JP6063340B2 - Command source specifying device, command source specifying method, and command source specifying program - Google Patents

Command source specifying device, command source specifying method, and command source specifying program Download PDF

Info

Publication number
JP6063340B2
JP6063340B2 JP2013096603A JP2013096603A JP6063340B2 JP 6063340 B2 JP6063340 B2 JP 6063340B2 JP 2013096603 A JP2013096603 A JP 2013096603A JP 2013096603 A JP2013096603 A JP 2013096603A JP 6063340 B2 JP6063340 B2 JP 6063340B2
Authority
JP
Japan
Prior art keywords
packet
server
grouping
command source
opposing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013096603A
Other languages
Japanese (ja)
Other versions
JP2014219741A (en
Inventor
充弘 畑田
充弘 畑田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2013096603A priority Critical patent/JP6063340B2/en
Publication of JP2014219741A publication Critical patent/JP2014219741A/en
Application granted granted Critical
Publication of JP6063340B2 publication Critical patent/JP6063340B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、マルウェアの解析技術に関連するものであり、特に、マルウェアに感染した感染装置に対して指令を行う指令者装置を特定する技術に関するものである。   The present invention relates to a malware analysis technique, and more particularly to a technique for specifying a commander apparatus that gives a command to an infected apparatus infected with malware.

近年、様々なマルウェア(不正ソフトウェア)が出現している。マルウェアの中には、感染後にインターネット上のC&Cサーバ(Command&Control Server)に接続することで指令者からの命令を待ち受け、ボットネットを構成するものがある。なお、C&Cサーバとは、マルウェアに感染してボットと化したコンピュータ群(ボットネット)に指令(Command)を送り、制御(Control)の中心となるサーバのことである。   In recent years, various malware (unauthorized software) has appeared. Some malware configures a botnet by waiting for commands from the commander by connecting to a C & C server (Command & Control Server) on the Internet after infection. Note that the C & C server is a server that sends a command (Command) to a computer group (botnet) infected with malware and turned into a bot, and is the center of control.

このようなマルウェアが多数ばらまかれると、多数の装置が感染し、C&Cサーバに接続しにいくことになる。指令者はこれら多数のマルウェアに対してC&Cサーバ経由で指令を送信することで感染装置を操作することが可能となる。このような遠隔操作を防ぐ方法として、感染装置とC&Cサーバとの接続を断つ方法は従来から存在する。   If many such malwares are scattered, many devices will be infected and will connect to the C & C server. The commander can operate the infected apparatus by transmitting commands to these many malwares via the C & C server. As a method for preventing such remote operation, there is a method for disconnecting the connection between the infected apparatus and the C & C server.

特開2010−015513号公報JP 2010-015513 A

しかしながら、C&Cサーバが複数ある場合には、1つのC&Cサーバとの接続を断ったとしてもマルウェアは次のC&Cサーバへ接続を行う。このため、C&Cサーバが多数あるような場合には、全てのC&Cサーバを突き止めて接続を断つ必要があり、非効率である。   However, when there are a plurality of C & C servers, the malware connects to the next C & C server even if the connection with one C & C server is cut off. For this reason, when there are many C & C servers, it is necessary to locate all the C & C servers and disconnect them, which is inefficient.

本発明は上記の点に鑑みてなされたものであり、C&Cサーバを経由して感染装置に対して操作指令を行う指令者装置を特定し、指令者装置とC&Cサーバとの間の接続を断つことを可能とする技術を提供することを目的とする。   The present invention has been made in view of the above points, and identifies a commander device that issues an operation command to an infected device via a C & C server, and disconnects the connection between the commander device and the C & C server. It is an object to provide a technology that makes it possible.

上記の課題を解決するために、本発明は、所定のサーバと通信を行う対向装置と当該所定のサーバとの間の通信に係るパケットの情報を取得する取得手段と、
前記取得手段により取得されたパケットの情報に基づき、前記通信が所定の条件に合致するか否かに応じて前記対向装置をグループ分けするグループ分け手段と、
前記グループ分け手段によるグループ分けにより得られたグループのうち、属する装置数が他のグループよりも少ないグループに属する対向装置を、当該対向装置以外の対向装置に対して前記所定のサーバ経由で指令を行う指令者装置の候補であると特定する特定手段と、を備えることを特徴とする指令元特定装置として構成される。 In order to solve the above-described problem, the present invention provides an acquisition unit that acquires information on a packet related to communication between an opposite apparatus that communicates with a predetermined server and the predetermined server;
Grouping means for grouping the opposing devices according to whether or not the communication matches a predetermined condition based on the information of the packet acquired by the acquisition means;
Of the groups obtained by the grouping by the grouping means, commands the opposing device belonging to the group having a smaller number of devices than other groups to the opposing device other than the opposing device via the predetermined server. And a specifying unit that specifies that the commander device is a candidate for the commander device to be performed.

なお、前記グループ分け手段によるグループ分けにより得られたグループのうち、属する装置数が他のグループよりも少ないグループに属する対向装置は、例えば、前記グループ分け手段によりグループ分けされた対向装置のうち、グループに属する装置数が最小の対向装置である。   Of the groups obtained by grouping by the grouping means, the opposing device belonging to a group having a smaller number of devices than other groups is, for example, the opposing device grouped by the grouping means, The opposite device has the smallest number of devices belonging to the group.

前記特定手段は、前記取得手段により取得されたパケットの情報に基づいて、前記候補とされた対向装置が前記所定のサーバにパケットを送信した後に、当該所定のサーバが、前記候補とされた対向装置以外の対向装置にパケットを送信する動作を行うか否かを判定し、当該動作を行う場合に前記候補とされた対向装置を前記指令者装置であると判定するようにしてもよい。   The specifying unit transmits the packet to the predetermined server based on the information on the packet acquired by the acquiring unit, and then the predetermined server is set as the candidate It may be determined whether or not to perform an operation of transmitting a packet to an opposite device other than the device, and when the operation is performed, the opposite device determined as the candidate may be determined to be the commander device.

前記所定の条件は、例えば、送信バイト数、送信周期、httpヘッダ、又は、ポート番号に基づく条件である。また、例えば、前記所定のサーバは、C&Cサーバであり、前記候補とされた対向装置以外の対向装置は、マルウェア感染装置である。   The predetermined condition is, for example, a condition based on the number of transmission bytes, a transmission cycle, an http header, or a port number. Further, for example, the predetermined server is a C & C server, and the opposing device other than the candidate opposing device is a malware infection device.

前記グループ分け手段は、対向装置から前記所定のサーバに送信されるパケットのポート番号が特定の値である場合に、もしくは、対向装置から送信されるパケットのバイト数に対し、前記所定のサーバからの応答パケットのバイト数が所定の閾値以上大きい場合に、当該対向装置を前記グループ分けの対象から除外するようにしてもよい。   When the port number of the packet transmitted from the opposite device to the predetermined server is a specific value, or the number of bytes of the packet transmitted from the opposite device, When the number of bytes of the response packet is larger than a predetermined threshold, the opposite device may be excluded from the grouping target.

また、本発明は、前記指令元特定装置が実行する指令元特定方法、及び、コンピュータを、前記指令元特定装置の各手段として機能させるための指令元特定プログラムとして構成することもできる。   The present invention can also be configured as a command source specifying method executed by the command source specifying device and a command source specifying program for causing a computer to function as each means of the command source specifying device.

本発明によれば、C&Cサーバを経由して感染装置に対して操作指令を行う指令者装置を特定することができるので、指令者装置とC&Cサーバとの間の接続を断つことで、感染装置が遠隔操作されることを迅速に防止することが可能となる。   According to the present invention, it is possible to specify the commander device that issues an operation command to the infected device via the C & C server, so that the infected device is disconnected by disconnecting the connection between the commander device and the C & C server. Can be quickly prevented from being remotely operated.

本発明の実施の形態に係るシステムの全体構成図である。1 is an overall configuration diagram of a system according to an embodiment of the present invention. 本発明の実施の形態に係る指令元特定装置100の機能構成図である。It is a functional lineblock diagram of command origin specific device 100 concerning an embodiment of the invention. 指令元特定装置100の動作を説明するためのフローチャートである。4 is a flowchart for explaining the operation of a command source identifying apparatus 100. グループ分け処理部103によるグループ分けの結果の例を示す図である。It is a figure which shows the example of the result of grouping by the grouping process part. C&Cサーバの多段構成の例を示す図である。It is a figure which shows the example of the multistage structure of a C & C server.

以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。   Embodiments of the present invention will be described below with reference to the drawings. The embodiment described below is only an example, and the embodiment to which the present invention is applied is not limited to the following embodiment.

本実施の形態では、C&Cサーバと他の装置との間の通信を監視し、当該C&Cサーバと通信している対向装置と当該C&Cサーバとの間の通信に係るパケットの情報に基づいて、C&Cサーバとの通信パターンを解析し、当該通信パターンにより対向装置をグループ分けする。そして、本実施の形態では、通信パターンに属する対向装置数が多いグループをマルウェア感染装置のグループとみなし、それ以外を指令者装置として抽出することとしている。以下、本実施の形態での処理内容をより詳細に説明する。   In the present embodiment, the communication between the C & C server and another device is monitored, and the C & C is based on the packet information related to the communication between the opposite device communicating with the C & C server and the C & C server. The communication pattern with the server is analyzed, and the opposing devices are grouped according to the communication pattern. In this embodiment, a group having a large number of opposing devices belonging to a communication pattern is regarded as a group of malware-infected devices, and the others are extracted as commander devices. Hereinafter, the processing content in this Embodiment is demonstrated in detail.

(システム構成)
図1に、本発明の実施の形態に係るシステムの全体構成図を示す。図1に示す例では、マルウェアに感染した感染装置10、C&Cサーバ20、及び指令者装置30が通信ネットワーク40(例:インターネット)に接続されている。また、本発明に係る指令者装置特定のための解析処理等を実行する指令元特定装置100が通信ネットワーク40に接続されている。図1に示すように、指令者装置30がC&Cサーバ20経由で感染装置に指令を送る。 (System configuration)
FIG. 1 shows an overall configuration diagram of a system according to an embodiment of the present invention. In the example shown in FIG. 1, the infected device 10, the C & C server 20, and the commander device 30 infected with malware are connected to a communication network 40 (for example, the Internet). Also, a command source specifying device 100 that executes analysis processing for specifying the commander device according to the present invention is connected to the communication network 40. As shown in FIG. 1, the commander device 30 sends a command to the infected device via the C & C server 20.

本実施の形態では、感染装置10は、定期的にC&Cサーバ20に対し、接続が有効であり、自分が制御下にいることを示すKeepAliveパケットを送信することを想定している。また、C&Cサーバ20と他の装置との間の通信に係るパケットが通過する通信装置50が通信ネットワーク40内に存在する。指令元特定装置100は、当該通信装置50により送受信されるパケットを監視し、後述する指令者装置30の特定処理を行う。   In the present embodiment, it is assumed that the infected device 10 periodically transmits a KeepAlive packet indicating that the connection is valid and that it is under control to the C & C server 20. In addition, a communication device 50 through which a packet related to communication between the C & C server 20 and another device passes is present in the communication network 40. The command source specifying device 100 monitors packets transmitted and received by the communication device 50 and performs a specifying process of the commander device 30 described later.

上記の通信装置50は、例えばルータ、スイッチ等であり、1台とは限らず、複数台であってもよい。また、上記のパケットの監視方法については、例えば、指令元特定装置100が、通信装置50により送受信される全てのパケットを取得(キャプチャ)し、取得したパケットを解析することとしてもよいし、所定のフロープロトコルを用いて、予め指定したフロー条件(例:送信先IPアドレス、送信元IPアドレス)に合致するパケットのみを取得し、解析することとしてもよい。また、取得する情報としては、パケットの全ての情報を取得してもよいし、解析に必要な情報(例:ヘッダ情報)のみを取得することとしてもよい。   The communication device 50 is, for example, a router, a switch, or the like, and is not limited to one, and may be a plurality. As for the packet monitoring method described above, for example, the command source identification apparatus 100 may acquire (capture) all packets transmitted and received by the communication apparatus 50 and analyze the acquired packets. It is possible to acquire and analyze only packets that match a previously specified flow condition (for example, transmission destination IP address, transmission source IP address) using the above flow protocol. As information to be acquired, all information of the packet may be acquired, or only information (for example, header information) necessary for analysis may be acquired.

以下で説明する例では、全てのパケットの情報を取得することを想定している。なお、本実施の形態において、パケットの取得及び解析はリアルタイムに行ってもよいし、リアルタイムでなくてもよい。リアルタイムでない場合とは、例えば、ある期間において送受信されるパケットをサンプルとして取得しておき、後で解析を行うような場合である。   In the example described below, it is assumed that information of all packets is acquired. In the present embodiment, acquisition and analysis of packets may be performed in real time or may not be performed in real time. The case where it is not real time is, for example, a case where a packet transmitted and received in a certain period is acquired as a sample and analyzed later.

図2に、本実施の形態に係る指令元特定装置100の機能構成図を示す。図2に示すように、指令元特定装置100は、パケット情報取得部101、対象パケット情報抽出部102、グループ分け処理部103、指令者装置特定部104、通信切断処理部105、パケット情報格納部106、C&Cサーバ情報格納部107を備える。これらの機能部の概要は以下のとおりである。指令元特定装置100の動作詳細については動作説明のところで説明する。   FIG. 2 shows a functional configuration diagram of command source identifying apparatus 100 according to the present embodiment. As shown in FIG. 2, the command source specifying device 100 includes a packet information acquisition unit 101, a target packet information extraction unit 102, a grouping processing unit 103, a commander device specifying unit 104, a communication disconnection processing unit 105, and a packet information storage unit. 106, and a C & C server information storage unit 107. The outline of these functional units is as follows. Details of the operation of the command source identifying apparatus 100 will be described in the description of the operation.

パケット情報取得部101は、通信装置50において送受信されるパケットの情報を取得し、取得した情報をパケット情報格納部106に格納する。本例では、現在時刻(タイムスタンプ)が付されたパケット情報が取得され、パケット情報格納部106にはタイムスタンプとともにパケット情報が格納される。上記タイムスタンプは、当該パケットが通信装置50により受信もしくは送信される時刻と見なしてよい。   The packet information acquisition unit 101 acquires information on packets transmitted and received in the communication device 50 and stores the acquired information in the packet information storage unit 106. In this example, packet information with the current time (time stamp) is acquired, and packet information is stored in the packet information storage unit 106 together with the time stamp. The time stamp may be regarded as the time when the packet is received or transmitted by the communication device 50.

C&Cサーバ情報格納部107には、別途行われた解析等により、C&Cサーバ20のアドレス(IPアドレス等)であると特定されたアドレスが格納されており、対象パケット情報抽出部102は、当該アドレスを送信先アドレスもしくは送信元アドレスとして持つパケットの情報をパケット情報格納部106から抽出する。   The C & C server information storage unit 107 stores an address specified as an address (IP address or the like) of the C & C server 20 by analysis or the like separately performed, and the target packet information extraction unit 102 stores the address Is extracted from the packet information storage unit 106 as a destination address or a source address.

グループ分け処理部103は、対象パケット情報抽出部102により抽出されたC&Cサーバ20との通信に係るパケットの対向装置側のアドレス(IPアドレス等)を所定のパターンでグループ分けし、グループ分けした結果を指令者装置特定部104に渡す。指令者装置特定部104は、グループ分け処理部103によるグループ分けの結果に基づき指令者装置30の(アドレスの)候補を特定し、当該候補について所定の通信動作が検出された場合に、指令者装置30の候補を指令者装置30として特定する。通信切断処理部105は、指令者装置特定部104により特定された指令者装置30の通信を切断する処理を行う。   The grouping processing unit 103 groups the addresses (IP address, etc.) on the opposite device side of the packets related to communication with the C & C server 20 extracted by the target packet information extraction unit 102 in a predetermined pattern, and results of grouping Is sent to the commander apparatus specifying unit 104. The commander device identification unit 104 identifies a candidate (address) of the commander device 30 based on the grouping result by the grouping processing unit 103, and when a predetermined communication operation is detected for the candidate, the commander device identification unit 104 A candidate for the device 30 is specified as the commander device 30. The communication disconnection processing unit 105 performs processing for disconnecting the communication of the commander device 30 specified by the commander device specifying unit 104.

本実施の形態に係る指令元特定装置100は、指令元特定装置100として使用するコンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、指令元特定装置100における各機能部は、コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、各部で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。   The command source identifying apparatus 100 according to the present embodiment can be realized by causing a computer used as the command source identifying apparatus 100 to execute a program describing the processing contents described in the present embodiment. That is, each functional unit in the command source identifying apparatus 100 is realized by executing a program corresponding to a process performed by each unit using hardware resources such as a CPU, a memory, and a hard disk built in the computer. Is possible. The above-mentioned program can be recorded on a computer-readable recording medium (portable memory or the like), stored, or distributed. It is also possible to provide the program through a network such as the Internet or electronic mail.

(指令元特定装置100の動作)
以下、図3のフローチャートの手順に沿って指令元特定装置100の動作を説明する。なお、指令元特定装置100は、様々なC&Cサーバに対しての指令装置の特定を行うことができるが、以下の例では、特定のC&Cサーバ20に着目した処理を示している。 (Operation of command source specifying device 100)
Hereinafter, the operation of the command source identifying apparatus 100 will be described along the procedure of the flowchart of FIG. The command source specifying device 100 can specify command devices for various C & C servers. In the following example, processing focusing on a specific C & C server 20 is shown.

パケット情報取得部101は、通信装置50において送受信されるパケットの情報を取得し、取得した情報をタイムスタンプとともにパケット情報格納部106に格納する(ステップ101)。この処理は、常時あるいは所定の期間、通信装置50においてパケットが送受信される度に行われる。   The packet information acquisition unit 101 acquires information on packets transmitted and received in the communication device 50, and stores the acquired information in the packet information storage unit 106 together with a time stamp (step 101). This processing is performed every time a packet is transmitted and received in the communication device 50 at all times or for a predetermined period.

次に、対象パケット情報抽出部102が、C&Cサーバ情報格納部107に格納されているC&Cサーバ20のアドレスを送信先アドレスもしくは送信元アドレスとして持つパケットの情報をパケット情報格納部106から抽出する(ステップ102)。   Next, the target packet information extraction unit 102 extracts, from the packet information storage unit 106, packet information having the address of the C & C server 20 stored in the C & C server information storage unit 107 as a transmission destination address or a transmission source address ( Step 102).

そして、グループ分け処理部103は、対象パケット情報抽出部102により抽出されたC&Cサーバ20との通信に係るパケットの情報を解析することで、C&Cサーバ20と通信する対向装置(のアドレス(例:IPアドレス))をグループ分けし、グループ分けした結果を指令者装置特定部104に渡す(ステップ103)。   Then, the grouping processing unit 103 analyzes the information of the packet related to communication with the C & C server 20 extracted by the target packet information extraction unit 102, and thereby the address of the opposite device (for example: IP addresses)) are grouped, and the grouped result is passed to the commander apparatus specifying unit 104 (step 103).

本実施の形態では、例えば、C&Cサーバ20宛てパケットの送信周期、C&Cサーバ20宛てパケットの送信バイト数、C&Cサーバ20を送信元とするパケットの送信バイト数、C&Cサーバ20宛てパケットのhttpヘッダ、C&Cサーバ20宛てパケットのポート番号、C&Cサーバ20を送信元とするパケットのポート番号のうちのいずれか1つ又は複数を用いて、対向装置をグループ分けする。   In the present embodiment, for example, the transmission cycle of packets addressed to the C & C server 20, the number of bytes transmitted of the packet addressed to the C & C server 20, the number of bytes transmitted of the packet originating from the C & C server 20, the http header of the packet addressed to the C & C server 20, The opposing device is grouped using one or more of the port number of the packet addressed to the C & C server 20 and the port number of the packet whose source is the C & C server 20.

C&Cサーバ20宛てパケットの送信周期に関して、前述した感染装置10からのKeepAliveパケットは、所定時間間隔で送信される場合が多いことが想定されることから、同じ送信周期で送信されるパケットの送信元(送信元のアドレスであり、対向装置を表す、以下同様)が複数ある場合、それらは同じグループにまとめられる。また、例えば、上記のような送信周期のパケットを送信していない送信元が1つだけであるとすると、当該送信元は上記グループ以外のグループに分類される。このようなグループ分け処理は、タイムスタンプを参照することで実現可能である。   Regarding the transmission cycle of the packet addressed to the C & C server 20, it is assumed that the KeepAlive packet from the infected apparatus 10 described above is often transmitted at a predetermined time interval. Therefore, the transmission source of the packet transmitted at the same transmission cycle When there are a plurality of (addresses of a transmission source, representing the opposite device, the same applies hereinafter), they are grouped into the same group. Further, for example, if there is only one transmission source that does not transmit a packet with the above transmission cycle, the transmission source is classified into a group other than the above group. Such grouping processing can be realized by referring to the time stamp.

パケットの送信バイト数に関して、感染装置10から送信されるKeepAliveパケットのバイト数、及びKeepAliveパケットに対する応答パケットのバイト数はそれぞれ固定的に決まっている場合があることが想定されることから、同じ送信バイト数を持つC&Cサーバ20宛てパケットの送信元、もしくは、同じ送信バイト数を持つC&Cサーバ20を送信元とするパケットの送信先をそれぞれ同じグループとする。   Regarding the number of transmitted bytes of the packet, it is assumed that the number of bytes of the KeepAlive packet transmitted from the infected device 10 and the number of bytes of the response packet to the KeepAlive packet may be fixedly fixed, so the same transmission The transmission source of the packet addressed to the C & C server 20 having the number of bytes or the transmission destination of the packet having the transmission number of the C & C server 20 having the same transmission byte number is set to the same group.

httpヘッダに関し、例えば、httpヘッダ中のuser agentの情報が同じパケットの送信元を同一のグループとすることができる。更に、マルウェアに感染した感染装置10は、C&Cサーバとhttpで通信することが多く、また、感染装置10から送信されるhttpパケットに付されるhttpヘッダは、通常のブラウザから送信されるパケットのヘッダに比べて、不要な情報が削除された内容を持つという特徴がある。そこで、情報量が所定の値より小さいhttpヘッダを持つパケットの送信元を同じグループにすることとしてもよい。   With regard to the http header, for example, transmission sources of packets having the same user agent information in the http header can be set to the same group. In addition, the infected device 10 infected with malware often communicates with the C & C server via http, and the http header attached to the http packet transmitted from the infected device 10 is a packet transmitted from a normal browser. Compared to the header, it has a feature that unnecessary information is deleted. Therefore, the transmission sources of packets having an http header whose information amount is smaller than a predetermined value may be grouped into the same group.

ポート番号に関して、例えば、WebサーバがC&Cサーバにされた場合、C&Cサーバ宛てパケットの宛先ポート番号は、通常のWebサーバとは異なる所定の値となることが想定されることから、同じ宛先ポート番号を有するC&Cサーバ宛てパケットの送信元を同じグループとする。また、マルウェア側の送信ポートがあるポートに固定されることも考えられるため、送信元ポートが同じであるC&Cサーバ20宛てパケットの送信元を同じグループに分類する、もしくは宛先ポートが同じであるC&Cサーバ20からのパケットの送信先を同じグループに分類する。   Regarding the port number, for example, when the Web server is a C & C server, the destination port number of the packet addressed to the C & C server is assumed to be a predetermined value different from that of a normal Web server. The source of packets addressed to the C & C server having the same group. In addition, since it is possible that the transmission port on the malware side is fixed to a certain port, the transmission source of packets addressed to the C & C server 20 having the same transmission source port is classified into the same group, or the C & C having the same destination port. The transmission destination of the packet from the server 20 is classified into the same group.

グループ分け処理部103は、上記のグループ分けを、送信周期、送信バイト数、httpヘッダ、ポート番号等のいずれか1つについて行ってもよいし、複数について行ってもよい。また、以上のグループ分けの方法は一例に過ぎず、他の条件を用いてグループ分けを行ってもよい。例えば、送信周期、送信バイト数は、KeepAliveパケットの規則性に着目したものであるが、その他にも、感染装置10が送受信するパケットにおいて規則性が見られるパケットがあれば当該規則性に基づく条件でグループ分けを行うことができる。   The grouping processing unit 103 may perform the above grouping for any one of a transmission cycle, the number of transmission bytes, an http header, a port number, or the like. The above grouping method is merely an example, and grouping may be performed using other conditions. For example, the transmission cycle and the number of transmitted bytes are focused on the regularity of the KeepAlive packet. In addition, if there is a packet in which regularity is seen in the packet transmitted and received by the infected apparatus 10, a condition based on the regularity Can be grouped.

次に、指令者装置特定部104が、グループ分け処理部103によるグループ分けの結果を用いて、指令者装置30の候補の抽出を行う(ステップ104)。ここでは、指令者装置特定部104は、グループ分け処理部103によるグループ分けの結果、グループに属する対向装置(のアドレス)の数が最も少ないグループに属する対向装置を指令者装置30の候補として特定する。あるいは、対向装置の数が所定の値以上であるグループ以外のグループに属する対向装置を指令者装置30の候補として特定してもよい。   Next, the commander device specifying unit 104 extracts candidates for the commander device 30 using the result of grouping by the grouping processing unit 103 (step 104). Here, the commander apparatus specifying unit 104 specifies the counter apparatus belonging to the group having the smallest number of counter apparatuses (addresses) belonging to the group as a candidate of the commander apparatus 30 as a result of grouping by the grouping processing unit 103. To do. Or you may identify the opposing apparatus which belongs to groups other than the group whose number of opposing apparatuses is more than a predetermined value as a candidate of the commander apparatus 30.

例えば、グループ分け処理部103がある条件でグループ分けを行った結果、図4に示すような結果が得られたものとする。つまり、10個の対向装置を含むグループA、5個の対向装置を含むグループB、及び1個の対向装置を含むグループCとグループDが得られたものとする。このとき、指令者装置特定部104は、グループCの対向装置C1とグループDの対向装置D1を指令者装置30の候補として決定する。ここで、候補が1つだけであれば、それを指令者装置30として特定してもよいし、1つだけである場合も、後述する指令者装置特定処理を行ってもよい。   For example, it is assumed that the grouping processing unit 103 performs grouping under certain conditions, and as a result, a result as shown in FIG. 4 is obtained. That is, it is assumed that a group A including 10 opposing devices, a group B including 5 opposing devices, and a group C and a group D including 1 opposing device are obtained. At this time, the commander apparatus specifying unit 104 determines the counter apparatus C1 of group C and the counter apparatus D1 of group D as candidates for the commander apparatus 30. Here, if there is only one candidate, it may be specified as the commander device 30, and if there is only one, the commander device specifying process described later may be performed.

なお、グループ分け処理部103が、例えば、送信周期と送信バイト数のように、複数の条件に基づいてグループ分けを行う場合、それぞれについて得られた指令者装置30の候補のANDをとって指令者装置30の候補とすることができる。例えば、送信周期でグループ分けした結果、対向装置X1とX2が候補として特定され、送信バイト数でグループ分けした結果、対向装置X1とY1が候補として特定された場合、これらのANDをとって、対向装置X1を指令者装置30の候補とする。   In addition, when the grouping processing unit 103 performs grouping based on a plurality of conditions such as a transmission cycle and the number of transmission bytes, for example, a command is obtained by ANDing the candidates of the commander device 30 obtained for each of them. The candidate device 30 can be a candidate. For example, as a result of grouping by the transmission cycle, the opposing devices X1 and X2 are specified as candidates, and as a result of grouping by the number of transmission bytes, the opposing devices X1 and Y1 are specified as candidates, taking these ANDs, The opposing device X1 is a candidate for the commander device 30.

次に、指令者装置特定部104は、ステップ104で得られた指令者装置候補について、所定の挙動を示したか否かを調べることで指令者装置30であるかどうかの特定を行う。   Next, the commander device specifying unit 104 determines whether or not the commander device 30 is the commander device 30 by examining whether or not the commander device candidate obtained in step 104 exhibits a predetermined behavior.

本実施の形態では、パケット情報格納部106に格納されたパケット情報を解析することで、指令者装置候補がパケットをC&Cサーバ20に送信した後に、以下の(1)、(2)のいずれかのパターンの送信がある場合に、指令者装置候補を指令者装置30と特定する。   In the present embodiment, by analyzing the packet information stored in the packet information storage unit 106, after the commander apparatus candidate transmits the packet to the C & C server 20, one of the following (1) and (2) When the pattern is transmitted, the commander device candidate is identified as the commander device 30.

(1)C&Cサーバ20が指令者装置候補からパケットを受信した後、すぐに感染装置10へパケットを送信する。この動作は、C&Cサーバ20を経由した指令送信の動作に相当する。   (1) Immediately after the C & C server 20 receives a packet from the commander device candidate, the packet is transmitted to the infected device 10. This operation corresponds to a command transmission operation via the C & C server 20.

(2)C&Cサーバ20が指令者装置候補からパケットを受信した後、感染装置10からのパケット(周期的に送られるKeepAliveと推定できるパケット)を受信したタイミングで、当該感染装置10へパケットを送信する。この動作は、指令を一旦C&Cサーバ20が保持し、感染装置10からのアクセスに応じて指令を送る動作であると推定できる。ここでの送信パケットは、KeepAliveの応答とは、バイト数等が異なることが考えられるため、(2)において感染装置10へのパケットのバイト数等がKeepAliveの応答と異なることが確認できた場合は、より確実に指令者からの指令に係るパケットが送られたものと推定できる。   (2) After receiving the packet from the commander device candidate, the C & C server 20 transmits the packet to the infected device 10 at the timing of receiving the packet from the infected device 10 (a packet that can be estimated to be keepalive sent periodically). To do. This operation can be presumed to be an operation in which the C & C server 20 once holds the command and sends the command in response to access from the infected apparatus 10. Since the send packet here may be different from the KeepAlive response in the number of bytes, etc., it can be confirmed in (2) that the number of bytes of the packet to the infected device 10 is different from the KeepAlive response It can be estimated that a packet related to a command from the commander has been sent more reliably.

上記の動作において、感染装置10へのパケットもしくは感染装置10からのパケットであることを識別するための感染装置10のアドレスは、ステップ103でのグループ分けの結果、指令者装置候補と推定されたグループ以外のグループに含まれる対向装置のアドレスのうちのいずれかに該当するかどうかで識別できる。   In the above operation, the address of the infecting device 10 for identifying the packet to or from the infecting device 10 is estimated as the commander device candidate as a result of the grouping in step 103. It can be identified by whether it corresponds to one of the addresses of the opposing device included in the group other than the group.

なお、C&Cサーバ20が、C&Cサーバ20と同じIPアドレスを持つ通常のWebサーバとして使われる場合が考えられ、その場合、ステップ103でのグループ分けの結果、あるグループに属する対向装置が感染装置10もしくは指令者装置30ではなく、Webサーバにアクセスする一般の端末である場合があり得る。そのため、グループ分け処理部103は、Webサーバにアクセスする一般の端末を識別し、これを除外してグループ分けを行うことが望ましい。   Note that the C & C server 20 may be used as a normal Web server having the same IP address as that of the C & C server 20. In this case, as a result of grouping in step 103, a counter device belonging to a certain group may become an infected device 10. Alternatively, it may be a general terminal that accesses the Web server instead of the commander device 30. Therefore, it is desirable that the grouping processing unit 103 identifies a general terminal that accesses the Web server, and excludes this to perform grouping.

通常のWebサーバへのアクセスかどうかは、例えば、パケットにおける送信先のポート番号が80(通常のWebサーバのポート番号)かどうかで判別できる。また、送信元から送信されるパケットの送信バイト数に対し、サーバからの送信バイト数が相当に大きい(所定の閾値以上大きい)かどうかで判別することもできる。   Whether the access is to a normal Web server can be determined, for example, based on whether the destination port number in the packet is 80 (normal Web server port number). It is also possible to determine whether or not the number of transmission bytes from the server is considerably large (larger than a predetermined threshold) with respect to the number of transmission bytes of the packet transmitted from the transmission source.

ステップ105において指令者装置30のアドレス(例:IPアドレス)が特定されると、続いて、通信切断処理部105は、指令者装置30がC&Cサーバ20との通信を行うことができないように、指令者装置30とC&Cサーバ20との間の通信を切断する処理を行う(ステップ106)。この処理は特定の方法に限られず、例えば、通信装置50に対して指令者装置30からC&Cサーバ20へのパケットを転送しないよう指示することでもよいし、より加入者側に近い設備に対する指示、例えば指令者装置30のアクセス回線設備に対して指令者装置30からC&Cサーバ20への通信を行わないようにする指示を行ってもよい。また、指令元特定装置100が通信切断処理部105を備えることは必須ではなく、通信切断処理部105を備えなくてもよい。この場合、例えば、オペレータが通信切断のための処理や指令者装置30に対する何らかの警告を行う。   When the address (eg, IP address) of the commander device 30 is specified in step 105, the communication disconnection processing unit 105 subsequently continues so that the commander device 30 cannot communicate with the C & C server 20. Processing for disconnecting communication between the commander apparatus 30 and the C & C server 20 is performed (step 106). This process is not limited to a specific method. For example, the communication device 50 may be instructed not to transfer a packet from the commander device 30 to the C & C server 20, or an instruction for equipment closer to the subscriber side. For example, an instruction not to perform communication from the commander device 30 to the C & C server 20 may be issued to the access line facility of the commander device 30. In addition, it is not essential that the command source identifying apparatus 100 includes the communication disconnection processing unit 105, and the communication disconnection processing unit 105 may not be included. In this case, for example, the operator performs a process for disconnecting communication or some warning to the commander apparatus 30.

以上、図1の構成に基づく処理例を説明したが、本発明は図1に示す構成に限られずに適用できる。例えば、図5に示すように、C&Cサーバが多段構成である場合にも適用できる。非常に多数の感染装置をコントロール配下とする場合、図5に示すように、C&Cサーバが多段構成とされる場合がある。このような場合、これまでに説明したグループ分けの技術を用いることで、まず、感染装置10とC&Cサーバ20−1間の通信と、C&Cサーバ20−1とC&Cサーバ20−2間の通信とを判別することでC&Cサーバ20−2を特定し、次に、C&Cサーバ20−1とC&Cサーバ20−2間の通信と、C&Cサーバ20−2とC&Cサーバ20−3間の通信とを判別することでC&Cサーバ20−3を特定し、最後に、C&Cサーバ20−2とC&Cサーバ20−3間の通信と、C&Cサーバ20−3と指令者装置30間の通信とを判別することで指令者装置30を特定する。   The processing example based on the configuration of FIG. 1 has been described above, but the present invention can be applied without being limited to the configuration shown in FIG. For example, as shown in FIG. 5, the present invention can also be applied when the C & C server has a multi-stage configuration. When a very large number of infected devices are under control, the C & C server may be configured in multiple stages as shown in FIG. In such a case, by using the grouping technique described so far, first, communication between the infection apparatus 10 and the C & C server 20-1, and communication between the C & C server 20-1 and the C & C server 20-2 are performed. The C & C server 20-2 is identified by determining the communication, and then the communication between the C & C server 20-1 and the C & C server 20-2 and the communication between the C & C server 20-2 and the C & C server 20-3 are determined. By identifying the C & C server 20-3, and finally determining the communication between the C & C server 20-2 and the C & C server 20-3 and the communication between the C & C server 20-3 and the commander apparatus 30 The commander device 30 is specified.

(実施の形態のまとめ、効果)
上記のように、本実施の形態では、C&Cサーバ20と対向装置との間の通信を監視し、対向装置とC&Cサーバ20との間の通信に係るパケットの情報に基づいて、C&Cサーバ20との通信パターンを解析し、当該通信パターンにより対向装置をグループ分けすることにより指令者装置30を抽出し、指令者装置30とC&Cサーバ20との間の接続を断つこととした。これにより、感染装置10が遠隔操作により被害を受けることを迅速に停止することが可能となる。 (Summary of the embodiment, effects)
As described above, in the present embodiment, the communication between the C & C server 20 and the opposite device is monitored, and the C & C server 20 and the information on the packet related to the communication between the opposite device and the C & C server 20 are The commander device 30 is extracted by grouping the opposing devices according to the communication pattern, and the connection between the commander device 30 and the C & C server 20 is cut off. This makes it possible to quickly stop the infected device 10 from being damaged by remote operation.

本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。   The present invention is not limited to the above-described embodiments, and various modifications and applications are possible within the scope of the claims.

10 感染装置
20 C&Cサーバ
30 指令者装置30
40 通信ネットワーク
100 指令元特定装置
101 パケット情報取得部
102 対象パケット情報抽出部
103 グループ分け処理部
104 指令者装置特定部
105 通信切断処理部
106 パケット情報格納部
107 C&Cサーバ情報格納部 10 Infection Device 20 C & C Server 30 Commander Device 30
40 communication network 100 command source identification device 101 packet information acquisition unit 102 target packet information extraction unit 103 grouping processing unit 104 commander device identification unit 105 communication disconnection processing unit 106 packet information storage unit 107 C & C server information storage unit

Claims (7)

所定のサーバと通信を行う対向装置と当該所定のサーバとの間の通信に係るパケットの情報を取得する取得手段と、
前記取得手段により取得されたパケットの情報に基づき、前記通信が所定の条件に合致するか否かに応じて前記対向装置をグループ分けするグループ分け手段と、
前記グループ分け手段によるグループ分けにより得られたグループのうち、属する装置数が他のグループよりも少ないグループに属する対向装置を、当該対向装置以外の対向装置に対して前記所定のサーバ経由で指令を行う指令者装置の候補であると特定する特定手段と、
を備えることを特徴とする指令元特定装置。 An acquisition unit that acquires information on a packet related to communication between the opposite device that communicates with the predetermined server and the predetermined server;
Grouping means for grouping the opposing devices according to whether or not the communication matches a predetermined condition based on the information of the packet acquired by the acquisition means;
Of the groups obtained by the grouping by the grouping means, commands the opposing device belonging to the group having a smaller number of devices than other groups to the opposing device other than the opposing device via the predetermined server. A specifying means for specifying that the commander device is a candidate to perform;
A command source specifying device comprising: 前記特定手段は、前記取得手段により取得されたパケットの情報に基づいて、前記候補とされた対向装置が前記所定のサーバにパケットを送信した後に、当該所定のサーバが、前記候補とされた対向装置以外の対向装置にパケットを送信する動作を行うか否かを判定し、当該動作を行う場合に前記候補とされた対向装置を前記指令者装置であると判定する
ことを特徴とする請求項1に記載の指令元特定装置。 The specifying unit transmits the packet to the predetermined server based on the information on the packet acquired by the acquiring unit, and then the predetermined server is set as the candidate It is determined whether or not to perform an operation of transmitting a packet to an opposite device other than the device, and when the operation is performed, the opposite device determined as the candidate is determined to be the commander device. The command source specifying device according to 1. 前記所定の条件は、送信バイト数、送信周期、httpヘッダ、又は、ポート番号に基づく条件である
ことを特徴とする請求項1又は2に記載の指令元特定装置。 The command source specifying device according to claim 1, wherein the predetermined condition is a condition based on a transmission byte count, a transmission cycle, an http header, or a port number. 前記所定のサーバは、C&Cサーバであり、前記候補とされた対向装置以外の対向装置は、マルウェア感染装置である
ことを特徴とする請求項1ないし3のうちいずれか1項に記載の指令元特定装置。 The command source according to any one of claims 1 to 3, wherein the predetermined server is a C & C server, and the opposing device other than the candidate opposing device is a malware infection device. Specific device. 前記グループ分け手段は、
対向装置から前記所定のサーバに送信されるパケットのポート番号が特定の値である場合に、もしくは、対向装置から送信されるパケットのバイト数に対し、前記所定のサーバからの応答パケットのバイト数が所定の閾値以上大きい場合に、当該対向装置を前記グループ分けの対象から除外する
ことを特徴とする請求項1ないし4のうちいずれか1項に記載の指令元特定装置。 The grouping means includes
When the port number of the packet transmitted from the opposite device to the predetermined server is a specific value or the number of bytes of the response packet from the predetermined server with respect to the number of bytes of the packet transmitted from the opposite device The command source identification device according to any one of claims 1 to 4, wherein the counter device is excluded from the grouping target when the value is larger than a predetermined threshold value. 指令元特定装置が実行する指令元特定方法であって、
所定のサーバと通信を行う対向装置と当該所定のサーバとの間の通信に係るパケットの情報を取得する取得ステップと、
前記取得ステップにより取得されたパケットの情報に基づき、前記通信が所定の条件に合致するか否かに応じて前記対向装置をグループ分けするグループ分けステップと、
前記グループ分けステップによるグループ分けにより得られたグループのうち、属する装置数が他のグループよりも少ないグループに属する対向装置を、当該対向装置以外の対向装置に対して前記所定のサーバ経由で指令を行う指令者装置の候補であると特定する特定ステップと、
を備えることを特徴とする指令元特定方法。 A command source identification method executed by the command source identification device,
An acquisition step of acquiring information on a packet relating to communication between the opposite device that communicates with the predetermined server and the predetermined server;
A grouping step of grouping the opposing devices according to whether or not the communication matches a predetermined condition based on the information of the packet acquired by the acquiring step;
Among the groups obtained by grouping in the grouping step, a command is sent to the opposing device other than the opposing device to the opposing device belonging to the group having a smaller number of devices belonging to the other group via the predetermined server. A specific step that identifies the commander device as a candidate to perform;
A command source specifying method comprising: コンピュータを、請求項1ないし5のうちいずれか1項に記載の指令元特定装置の各手段として機能させるための指令元特定プログラム。   A command source identification program for causing a computer to function as each unit of the command source identification device according to any one of claims 1 to 5.
JP2013096603A 2013-05-01 2013-05-01 Command source specifying device, command source specifying method, and command source specifying program Active JP6063340B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013096603A JP6063340B2 (en) 2013-05-01 2013-05-01 Command source specifying device, command source specifying method, and command source specifying program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013096603A JP6063340B2 (en) 2013-05-01 2013-05-01 Command source specifying device, command source specifying method, and command source specifying program

Publications (2)

Publication Number Publication Date
JP2014219741A JP2014219741A (en) 2014-11-20
JP6063340B2 true JP6063340B2 (en) 2017-01-18

Family

ID=51938152

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013096603A Active JP6063340B2 (en) 2013-05-01 2013-05-01 Command source specifying device, command source specifying method, and command source specifying program

Country Status (1)

Country Link
JP (1) JP6063340B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6122562B2 (en) * 2014-12-09 2017-04-26 日本電信電話株式会社 Specific apparatus, specific method, and specific program
WO2019222880A1 (en) 2018-05-21 2019-11-28 华为技术有限公司 Configuration method and apparatus of network device, and storage medium

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5119059B2 (en) * 2008-06-25 2013-01-16 株式会社Kddi研究所 Information processing apparatus, information processing system, program, and recording medium

Also Published As

Publication number Publication date
JP2014219741A (en) 2014-11-20

Similar Documents

Publication Publication Date Title
US10104124B2 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
US10686814B2 (en) Network anomaly detection
US9860278B2 (en) Log analyzing device, information processing method, and program
CN109167798B (en) Household Internet of things device DDoS detection method based on machine learning
CN108293039B (en) Computing device, method and storage medium for handling cyber threats
KR20140088340A (en) APPARATUS AND METHOD FOR PROCESSING DDoS IN A OPENFLOW SWITCH
KR20140025316A (en) Method and system for fingerprinting operating systems running on nodes in a communication network
US20170295068A1 (en) Logical network topology analyzer
JP6502902B2 (en) Attack detection device, attack detection system and attack detection method
CN103905415A (en) Method and system for preventing remote control type Trojan viruses
CN111600863A (en) Network intrusion detection method, device, system and storage medium
JP2018007179A (en) Device, method and program for monitoring
WO2020027250A1 (en) Infection spread attack detection device, attack origin specification method, and program
JP6063340B2 (en) Command source specifying device, command source specifying method, and command source specifying program
US11595419B2 (en) Communication monitoring system, communication monitoring apparatus, and communication monitoring method
CN111131180B (en) Distributed deployed HTTP POST (hyper text transport protocol) interception method in large-scale cloud environment
CN110381082B (en) Mininet-based attack detection method and device for power communication network
JP5531064B2 (en) COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
KR100920528B1 (en) Method and system of detecting and defensing arp spoofing
JP6476853B2 (en) Network monitoring system and method
KR20150026187A (en) System and Method for dropper distinction
US9049170B2 (en) Building filter through utilization of automated generation of regular expression
KR102156600B1 (en) System and method for creating association between packets collected in network and processes in endpoint computing device
TWI793650B (en) Industrial control network threat intelligent detection system and training system with deep learning

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161122

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161216

R150 Certificate of patent or registration of utility model

Ref document number: 6063340

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250