013-05-01 | Command source specifying device, command source specifying method, and command source specifying program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014219741A JP2014219741A (en) | 2014-11-20 |
JP6063340B2 true JP6063340B2 (en) | 2017-01-18 |
Family
ID=51938152
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013096603A Active JP6063340B2 (en) | 2013-05-01 | 2013-05-01 | Command source specifying device, command source specifying method, and command source specifying program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6063340B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6122562B2 (en) * | 2014-12-09 | 2017-04-26 | 日本電信電話株式会社 | Specific apparatus, specific method, and specific program |
WO2019222880A1 (en) | 2018-05-21 | 2019-11-28 | 华为技术有限公司 | Configuration method and apparatus of network device, and storage medium |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5119059B2 (en) * | 2008-06-25 | 2013-01-16 | 株式会社Kddi研究所 | Information processing apparatus, information processing system, program, and recording medium |
-
2013
- 2013-05-01 JP JP2013096603A patent/JP6063340B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014219741A (en) | 2014-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10104124B2 (en) | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program | |
US10686814B2 (en) | Network anomaly detection | |
US9860278B2 (en) | Log analyzing device, information processing method, and program | |
CN109167798B (en) | Household Internet of things device DDoS detection method based on machine learning | |
CN108293039B (en) | Computing device, method and storage medium for handling cyber threats | |
KR20140088340A (en) | APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH | |
KR20140025316A (en) | Method and system for fingerprinting operating systems running on nodes in a communication network | |
US20170295068A1 (en) | Logical network topology analyzer | |
JP6502902B2 (en) | Attack detection device, attack detection system and attack detection method | |
CN103905415A (en) | Method and system for preventing remote control type Trojan viruses | |
CN111600863A (en) | Network intrusion detection method, device, system and storage medium | |
JP2018007179A (en) | Device, method and program for monitoring | |
WO2020027250A1 (en) | Infection spread attack detection device, attack origin specification method, and program | |
JP6063340B2 (en) | Command source specifying device, command source specifying method, and command source specifying program | |
US11595419B2 (en) | Communication monitoring system, communication monitoring apparatus, and communication monitoring method | |
CN111131180B (en) | Distributed deployed HTTP POST (hyper text transport protocol) interception method in large-scale cloud environment | |
CN110381082B (en) | Mininet-based attack detection method and device for power communication network | |
JP5531064B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM | |
US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
KR100920528B1 (en) | Method and system of detecting and defensing arp spoofing | |
JP6476853B2 (en) | Network monitoring system and method | |
KR20150026187A (en) | System and Method for dropper distinction | |
US9049170B2 (en) | Building filter through utilization of automated generation of regular expression | |
KR102156600B1 (en) | System and method for creating association between packets collected in network and processes in endpoint computing device | |
TWI793650B (en) | Industrial control network threat intelligent detection system and training system with deep learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160122 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161122 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161216 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6063340 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |