JP6196008B2 - 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム - Google Patents

通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム Download PDF

Info

Publication number
JP6196008B2
JP6196008B2 JP2017503394A JP2017503394A JP6196008B2 JP 6196008 B2 JP6196008 B2 JP 6196008B2 JP 2017503394 A JP2017503394 A JP 2017503394A JP 2017503394 A JP2017503394 A JP 2017503394A JP 6196008 B2 JP6196008 B2 JP 6196008B2
Authority
JP
Japan
Prior art keywords
communication destination
malignancy
target
destination
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017503394A
Other languages
English (en)
Other versions
JPWO2016140038A1 (ja
Inventor
大紀 千葉
大紀 千葉
毅 八木
毅 八木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2016140038A1 publication Critical patent/JPWO2016140038A1/ja
Application granted granted Critical
Publication of JP6196008B2 publication Critical patent/JP6196008B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Description

本発明は、通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラムに関する。
インターネットの普及に伴い、DDoS攻撃やスパムメール送信等のサイバー攻撃が急増している。これらの攻撃のほとんどは、マルウェアと呼ばれる悪意あるソフトウェアに起因している。攻撃者は一般ユーザの端末やサーバ等をマルウェアに感染させ、マルウェアを操作することで端末やサーバを不正に制御し、情報収集や新たな攻撃を実施している。これらの攻撃は近年社会問題化している。このため、マルウェア感染を中心としたサイバー攻撃への対策が急務となっている。
サイバー攻撃対策としては、端末上で実施する対策とネットワーク上で実施する対策とが利用されている。端末上で実施する対策としては、アンチウィルスソフトを用いる手法や、ホスト型IDS(Intrusion Detection System)やホスト型IPS(Intrusion Prevention System)を用いる手法が利用されている。これらの手法では、端末にソフトウェアをインストールして対策を実施する。
一方、ネットワーク上で実施する対策としては、ネットワーク型のIDSやIPS、FW(Firewall)やWAF(Web Application Firewall)等を用いる手法が利用されている。これらの手法では、ネットワークの通信経路上に検査装置を配置する。例えば、ネットワークの通信経路のうちDNSサーバへの通信を監視できる箇所で、DNSクエリやDNSレスポンスの通信の検査を行う手法が提案されている(例えば、非特許文献1または2を参照)。また、近年では、端末や装置のログを分析して攻撃の痕跡を発見するSIEM(Security Information and Event Management)サービス等も実施されている。
これらの手法においては、ハニーポットと呼ばれるおとりのシステム上でマルウェア感染攻撃やその他のサイバー攻撃の通信相手や通信内容を収集する。また、サンドボックスと呼ばれるマルウェア解析システムでマルウェアを実際に動作させてマルウェアの通信先や通信内容を収集したり、スパムメール対策システムやDDoS対策システムで攻撃と判定された通信の通信先や通信内容を収集したりすることで、攻撃に関わる通信の情報を収集する。
そして、収集した攻撃について、例えば通信先のIPアドレス等をブラックリスト化し、当該IPアドレスを相手とした通信を攻撃と判定する。なお、ブラックリスト化する情報は、統一資源位置指定子(URL:Uniform Resource Locator)やドメイン名とする場合もあるが、この際は、URLやドメイン名を正規表現でブラックリスト化することもある。
なお、通常異なる装置やソフトウェアからトラヒックログやアラートを収集して通信相手や通信内容の情報を抽出する際、装置やソフトウェアに応じて各項目の表記方法が異なる場合があるが、近年ではSIEM製品として異なる表記で示されたログ情報を統一的な表記方法に変換して集計する技術も普及している。
M. Antonakakis, et al., "Building a Dynamic Reputation System for DNS," Proc. USENIX conference on Security, 2010. L. Bilge, et al., "EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis," Proc. NDSS, 2011.
しかし、上記の方法では、ハニーポットやサンドボックス等を利用してサイバー攻撃に関わる通信の情報を収集する際に、利用されるすべての悪性通信先を抽出することはできない。例えば、ハニーポットで収集可能な悪性サイトの通信先は無数に存在する上に、時間経過とともに当該悪性サイトの無効化や、別の通信先への移行が発生する。
また、サンドボックスでマルウェアを解析する場合に、マルウェアは解析の妨害やインターネットへの接続確認を目的として、良性通信先へのアクセスや、時間経過とともに変化する悪性通信先へのアクセスを発生させる。このようにサイバー攻撃に関わる通信の情報を収集するだけでは、悪性通信先を網羅的に、かつ、正確に特定し、ブラックリスト化することは困難である。
例えば、非特許文献1または2においては、ある時点までに収集した情報を利用して、当該時点で特定されていない悪性通信先をブラックリスト化する手法が提案されているが、攻撃者によって一時的に利用される悪性通信先や攻撃者が攻撃の準備のために確保している悪性通信先を特定することができないという課題がある。
このため、現在では、サイバー攻撃を発見するために、ある時点で最新のブラックリストを参照しても、攻撃に利用される悪性通信先を特定できない場合があり、このような場合においては、解析者が手動で内容を分析する必要が生じる。この結果、攻撃に利用された通信先の情報を抽出するための時間的なコストと人的なコストが必要となり、攻撃が多種多様化している近年では、これらのコストがセキュリティベンダやサービスプロバイダにおいて大きなボトルネックとなっている。
本発明の目的は、実通信を発生させることなく自動的に通信先の悪性度を算出し、最新のブラックリストを参照するだけでは判別できない悪性通信先を精度よく特定することにある。
本発明の通信先悪性度算出装置は、悪性度を算出する対象である対象通信先を入力する対象通信先入力部と、悪性であることが既知の通信先と、良性であることが既知の通信先と、を既知通信先として入力する既知通信先入力部と、前記既知通信先及び前記対象通信先の、通信先評価のためのリストへの所定の時点における掲載の有無を取得し、前記掲載の有無の時間経過に伴う変化を前記既知通信先及び前記対象通信先の特徴情報として抽出する特徴抽出部と、前記既知通信先及び前記対象通信先の前記特徴情報に基づいて前記対象通信先の悪性度を算出する悪性度算出部と、を有することを特徴とする。
本発明の通信先悪性度算出方法は、悪性度を算出する対象である対象通信先を入力する対象通信先入力工程と、悪性であることが既知の通信先と、良性であることが既知の通信先と、を既知通信先として入力する既知通信先入力工程と、前記既知通信先及び前記対象通信先の、通信先評価のためのリストへの所定の時点における掲載の有無を取得し、前記掲載の有無の時間経過に伴う変化を前記既知通信先及び前記対象通信先の特徴情報として抽出する特徴抽出工程と、前記既知通信先及び前記対象通信先の前記特徴情報に基づいて前記対象通信先の悪性度を算出する悪性度算出工程と、を含んだことを特徴とする。
本発明の通信先悪性度算出プログラムは、コンピュータに、悪性度を算出する対象である対象通信先を入力する対象通信先入力ステップと、悪性であることが既知の通信先と、良性であることが既知の通信先と、を既知通信先として入力する既知通信先入力ステップと、前記既知通信先及び前記対象通信先の、通信先評価のためのリストへの所定の時点における掲載の有無を取得し、前記掲載の有無の時間経過に伴う変化を前記既知通信先及び前記対象通信先の特徴情報として抽出する特徴抽出ステップと、前記既知通信先及び前記対象通信先の前記特徴情報に基づいて前記対象通信先の悪性度を算出する悪性度算出ステップと、を実行させることを特徴とする。
本発明によれば、実通信を発生させることなく自動的に通信先の悪性度を算出し、最新のブラックリストを参照するだけでは判別できない悪性通信先を精度よく特定することができる。
図1は、実施形態1に係る通信先悪性度算出システムの構成の一例を示す図である。 図2は、実施形態1に係る通信先悪性度算出装置における対象通信先の一例を示す図である。 図3は、実施形態1に係る通信先悪性度算出装置における既知通信先の一例を示す図である。 図4は、実施形態1に係る通信先悪性度算出装置における通信先の評価情報の一例を示す図である。 図5は、実施形態1に係る通信先悪性度算出装置における通信先の評価情報の一例を示す図である。 図6は、実施形態1に係る通信先悪性度算出装置における通信先の評価情報の一例を示す図である。 図7は、実施形態1に係る通信先悪性度算出装置における通信先の対応関係の一例を示す図である。 図8は、実施形態1に係る通信先悪性度算出装置におけるIPアドレスの外部情報の一例を示す図である。 図9は、実施形態1に係る通信先悪性度算出装置におけるドメイン名に関連するIPアドレス群の抽出方法の一例を示す図である。 図10は、実施形態1に係る通信先悪性度算出装置におけるドメイン名に関連するIPアドレス群のリストの一例を示す図である。 図11は、実施形態1に係る通信先悪性度算出装置におけるドメイン名に関連するIPアドレス群から抽出した特徴情報の一例を示す図である。 図12は、実施形態1に係る通信先悪性度算出装置におけるドメイン名の外部情報の一例を示す図である。 図13は、実施形態1に係る通信先悪性度算出装置におけるドメイン名に関連するドメイン名群の抽出方法の一例を示す図である。 図14は、実施形態1に係る通信先悪性度算出装置におけるドメイン名に関連するドメイン名群のリストの一例を示す図である。 図15は、実施形態1に係る通信先悪性度算出装置におけるドメイン名に関連するドメイン名群から抽出した特徴情報の一例を示す図である。 図16は、実施形態1に係る通信先悪性度算出装置が算出する悪性度の一例を示す図である。 図17は、実施形態1に係る通信先悪性度算出装置における統合された特徴情報の一例を示す図である。 図18は、実施形態1に係る通信先悪性度算出装置が算出する悪性度の一例を示す図である。 図19は、実施形態1に係る通信先悪性度算出装置の処理の一例を示す図である。 図20は、実施形態1に係る通信先悪性度算出装置の処理の一例を示す図である。 図21は、通信先悪性度算出装置として機能するコンピュータの一例を示す図である。
以下に添付図面を参照して、この発明に係る通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラムの実施形態を詳細に説明する。なお、この実施形態によりこの発明が限定されるものではない。
[実施形態1に係る通信先悪性度算出装置の構成]
まず、図1を用いて、通信先悪性度算出システムの構成について説明する。図1は、実施形態1に係る通信先悪性度算出システムの構成の一例を示す図である。図1に示すように、通信先悪性度算出システム10は、通信先悪性度算出装置100及び通信先情報収集装置200を有する。
図1に示すように、通信先悪性度算出装置100は、対象通信先入力部101と、既知通信先入力部102と、特徴抽出部103と、悪性度算出部104と、を有する。
対象通信先入力部101には、悪性度を算出する対象である対象通信先を入力する。対象通信先入力部101に入力されるデータの例について、図2を用いて説明する。図2は、実施形態1に係る通信先悪性度算出装置における対象通信先の一例を示す図である。図2に示すように、通信先の種別としては、ドメイン名、URL、IPアドレス等が挙げられる。例えば、図2の通番1の行は、ドメイン名が「www.example.com」である通信先を示している。なお、通信先の種別は図示のものに限られず、FQDN(Fully Qualified Domain Name)等であっても良い。また、対象通信先入力部101に入力される通信先の情報として、評価情報や外部情報はこの時点で含まれている必要はない。
既知通信先入力部102には、悪性であることが既知の通信先と、良性であることが既知の通信先と、を既知通信先として入力する。既知通信先入力部102に入力されるデータの例について、図3を用いて説明する。図3は、実施形態1に係る通信先悪性度算出装置における既知通信先の一例を示す図である。既知通信先のデータとしては、まず、図2に示す対象通信先と同様に、通信先の種別及び通信先が含まれる。さらに、図3のラベル列に示すような、悪性または良性を示す情報も必要となる。例えば、図3の通番1の行は、ドメイン名が「foo.example.com」である通信先のラベルが「良性」であることを示している。図3の例においては、ラベル列に示される情報は悪性または良性の2値となっているが、図3に示すものに限られず、悪性度を示す値等であっても良い。また、図2と同様に、通信先の種別は図示のものに限られない。
特徴抽出部103は、既知通信先及び対象通信先の、通信先評価のためのリストへの所定の時点における掲載の有無を取得し、掲載の有無の時間経過に伴う変化を既知通信先及び対象通信先の特徴情報として抽出する。また、特徴抽出部103は、既知通信先及び対象通信先の外部情報及び関連する通信先との対応関係をさらに取得し、対応関係から抽出される関連する通信先群の外部情報の統計量を特徴情報としてさらに抽出する。特徴抽出部103における具体的な処理については通信先情報収集装置200で収集される情報についての説明と共に後述する。
なお、特徴抽出部103は、通信先評価のためのリストから所定の周期で所定の期間に収集された掲載の有無を取得しても良い。また、既知通信先及び対象通信先をドメイン名とし、関連する通信先は、既知通信先及び対象通信先、及び既知通信先及び対象通信先のトップレベルドメイン、及び既知通信先及び対象通信先をトップレベルドメインとして持つドメイン名と対応付けられたIPアドレス、または、既知通信先及び対象通信先と同じAS番号に所属するIPアドレスに対応付けられた履歴を持つドメイン名としても良い。
悪性度算出部104は、既知通信先及び対象通信先の特徴情報に基づいて対象通信先の悪性度を算出する。ここで、悪性度算出部104は、既知通信先の特徴情報を入力データとし、既知通信先が悪性であるか良性であるかを出力データとする教師あり機械学習によって悪性度算出のためのモデルを生成し、モデルを用いて対象通信先の悪性度を算出するようにしても良い。
図1に示すように、通信先情報収集装置200は、評価情報収集部201と、対応関係収集部202と、外部情報収集部203と、を有する。通信先情報収集装置200の各部で収集された情報は、通信先悪性度算出装置100の特徴抽出部103に転送される。
評価情報収集部201は、通信先の評価情報を収集する。評価情報収集部201は、通信先の評価情報として、予め定義された悪性通信先リストや良性通信先リスト等を収集する。また、予め設定された所定の期間及び周期等に従って収集を行うようにしても良い。収集方法としては、例えば、公知のWebクロール手法を用いて収集対象のリストの配信先へアクセスする。なお、収集するリストとしては、前述の悪性通信先リストや良性通信先リストのように悪性または良性を示すようなものに限られない。例えば、アクセス数が多い通信先のリストといった、何らかの評価が行われており、定期的に掲載の開始や終了が行われているものであれば良い。
図4を用いて、評価情報収集部201で収集される評価情報について説明する。図4は、実施形態1に係る通信先悪性度算出装置における通信先の評価情報の一例を示す図である。図4に示すように、評価情報収集部201は、複数の悪性通信先リストや良性通信先リストを収集し、それぞれのリストの所定の期間における掲載状況を評価情報としている。図4の表は、例えばt、t-1、t-2がそれぞれ今月、先月、先々月を示すものとし、各期間におけるリストへの掲載の有無を表している。
例えば、図4の通番1の行は、通信先「www.example.com」がt-2の時点からtの時点まで「良性通信先リスト1」に掲載されていたことを示している。また、通番2の行は、通信先「www.example.com」がt-2の時点では、「良性通信先リスト2」に掲載が無く、t-1及びtの時点においては「良性通信先リスト2」に掲載されていたことを示している。
なお、評価情報収集部201は、悪性通信先リストとして、例えば公開ブラックリストの全部や一部を利用することが考えられる。また、評価情報収集部201は、良性通信先リストとして、例えばWeb上で公開されているような頻繁に閲覧される人気のドメインリストの全部や一部を利用することや、任意のネットワーク内で収集できる頻繁に閲覧されているようなドメインリストを利用することが考えられる。
また、評価情報収集部201は、各通信先がリストに記載された通信先と完全に一致している場合だけでなく、部分的に一致している場合や、別途定める通信先の類似性が一定の基準を満たしている場合にも通信先がリストへ掲載されているとみなすようにしても良い。
特徴抽出部103は、例えば、図4の表を基に、図5または図6に示すような特徴情報を抽出する。図5及び図6は、実施形態1に係る通信先悪性度算出装置における通信先の評価情報の一例を示す図である。
図5は、通信先の各リストへの掲載有無の時間的な変化を特徴情報として抽出したものである。例えば、図5の通番1に示す通信先「www.example.com」は、t-2からtという範囲の各時点において、良性通信先リスト1に安定的に掲載されていることから、特徴抽出部103は、「安定掲載」という特徴情報を抽出する。同様に、特徴抽出部103は、途中から掲載が開始された場合は「途中掲載開始」、途中で掲載が終了した場合は「途中掲載終了」、どの時点でも掲載されていない場合「掲載無」などの特徴情報を抽出することができる。なお、特徴情報の抽出方法は、図5に示すものに限られず、例えば特徴情報を数値とし、掲載有の場合は数値に1だけ加えるといったルールに基づいて抽出されるようにしても良い。
図6は、通信先の複数のリストへの掲載有無の時間的変化を組み合わせたものである。例えば、図6の通番1に示す通信先「www.example.com」は、t-2からtという範囲の各時点において、良性通信先リスト1に安定的に掲載されていると同時に、良性通信先リスト2に途中から掲載が開始されたという「安定掲載&途中掲載開始」という特徴情報を抽出する。なお、特徴情報の抽出方法は、図6に示すものに限られず、例えば掲載有無の時間的変化を数値化した値の和や積によって表すようにしても良い。
対応関係収集部202は、種別の異なる通信先の対応関係及びその履歴を収集する。対応関係収集部202は、例えば、DNSサーバでDNSクエリを収集するPassive DNSと呼ばれる手法を利用して収集を行う。図7を用いて、対応関係収集部202が収集する対応関係及びその履歴について説明する。図7は、実施形態1に係る通信先悪性度算出装置における通信先の対応関係の一例を示す図である。
図7は、ドメイン名とIPアドレスとの対応関係及びその履歴の例を示している。ドメイン名とIPアドレスとの対応関係は、例えばDNSに代表されるプロトコルを利用して得ることができる。ドメイン名とIPアドレスとの対応関係は、運用やその形態に応じて時間経過とともに変化する場合がある。そのため、対応関係収集部202は、ドメイン名とIPアドレスの対応関係にタイムスタンプを付与し、履歴として収集する。
例えば、図7の通番1の行は、ドメイン名「www.example.com」が2015年1月1日00:00:00にIPアドレス「192.0.2.1」が対応していたことを示している。通番2の行は、通番1の行の1時間後の2015年1月1日01:00:00にドメイン名「www.example.com」に対し、IPアドレス「192.0.2.2」が対応していたことを示している。また、通番201の行は、2015年1月1日00:00:00にドメイン名「example.com」に対し、公知の負荷分散技術であるDNSラウンドロビン等が利用され、複数のIPアドレス「192.0.2.201,192.0.2.202」が対応していたことを示している。
対応関係収集部202は、ドメイン名とIPアドレスとの対応関係の履歴を収集する際には、例えばトップレベルドメインやセカンドレベルドメインを管理する権威DNSサーバや、任意の組織内ネットワークに配置されたキャッシュDNSサーバでDNS通信を観測する手法を利用することができる。
外部情報収集部203は、通信先の運用状況や利用状況等を示す外部情報を収集する。図8を用いて、外部情報収集部203が収集するIPアドレスの外部情報の例について説明する。図8は、実施形態1に係る通信先悪性度算出装置におけるIPアドレスの外部情報の一例を示す図である。
図8に示すように、IPアドレスの外部情報としては、IPアドレスの属するアドレスプレフィックスやAS番号、組織名、国、地域インターネットレジストリ(RIR:Regional Internet Registry)、当該アドレスがRIRから割り当てられたアドレス割当日等が挙げられる。なお、IPアドレスに対する外部情報は図8に示すものに限られない。また、外部情報収集部203は、WHOISプロトコルを利用して独自に収集した情報、各RIRが公開している情報や、MaxMind社のGeoIP(登録商標)等の公開されたサービスにより得られる情報を利用してIPアドレスに対する外部情報を収集することができる。
例えば、図8の通番1の行では、IPアドレス「192.0.2.1」の外部情報であるアドレスプレフィックスが「192.0.2.0/24」、AS番号が「64501」、組織名が「TEST−NET−1」、国が「US」、RIRが「ARIN」、アドレス割当日が「2001年1月1日」であることを示している。
ここで、図9、10及び11を用いて、特徴抽出部103が、図7に示すドメイン名とIPアドレスとの対応関係及びその履歴と、図8に示すIPアドレスの外部情報とから特徴情報を抽出する場合の例を説明する。まず、特徴抽出部103は、図9に示す方法でドメイン名に関連するIPアドレス群を抽出する。図9は、実施形態1に係る通信先悪性度算出装置におけるドメイン名に関連するIPアドレス群の抽出方法の一例を示す図である。
図9を用いて、ドメイン名300の関連IPアドレス群を抽出する方法を説明する。図7に示すように、ドメイン名300は、t-1即ち2015年1月1日00:00:00にIPアドレス「192.0.2.1」と対応しており、t即ち2015年1月1日01:00:00にはIPアドレス「192.0.2.2」と対応していた。さらに、上位ドメインであるドメイン名350は、t-1即ち2015年1月1日00:00:00にIPアドレス「192.0.2.201」及び「192.0.2.202」と対応しており、t即ち2015年1月1日01:00:00にもIPアドレス「192.0.2.201」及び「192.0.2.202」と対応している。これより、ドメイン名300に関連するIPアドレス群として、IPアドレス群301及び351に含まれる「192.0.2.1」「192.0.2.2」「192.0.2.201」「192.0.2.202」の4つが抽出される。
このようにして、図10に示すように、各ドメイン名に関連するIPアドレス群のリストを抽出することができる。図10は、実施形態1に係る通信先悪性度算出装置におけるドメイン名に関連するIPアドレス群のリストの一例を示す図である。例えば、通番1で示されるドメイン名「www.example.com」に関連するIPアドレス群は、「192.0.2.1」「192.0.2.2」「192.0.2.201」「192.0.2.202」の4つであることが分かる。
次に、特徴抽出部103は、各ドメイン名に関連するIPアドレス群に含まれるIPアドレスの外部情報から図11に示すような統計量を算出したものを特徴量として抽出する。図11は、実施形態1に係る通信先悪性度算出装置におけるドメイン名に関連するIPアドレス群から抽出した特徴情報の一例を示す図である。
例えば、図11の通番1の行に記載されているドメイン名「www.example.com」に関連するIPアドレス群は、「192.0.2.1」「192.0.2.2」「192.0.2.201」「192.0.2.202」であり、特徴抽出部103は、図8を参照してこれらのIPアドレスについての算出可能な統計量であるアドレスプレフィックス数、AS番号数、組織名数、国数、RIR数、アドレス割当日数等を算出し、特徴情報とする。例えば図11の通番1の行は、通信先「www.example.com」から算出した関連するIPアドレスが4、アドレスプレフィックス数が1、AS番号数が1、組織名数が1、国数が1、RIR数が1、アドレス割当日数が1であることを示している。なお、統計量の項目は、図11に示すものに限られない。
ここまで、特徴抽出部103が関連するIPアドレス群の外部情報に基づいて特徴情報を抽出する場合の例について説明した。特徴抽出部103が特徴情報を抽出する他の方法として、関連するドメイン名群の外部情報に基づいて特徴情報を抽出する方法がある。なお、特徴抽出部103は、IPアドレス群の外部情報に基づいて特徴情報を抽出する方法と、関連するドメイン名群の外部情報に基づいて特徴情報を抽出する方法のいずれかを採用しても良いし、両方を採用しても良い。
特徴抽出部103が関連するドメイン群の外部情報に基づいて特徴情報を抽出する場合は、外部情報収集部203は、ドメイン名の外部情報を収集する。図12を用いて、外部情報収集部203が収集するドメイン名の外部情報の例について説明する。図12は、実施形態1に係る通信先悪性度算出装置におけるドメイン名の外部情報の一例を示す図である。
図12に示すように、ドメイン名の外部情報としては、ドメイン名の属するTLD(トップレベルドメイン)やWHOISサーバ名、NSサーバ、ドメイン名登録日、ドメイン名更新日、ドメイン名失効日等が挙げられる。なお、ドメイン名に対する外部情報は図12に示すものに限られない。また、外部情報収集部203は、WHOISプロトコルを利用して独自に収集した情報や、第3者が公開しているサービスにより得られる情報を利用してドメイン名の外部情報を収集することができる。
例えば、図12の通番1の行では、ドメイン名「www.example.com」の外部情報であるTLDが「.com」、WHOISサーバ名が「whois.example.com」、NSサーバが「ns1.example.com」、ドメイン名登録日が「2001.1.1」、ドメイン名更新日が「2014.1.1」、ドメイン名失効日が「2015.1.1」であることを示している。
図13、14及び15を用いて、特徴抽出部103が、図7に示すドメイン名とIPアドレスとの対応関係及びその履歴と、図12に示すドメイン名の外部情報とから特徴情報を抽出する場合の例を説明する。まず、特徴抽出部103は、図13に示す方法でドメイン名に関連するドメイン名群を抽出する。図13は、実施形態1に係る通信先悪性度算出装置におけるドメイン名に関連するドメイン名群の抽出方法の一例を示す図である。
図13を用いて、ドメイン名400の関連ドメイン名群を抽出する方法を説明する。図7に示すように、ドメイン名400は、t-1即ち2015年1月1日00:00:00にIPアドレス「192.0.2.1」と対応しており、t即ち2015年1月1日01:00:00にはIPアドレス「192.0.2.2」と対応していた。そして、「192.0.2.1」及び「192.0.2.2」と同じAS番号「64501」を持つIPアドレス「192.0.2.101」や「192.0.2.201」が含まれるIPアドレス群450と対応したことがあるドメイン名410及び420が関連するドメイン名群として抽出される。
このようにして、図14に示すように、各ドメイン名について関連するドメイン名群のリストを抽出することができる。図14は、実施形態1に係る通信先悪性度算出装置におけるドメイン名に関連するドメイン名群のリストの一例を示す図である。例えば、通番1で示されるドメイン名「www.example.com」に関連するドメイン名群は、「www.example.com」「foo.example.com」「example.com」の3つであることが分かる。なお、統計量を計算する際の便宜上、あるドメイン名に関連するドメイン名群にはそのドメイン名自身も含まれるものとする。
次に、特徴抽出部103は、各ドメイン名に関連するドメイン群に含まれるドメインの外部情報から図15に示すような統計量を算出したものを特徴量として抽出する。図15は、実施形態1に係る通信先悪性度算出装置におけるドメイン名に関連するドメイン名群から抽出した特徴情報の一例を示す図である。
例えば、図15の通番1の行に記載されているドメイン名「www.example.com」に関連するドメイン名群は、「www.example.com」「foo.example.com」「example.com」であり、特徴抽出部103は、図12を参照してこれらのドメイン名についての算出可能な統計量である関連するドメイン名数、TLD数、WHOISサーバ数、NSサーバ数等を算出する。また、特徴抽出部103は、関連するドメイン名の文字列の文字数に関する統計量として、ドメイン名平均、ドメイン名中央値、ドメイン名標準偏差等を算出し、特徴情報としても良い。例えば図15の通番1の行は、通信先「www.example.com」から算出した関連するドメイン名数が3、ドメイン名平均が13.7、ドメイン名中央値が15、ドメイン名標準偏差が2.31、TLD数が1、WHOISサーバ数が1、NSサーバ数が3であることを示している。なお、統計量の項目は、図15に示すものに限られない。
悪性度算出部104は、図16に示すような通信先毎の悪性度を算出する。図16は、実施形態1に係る通信先悪性度算出装置が算出する悪性度の一例を示す図である。図16の通番1の行は、例えば、図2に示す悪性度算出の対象となる通信先の1つである「www.example.com」について、悪性度算出部104が0.3という悪性度を算出したことを示している。
悪性度の算出方法としては、公知の外れ値発見等の統計分析手法や、サポートベクターマシンやランダムフォレストやロジスティック回帰に代表される機械学習手法が利用できる。なお、悪性度は連続値で算出する場合だけでなく、離散値で算出する場合、連続値や離散値で算出した結果に応じて悪性度を任意の値やラベルに変換して出力する場合があり、図16に示すものに限られない。
具体的に、まず、悪性度算出部104は、図3に示すような既知通信先の特徴情報に所定のアルゴリズムを適用して、悪性度算出のためのモデルである訓練モデルを生成する。特徴情報としては、これまで説明してきたように、図5及び6に示すような評価情報に基づくもの、また、図11及び図15に示すような通信先の外部情報や対応関係に基づくものが含まれる。そして、悪性度算出部104は、生成された訓練モデルを利用して、訓練モデルを生成した際のアルゴリズムを対象通信先に適用することで、悪性度を算出する。なお、訓練モデルは、図3に示すような良性ラベルが付された既知通信先は悪性度が小さくなり、悪性ラベルが付された既知通信先は悪性度が大きくなるように生成される。例えば、所定のアルゴリズムをロジスティック回帰とすると、訓練モデルとして、図3の通信先「foo.example.com」の悪性度を小さくし、通信先「bar.example.com」の悪性度を大きくするような回帰式が得られ、得られた回帰式から対象通信先の悪性度を得ることができる。
さらに、図17に示すような未知の通信先についても、各種情報を収集し、統合された特徴情報を抽出することで、図18に示すような悪性度を算出することが可能である。なお、図17は、実施形態1に係る通信先悪性度算出装置における統合された特徴情報の一例を示す図である。また、図18は、実施形態1に係る通信先悪性度算出装置が算出する悪性度の一例を示す図である。
[実施形態1に係る通信先悪性度算出装置の処理]
図19及び図20を用いて、通信先悪性度算出装置100の処理について説明する。図19及び図20は、実施形態1に係る通信先悪性度算出装置の処理の一例を示す図である。詳しくは、図19は、前述の訓練モデル生成までの処理を示しており、図20は生成された訓練モデルを利用して悪性度を算出する処理を示している。
図19を用いて、訓練モデル生成までの処理を説明する。図19に示すように、まず、既知通信先入力部102に、既知悪性通信先と既知良性通信先が入力される(ステップS101)。次に、特徴抽出部103は、入力された既知悪性通信先と既知良性通信先の、通信先リストへの掲載有無を参照する(ステップS102)。そして、特徴抽出部103は、通信先リストへの掲載有無の時間変化(ステップS103)及び通信先リストへの掲載有無の組合せの時間変化(ステップS104)を特徴情報として抽出する。
特徴抽出部103は、ドメイン名とIPアドレスの対応関係の履歴情報の構築を行う(ステップS105)。そして、IPアドレスの利用状況を示す外部情報の収集が行われ(ステップS106)、特徴抽出部103は、通信先に関連するIPアドレス群の関係を構築し(ステップS107)、通信先に関連するIPアドレス群の統計量を特徴情報として抽出する(ステップS108)。
また、ドメイン名の利用状況を示す外部情報の収集が行われ(ステップS109)、特徴抽出部103は、通信先に関連するドメイン名群の関係を構築し(ステップS110)、通信先に関連するドメイン名群の統計量を特徴情報として抽出する(ステップS111)。
そして、悪性度算出部104は、抽出した特徴情報を統合し(ステップS112)、悪性度算出のアルゴリズムを適用し(ステップS113)、訓練モデルを出力する(ステップS114)。
図20を用いて、訓練モデルを利用して悪性度を算出する処理を説明する。図20に示すように、まず、対象通信先入力部101に、悪性度算出対象の通信先と訓練モデルが入力される(ステップS201)。そして、特徴抽出部103は、通信先リストへの掲載有無の時間変化(ステップS202)及び通信先リストへの掲載有無の組合せの時間変化(ステップS203)を特徴情報として抽出する。
特徴抽出部103は、通信先に関連するIPアドレス群の統計量を特徴情報として抽出し(ステップS204)、さらに、通信先に関連するドメイン名群の統計量を特徴情報として抽出する(ステップS205)。そして、悪性度算出部104は、抽出した特徴情報を統合し(ステップS206)、訓練モデルを利用して悪性度算出のアルゴリズムを適用し(ステップS207)、通信先に対する悪性度を出力する(ステップS208)。
[実施形態1の効果]
通信先悪性度算出装置100は、悪性度を算出する対象である対象通信先を対象通信先入力部101へ入力し、悪性であることが既知の通信先と、良性であることが既知の通信先と、を既知通信先として既知通信先入力部102へ入力する。そして、特徴抽出部103は、既知通信先及び対象通信先の、悪性通信先リスト及び良性通信先リストへの所定の時点における掲載の有無の時間経過に伴う変化を既知通信先及び対象通信先の特徴情報として抽出する。悪性度算出部104は、既知通信先及び対象通信先の特徴情報に基づいて対象通信先の悪性度を算出する。このため、実通信を発生させることなく自動的に通信先の悪性度を算出し、最新のブラックリストを参照するだけでは判別できない悪性通信先を精度よく特定することが可能である。
また、悪性度算出部104は、既知通信先の特徴情報を入力データとし、既知通信先が悪性であるか良性であるかを出力データとする教師あり機械学習によって悪性度算出のためのモデルを生成し、生成したモデルを用いて対象通信先の悪性度を算出する。このため、例えば、既知通信先の時間経過に伴う変化等を加味したモデルに、対象通信先の特徴情報を入力するだけで、精度よく対象通信先の悪性度を自動的に算出することが可能である。
また、従来では、悪性度が未知である通信先には、攻撃者が一時的に利用する通信先や攻撃者が今後利用する可能性の高い通信先が含まれ、これらはブラックリストを参照するだけでは悪性であるか否かを判別できなかった。これに対して、実施形態1によれば、既知の悪性通信先リストと良性通信先リストを入手し、各通信先の時間経過に伴う変化(例えば、掲載開始や掲載終了)を解析して特徴情報として抽出し、解析対象の通信先リストの特徴情報と比較分析して、各解析対象の通信先の悪性度を算出しているので、悪性度が未知である通信先について、実通信を発生させることなく悪性度を算出することができる。さらに、特徴抽出部103は、通信先評価のためのリストから所定の周期で所定の期間に収集された掲載の有無を取得することで、複数のリストの情報を効率良く比較することができる。
また、特徴抽出部103は、既知通信先及び対象通信先の外部情報及び関連する通信先との対応関係の履歴情報をさらに取得し、履歴情報から抽出される関連する通信先群の外部情報の統計量を特徴情報としてさらに抽出する。なお、関連する通信先は、通信先のトップレベルドメインや、通信先をトップレベルドメインとして持つドメイン名等と対応付けられたIPアドレスや、同じAS番号に所属するIPアドレスを持つドメイン名等である。
これにより、対象通信先や既知通信先だけでなく、それらに関連する通信先も含めた幅広い範囲の通信先の悪性度を算出することができ、また、より多くの特徴情報を得ることができるため、算出の精度を向上させることができる。
なお、実施形態の説明においては、モデルを生成する処理と生成したモデルによって対象通信先の悪性度を算出する処理を別々に行う場合について説明したが、本発明はこれに限定されるものではない。例えば、モデルを生成することなく、既知通信先と対象通信先とに関する情報を同時に入力し、既知通信先の特徴情報と対象通信先の特徴情報とを比較分析して、悪性度を算出するようにしても良い。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU(Central Processing Unit)及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
また、上記実施形態において説明した通信先悪性度算出装置が実行する処理について、コンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータが読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、図1に示した通信先悪性度算出装置と同様の機能を実現するプログラムを実行するコンピュータの一例を説明する。
図21は、通信先悪性度算出装置として機能するコンピュータの一例を示す図である。図21に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図21に例示するように、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図21に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図21に例示するように、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、図21に例示するように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図21に例示するように、例えばディスプレイ1130に接続される。
ここで、図21に例示するように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記のプログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、実行する。
なお、プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 通信先悪性度算出システム
100 通信先悪性度算出装置
101 対象通信先入力部
102 既知通信先入力部
103 特徴抽出部
104 悪性度算出部
200 通信先情報収集装置
201 評価情報収集部
202 対応関係収集部
203 外部情報収集部

Claims (8)

  1. 悪性度を算出する対象である対象通信先を入力する対象通信先入力部と、
    悪性であることが既知の通信先と、良性であることが既知の通信先と、を既知通信先として入力する既知通信先入力部と、
    前記既知通信先及び前記対象通信先の、通信先評価のためのリストへの所定の時点における掲載の有無を取得し、前記掲載の有無の時間経過に伴う変化を前記既知通信先及び前記対象通信先の特徴情報として抽出する特徴抽出部と、
    前記既知通信先及び前記対象通信先の前記特徴情報に基づいて前記対象通信先の悪性度を算出する悪性度算出部と、
    を有することを特徴とする通信先悪性度算出装置。
  2. 前記悪性度算出部は、前記既知通信先の特徴情報を入力データとし、前記既知通信先が悪性であるか良性であるかを出力データとする教師あり機械学習によって悪性度算出のためのモデルを生成し、前記モデルを用いて前記対象通信先の悪性度を算出することを特徴とする請求項1に記載の通信先悪性度算出装置。
  3. 前記特徴抽出部は、前記通信先評価のためのリストから所定の周期で所定の期間に収集された掲載の有無を取得することを特徴とする請求項1に記載の通信先悪性度算出装置。
  4. 前記特徴抽出部は、前記既知通信先及び前記対象通信先の外部情報及び関連する通信先との対応関係の履歴情報をさらに取得し、前記履歴情報から抽出される関連する通信先群の前記外部情報の統計量を前記特徴情報としてさらに抽出することを特徴とする請求項1に記載の通信先悪性度算出装置。
  5. 前記既知通信先及び前記対象通信先はドメイン名であり、
    前記関連する通信先は、前記既知通信先及び前記対象通信先、及び前記既知通信先及び前記対象通信先のトップレベルドメイン、及び前記既知通信先及び前記対象通信先をトップレベルドメインとして持つドメイン名と対応付けられたIPアドレスであることを特徴とする請求項4に記載の通信先悪性度算出装置。
  6. 前記既知通信先及び前記対象通信先はドメイン名であり、
    前記関連する通信先は、前記既知通信先及び前記対象通信先と同じAS番号に所属するIPアドレスに対応付けられた履歴を持つドメイン名であることを特徴とする請求項4に記載の通信先悪性度算出装置。
  7. コンピュータによって実行される通信先悪性度算出方法であって、
    悪性度を算出する対象である対象通信先を入力する対象通信先入力工程と、
    悪性であることが既知の通信先と、良性であることが既知の通信先と、を既知通信先として入力する既知通信先入力工程と、
    前記既知通信先及び前記対象通信先の、通信先評価のためのリストへの所定の時点における掲載の有無を取得し、前記掲載の有無の時間経過に伴う変化を前記既知通信先及び前記対象通信先の特徴情報として抽出する特徴抽出工程と、
    前記既知通信先及び前記対象通信先の前記特徴情報に基づいて前記対象通信先の悪性度を算出する悪性度算出工程と、
    を含んだことを特徴とする通信先悪性度算出方法。
  8. コンピュータに、
    悪性度を算出する対象である対象通信先を入力する対象通信先入力ステップと、
    悪性であることが既知の通信先と、良性であることが既知の通信先と、を既知通信先として入力する既知通信先入力ステップと、
    前記既知通信先及び前記対象通信先の、通信先評価のためのリストへの所定の時点における掲載の有無を取得し、前記掲載の有無の時間経過に伴う変化を前記既知通信先及び前記対象通信先の特徴情報として抽出する特徴抽出ステップと、
    前記既知通信先及び前記対象通信先の前記特徴情報に基づいて前記対象通信先の悪性度を算出する悪性度算出ステップと、
    を実行させることを特徴とする通信先悪性度算出プログラム。
JP2017503394A 2015-03-05 2016-02-12 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム Active JP6196008B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015043940 2015-03-05
JP2015043940 2015-03-05
PCT/JP2016/054102 WO2016140038A1 (ja) 2015-03-05 2016-02-12 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム

Publications (2)

Publication Number Publication Date
JPWO2016140038A1 JPWO2016140038A1 (ja) 2017-07-27
JP6196008B2 true JP6196008B2 (ja) 2017-09-13

Family

ID=56849255

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017503394A Active JP6196008B2 (ja) 2015-03-05 2016-02-12 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム

Country Status (4)

Country Link
US (1) US10701085B2 (ja)
EP (1) EP3252646B1 (ja)
JP (1) JP6196008B2 (ja)
WO (1) WO2016140038A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020070916A1 (ja) 2018-10-02 2020-04-09 日本電信電話株式会社 算出装置、算出方法及び算出プログラム
WO2022044334A1 (ja) 2020-08-31 2022-03-03 日本電信電話株式会社 判定装置、判定方法、および、判定プログラム

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018163464A1 (ja) * 2017-03-09 2018-09-13 日本電信電話株式会社 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム
JP6823205B2 (ja) * 2018-01-17 2021-01-27 日本電信電話株式会社 収集装置、収集方法及び収集プログラム
US20210034740A1 (en) * 2018-03-19 2021-02-04 Nec Corporation Threat analysis system, threat analysis method, and threat analysis program
JP6988690B2 (ja) * 2018-05-23 2022-01-05 日本電信電話株式会社 信頼度算出装置、信頼度算出方法及びプログラム
JP7120049B2 (ja) 2019-01-25 2022-08-17 富士通株式会社 サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置
JP7297249B2 (ja) * 2019-08-07 2023-06-26 株式会社日立製作所 計算機システム及び情報の共有方法
KR102361513B1 (ko) * 2020-03-20 2022-02-10 엘아이지넥스원 주식회사 악성 도메인 탐지 장치 및 방법
JP7413924B2 (ja) 2020-05-25 2024-01-16 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム
JP2021189721A (ja) * 2020-05-29 2021-12-13 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004135868A (ja) * 2002-10-17 2004-05-13 Fuji Photo Film Co Ltd 異常陰影候補検出処理システム
US7272853B2 (en) * 2003-06-04 2007-09-18 Microsoft Corporation Origination/destination features and lists for spam prevention
US8191149B2 (en) * 2006-11-13 2012-05-29 Electronics And Telecommunications Research Institute System and method for predicting cyber threat
US8041710B2 (en) * 2008-11-13 2011-10-18 Microsoft Corporation Automatic diagnosis of search relevance failures
KR101122650B1 (ko) * 2010-04-28 2012-03-09 한국전자통신연구원 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법
US8521667B2 (en) * 2010-12-15 2013-08-27 Microsoft Corporation Detection and categorization of malicious URLs
US8762298B1 (en) * 2011-01-05 2014-06-24 Narus, Inc. Machine learning based botnet detection using real-time connectivity graph based traffic features
JP5682089B2 (ja) * 2011-02-18 2015-03-11 日本電信電話株式会社 通信分類装置及び方法
US9455993B2 (en) * 2013-03-13 2016-09-27 Lookingglass Cyber Solutions, Inc. Computer network attribute bilateral inheritance
US9178901B2 (en) * 2013-03-26 2015-11-03 Microsoft Technology Licensing, Llc Malicious uniform resource locator detection
US9972041B2 (en) * 2015-02-18 2018-05-15 Go Daddy Operating Company, LLC Earmarking a short list of favorite domain names or searches

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020070916A1 (ja) 2018-10-02 2020-04-09 日本電信電話株式会社 算出装置、算出方法及び算出プログラム
WO2022044334A1 (ja) 2020-08-31 2022-03-03 日本電信電話株式会社 判定装置、判定方法、および、判定プログラム

Also Published As

Publication number Publication date
US20180270254A1 (en) 2018-09-20
WO2016140038A1 (ja) 2016-09-09
EP3252646A4 (en) 2018-09-26
JPWO2016140038A1 (ja) 2017-07-27
US10701085B2 (en) 2020-06-30
EP3252646B1 (en) 2019-06-05
EP3252646A1 (en) 2017-12-06

Similar Documents

Publication Publication Date Title
JP6196008B2 (ja) 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム
Singh et al. Issues and challenges in DNS based botnet detection: A survey
US10237283B2 (en) Malware domain detection using passive DNS
US10740363B2 (en) Domain classification based on domain name system (DNS) traffic
Kührer et al. Going wild: Large-scale classification of open DNS resolvers
US8745737B2 (en) Systems and methods for detecting similarities in network traffic
US10574695B2 (en) Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium
Passerini et al. Fluxor: Detecting and monitoring fast-flux service networks
Lever et al. The Core of the Matter: Analyzing Malicious Traffic in Cellular Carriers.
US11652845B2 (en) Attack countermeasure determination apparatus, attack countermeasure determination method, and attack countermeasure determination program
JP6159018B2 (ja) 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム
JP2017530481A (ja) 不審なホストネームを識別するシステム及び方法
WO2016140037A1 (ja) 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム
Berger et al. Mining agile DNS traffic using graph analysis for cybercrime detection
Korczynski et al. Reputation metrics design to improve intermediary incentives for security of TLDs
Hong et al. Ctracer: uncover C&C in advanced persistent threats based on scalable framework for enterprise log data
US20170180401A1 (en) Protection Against Malicious Attacks
Leita et al. HARMUR: Storing and analyzing historic data on malicious domains
Han et al. A real-time android malware detection system based on network traffic analysis
Wickramasinghe et al. Uncovering ip address hosting types behind malicious websites
Dube et al. An analysis of the use of DNS for malicious payload distribution
US20230057438A1 (en) Domain squatting detection
Al-Duwairi et al. Fast-Flux Service Networks: Architecture, Characteristics, and Detection Mechanisms
Bremler-Barr et al. It's Not Where You Are, It's Where You Are Registered: IoT Location Impact on MUD
Chen et al. An improvement for fast-flux service networks detection based on data mining techniques

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170410

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170704

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170802

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170815

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170816

R150 Certificate of patent or registration of utility model

Ref document number: 6196008

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150