JP6527590B2 - オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 - Google Patents

オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 Download PDF

Info

Publication number
JP6527590B2
JP6527590B2 JP2017543709A JP2017543709A JP6527590B2 JP 6527590 B2 JP6527590 B2 JP 6527590B2 JP 2017543709 A JP2017543709 A JP 2017543709A JP 2017543709 A JP2017543709 A JP 2017543709A JP 6527590 B2 JP6527590 B2 JP 6527590B2
Authority
JP
Japan
Prior art keywords
network
standard
network traffic
traffic
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017543709A
Other languages
English (en)
Other versions
JP2017538376A5 (ja
JP2017538376A (ja
Inventor
アンダーウッド デニス
アンダーウッド デニス
ストライカー イーサン
ストライカー イーサン
ピーターソン ジョナサン
ピーターソン ジョナサン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cyber Crucible Inc
Original Assignee
Cyber Crucible Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cyber Crucible Inc filed Critical Cyber Crucible Inc
Publication of JP2017538376A publication Critical patent/JP2017538376A/ja
Publication of JP2017538376A5 publication Critical patent/JP2017538376A5/ja
Application granted granted Critical
Publication of JP6527590B2 publication Critical patent/JP6527590B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は一般に、アドバンスド・パーシスタント・スレット(APT)を防止するためのシステムおよび方法に関し、より詳細には、オフラインでネットワーク・トラフィックを検出および解析することに関する。
サイバー攻撃は、不特定の対象に向けた単純な犯罪行為から、高度な攻撃ツールを使用して、標的となる実体に対して長期間にわたっておこなうキャンペーンにまで発展し、また進化してきた。このタイプのサイバー活動は、アドバンスド・パーシスタント・スレット(APT)として知られており、公表できないデータの存在する、あらゆる企業、政府機関、または軍事施設に著しい脅威をもたらす。APT攻撃を解決するコストも、組織にとっては財政的に重荷となる。しかし、攻撃をクリーンアップするのに関連する費用は、貴重な知的財産、機密データ、企業秘密、事業計画、およびサイバー攻撃者たちの標的から情報を抜き取ることに焦点を当てた、彼らが標的とする他のデータの暴露に関連する長期的なコストと比較すると重要なものではない。消費者金融、医療保険の相互運用性と説明責任に関する法律(HIPAA)、サーベンス・オクスリー法、または軍事データなど、管理規定によって管理されるデータを喪失すると、結果として、かなりの罰金および法的執行措置につながることにもなる。いったんデータ漏洩が公表されると、収入の損失、および顧客信頼度を再確立するためのコストは甚大になる場合がある。
APTサイバー攻撃が発覚した後、標的となった実体は、タイミングのよいクリーンアップ、危機分析、法規制の順守について即応する必要がある。これらの実体は、盗まれた知的財産または企業秘密、影響を受けた機器およびアカウント、ならびに攻撃者の属性を可能な限り正確に、素早く識別しなければならない。しかし、世界中の企業、軍事組織、または政府機関から現在公表されている情報によって、APT攻撃についての不穏な傾向が明らかになってきた。企業の盗まれたデータが攻撃者によって売られたり、ばらまかれたりするのを、セキュリティ研究者が目にするまで、通常、サイバー攻撃の発覚は気付かれないままである。この時点で、敵対者は、標的の知的財産、個人情報、および/または機密データの大部分に長期間アクセスしてきた。現在利用可能なサイバー・セキュリティ装置は、うまく仕組まれた攻撃を防げないが、その代わりに、侵入を遅らせ、最終的には発見できるようにし、発覚した攻撃を調査および除去するのに必要なツールを、攻撃に対処する側へ提供する。攻撃された実体は、攻撃に対して適切に対処できるようになる前に、広範囲にわたる法的な分析、および侵入検出作業を待たなければならないが、攻撃者の行為を推定することだけは受信することがある。
稚拙でサイバー犯罪に焦点を当てたマルウェアとは異なり、APT攻撃は複雑であり、その数が限られている。このAPT攻撃は、わずかに手直しされるだけで長期間用されることが多い。しかし、その通信メッセージング・システムは複雑であり、サイバー防衛側には、高度な暗号化、プロトコル、およびマルウェア解析の専門知識が必要となる。これにより、規制機関、法執行機関、およびサイバー・セキュリティのサービス・プロバイダは、APT攻撃に対抗するのが困難になる。一方で、APT攻撃者は、その能力速度、検出回避、およびクリーンアップへの反撃技法を向上させている。不完全に実行された侵入応答は、反応する時間を攻撃者に与え、その結果、企業内部の様々な場所で既存の攻撃ツールがさらに高度なバージョンに置き換わることになる。
不要なソフトウェアのバンドリングとは、良心的でない会社が、ユーザを惑わせて、このユーザのプライバシーを損ない、またはユーザのコンピュータの安全性を脆弱にする恐れのある不要なプログラムをインストールさせようとする場合である。会社は、不要なアプリケーションをユーザにインストールさせるよう強制し、ユーザがどのようにしてオプトアウトすればよいのか見つけるのを困難にするラッパー・アプリケーションを有する、必要とされるプログラム・ダウンロードをバンドルすることが多い。ほぼありとあらゆる第三者の無料ダウンロード・サイトが、潜在的に不要なソフトウェアをそのダウンロードにバンドルする。
ウイルス対策会社は、バンドルされたソフトウェアを潜在的に不要なプログラム(PUP)と定義し、このプログラムには、押しつけがましい広告を表示し、もしくはユーザのインターネット使用状況を追跡して広告主に情報を売り、ユーザが見るウェブ・ページにそれ自体の広告を挿入し、またはプレミアムのSMSサービスを使用して、ユーザへの課金をせしめるソフトウェアが含まれ得る。望ましくないプログラムは、インストールされている痕跡、およびアンインストールまたはオプトアウトの手順説明を含まないことが多い。望ましくないソフトウェア・バンドルの中には、ユーザの装置にルート証明書をインストールするソフトウェアを含むものがあり、これによって、攻撃者は、ブラウザのセキュリティ警告なしに銀行取引の詳細情報を傍受できるようになる。アメリカ合衆国国土安全保障省は、安全でないルート証明書を除去するよう助言してきたが、それというのも、これによって深刻なサイバー攻撃に対するコンピュータの抵抗力が弱まるからである。
様々な技法を使用して、アドバンスド・パーシスタント・スレット(APT)活動を検出しようと試みる装置が知られている。ネットワーク・セキュリティ装置は、サイバー攻撃ツールの通信を含む特定の攻撃を収集するように調整することができ、現在利用可能である。オープン・ソース・ツールを含め、ネットワーク監視および攻撃発見用の製品およびツールが存在する。侵入検知システムなどのサイバー・セキュリティ防御製品によっては、既知の攻撃に似た挙動またはマルウェアの特徴に基づいて、警告「の事実」を提示するものがある。これらのネットワーク監視装置の多くは、警告に関連するネットワーク・トラフィックを収集する機能、ならびに最新の検出機能を確実にインストールするためのサブスクリプション・サービスも含む。しかし、これらの防御製品は、発見した攻撃ツールのメッセージの内容を抽出することはなく、または悪質なツールのネットワーク活動を処理して、これまでに知られている侵入の詳細を公表することはない。したがって、何か月間または何年間も組織に影響を及ぼし、組織内でうまく動き回った後にAPT攻撃が発見されると、脅威がさらに大きくなる。
ネットワーク・トラフィックをリアルタイムで、すなわち「オンライン」で解析することが知られている。Snortは、無料でオープン・ソースのネットワーク侵入防止システム(NIPS)およびネットワーク侵入検知システム(NIDS)である。Snortには、インターネット・プロトコル(IP)ネットワーク上で、リアルタイムのトラフィック解析およびパケット・ロギングを実行する機能がある。Snortは、プロトコル解析、コンテンツ検索、およびマッチングを実行する。Snortは、オペレーティング・システムへの攻撃、フィンガープリンティングの試み、共通ゲートウェイ・インターフェース、バッファ・オーバフロー、サーバ・メッセージ・ブロック・プローブ、およびステルス・ポート・スキャンを検出する。Snortは、パケット検査、プロトコル標準での侵入検出進行および侵入防止、プロトコル異常検出、アプリケーション制御、および痕跡のマッチングを実行する。Snortは、HTTPヘッダでの2進コード、HTTP/HTTPSトンネリング、URLディレクトリ・トラバーサル、クロスサイト・スクリプティングを含むアプリケーション・レベルの脆弱性を解析し、またSQLインジェクションも解析されることになる。
カバート・チャネルは、サイバー攻撃の被害者にマルウェアを送りつけるための媒体として敵対者によって使用され、たとえばDNSトンネリングとして知られている。DNSトンネルでは、データは、32進法および64進法の符号化を使用して、DNSクエリおよびDNS応答内にカプセル化され、DNSドメイン・ネーム・ルックアップ・システムを使用して、データを双方向に送信する。ボットネットは、DNSトンネリングを使用して、カバート・チャネルの役割を果たすことができ、検出するのが困難である。カバート・チャネルを識別する唯一の方法は、指令/制御DNSメッセージを探すことによるものである。攻撃者は、DNSトンネル・ツールを使用して、カバート・チャネルを作成する。
「Suricata」は、マルチスレッド・マルウェア・コマンドおよびカバート・チャネルの検出器である。Suricataは、マルウェア・プロセッサまたはマルウェア・エンジンを使用して、ネットワークIDS、IPS、およびセキュリティを監視する。Suricataは、複数のプロセッサ全体にわたって、マルウェアの処理負荷のバランスをとる。Suricataは、ストリームが開始するときに共通プロトコルを認識し、したがって、ルール・ライタが、このプロトコルにルールを書き込めるようになる。Suricataは、HTTP URIからSSL証明書識別子まで及ぶプロトコル・フィールド上でマッチすることができる。Suricataは、Off port HTTP、CnCチャネル、ファイル識別、MD5チェックサム、およびファイル抽出を処理することができる。Suricataは、ネットワークにわたるマルウェア・ファイル・タイプを識別することができる。ファイルは、抽出するためにタグ付けすることができ、キャプチャの状況または流れを記述するメタデータ・ファイルを記憶することができる。ファイルのMD5チェックサムがただちに計算され、その結果、md5ハッシュのリストを見つけることができる。
米国特許公報第2004−0107361号明細書には、ネットワーク接続上のデータ単位を解析することによって侵入を検出するための、ネットワーク侵入検知システムが開示してある。米国特許第7,356,736号明細書には、ソフトウェア性能を監視するための、シミュレーションされたコンピュータ・システムが開示してある。米国特許第5,765,030号明細書には、プログラム実行においてプリフェッチ・キュー・サイズが可変である、プロセッサ・エミュレータ・モジュールが開示してある。米国特許第7,093,239号明細書では、コンピュータ・システム内の不要なコードを検出するためのコンピュータ免疫システムおよび方法が開示してある。米国特許公報第2010−0100963号明細書には、消費電力、計算能力、およびメモリが著しく制限されている、携帯電話、スマートフォン、またはPDAなどのモバイル装置での、攻撃およびマルウェアを検出し、防止するためのシステムおよび方法が開示してある。米国特許公報第2008−0022401号明細書には、マルチコアのネットワーク・セキュリティ処理用の装置および方法が開示してある。米国特許第7,076,803号明細書には、統合された侵入検出サービスが開示してある。米国特許第6,851,061号明細書は、ネットワーク・プロトコル・スタック・マルチプレクサを使用する、侵入検出データ収集用のシステムおよび方法である。米国特許公報第2003−0084319号明細書には、侵入防止システムをネットワーク・スタックに挿入するための、ノード、方法、およびコンピュータ読取り可能な媒体が開示してある。米国特許第6,775,780号明細書には、エミュレーション中に生成されるシステム・コールのパターンを解析することによって、悪質なソフトウェアを検出することが開示してある。
図1には、複数のマルウェア、カバート・チャネル、ステガノグラフィ、およびPUPのサーバによる脅威の下での、例示的なシステムが示してある。APT攻撃は、通常、予測可能な段階で実行される。攻撃者はまず、ネットワーク上のマシンへのアクセス権を得る。スピア・フィッシングを含む様々な方式で、これを実行することができる。スピア・フィッシングとは、標的となる会社の従業員に不正なeメールを送りつける戦術である。これらのeメールは、信頼できる正当な送信元からのように見え、攻撃者が悪質なツールをインストールできるようにする行為を従業員が実行するように欺く。第2に、攻撃者は、進行中の攻撃で後に使用するため、被害者への限定アクセスを可能にするように設計された、小さくて悪質なツールをインストールする。このツールは、ウイルス対策の影響を受けない可能性がある。第3に、攻撃者は、オリジナルの小さくて悪質なツールを使用して、比較的大きくてフル機能の悪質なツールをインストールし、このツールもウイルス対策の影響を受けない可能性がある。このツールは、他のユーザおよび機器にまで拡散すること、および盗んだ機密データを攻撃者に送って戻すことを含め、攻撃者のための様々なタスクを実行することになる。第4に、攻撃者は、ネットワーク全体を通して拡散して、組織に対する長期アクセスを確実なものにし、極めて重要な機密を自在に盗み出し、攻撃ツールをアップグレードして、サイバー・セキュリティのアナリストおよびツールの一歩先を行く。
APT攻撃を通してのあらゆるステップには、攻撃者またはこの攻撃者によって制御されるインフラストラクチャとのネットワーク通信が必要となる。標的への攻撃が段階1から段階4まで継続すると、攻撃それ自体についての情報が多くなるとともに通信が多くなる。攻撃者は、自分たちの攻撃を管理し、個々の被害者のマシンにコマンドを送信し、標的から盗んだデータを受信する手段を必要とする。さらに、攻撃が段階4まで十分に浸透すると、これらの通信は、その安定性および複雑さが増す。段階3および4で使用されるフル機能の悪質なツールは、何ヶ月でも何年でも攻撃の持続時間を継続するように設計されており、また十分に複雑なので、高度なサイバー攻撃キャンペーンを操作している間、単純な検出技法のほとんどを回避することができる。ネットワーク・トラフィックをキャプチャするためのアプリケーション・プログラミング・インターフェース(API)が存在する。UNIX(登録商標)のようなシステムは、その「libpcap」ライブラリでPCAPを実装する。Windowsシステムは、「WinPcap」として知られている「libpcap」のポートを使用する。ネットワーク・トラフィック監視ソフトウェアは、libpcapおよび/またはWinPcapを使用して、ネットワーク上を流れるパケットをキャプチャしてもよい。ソフトウェアの比較的新しいバージョンでは、libpcapまたはWinPcapは、リンク層でパケットをキャプチャする。PCAP APIはCで書かれており、Java(登録商標)、NET言語、スクリプト言語など他の言語はラッパーを使用する。アドバンスド・パーシスタント・スレット(APT)攻撃ツールからキャプチャされたネットワーク通信は、攻撃者と標的の両方に極めて重要な情報を含む。これらカスタマイズされたメッセージは大抵の場合、標的と攻撃者の両方についての情報を常に含んでおり、こうした情報には、被害者のマシン情報、被害者のユーザ情報、盗まれた(ひそかに抽出されたともいう)知的財産、攻撃者を特定する情報、標的に対してとった攻撃者の行動、および最初の攻撃の日付など攻撃者のツール情報が含まれる。
ネットワーク・トラフィックを非リアルタイムで、すなわち「オフライン」で解析することが知られている。たとえば、「ChopShop」は、MITRE Corporationが開発したフレームワークである。悪質な攻撃から頑強に防御するためのマルウェア・プロセッサが知られている。マルウェア・プロセッサは、検出および解析するための、既に知られているかまたは開発されたマルウェアの痕跡に基づいて動作するように構成される。マルウェアの痕跡は、特定のウイルスを一義的に識別するアルゴリズムまたはハッシュ(一連のテキストから得られる数)である。痕跡は静的でもよく、これは、その最も簡略な形において、マルウェアに固有のコードの断片の計算された数値である。痕跡は動作ベースでもよく、すなわち、マルウェアがX、Y、Zを実行しようとすると、不審なものとしてそれにフラグを立てる。痕跡は、ウイルスの、ビットの固有ストリング、または2値パターンとすることができる。たとえば、特定のウイルスを検出および識別するのに使用できるという点で、ウイルスの痕跡は指紋のようなものである。アンチウイルス・ソフトウェアは、ウイルスの痕跡を使用して、悪質なコードの存在をスキャンする。ChopShop APTツールは、マルウェア制御エンドポイント、すなわち図1に示すマルウェア・サーバとの間でやり取りされる実際のコマンドをセキュリティ専門家が理解できるようにする、ネットワーク・ベースのプロトコル・デコーダ向けの、非常に限定された数のマルウェア信号を処理および解析する。サイバー・セキュリティでは、カバート・チャネルも知られている。一例では、カバート・チャネル制御エンドポイント、すなわち図1に示すカバート・チャネル・サーバは、制御エンドポイント間での知的所有権通信チャネルを生成する。本明細書では、カバート・チャネルは、検出を回避するために標準プロトコルから逸脱することによってメッセージを伝達する攻撃ツールである。カバート・チャネルの逸脱は、標準プロトコル・スタックの任意の1つまたは複数の層におけるものとすることができる。マルウェアは、標準プロトコルから逸脱することなく、メッセージを伝達するのに標準プロトコル・スタックを使用する標的に対する攻撃ツールである。
サイバー・セキュリティでは、ステガノグラフィを含む他の攻撃も知られている。悪質なツールは、無害で正当に見えるファイル内部の大量の情報を隠すための数多くの方法、たとえばステガノグラフィとして知られる手法を使用する。このような方法には、データを隠すためのアルゴリズムを使用するものがあり、本発明は、そうしたものをほぼリアルタイムに抽出することができる。ステガノグラフィの技法もあり、これは、隠された情報を抽出する前に、暗号の変数または鍵の、発見または開示を必要とする。
本発明は、様々な暗号技法およびフォレンジック技法を利用して、ステガノグラフィを巧みに使う悪質なツールによって使用されている暗号化に攻撃を仕掛け、隠された情報を抽出する。暗号技法およびステガノグラフィ技法によっては、独自のものもあり、復号化に必要な暗号変数を識別するためのカスタム機能必要とすることになる。他の技法は、本発明が利用する標準の復号化スパイ技術に従っており、標準化された暗号攻撃を処理が使用できるようにする。
サイバー・セキュリティでは、PUPを含む他の攻撃も知られている。ユーザがインストールする誘惑に駆られることのあるブラウザのツール・バーまたはプログラムが知られており、ユーザは、自分たちの日々の活動およびデータの全てを企業に与えることに「同意」した。ユーザは通常、このようなプログラムをインストールすることに同意するはずもなく、または自分たちの日々の活動を提供することに同意し、たとえばそれを潜在的に不要なプログラム(PUP)にしようとは気がつかなかった。PUPは、何らかのシステム監視ツールによって、ネットワーク層でマシンにインストールされる。ファイアウォールはPUPを検出し、これを管理者に送信する。管理者は、サーバ上でこのプログラムが必要なものか、それとも不要なものか判定する。必要となるプログラムも、ネットワークのオーナによっては不要となる場合もある。発見的解析を実行することも可能であり、これは大抵、管理ツールに焦点を当てたPUPに焦点を当てることになる。発見的解析を使用するほとんどのアンチウイルス・プログラムは、専用の仮想マシン内の疑わしいプログラムまたはスクリプトのプログラミング・コマンドを実行することによってこの機能を実行し、したがって、不審なコードを実在のマシンから分離した状態に保ちながら、不審なファイルが実行されることになる場合に発生するはずの様子を、このアンチウイルス・プログラムが内部でシミュレーションできるようにする。次いで、このアンチウイルス・プログラムは、コマンドが実行されるときにこのコマンドを解析し、複製、ファイルの上書き、不審なファイルの存在を隠す試みなど、既知のウイルス活動について監視する。1つまたは複数のウイルスのような動作が検出される場合、不審なファイルには、ウイルスの可能性があるものとしてフラグが立てられ、ユーザに警告される。発見的解析の別の一般的な方法は、アンチウイルス・プログラムが、不審なプログラムを逆コンパイルし、次いでそれを用いてソース・コードを解析することである。この不審なファイルのソース・コードは、既知のウイルスおよびウイルスのような動作のソース・コードと比較される。ソース・コードのうち一定の割合が、既知のウイルスまたはウイルスのような動作のコードと一致する場合、ファイルにフラグが立ち、ユーザに警告される。
PUPのもう一方の側面は、テルネット(遠隔コンピュータにアクセスするためのユーザ・コマンドおよび基本となるTCP/IPプロトコル)、RDP(ネットワーク接続を介して別のコンピュータに接続するためのグラフィカル・インターフェースをユーザに提供する独自のプロトコル)、FTP(インターネットなどTCPベースのネットワークを介して、あるホストから別のホストまでコンピュータ・ファイルを転送するのに使用される標準のネットワーク・プロトコル)、または他の任意の管理ツールのような管理ツールを含み、これらのツールは、ほとんど全てのネットワークで使用される非常に強力な管理ツールである。これらはまた、ハッカーにも極めて有用である。管理者は、たとえば、中国のIPアドレスが使用されているのを目にして、中国には従業員がいないと言及するのは別として、PUP(管理ツール)が実際に実行しているものを容易に指摘することができない。システムは、これらのプロトコルも復号化して、これら「潜在的に不要な」管理行為中に実行される活動を明らかにすることになる。
政府機関、企業、および軍事施設のネットワークへのAPT攻撃と闘う深刻なニーズが認識されてきている。攻撃を理解するのに必要となる高度な技術的解析を実行するには、膨大なリソースが必要となり、これには様々な政府の規制要求事項を考慮に入れなければならない。たとえば、米国でのサイバー・セキュリティ製品の開発者は、武器国際取引に関する規則(ITAR)の下で、国務省および米国国防総省の規制に従わなければならない。
APT攻撃は、攻撃者の活動、影響を受けたユーザおよびマシン、盗まれた知的財産、ならびに攻撃者の属性および動機に関する手がかりを正確に詳述する包括的なレポートを必要とする。さらに、情報技術の担当者は、影響を受ける全ての機器を包括的に把握して、攻撃者が、統合されたクリーンアップ戦略を用いる試みを観察し、それを回避できるようになる可能性を低くする必要がある。したがって、APT攻撃から防御する頑強なシステムが必要となる。
複数のマルウェア、カバート・チャネル、ステガノグラフィ、およびPUPのサーバによる脅威の下での、例示的なシステムを示す。 標準プロトコル・スタックに従って構成可能な通信チャネルを介して互いに通信する、2つのネットワーク・ノードを示す。 複数の標準層を有する、図1の標準プロトコル・スタックを示す。 サービスとしてのソフトウェア(SaaS)のプラットフォーム上に本発明を実装する、システムのブロック図を示す。 図4のSaaSで使用されるアプリケーション開発システムの例示的なブロック図を示す。 図4のSaaSで利用される様々なモジュールとのインターフェースのブロック図を示す。 図6の製品強化モジュールのブロック図を示す。 図1のシステムの動作層の例示的なブロック図を示す。 図8のウェブ・サーバによって実装される、マルチプロセッシング・システムのアーキテクチャの図である。 図4のSaaSへの認証およびプロファイリングを実施する例示的な図を示す。 図1のシステムによって処理するための侵入内容の提出を示すブロック図である。 図4のSaaSによって利用される入れ子型のプロトコル処理のブロック図である。 解析装置Aを示す、検出段階および解析段階を有するDNSカバート・チャネルの一例の流れ図である。 解析装置AおよびBを示す、検出段階および解析段階を有するDNSカバート・チャネルの一例の流れ図である。 解析装置AおよびBを示し、この解析装置Bが4バイトのXORを使用する、検出段階および解析段階を有するDNSカバート・チャネルの一例の流れ図である。 カバート・チャネルのプロセスを示す。 マルウェアのプロセスを示す。 カバート・チャネルのプロセスの流れ図である。 マルウェアのプロセスの流れ図である。
簡潔にいえば、本発明によれば、ネットワーク侵入検知のシステムおよび方法は、オフライン・ネットワーク・トラフィックを受信するように構成される。既定のフォーマット、PCAPファイルを有するオフライン・ネットワーク・トラフィックは、対応する複数のカバート・チャネルの痕跡に関連した、複数のカバート・チャネルの存在を示すことができる。それぞれのカバート・チャネルは、検出を回避するために標準プロトコルから逸脱することによってメッセージを伝達する攻撃ツールを含む。複数のカバート・チャネル・プロセッサが、オフライン・ネットワーク・トラフィックを解析するように構成される。この解析によって、1つまたは複数のカバート・チャネルの痕跡に基づいて、オフライン・ネットワーク・トラフィックが標準プロトコルから逸脱しているかどうか判定される。カバート・チャネルは、標準プロトコル・スタックの少なくとも1つの標準層において利用され、オフラインのネットワーク・データ・トラフィックは、複数の標準層を有する少なくとも1つの標準プロトコル・スタックを含む。本発明のより詳細な特徴のいくつかによれば、複数のマルウェア・プロセッサが、オフライン・ネットワーク・トラフィックを解析してマルウェアを検出するように構成され、ここで、マルウェアは逸脱することなく標準プロトコルを使用する。また、複数のステガノグラフィ・プロセッサが、オフライン・ネットワーク・トラフィックを解析してステガノグラフィを検出するように構成される。さらに、複数の潜在的に不要なプログラム(PUP)プロセッサが、前記オフライン・ネットワーク・トラフィックを解析してPUPを検出するように構成される。さらに、少なくとも1つの標準層は、HTTPまたはTCP/IPを含む。本発明のより詳細な他の特徴によれば、オフライン・ネットワーク・トラフィックは、2つのレベル、すなわち第1のレベルおよび第2のレベルで解析される。第1のレベルの解析では、カバート・チャネルの痕跡に基づいて逸脱が検出される。第2のレベルでは、解析は、標準での復号化プロセス、キーイン・プロセス、管理検出プロセス、ヘッダ・チェック・プロセス、またはフィールド・チェック・プロセスのうちの少なくとも1つを含む。
例示的な実施形態を以下で詳細に説明する。特定の例示的な実施形態について述べるが、これは、もっぱら説明するためにおこなうものであることを理解されたい。例示的な実施形態を説明し、図示する際には、明確にするために特定の専門用語を使用する。しかし、各実施形態は、このように選択された特定の専門用語に限定されるものではない。各実施形態の精神および範囲から逸脱することなく、他の構成要素および構成を使用してもよいことが、当業者には理解されよう。それぞれ特定の要素は、同様の目的を遂行するのと同様に動作する、全ての技術的均等物を含むことを理解されたい。本明細書に記載の各例および実施形態は、非限定的な例である。
本発明は、カスタム・ネットワーク・メッセージが標的と攻撃者の間で伝送されていることを識別および理解することができ、影響を受けるユーザおよびマシン、標的に送信されるコマンド、盗まれたデータ、ならびに攻撃者についての手がかりを詳細に記載した自動的または半自動的に生成されるレポートに、標的となる組織がアクセスできるようになる。このレポートは、感染した全てのマシンの正確な数量および名前、攻撃者のステージング領域として使用されるマシンの数、攻撃者が現在アクセスしているユーザ・アカウントの正確な数、攻撃者の現在の活動についての情報、およびどのデータが盗まれたのかについての観察、攻撃者のツールがどのようにラベル付けされるのかについての情報、最初に感染した日付、ならびに、企業が発見し、企てをクリーンナップする場合のバックアップ計画として攻撃者がインストールした追加のツールについての情報を提供する。統合されたクリーンアップを組織全体で実行するため、攻撃者がその悪質なツールを移動またはアップグレードする機会を得るよりも恐らく早く、侵入についてのレポートをリーダーおよび侵入対応者に送達することができる。
本発明は、攻撃者のカスタム・ネットワーク・メッセージを理解し、抽出された情報を企業のリーダーに報告するプログラムを用いて、悪質なツールの通信を処理する。以下に述べるように、本発明は、攻撃者の通信ネットワーク内で見つかった有用な被害者情報および攻撃情報を復号化し、抽出し、報告する加入者サービスを提供する。より具体的には、本発明は、APT攻撃に対する弱点を利用する。本発明は、APT攻撃を利用して、影響を受ける機器およびユーザ、攻撃者の識別または目標、盗まれたデータ、および攻撃者の活動に対するほぼリアルタイムの答えまたは手がかりを、標的となる実体に提供する、1組の独自の高度なツールを使用する。
本発明は、ネットワーク暗号(暗号解読)解析、カスタム・ネットワーク・プロトコル(メッセージ)解析、複数の攻撃者ファミリにわたるAPT攻撃のスパイ技術知識、主要な法執行捜査および国家安全保障活動に精通することを含む、様々なAPT攻撃ツールの脅威情報追跡、企業ネットワークの処理ソフトウェア技術、クラウド・ソフトウェア技術、およびAPTの悪質なツールを含む徹底的なマルウェア解析を使用する。
一実施形態では、本発明は、検出を回避するために標準プロトコルから逸脱するカバート・チャネルを検出する。カバート・チャネルの逸脱は、標準プロトコル・スタックの任意の1つまたは複数の層におけるものとすることができる。本発明は、非リアルタイムでキャプチャされたネットワーク・トラフィック(オフライン・ネットワーク・トラフィック)を処理することにより、標準プロトコル・スタックの任意の層からカバート・チャネルを識別および抽出するように構成された、カバート・チャネル・プロセッサを備える。別の実施形態では、本発明は、カバート・チャネルに加えて、マルウェアを識別および抽出するように構成されたマルウェア・プロセッサを備える。カバート・チャネルとは対照的に、マルウェアは、逸脱することなく標準プロトコル・スタックを使用する。
本発明は、既定のフォーマットに従ったオフライン・ネットワーク・トラフィック・データを受信するように構成された、1つまたは複数のサーバを備える、ネットワーク侵入検出用のシステムである。対応する複数のカバート・チャネルの痕跡に関連する複数のプロセッサは、通信プロトコルが標準から逸脱していたかどうか判定するように構成される。オフライン・ネットワーク・データ・トラフィックは、標準通信の複数の層を含む標準プロトコル・スタックについての情報を含む。カバート・チャネルは、検出されずに情報を送受信するための認可されていないチャネルを提供するために、プロトコル・スタックの層で利用されるマルウェア/攻撃ツールを含む。プロトコルの逸脱を検出すると、チャネル痕跡上の複数の第2のレベルに従ったある第2のレベルで、オフライン・ネットワーク・トラフィックが処理される。第2のレベルのカバート・チャネルの痕跡は、標準での復号化プロセス、キーイン・プロセス、管理検出プロセス、ヘッダ・チェック・プロセス、またはフィールド・チェック・プロセスを含む。この標準は、たとえば、HTTPおよびTCP/IPを含むことができる。本発明はまた、マルウェアが、検出を回避するための逸脱なしに標準プロトコルを使用しているかどうか判定する。本発明は、攻撃者の活動、影響を受けたユーザおよびマシン、盗まれた知的財産、ならびに攻撃者の属性および動機に関する手がかりを正確に詳述する包括的なレポートを生成する。
したがって、本発明のシステムは、偽陽性を除去して、本格的な処理が第2の段階で必要かどうかについての高信頼度テストを作成するための第1の段階での優先順位付けを含む、2段階の処理を利用する本発明は、テンプレートを調整して、新規の攻撃の痕跡を見つける。このようにして、攻撃者のプロファイル・ツールは自動的に調整可能であり、新規の攻撃の痕跡が見つかると変化する。
図2には2つのネットワーク・ノードAおよびBが示してあり、これらは、標準プロトコル・スタックに従って構成可能な通信チャネルを介して互いに通信する。
図示したように、ノードAおよびノードBは、様々なネットワーク上でのパケットの伝送用に採用されているものなど、標準プロトコル・スタック上で互いに通信する。標準プロトコル・スタックの例には、OSI参照モデルおよびTCP/IPが含まれる。標準プロトコル・スタックは、アプリケーション層、トランスポート層、ネットワーク層、リンク層、物理層など、様々な標準層1〜nを含む。
図3には、層1〜nなど複数の標準層を有する、図1の標準プロトコル・スタックが示してある。アプリケーション層での例示的な標準層は、HTTP、FTP、TLS/SSL、SMTP、POP、およびIMAPを含む。トランスポート層での例示的な標準層は、TCPおよびUPDを含む。ネットワーク層での例示的な標準層は、IP、ICMP、およびIGMPを含む。リンク層での例示的な標準層は、ARP、DSL、ISDN、OSPF、およびイーサネット(登録商標)、ならびに他の任意の有線または無線の標準リンク層を含む。
図4には、サービスとしてのソフトウェア(SaaS)のプラットフォーム上に本発明を実装する、システムのブロック図が示してある。SaaSは、ソフトウェアのライセンシングおよび配信のモデルであり、ここで、ソフトウェアが契約に基づいてライセンスされ、一元的にホスティングされるか、または配布される。SaaSは、健康、金融、サイバー・セキュリティ、工業、輸送、製造、建設のサービスを含むが、それだけに限定されない、多種多様なサービスを加入者に提供することができる。SaaSプラットフォームは、1つまたは複数のサーバのアプリケーション/ウェブ・サーバ・クラスタを含み、これが、1つまたは複数のデータベースのデータベース・サーバ・クラスタと通信する。
SaaSプラットフォームを使用して、複数のサービス加入者に提供されるアプリケーション・サービスを実現することができる。たとえば、第1および第2のサービス加入者はそれぞれ、1つまたは複数のファイアウォールのファイアウォール・クラスタを介したインターネット上で、独立したアプリケーション・サービスを、団体または組織内の個々人または参加者に提供することができる。このようなSaaSの1つをクラウド上に実装して、医療、健康、金融、マルチメディア、輸送、ロジスティックスなど、様々な産業にサービス提供することができる。
一般に、本発明が実装されるネットワークは、複数の専用接続または公衆接続されたノードを含み、これは、1つまたは複数のプロセッサ・ノード、またはサーバもしくはサーバおよび/またはノードのクラスタを含み、これらは1つまたは複数のリンクを介して情報を交換できるようになっている。例示的なネットワークは、WAN、LAN、PAN、インターネット120、ならびにBluetooth(登録商標)またはエクストラネットなどのアドホック・ネットワークのうち、任意の1つまたは複数を含む。インターネット120は、一群の相互接続された(公衆および/または専用)ネットワークであり、これらは、1組の標準プロトコルによって互いにリンクされて、地球規模の分散ネットワークを形成する。ノードは、1つまたは複数のプロセッサ・ユニット(ソフトウェアもしくはハードウェア、もしくは仮想ノード)、および/または、情報を処理し、かつ/または分散機能を実行する、ネットワーク内のいずれかに配置された装置を含む。任意のノードまたはノードを有する任意の構成要素は、ハードウェアまたはソフトウェアで仮想化することができる。様々なタイプのノードは、情報を受信する受信機ノード、情報を処理するプロセッサ・ノード、および処理された情報を送信する送信機ノードを含むことができる。ノードの例には、サーバ・ノード、クライアント・ノード、コンピュータ・ノード、プロセッサ・ノード、通信ノード、ワークステーション、PDA、モバイル装置、入口ノード、出口ノード、ユーザ・インターフェース・ノード、アカウンティング・ノード、管理ノード、コンテンツ・デリバリ・ノード、選択ノード、センサ・ノード、有線ノード、無線ノードなどが含まれる。
一実施形態では、本発明のシステムは、ネットワークを介して複数のユーザ装置とインターフェースするように構成された、1つまたは複数のサーバを備える。複数のユーザ装置は、1つまたは複数の第1のユーザ装置、および1つまたは複数の第2のユーザ装置とすることができ、これらは、個別に、またはグループもしくはダブグループで動作する。システムの各ノードは、任意の適切なネットワーク・モデルに従って互いに接続することができ、このモデルには、クライアント・サーバ・モデル、ならびに階層型モデルもしくは分散型モデルが含まれる。リンクは、2つのノードが、互いに情報を伝達することのできる任意の媒体を含む。例示的なリンクには、それだけには限らないが、有線、ファイバ、ケーブル、または無線のリンク(たとえば、Bluetooth(登録商標)、UWB、USBなど)が含まれる。通信チャネルは、コンテンツを配布するためのリンクとともに使用される任意のチャネルを含み、このコンテンツは、ノード、ノードもしくは装置で実行されるアプリケーション、対象物(たとえば、車両、人々)、またはセンサから得られるデータを含むことができる。
図4には、3人のサービス加入者が加入しているクラウド・サービスが示してある。加入者それぞれは、完全処理および侵入レポート生成のために、または送信された悪質なツール・トラフィックについてマルウェア・プロトコル・デコーダが存在するという通知を受信するために、オフライン・ネットワーク・トラフィックをSaaSに送信する。登録後、顧客は、少量のトラフィックを送信して、デコーダをテストすることができるようになる。企業の(フリーではない)eメール・アドレスだけを登録することができる。これにより、マーケッティングのリードが可能になり、試験的なトラフィックをセキュリティ・サイトに送信して、悪質なメッセージのデコーダが攻撃者のツールに対して機能するかどうかチェックするという、攻撃者のスパイ技術が防止される。
図5には、ユーザ向けの様々なアプリケーションを開発する、図4のSaaSで使用されるアプリケーション開発システム300の例示的なブロック図が示してある。製品配布は、フル機能のクラウドベースのソリューションと、インターネット・アクセスのないネットワーク用の比較的頑強性に劣る採用可能なソリューションとの両方から構成されることになる。採用可能なバージョンは、機密性の高い組織の詳細について法規制またはプライバシーに関心のあるクライアントに適用可能である。処理するために送信される機密性の高いデータのみが、攻撃者に現在送信されているデータになるので、製品のクライド・インストール・バージョンを使用することが比較的有利である。
アプリケーション開発センタ304A、アプリケーション管理センタ304B、および運営センタ304Cは、インターネット120などのネットワークを介して、アプリケーション開発ポータル(ADP)302に接続される。ADP302は、ネットワーク120を介して、ユーザ装置305、308、316と、アプリケーション開発サポート・センタ304A〜Cと、アプリケーション開発システム(ADS)330との間にゲートウェイを設ける。ADS330は、アプリケーション開発者、レビュア、ユーザ、管理者、および他の参加者が互いに通信するのに必要なユーザ・インターフェースを提供し、これにより、たとえばアプリケーション開発のユーザ/参加者は互いに対話できるようになる。このようなアプリケーション開発は、クラウド・システム上で実行してもよい。
開発されたアプリケーションのユーザは、個々のユーザ303または306(モバイル装置305および308)、ユーザ314(固定したワークステーション316)のユーザ・グループ310A(またはユーザ・サブグループ)とすることができる。システムのユーザは、アプリケーション開発者310Bおよび管理者310C、ならびにアプリケーションを開発または使用するために図5のシステムを使用する他の任意の人とすることもできる。このようなユーザは、専門家、開発者、テクニカル・サポート、アカウンティング、エキスパート、またはアプリケーションへの他の任意の参加者とすることができる。ユーザ装置305、308、316でのユーザ303、306、314には、患者、医師、医療従事者、コンサルタント、供給業者、アプリケーション開発者、コンテンツ開発者、金融機関、保険会社などが含まれ得る。あるいは、このユーザは、アプリケーション開発センタ304A、アプリケーション管理センタ304B、または運営センタ304Cに登録された政府側の権限者でもよい。
ADP302は、アプリケーション・ポータル・データベース340へのアクセスを実現し、このデータベースが、それぞれのアプリケーション開発プロセスに登録され、またはそれに関連した全ての参加者/ユーザについてのユーザ情報を記憶する。ADP302は、参加者が、ユーザIDおよびパスワードを用いて、アプリケーション開発サーバ330にログオンするための手段を提供する。ユーザIDに関連したアクセス権に基づいて、ADP302は、開発者、管理者、レビュア、医療従事者、教師、学生、または他の任意のタイプのユーザなどとして、この参加者を認証する。最後に、ADP302は、記憶された情報を、ADS330とサポート・センタ304A〜Cとの間で同期する。本発明のシステムおよび方法によって作成された環境を介して、たとえば、加入ベース、または他の営利もしくは非営利の仕組みにおいて、一元的または分散してホスティングされる方式でアプリケーションをユーザに提供することができる。
図6には、図4のSaaSで利用される様々なモジュールとのインターフェースのブロック図が示してある。本発明は、グラフィック・ユーザ・インターフェース(GUI)と、製品機能へのプログラムによるアクセスとの両方を提供する。GUIは、複数のオペレーティング・システムで利用可能な標準のウェブ技術を活用する。リプレゼンテーショナル・ステート・トランスファ(REST)やシンプル・オブジェクト・アクセス・プロトコル(SOAP)のインターフェースなど、標準のウェブ駆動技術を用いて、外部のプログラムによるアクセスがユーザに利用可能となる。標準のウェブ技術を使用することで、広く利用可能なオペレーティング・システム・プラットフォーム、ウェブ・ブラウザ、およびプログラミング言語を使用して、プログラムまたはウェブ・ブラウザを介したシステムとの対話が可能になる。さらに、ウェブ標準技術を使用することで、ユーザは遠隔で製品と対話できるようになる。ユーザは、もっぱらGUIを介して、発明したものと対話してもよいが、製品へのプログラマチック・インターフェースによって、迅速に内容を解析にかけ、タスク状況をチェックし、必要に応じてレポートを受信するための開発者リソースがユーザに提供される。大組織、および他のヘビーユーザは、プログラマチック・インターフェースを活用して、その組織のセキュリティ・フレームワークとのシームレスな統合を可能にしてもよい。
図7には、図6の製品強化モジュールのブロック図が示してある。本発明は、製品強化として分類された複数の機能を介して利用可能な機能に影響を及ぼす能力を、ユーザに与える。本発明の開発者は、製品強化フィードバック・メカニズムを用いてユーザが要求する機能を利用して、要求条件の設定および優先順位付けを支援する。製品強化フィードバックは、公表されているような役割を果たさないか、または現在の機能を強化するものとして分類してもよい。公表されているような役割を果たさないことは、プロセッサにとっての報告された侵入データの誤りもしくは欠落か、または製品機能の別の部分の誤りのいずれかとして分類することができる。現状機能の強化は、完全に新規の侵入メッセージ・プロセッサへの要求、または既存の侵入メッセージ・プロセッサへの拡張からなる。異常終了のタイプまたは強化への要求にかかわらず、本発明により、ユーザは、サポートする内容を提供して、開発者がユーザの要求に迅速に取り組めるようにすることが可能になる。内容の提供には、暗号鍵、マルウェア、マルウェアもしくは侵入のレポート、作成レポート、または処理およびレポート作成の作業を支援できる他の付随情報が含まれ得る。
図8には、図1のシステムの動作層の例示的なブロック図が示してあり、このシステムは、サービス加入者向けに開発したアプリケーションに本発明を実装する。この実施形態によれば、このシステムは、バックエンド・システム530、およびフロントエンド・システム560を備える。フロントエンド560は、開発したアプリケーションにアクセスして、それを使用するためのユーザ・インターフェースを、加入サービスのユーザおよび参加者に提供する。バックエンド・システム530は、システム管理、課金、マーケティング、広報などのために使用される。フロントエンド・システム560によって、アプリケーション・センタ562へのユーザ・アクセスが可能になり、このセンタは、バックエンド・データベース542Aおよび540Aにアクセスする。フロントエンド・システム560は、ユーザ装置550および552を介して、ユーザおよびユーザ・グループのセッションへの対話型アクセスを参加者に提供する。ユーザは、インターネット120を介して、または有線ネットワーク524および/もしくは無線ネットワーク526を介して、フロントエンド・システム560およびバックエンド・システム530とインターフェースする。バックエンドでは、専用ネットワークまたは公衆ネットワークでもよいネットワークを介して、ユーザ装置508がADP302に接続される。例示的な一実施形態では、ユーザ装置は、定義されたアクセス権に応じて、たとえば、ブラウザまたは他の任意の適切なアプリケーションもしくはアプレットだが、それだけに限定されないネットワーク・アクセス・アプリケーションを実行して、バックエンド・システム530またはフロントエンド560にアクセスする。このアクセス権は、たとえば様々なEALレベルに従って、複数レベルのアクセス制御の下で、複数レベルの管理特権に依存していてもよい。ユーザ510、552、または550には、ログイン・セッションおよび/または複数レベルの認証を経ることを要求してもよい。
図8に示す例示的な実施形態では、バックエンド・システム530は、1つまたは複数の負荷分散装置534A、534Bに結合されたファイアウォール532を備える。さらに、負荷分散装置534A〜Bは、1つまたは複数のウェブ・サーバ536A〜Bに結合される。ウェブ・サーバ536A〜Bは、1つまたは複数のアプリケーション・サーバ538A〜Cに結合されており、このアプリケーション・サーバのそれぞれが1つまたは複数のデータベース540、542を含み、かつ/またはそれにアクセスし、このデータベースは一元的なデータベースまたは分散データベースでもよい。負荷分散装置534A〜Bに結合しているウェブ・サーバ536A〜Bは、負荷分散機能を実行して、加入者、参加者、ユーザ、開発者、または管理者の要求をアプリケーション・サーバ538A〜Cのうちの1つまたは複数に転送することによって実行される最適なオンライン・セッションを実現する。アプリケーション・サーバ538A〜Cは、データベース・マネジメント・システム(DBMS)546および/またはファイル・サーバ548を備えてもよく、これらが、1つまたは複数のデータベース540、542へのアクセスを管理する。図7に示す例示的な実施形態では、アプリケーション・サーバ538Aおよび/または538Bが、参加者506、510、552にアプリケーションを提供し、このアプリケーションは、電子インターフェース、アプリケーション内容、参加者プロファイルなどを含む。コンテンツのいくらかは、アプリケーション・サーバ538Aおよび/または538Bに記憶されたコードを用いて生成され、他のいくらかの情報およびコンテンツは、必要なデータとともに、アプリケーション・サーバ538Cを介してデータベース540、542から取り出される。アプリケーション・サーバ538Bはまた、実行可能ファイルへのアクセス権をユーザ506、510、552に提供してもよく、この実行可能ファイルは、ダウンロードしてユーザ装置550、508、552にインストールして、適切な仮想アプリケーション環境を作成することができるが、これは、特定のアプリケーション、ユーザ、またはユーザ・グループ向けに調整される、商用、ブランディング、またはマーケティングの機能の有無にかかわらない。
一元的または分散型のデータベース540、542は、とりわけ、参加者に配布可能なコンテンツおよびアプリケーションの内容を記憶する。データベース540、542はまた、様々なタイプの参加者、開発者、管理者、ユーザ・グループ、医療従事者、教師、学生、アプリケーション開発センタ、アプリケーション管理センタ、管理センタ、ユーザ・プロファイル、課金情報、スケジュール、統計データ、進捗データ、ソーシャル・ネットワーク・データ、ユーザ属性、参加者属性、開発者属性、マス・コラボレーション・データ、順位付けデータ、コンプライアンス・データ、認可データ、課金ルール、第3者との契約ルール、政府からの要件などに関連し、またはそれらに関連付けられる、取出し可能な情報を記憶する。本発明のシステムを動作させることに関連する所望の目的を達成するため、必要に応じて、前述のデータの一部または全部を処理し、関連付けることができる。たとえば、統計データは、条件、ユーザ進捗、スケジュール、などに関連する。
図9は、図8のウェブ・サーバによって実装される、マルチプロセッシング・システムのアーキテクチャの図である。このシステムは、複数のサブシステム、すなわちウェブ・アプリケーション、ジョブ制御装置、およびジョブ実行装置からなる。サブシステムのそれぞれは、水平方向にスケーリングされるように設計され、クラウドベースのサービスとしてのプラットフォームのプロバイダに採用されることになる。全体として、このシステム全体は、単一のマシン上で実行することができる。あるいは、サブシステムの各インスタンスは、別個のマシンに採用される。ウェブ・アプリケーション・サブシステムは、外部システム・インターフェースおよび静的なウェブ・コンテンツをエンドユーザに提供する。これはまた、内部の通信インターフェースを使用して、ジョブ制御装置と通信し、それを制御する。アプリケーションを実行するクラスタ化されたウェブ・サーバへのアクセスは、既製の負荷分散ソリューションを用いてバランスをとることになる。ジョブ制御装置サブシステムは、ウェブ・アプリケーションの指示通りに、ジョブのキューを維持する。ジョブは、キューから取り出され、そのジョブ処理のスロットが利用可能になると、ジョブ実行装置のインスタンスに割り当てられる。ジョブのキューが大きくなりすぎると、ジョブ制御装置は、ジョブ実行装置の追加インスタンスを使用可能にするよう、サービスとしてのプラットフォームのプロバイダに要求することができる。逆に、ジョブ実行装置の多くのインスタンスが利用されていない場合、ジョブ制御装置は、これらのインスタンスを使用不能にすることができる。ジョブ実行装置のサブシステムは、ジョブ制御装置から割り当てられたジョブを実行し、その結果を戻す。マルウェア検出論理が、このサブシステムで生じることになる。ジョブ実行装置の単一のインスタンスは、複数の検出ワークフローを通して単一パケットを処理することと、複数のジョブを同時に処理することの両方について、マルチスレッド化されるように設計される。
図10には、図4のSaaSへの認証およびプロファイリングを実施する例示的な図が示してある。一実施形態では、装置715−1〜715−nのユーザは、特定のシステム内に登録してもよく、ネットワーク710(たとえばインターネット)に接続してもよい。装置715−1〜715−nのそれぞれは、コンピュータ、ワークステーション、モバイル装置、PDA、iPad(登録商標)、ラップトップ・コンピュータなどでもよい。サーバ705は、ソーシャル・ネットワーキング・システム700において維持してもよく、またサーバ760を含んでもよい。サーバ760は、サーバ705の機能の任意の組合せを含んでもよい。サーバ760はまた、ネットワーク710を介して、ソーシャル・ネットワーキング・システム700のその他の部分に接続してもよい。サーバ760は、サーバ705と同じネットワーク上、またはサーバ705とは異なるネットワーク上に配置してもよい。サーバ760は、オンライン協働システムを実現するのにソフトウェアが使用した他のインスタンスを実行または操作してもよい。サーバ760は、外国または国内の他の団体または実体によって、実行または操作されてもよい。サーバ760は、外国または国内の、同じだが別々の場所にある団体または実体によって、実行または操作されてもよい。
サーバ705は、ユーザ・プロファイル・データベース720、ユーザ・データベース725、アプリケーション・データベース730、アプリケーション・プロファイル・データベース735、ソーシャル・ネットワーク・データベース740、認証データベース745、アクセス制御データベース750、またはその任意の組合せを含む、複数のデータベースに接続してもよく、またはそれを含んでもよい。ユーザ・プロファイル720は、任意のユーザについて、コンテンツ、1週間のスケジュール、割当て、リソース、期日、議論、熟考、コンテンツの概要、コンテンツのレビュー、テスト、他の任意のコンテンツもしくはアプリケーションの内容情報、またはその任意の組合せを記憶してもよい。
ユーザ・データベース725は、システムを使用するユーザについての任意の情報を記憶してもよい。ユーザ・データベース725は、具体的事例、アプリケーション、団体、または会社と密接に関係している、全てのユーザの登録簿を記憶してもよい。一実施形態では、このようなユーザは、ネットワーク・アドレス、たとえばIPアドレスに関連付けられており、このアドレスをユーザ・プロファイルに記憶してもよい。ユーザ・データベース725は、ユーザの名前、ユーザの特定のデータおよびコンテンツ、場所、アドレスについての情報、ユーザもしくは開発者もしくは管理者が入力するユーザについての情報、ユーザの活動および関心事、ユーザの教育、ユーザの職務経歴、ユーザの写真など、またはその組合せを記憶してもよい。
アプリケーション・データベース730は、システム700が提供することがアプリケーションについての任意の情報を記憶してもよい。アプリケーション・データベース730は、コンテンツおよびアプリケーションの名前、識別子、数、説明、医療従事者、スケジュール、登録、過去のコンテンツ、将来のコンテンツ、コンテンツもしくはアプリケーションへの参加を許可されたユーザの数、アプリケーション構造、アプリケーションもしくはコンテンツの前提条件、ユーザ・グループ、またはその任意の組合せを記憶してもよい。
アプリケーション・プロファイル・データベース735は、自らの役割によるユーザについての情報を含め、ユーザまたはアプリケーションについての情報を記憶してもよい。たとえば、アプリケーション・プロファイル・データベース735は、患者が実行し終えたプログラム、患者が実行し終えた活動、患者が使い終えた健康製品の例、評価、順位付け、またはその任意の組合せについての情報を記憶してもよい。
ソーシャル・ネットワーク・データベース740は、このシステムのユーザについてのソーシャル・ネットワーキング情報を記憶してもよい。ソーシャル・ネットワーキング情報には、ユーザがつながっているそのユーザの知り合い、ユーザの交際範囲、ユーザのチャットでのつながり、ユーザのチャット履歴、ユーザのコミュニティ、ユーザに関連するコンテンツおよびアプリケーション、またはその組合せが含まれ得る。本明細書では、ユーザの交際範囲とは、このシステムのユーザに関連する1組の他のユーザを意味する。一実施形態では、ユーザは、その交際範囲を設定してもよい。本明細書では、ユーザのコミュニティには、このユーザがその一部であるとシステムによって識抜されているグループまたは団体が含まれ得る。コミュニティは、知り合いおよび交際範囲とは異なるが、それというのもユーザはコミュニティを直接変えることができないからである。プログラムまたはアプリケーションが終了したら、コミュニティを解散してもよく、または過去のコミュニティを維持してもよい。ソーシャル・ネットワーク・データベース740はまた、ソーシャル・ネットワーキング情報に関連する他の任意の情報を記憶してもよい。
認証データベース745およびアクセス制御データベース750は、このシステムにおける、セキュリティ、アクセス、または認証の情報を記憶してもよい。セキュリティまたは認証の情報には、ユーザのユーザ名、ユーザのパスワード、ユーザの識別情報を検証するのに使用されるセキュリティの質問、セキュリティの質問に対する回答、システムのどの部分にユーザがアクセスできるのか、またはその組合せが含まれ得る。
図11は、図1のシステムによって処理するための侵入内容の提出を示すブロック図である。本発明により、ユーザは、完全処理および侵入レポート生成のためにオフライン・ネットワーク・トラフィックを送信し、または送信された悪質なツール・トラフィックについてマルウェア・プロトコル・デコーダが存在するという通知を受信することができるようになる。ユーザは、オフライン・ネットワーク・トラフィックを送信して、少なくとも1つの既存の悪質なツール・トラフィック・プロセッサが存在するかどうか検出してもよい。システムによる処理の後、悪質なツールが検出される場合、全ての潜在的なプロセッサを識別し、その悪質なツールに対抗する現在の機能のリストを提供するレポートが生成される。検出機能は、高信頼度のリスト、悪質なツール・トラフィック・プロセッサ全体に組み込まれた高度な初期検出機能、利用可能で高度な検出方法および処理方法の全てを使用することに基づいている。空のレポートは、関連する悪質なツール・トラフィックに対抗する任意の有望な処理機能が、本発明には現在ないことを示す。次いで、ユーザには、このユーザの送信された悪質なツール・トラフィックを認識でき、侵入活動においてそれを処理できるプロセッサの開発要求を、製品強化動作モジュールを介して提出する選択肢がある。そうでなければ、本発明が少なくとも1つの候補プロセッサを戻す場合、ユーザには、処理および侵入の完全なレポートを作成するためにトラフィックを送信する選択肢がある。
ユーザは、プロセッサ機能レポートで識別されるように、侵入活動レポートの作成、および悪質なツール・トラフィックに対してリストに記載された詳細および活動について、オフライン・ネットワーク・トラフィックを送信してもよい。送信すると、本発明は、適用可能なプロセッサの決定を開始し、レポート生成のためにトラフィックの処理を開始する。この処理はバックグラウンドでただちに実行され、ユーザは、他の活動を実行し、または製品サイトを離れることができるようになる。処理は、復号化、暗号解読、または他の高度なリソースおよび非常に時間のかかる活動を含んでもよく、ユーザがタスク管理インターフェースを介して処理状況をチェックできる非対称処理および報告作業を必要とする。さらに、処理中には様々な高度のチェックが実行されて、適切なレポート詳細が確実に生成され、しかも潜在的な問題がユーザに強調表示される。処理中の高度なチェックはまた、送信されたオフライン・ネットワーク・トラフィックで使用される特定の悪質なツールを自動決定して、複数の潜在的な悪意あるツール・プロセッサが最初に検出されるときに非常に正確なレポート情報が確実に提示されるのに役立つ。
ユーザが送信したオフライン・ネットワーク・トラフィックが首尾よく処理されると、結果として、トラフィックを生成する(1つまたは複数の)悪質なツールについてのプロセッサ機能レポートに公表されている機能に一致する侵入データが作成される。たとえば、プロセッサ機能の公表されているリストが、悪質なツールの機能または収集された疑わしい活動に一致しない場合、開発者が新規のマルウェア・プロセッサを作製し、または既存のマルウェア・プロセッサを改良できるよう、ユーザは、製品強化動作モジュールを介して要求を提出してもよい。
悪質なツール・メッセージ処理は、機能しているように見えることがあるが、有用な侵入活動レポートを首尾よく作成してはいない。これが生じる症状は、レポートに入力される無意味なデータ、またはデータが欠落したレポートである。この挙動は様々な問題に起因する場合があり、こうした問題には、様々な中間処理検証チェックにもかかわらず生じる、選択されたプロセッサの誤識別、本発明が処理モジュールをそのために作製した悪質なツールの新規の変形形態もしくはカスタマイゼーション、またはプロセッサ内でのソフトウェア誤りが含まれる。ユーザは、製品強化動作モジュールを介して要求を送信して、処理機能不良の原因を調査してもよい。
悪質なツールによっては、高度な暗号解読処理を必要とする場合がある。この場合、本発明は、暗号攻撃、鍵発見、および同じ悪質なツールの他のサンプルで観察される暗号鍵の使用を含め、様々な技術を使用して暗号解読を試みようとする。自動化されてほぼすぐ使える暗号解読技法が機能しないか、または利用可能でない場合、それよりも期間の長い暗号解読技法を要求してもよいことがユーザに通知される。その時点で、ユーザはまた、追加の悪質なツール・トラフィック、任意の侵入解析ノート、他の方法で得られた暗号鍵、または悪質なツールへの感染を促されて、他の方法では場合によっては不可能な、またはリソースおよび時間をかなり要する暗号解読処理が可能になる。本発明は、付随情報から暗号解読するのに必要となる暗号鍵を抽出しようと試みる、様々な自動処理を有する。鍵抽出のための付随情報のこの処理は完全自動でもよく、それにより、悪質なツール・トラフィックが、暗号解読用のプロセッサに再注入されることになる。鍵抽出の自動処理が異常終了する場合、本発明は任意選択として、相対的に期間の長い様々な解析技法を利用して、鍵抽出など暗号解読を可能にする手法または技法を試みることができる。可能なら、全てのステップおよび推定完了時間が、タスク管理インターフェースを介してユーザに伝達される。
図12は、図4のSaaSによって利用される入れ子型のプロトコル処理のブロック図である。侵入を発見すると、複数の理由により、集中して処理する期間が必要となるが、それというのも、顧客は、悪質な通信を復号化し、それに続いて作業期間を最小限に抑えたいと望むからである。クラウド・インフラストラクチャを活用して、修正を処理するためのアップグレードの迅速な導入、攻撃の合間に攻撃者が既存の悪質なAPTツールを修正するときの適合処理、およびコスト上限内の処理要求を満たすための自動処理インフラストラクチャのスケーリングを可能にする。本発明は、既に収集されたサイバー攻撃ツールのメッセージを処理するという位置付けである。したがって、あるタイプのリアルタイム・ネットワーク収集装置および処理装置とは異なり、サーバが、適時にデータを処理するのに十分な速さではないという危険性はほとんどない。キュー管理システムを実装して、確実に全ての顧客が適時にレポートを受信できるようにする。
APTネットワーク通信は、複数の符号化、難読化、データ隠蔽、および暗号化の技法をしばしば使用し、これらは、多段の識別および処理を必要とする。攻撃についての詳細情報を正確に報告するために、マルウェアが使用するネットワーク通信プロトコルを処理して、使用可能なフォーマットにしなければならない。本発明は、再使用可能な処理ブロックを利用して、入れ子型のプロトコル処理、復号化、および報告するのに適したフォーマットにデータを変換するために必要な暗号解読を実行する。プロトコル・プロセッサはまた、適切なメタデータを抽出して、報告で使用される鍵となる情報を提供する。
本発明は、物理層からアプリケーション層までの後続の処理および報告のために、通信データおよび抽出データの再構成に必要な全てのプロトコル層を処理する。これには、適切な場合、デフラグメンテーションおよびセッション化などの態様が含まれる。プロトコル・プロセッサは、層を認識しており、マルウェアが生成する全ての関連情報を検出および抽出するのに必要な、全てのプロトコル・フィールドにアクセスすることになる。本発明は、知的所有権および非標準のプロトコルを扱う。本発明はまた、インターネット技術タスクフォース(IETF)、コメント要求(RFC)仕様などの既存の業界標準を侵害する方式で既存のプロトコルが使用されるときに、オフライン・ネットワーク・トラフィックを処理する。
処理されているプロトコルが、符号化スキームを使用してデータを送信または難読化するとき、本発明は、適切な復号化スキームを利用して、データを後続の処理または報告に適したものにする。たとえば、本発明は、Base64符号化、ユーユー符号化、および同様の標準符号化スキームを復号化する。本発明は、非標準のアルファベットを用いるBase64符号化、またはビット逆転とそれに続くBase64符号化のように、データを難読化しようとする非標準符号化スキームをも扱う。
図13は、解析装置Aを示す、検出段階および解析段階を有するDNSカバート・チャネルの一例の流れ図である。
組織のセキュリティ監視ソフトウェアが、そのネットワーク・セキュリティ監視インフラストラクチャによる通知を介して、カバート・チャネルを発見する。組織のセキュリティ・チームが、このセキュリティ通知に関連するトラフィックの収集をただちに開始して、詳細な自動侵入解析について本発明に送信する。組織は、可能性のあるプロセッサを識別するためにオフライン・ネットワーク・トラフィックを送信し、これによって、侵入活動レポートを生成することができるようになる。可能性のあるマルウェア・プロセッサを識別するためだけのトラフィックを最初に送信するので、本発明は、侵入活動生成のための可能性のある2つの完全処理モジュールを報告する。すなわち、一方は、ドメイン・ネーム・システム(DNS)プロトコルを使用する悪質なツール・プロトコルであり、もう一方は、DNS上で動作するカバート・チャネルである。有望なプロセッサが存在するということを確信して、組織のセキュリティ・チームは、完全処理のためにオフライン・ネットワーク・トラフィックを送信することを選択する。
本発明は、2つの潜在的なプロセッサを識別し、互いに復号および暗号解読を試みる。両方の候補プロトコルがDNSパケットから構成されているにもかかわらず、DNSパケットのコンテンツは、DNSを使用する悪質なプロトコルに応じて異なるものになる。本発明のプリプロセッサは、DNSトラフィックを認識し、基本となるネットワーク層フラグメンテーション、またはトランスポート層セッション化にかかわらず、DNSラフィックが確実正確に処理されるように、必要に応じて最良の第三者開発およびカスタム開発されたDNS処理技法を使用する。DNSトラフィックが解析され、次いで、プロセッサAおよびプロセッサBに送られて、さらに検証および侵入活動処理が実行される。
プロセッサAは、DNSメッセージを検査し、DNSクエリ・ホストネームの最下位レベル領域(LLD)部分のDNSクエリでの、Base32符号化されたコマンドを検索する。プロセッサA用のBase32デコーダは、ホストネームのLLD部分を復号化しようと試み、不適切な文字が生じることによって異常終了する。プロセッサAは、この異常終了を制御装置に報告する。ネットワーク収集が破損しているか、プロセッサAに関連するマルウェアが、そのプロトコルを変更したか、またはこれは、プロセッサAによって処理されるプロトコルに関連していない異なるマルウェアである。
プロセッサBは、DNSメッセージを検査し、既知のDNSトンネリング・プロトコルに関連するトラフィックを検索する。このプロトコルは、アドバンスド・パーシスタント・スレット(APT)攻撃者によって使用されてきたものである。このプロトコルは、GZIP圧縮されたオフライン・ネットワーク・トラフィックのBase32、Base64、またはBase128符号化のいずれかを使用する。プロセッサAのように、被害者からAPT攻撃者への情報は、DNSクエリ・ホストネームの最下位レベル領域(LLD)での符号化された情報からなる。プロセッサBは、被害者と攻撃者の間で送られるときにMD5ハッシュ化されたパスワード、ならびにDNSカバート・チャネル・ツールのバージョンを識別および抽出する。このツールのバージョンは「0.7.0」である。
侵入活動の抽出を継続するには、ツールのバージョンもAPT攻撃者のパスワードも必要ではないが、両方とも、攻撃者の可能性のある属性に対する潜在的な手がかり、または他の攻撃を追跡して法執行を支援することになる情報を提供する。この場合、ツールのバージョンは、プロセッサBが識別および抽出するにはどうでもよいものである。ハッシュ化されたパスワードを暴露するには、追加処理が必要となる。プロセッサBは、MD5ハッシュを適切なパスワード・デコーダ・モジュールに伝達し、これが、様々な力ずく、辞書、およびハッシュ事前計算(レインボー・テーブル)技法を使用して、攻撃者が使用するパスワードをプロセッサBに戻して報告する。この場合、パスワードは「メドベージ」であり、これはロシア語で「熊」であり、ことによると、APT攻撃者は、この場合ロシア出身であることを示す。
プロセッサBは、パスワードおよびバージョン番号の抽出と並行して、侵入活動の抽出を継続する。Base32およびBase64のデコーダは両方とも、不適切な文字が存在することに起因する異常終了を報告するが、Base128デコーダは正常終了を報告する。次いで、プロセッサBは、GZIP圧縮のトラフィックを検査し、正常終了する。プロセッサBは、非圧縮データを解析し、カバート・チャネル・トラフィックの保守および管理用のヘッダ情報からなる、既知のDNSトンネリング・プロトコルとして、このプロトコルを認識する。プロセッサBは、攻撃者へ向かうアップストリームおよび被害者へ向かうダウンストリームの双方向で収集されたトラフィックを、デフラグおよび再構築する。このプロセッサは、攻撃者が、そのトラフィックを復号化および解析するため、標的に対する搾取行為を維持できるようにする、同じトラフィック管理技法を使用することができる。プロセッサBは、数多くのDNSパケットにわたって観察される、フラグメント化されたカバート・チャネル・メッセージを再構築し、次いで、明らかにされて再構築されたトラフィックを解析し、これは、基本となる通信がIPパケットであることを示す。抽出されたIPパケットは、適切なメタデータでマーキングされて、このパケットを元のDNSカバート・チャネル通信に関連付け、組織に戻すためPCAPフォーマットで保存される。
次いで、抽出されたパケットは、顧客のオフライン・ネットワーク・トラフィック送信がとるはずの同じ処理および報告の流れで、可能性のある悪質なトラフィック処理のために全てのモジュールによって処理するよう、制御装置に再注入される。この目的は、可能性のある悪質なツール・トラフィック、およびIPアドレスやポートなどのトラフィック・インジケータについて、これまで隠されていたネットワーク通信を検査することであり、このIPアドレスやポートは、プロセッサBからのカバート・チャネル上で実行される報告と組み合わせると特に価値がある。元のトラフィックだけが組織の1つのDNSサーバのIPから来ると思われるにもかかわらず、抽出されたパケット上で実行される、この第2ラウンドの処理の結果、被害者のネットワークでのAPT攻撃者と12のIPアドレスとの間の侵入活動が発見されることになる。
処理の全ての段階全体を通して、侵入に関連するトラフィックから抽出できる全ての情報が、XMLなどの構造化メタデータ・フォーマットでレポートに書き込まれる。IPアドレス、TCPおよびUDPのポート、あらゆる固有のマルウェア識別子、ならびに全てのマルウェア・コマンドおよび応答のコードが、人間の読めるフォーマットに変換される。抽出されたIPアドレス、関連するDNSホストネーム、パスワード、および注入識別値を含め、DNSカバート・チャネル内で使用される全てのメタデータが、保存され、報告される。これは、被害者および行為者の侵入データについても処理された、カプセル化カバート・チャネルの下で隠された通信チャネル用に保存されたメタデータに加えられる。
完了すると、機械読取り可能なレポートとして、または本発明のグラフィカル・ユーザ・インターフェース(GUI)を介して目に見えるものとして、レポートが組織に利用可能となる。組織は、まずGUIを介してこのレポートを確認し、そのネットワーク内の被害者の12のIPアドレスを記録する。組織は、その情報を組織のマシンの機能と関係付け、次いで、抽出され、これまで隠されていたネットワーク通信を検査して、APT連邦政府の契約のために解析されるデータ、およびこの契約において使用するための企業が開発した知的所有権下にあるアルゴリズムを、攻撃者がひそかに抽出したことが分かる。GUIレポートの最初の確認の後、組織は、その企業セキュリティ事故報告の枠組みで受け入れるために、プログラムによるレポートをダウンロードし、関連のある侵入トラフィックをさらに送信して報告を拡充する。
図14は、解析装置AおよびBを示す、検出段階および解析段階を有するDNSカバート・チャネルの一例の流れ図である。組織は、その侵入検知システムを介して悪質だと識別されてきたオフライン・ネットワーク・トラフィックを送信する。組織のセキュリティ・チームは、詳細な自動侵入解析に供するために、侵入検知システムの警告に関連するトラフィックの収集をただちに開始する。組織は、可能性のあるプロセッサを識別するためにオフライン・ネットワーク・トラフィックを送信し、これによって、侵入活動レポートを生成することができるようになる。可能性のあるマルウェア・プロセッサを識別するためだけのトラフィックを最初に送信するので、本発明は、侵入活動生成のための可能性のある2つの完全処理モジュールを報告する。有望なプロセッサが存在するということを確信して、組織のセキュリティ・チームは、完全処理のためにオフライン・ネットワーク・トラフィックを送信することを選択する。
本発明は、潜在的な2つのプロセッサを識別し、互いに復号および暗号解読を試みる。両方の候補マルウェア・プロトコルが、同じキーワード「BANANA」から始まるTCPから構成されているにもかかわらず、この2つのプロトコルは、劇的に異なるコンテンツを継続する。両方のプロセッサは、さらなる処理が生じる前に発生するTCPセッション化を利用するので、送信されたPCAPファイルが処理されて、IPパケットからTCPセッションを作成する。プロセッサAとBは両方とも、最初の「BANANA」チェックに一致し、したがって、TCPセッションが両方のプロセッサに送られて、さらに解析される。
プロセッサAは、標準のBase32符号化スキームで符号化された、GZIP圧縮されたデータに従う。プロセッサA用のBase32デコーダは、GZIP圧縮されたデータを公表しない。データは誤ったフォーマットにあり、したがって、プロセッサAが、誤り状況を制御装置に戻す。ネットワーク収集が破損しているか、プロセッサAに関連するマルウェアが、そのプロトコルを変更したか、またはこれは、プロセッサAによって処理されるプロトコルに関連していない異なるマルウェアである。
本発明のプロセッサBはまた、キーワード「BANANA」から始まるTCPデータをチェックするが、以下のデータがLZ4圧縮されることを見込む。LZ4復元が試みられ、復元された悪質なトラックを首尾よく戻す。追加のチェックが実行されて、復元されたデータが文字列「FINISHED」で終了し、正常に戻ることを確認する。この復元されたデータは、マルウェア用のコマンド符号語、3つのコロン、マルウェアの一意な識別子、3つのコロン、次いでコマンドの内容または被害者からのコマンドの結果、および最後には文字列「FINISHED」から構成される。この場合、被害者に送信されたことが観察されるコマンドは、Excelスプレッドシート用であり、これからのオフライン・ネットワーク・トラフィックが、ファイル・アップロードのコマンド応答としてマルウェア・コードでラベル付けされる。本発明のプロセッサBは、有望なファイル・コンテンツを自動的に抽出し、どのタイプのファイルがExcelファイルのヘッダの検査を介してサイバー攻撃者に伝送されたのかを検証し、侵入活動レポートの送達中にクライアントに送達するためのファイルを保存する。
この処理中、侵入に関連するトラフィックから抽出できる全ての情報が、XMLなどの構造化メタデータ・フォーマットでレポートに書き込まれる。IPアドレス、TCPポート、あらゆる固有のマルウェア識別子、および全てのマルウェア・コマンドおよび応答のコードが、人間の読めるフォーマットに変換される。攻撃者が制御する被害マシンが攻撃者のサーバにアップロードするファイル名など、被害者に送信された全てのコマンド・コンテンツがリストに記載される。全てのコマンド応答もリストに記載される。ファイルが攻撃者にアップロードされる場合、キャプチャされた添付ファイルへのリンクが、実ファイル名(自動解析がファイル名を識別できるとき)か、独自のファイル名(元のファイル名を確認できないとき)のいずれかでリストに記載される。この場合、本発明のプロセッサBはファイル名を関連付けることができ、したがって、レポートは、顧客のマシン上でファイルに名前が付けられるときに、そのファイルへのリンクを含む。
完了すると、機械読取り可能なレポートとして、または本発明のグラフィカル・ユーザ・インターフェース(GUI)を介して目に見えるものとして、送信する組織にレポートが利用可能となる。組織は、まずGUIを介してこのレポートを確認し、レポート検索機能を使用して、会社の極秘プロジェクトに関係付けられた文字列、および会社のクレジット・カード処理に関連付けられたデータを検索して、いずれのデータが攻撃者の手に落ちたのか確認する。さらに、顧客の情報セキュリティ担当者は、生成された侵入活動レポートを使用して、識別された7つのマシン上に、7つのマルウェアが存在することを迅速に識別する。GUIレポートの最初の確認の後、組織は、その企業セキュリティ事故報告の枠組みで受け入れるために、プログラムによるレポートをダウンロードし、関連のある侵入トラフィックをさらに送信して報告を拡充する。
図15は、解析装置AおよびBを示し、この解析装置Bが4バイトのXORを使用する、検出段階および解析段階を有するDNSカバート・チャネルの一例の流れ図である。組織は、その侵入検知システムを介して悪質だと識別されてきたトラフィックを送信する。組織のセキュリティ・チームは、実現可能で詳細な自動侵入解析に供するために、侵入検知システムの警告に関連するトラフィックの収集をただちに開始する。組織は、可能性のあるプロセッサを識別するためにオフライン・ネットワーク・トラフィックを送信し、これによって、侵入活動レポートを生成することができるようになる。本発明は、侵入活動生成のための可能性のある2つの完全処理モジュールを報告し、組織のセキュリティ・チームは、完全処理のためにオフライン・ネットワーク・トラフィックを送信することを選択する。
本発明は、可能性のある2つのプロセッサを識別し、互いにデータの復号を試みる。両方のプロセッサが、本質的にいくらかランダムなデータを受信することを予測しているので、いずれのプロセッサを実行すべきかを識別するための既知のパターンはデータ内に存在しない。本発明は、復元を試みることによってZIPの変形形態が使用されるかどうか迅速に検証することができ、その結果、最初にそのプロセッサを実行することを選択する。プロセッサAは、再構築されたTCPストリームを、わずかに修正されたZIPアーカイブとして処理しようと試みる。この変形形態を生成するマルウェアは、ZIPファイルの最初の4バイト(「マジック・バイト」と呼ばれている)を取り除いて、検出を回避するが、ZIPファイル・セントラル・ディレクトリをファイルの末尾に残す。プロセッサAは、本発明のエントロピー・チェック・モジュールを使用して、オフライン・ネットワーク・トラフィックのコンテンツが、セントラル・ディレクトリまでのZIPファイル・データである可能性が高いことを識別する。プロセッサAは、セントラル・ディレクトリを分析し、ZIPアーカイブに共通のマジック・バイトを、再構築されたTCPストリームの先頭に追加し、次いで、想定したZIPファイルを復元しようと試みる。復元ルーチンは、データを復元することができず、異常終了した復号を示す誤りコードを戻す。
プロセッサBは、攻撃ツール・プロトコルに関連しており、これが、全ての伝送済みデータに4バイトXORを使用する。このツールを用いてこれまでに発見された攻撃では、APT行為者が、攻撃ごとにXOR鍵の暗号化変数を変更することが示されてきたが、被害者および攻撃インフラストラクチャとの間の、基本となる暗号化されたコマンドおよび応答は常に同じである。本発明のプロセッサBは、TCPセッションを開始することになる7つのコマンドの、可能性のある256全ての暗号文を事前計算している。プロセッサBは、HTTP POSTコンテンツの第1の部分を、可能性のある全ての暗号文サンプルに照らしてチェックする。プロセッサBの比較は正常終了し、暗号文に関連する4バイト鍵を、0xDE 0xAD 0xBE 0xEFとして識別する。プロセッサBは、侵入オフライン・ネットワーク・トラフィックを暗号解読モジュールに伝達し、この暗号解読モジュールが、鍵0xDE 0xAD 0xBE 0xEFを使用して、全てのHTTP POSTコンテンツを暗号解読する。暗号解読モジュールは、暗号解読されたトラフィックをプロセッサBに戻し、侵入活動通信からここで明らかとなったコマンドおよび応答が、解析および報告に利用可能となる。プロセッサBは、被害者のネットワークとの間で双方向に侵入活動を処理するステップと、結果を侵入レポートに書き込むステップとを開始する。
完了すると、機械読取り可能なレポートとして、または本発明のグラフィカル・ユーザ・インターフェース(GUI)を介して目に見えるものとして、組織にレポートが利用可能となる。組織は、まずGUIを介してレポートを確認し、復号化されたPDFファイルを見て、どのデータが攻撃者の手に落ちたか発見する。さらに、組織の情報セキュリティ担当者は、本発明の生成された侵入活動レポートを使用して、識別された7つのマシン上に、7つのマルウェアが存在することを迅速に識別する。ファイル・サーバの接続がこの7つのマシンに対して確立されているので、侵入活動報告によって、攻撃者がネットワーク上の全ての内部値付け記録および未提出の暫定特許文書をひそかに抽出したことが明らかになった。GUIレポートの最初の確認の後、組織は、その企業セキュリティ事故報告の枠組みで受け入れるために、プログラムによるレポートをダウンロードし、関連のある侵入トラフィックをさらに送信して報告を拡充する。
図16aには、標準プロトコル・スタック内でのカバート・チャネルのプロセスが示してある。このスタックは、様々な標準層1〜nを含む。プロトコル・スタックの各層は、それ自体のカバート・チャネルの痕跡1〜nを有する。APTツールは、プロトコル・スタックの各層のうち任意の層で利用でき、標準プロトコルを乱用して検出を回避できるカバート・チャネルを使用する場合がある。本発明は、プロトコル処理の一部としてカバート・チャネルが送信される層から、カバート・チャネルを抽出する。本発明のカバート・チャネル・プロセッサは、プロトコル・スタックの任意の部分で、カバート・チャネル情報を識別および抽出することができる。たとえば、悪質なソフトウェアが、IPヘッダ、インターネット制御メッセージ・プロトコル(ICMP)メッセージ、またはドメイン・ネーム・システム(DNS)メッセージ内のカバート・チャネル内に、その抽出データを隠す場合、処理アルゴリズムは、入力データをPCAPフォーマットで受信し、それに応じてカバート・チャネルからデータを抽出する。
図16bには、標準プロトコル・スタック内でのマルウェアのプロセスが示してある。このスタックは、様々な標準層1〜nを含む。プロトコル・スタックの各層は、それ自体のマルウェアの痕跡1〜nを有する。
図17aは、カバート・チャネルのプロセスの流れ図である。カバート・チャネルの逸脱は、標準プロトコル・スタックの任意の1つまたは複数の層におけるものとすることができる。オフライン・ネットワーク・トラフィックは、図4のSaaSに送信される。オフライン・ネットワーク・トラフィックが処理される。カバート・チャネルの検出は、標準プロトコルの逸脱に基づく。プロセスが完了すると、レポートが生成される。
図17bは、マルウェアのプロセスの流れ図である。標的に対するマルウェア攻撃ツールは、標準プロトコルから逸脱することなく、メッセージを伝達するのに標準プロトコル・スタックを使用する。オフライン・ネットワーク・トラフィックは、図4のSaaSに送信される。オフライン・ネットワーク・トラフィックが処理される。マルウェアの検出は、標準プロトコルの逸脱とは無関係である。プロセスが完了すると、レポートが生成される。

Claims (18)

  1. オフライン・ネットワーク・トラフィックを処理するように構成された1つまたは複数のサーバであって、前記オフライン・ネットワーク・トラフィックが、対応する複数のカバート・チャネルのシグネチャーに関連する複数のカバート・チャネルの存在を示すことのできる既定のフォーマットを有し、各カバート・チャネルが、検出を回避するために標準ネットワーク・プロトコルから逸脱することによってメッセージを伝達するツールを含む、1つまたは複数のサーバと、
    前記オフライン・ネットワーク・トラフィックを解析するように構成された複数のカバート・チャネル・プロセッサであって、1つまたは複数のカバート・チャネルのシグネチャーに基づいて、前記オフライン・ネットワーク・トラフィックが、前記標準ネットワーク・プロトコルから逸脱しているかどうか判定することを前記解析が含む、複数のカバート・チャネル・プロセッサと
    を含む、ネットワーク侵入検出のためのシステム。
  2. 前記オフライン・ネットワーク・トラフィックを解析してマルウェアを検出するように構成された複数のマルウェア・プロセッサをさらに含み、マルウェアが、逸脱することなく前記標準ネットワーク・プロトコルを使用する、請求項1に記載のシステム。
  3. 前記オフライン・ネットワーク・トラフィックを解析してステガノグラフィを検出するように構成された複数のステガノグラフィ・プロセッサをさらに含む、請求項1に記載のシステム。
  4. 前記オフライン・ネットワーク・トラフィックを解析して潜在的に不要なプログラム(PUP)を検出するように構成された複数のPUPプロセッサをさらに含む、請求項1に記載のシステム。
  5. 前記オフライン・ネットワーク・トラフィックが、複数の標準層を有する少なくとも1つの標準ネットワーク・プロトコル・スタックを含む、請求項1に記載のシステム。
  6. 前記カバート・チャネルが、前記標準ネットワーク・プロトコル・スタックの少なくとも1つの標準ネットワーク層で利用される、請求項5に記載のシステム。
  7. 前記少なくとも1つの標準ネットワーク層が、HTTPまたはTCP/IPのうちの1つを含む、請求項6に記載のシステム。
  8. 前記オフライン・ネットワーク・トラフィックが、第1のレベルおよび第2のレベルを含む2つのレベルで解析され、
    前記第1のレベルの解析において、カバート・チャネルのシグネチャーに基づいて逸脱が検出され、
    前記第2のレベルでは、解析が、標準での暗号解読プロセス、キーイン・プロセス、管理検出プロセス、ヘッダ・チェック・プロセス、またはフィールド・チェック・プロセスのうちの少なくとも1つを含む、請求項1に記載のシステム。
  9. ネットワーク・データ・トラフィックの前記既定のフォーマットがPCAPファイルである、請求項1に記載のシステム。
  10. オフライン・ネットワーク・トラフィックを処理するステップであって、前記オフライン・ネットワーク・トラフィックが、対応する複数のカバート・チャネルのシグネチャーに関連する複数のカバート・チャネルの存在を示すことのできる既定のフォーマットを有し、各カバート・チャネルが、検出を回避するために標準ネットワーク・プロトコルから逸脱することによってメッセージを伝達するツールを含むステップと、
    1つまたは複数のカバート・チャネルのシグネチャーに基づいて、前記オフライン・ネットワーク・トラフィックが、前記標準ネットワーク・プロトコルから逸脱しているかどうか判定するステップと
    を含む、ネットワーク侵入検出のための方法。
  11. 前記オフライン・ネットワーク・トラフィックを解析してマルウェアを検出するステップをさらに含み、マルウェアが、逸脱することなく前記標準ネットワーク・プロトコルを使用する、請求項10に記載の方法。
  12. 前記オフライン・ネットワーク・トラフィックを解析してステガノグラフィを検出するステップをさらに含む、請求項10に記載の方法。
  13. 前記オフライン・ネットワーク・トラフィックを解析してPUPを検出するステップをさらに含む、請求項10に記載の方法。
  14. 前記オフライン・ネットワーク・トラフィックが、複数の標準ネットワーク層を有する少なくとも1つの標準ネットワーク・プロトコル・スタックを含む、請求項10に記載の方法。
  15. 前記カバート・チャネルが、前記標準ネットワーク・プロトコル・スタックの少なくとも1つの標準ネットワーク層で利用される、請求項14に記載の方法。
  16. 前記少なくとも1つの標準ネットワーク層が、HTTPまたはTCP/IPのうちの1つを含む、請求項15に記載の方法。
  17. 前記オフライン・ネットワーク・トラフィックが、第1のレベルおよび第2のレベルを含む2つのレベルで解析され、前記第1のレベルの解析において、カバート・チャネルのシグネチャーに基づいて逸脱が検出され、前記第2のレベルでは、解析が、標準での暗号解読プロセス、キーイン・プロセス、管理検出プロセス、ヘッダ・チェック・プロセス、またはフィールド・チェック・プロセスのうちの少なくとも1つを含む、請求項10に記載の方法。
  18. ネットワーク・データ・トラフィックの前記既定のフォーマットがPCAPファイルである、請求項10に記載の方法。

JP2017543709A 2014-10-31 2015-09-10 オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 Active JP6527590B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201462073376P 2014-10-31 2014-10-31
US62/073,376 2014-10-31
PCT/US2015/049414 WO2016069119A1 (en) 2014-10-31 2015-09-10 A system and method for network intrusion detection of covert channels based on off-line network traffic

Publications (3)

Publication Number Publication Date
JP2017538376A JP2017538376A (ja) 2017-12-21
JP2017538376A5 JP2017538376A5 (ja) 2018-10-18
JP6527590B2 true JP6527590B2 (ja) 2019-06-05

Family

ID=55854018

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017543709A Active JP6527590B2 (ja) 2014-10-31 2015-09-10 オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法

Country Status (5)

Country Link
US (1) US9832213B2 (ja)
EP (1) EP3213207A4 (ja)
JP (1) JP6527590B2 (ja)
CA (1) CA2966408C (ja)
WO (1) WO2016069119A1 (ja)

Families Citing this family (66)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9286047B1 (en) 2013-02-13 2016-03-15 Cisco Technology, Inc. Deployment and upgrade of network devices in a network environment
US9886581B2 (en) * 2014-02-25 2018-02-06 Accenture Global Solutions Limited Automated intelligence graph construction and countermeasure deployment
US9794229B2 (en) 2015-04-03 2017-10-17 Infoblox Inc. Behavior analysis based DNS tunneling detection and classification framework for network security
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US9800497B2 (en) 2015-05-27 2017-10-24 Cisco Technology, Inc. Operations, administration and management (OAM) in overlay data center environments
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10089099B2 (en) 2015-06-05 2018-10-02 Cisco Technology, Inc. Automatic software upgrade
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US10033766B2 (en) 2015-06-05 2018-07-24 Cisco Technology, Inc. Policy-driven compliance
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10462116B1 (en) * 2015-09-15 2019-10-29 Amazon Technologies, Inc. Detection of data exfiltration
US10609079B2 (en) * 2015-10-28 2020-03-31 Qomplx, Inc. Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management
US11277383B2 (en) * 2015-11-17 2022-03-15 Zscaler, Inc. Cloud-based intrusion prevention system
CN106921608B (zh) * 2015-12-24 2019-11-22 华为技术有限公司 一种检测终端安全状况方法、装置及系统
US10075458B2 (en) * 2016-04-29 2018-09-11 International Business Machines Corporation Cognitive and contextual detection of malicious DNS
US10931629B2 (en) 2016-05-27 2021-02-23 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10171357B2 (en) 2016-05-27 2019-01-01 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
GB2539100B (en) * 2016-05-31 2021-01-20 F Secure Corp Preventing security threats in a computer network
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US10241847B2 (en) * 2016-07-19 2019-03-26 2236008 Ontario Inc. Anomaly detection using sequences of system calls
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
US10097568B2 (en) 2016-08-25 2018-10-09 International Business Machines Corporation DNS tunneling prevention
EP3293938B1 (en) 2016-09-12 2021-06-30 Vectra AI, Inc. Method and system for detecting suspicious administrative activity
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
US10412107B2 (en) 2017-03-22 2019-09-10 Microsoft Technology Licensing, Llc Detecting domain name system (DNS) tunneling based on DNS logs and network data
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
US10791128B2 (en) * 2017-09-28 2020-09-29 Microsoft Technology Licensing, Llc Intrusion detection
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
US10567156B2 (en) 2017-11-30 2020-02-18 Bank Of America Corporation Blockchain-based unexpected data detection
US10693892B2 (en) 2017-12-11 2020-06-23 International Business Machines Corporation Network attack tainting and tracking
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US11765046B1 (en) 2018-01-11 2023-09-19 Cisco Technology, Inc. Endpoint cluster assignment and query generation
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10873593B2 (en) 2018-01-25 2020-12-22 Cisco Technology, Inc. Mechanism for identifying differences between network snapshots
US10917438B2 (en) 2018-01-25 2021-02-09 Cisco Technology, Inc. Secure publishing for policy updates
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry
CN108366074B (zh) * 2018-03-08 2021-02-05 北京明朝万达科技股份有限公司 一种网络数据包防劫持方法及装置
US11736497B1 (en) * 2018-03-19 2023-08-22 Bedrock Automation Platforms Inc. Cyber security platform and method
EP3769247B1 (en) * 2018-03-22 2023-07-26 Morphisec Information Security 2014 Ltd. System and method for preventing unwanted bundled software installation
CN110149418A (zh) * 2018-12-12 2019-08-20 国网信息通信产业集团有限公司 一种基于深度学习的dns隐蔽隧道检测方法
IL263956A (en) * 2018-12-24 2020-06-30 Amzel Moshe Systems and methods for early detection, warning and prevention of cyber threats
US11277436B1 (en) * 2019-06-24 2022-03-15 Ca, Inc. Identifying and mitigating harm from malicious network connections by a container
JP7393517B2 (ja) 2019-07-23 2023-12-06 サイバー クルシブル インコーポレイテッド. ランサムウェアの検出及び軽減のためのシステム及び方法
CN110601878B (zh) * 2019-08-28 2022-02-01 孙红波 一种构建隐身网络的方法
KR102384685B1 (ko) * 2019-11-20 2022-04-11 한국전자통신연구원 비균일 트래픽을 고려한 중앙 집중형 스케줄링 장치 및 방법
CN110838913B (zh) * 2019-11-26 2022-09-30 华侨大学 一种基于秘密共享的时间式网络隐蔽信道检测方法
CN111641951B (zh) * 2020-04-30 2023-10-24 中国移动通信集团有限公司 一种基于sa架构的5g网络apt攻击溯源方法及系统
CN111556066A (zh) * 2020-05-08 2020-08-18 国家计算机网络与信息安全管理中心 一种网络行为检测方法及装置
US11546368B2 (en) * 2020-09-28 2023-01-03 T-Mobile Usa, Inc. Network security system including a multi-dimensional domain name system to protect against cybersecurity threats
US11916942B2 (en) 2020-12-04 2024-02-27 Infoblox Inc. Automated identification of false positives in DNS tunneling detectors
CN114666073B (zh) * 2020-12-04 2023-06-13 四川大学 一种基于ssl协议完备通信的隐蔽信道传输方法
CN112511556B (zh) * 2020-12-16 2023-04-07 杭州迪普科技股份有限公司 用户认证状态监控方法、装置及系统
CN114268424B (zh) * 2021-12-21 2023-06-30 上海理工大学 电动汽车负载频率控制系统中隐蔽网络攻击的检测方法
CN117596082B (zh) * 2024-01-18 2024-03-26 网御安全技术(深圳)有限公司 一种隐蔽信道的检测方法、系统及相关设备
CN117972730A (zh) * 2024-03-29 2024-05-03 成都工业学院 一种电子信息数据交互的低风险安全控制方法及系统

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7543148B1 (en) * 1999-07-13 2009-06-02 Microsoft Corporation Audio watermarking with covert channel and permutations
JP4088082B2 (ja) * 2002-02-15 2008-05-21 株式会社東芝 未知コンピュータウイルスの感染を防止する装置およびプログラム
WO2005111805A1 (en) * 2004-05-18 2005-11-24 Esphion Limited Method of network traffic signature detection
US8151348B1 (en) * 2004-06-30 2012-04-03 Cisco Technology, Inc. Automatic detection of reverse tunnels
JP4559295B2 (ja) * 2005-05-17 2010-10-06 株式会社エヌ・ティ・ティ・ドコモ データ通信システム及びデータ通信方法
US8079080B2 (en) * 2005-10-21 2011-12-13 Mathew R. Syrowik Method, system and computer program product for detecting security threats in a computer network
JP2007242002A (ja) * 2006-02-10 2007-09-20 Mitsubishi Electric Corp ネットワーク管理装置及びネットワーク管理方法及びプログラム
US8091093B2 (en) * 2007-10-05 2012-01-03 Equilibrium Networks, Incorporated System and method for information assurance based on thermal analysis techniques
JP2009238153A (ja) * 2008-03-28 2009-10-15 Nec Corp マルウェア対処システム、方法及びプログラム
US8291496B2 (en) * 2008-05-12 2012-10-16 Enpulz, L.L.C. Server based malware screening
US8234709B2 (en) * 2008-06-20 2012-07-31 Symantec Operating Corporation Streaming malware definition updates
US8145750B2 (en) * 2008-11-24 2012-03-27 At&T Intellectual Property I, Lp Detecting hidden shared dependencies through covert channels
US8547974B1 (en) * 2010-05-05 2013-10-01 Mu Dynamics Generating communication protocol test cases based on network traffic
US9003518B2 (en) * 2010-09-01 2015-04-07 Raytheon Bbn Technologies Corp. Systems and methods for detecting covert DNS tunnels
US8516586B1 (en) * 2011-09-20 2013-08-20 Trend Micro Incorporated Classification of unknown computer network traffic
US9659173B2 (en) * 2012-01-31 2017-05-23 International Business Machines Corporation Method for detecting a malware

Also Published As

Publication number Publication date
CA2966408A1 (en) 2016-05-06
EP3213207A4 (en) 2018-04-25
EP3213207A1 (en) 2017-09-06
US9832213B2 (en) 2017-11-28
CA2966408C (en) 2019-11-05
WO2016069119A1 (en) 2016-05-06
US20160127395A1 (en) 2016-05-05
JP2017538376A (ja) 2017-12-21

Similar Documents

Publication Publication Date Title
JP6527590B2 (ja) オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法
US10205742B2 (en) Stateless web content anti-automation
US9609006B2 (en) Detecting the introduction of alien content
US20190243971A1 (en) Using instrumentation code to detect bots or malware
Kartaltepe et al. Social network-based botnet command-and-control: emerging threats and countermeasures
US20150256556A1 (en) Method and system for web integrity validator
Salim Cyber safety: A systems thinking and systems theory approach to managing cyber security risks
Stodt et al. Security audit of a blockchain-based industrial application platform
Jaber et al. COVID-19 and global increases in cybersecurity attacks: review of possible adverse artificial intelligence attacks
Waziri et al. A Secure Maturity Model for Protecting e-Government Services: A Case of Tanzania
Yan et al. Graph mining for cybersecurity: A survey
He et al. Understanding a prospective approach to designing malicious social bots
Sarker et al. Penetration Taxonomy: A Systematic Review on the Penetration Process, Framework, Standards, Tools, and Scoring Methods
Vilà Identifying and combating cyber-threats in the field of online banking.
Beyah et al. Security and Privacy in Communication Networks
Arora Towards safeguarding users against phishing and ransomware attacks
US20230069731A1 (en) Automatic network signature generation
US20240163261A1 (en) Dynamic authentication attack detection and enforcement at network, application, and host level
Garringer The Role of Protocol Analysis in Cybersecurity: Closing the Gap on Undetected Data Breaches
Beyah et al. Security and Privacy in Communication Networks: 14th International Conference, SecureComm 2018, Singapore, Singapore, August 8-10, 2018, Proceedings, Part II
Ussath et al. Insights into Encrypted Network Connections: Analyzing Remote Desktop Protocol Traffic
Binsalleeh Analysis of Malware and Domain Name System Traffic
ESCAP Enhancing cybersecurity for industry 4.0 in Asia and the Pacific
Mehmood et al. A Hybrid Methodology to Assess Cyber Resilience of IoT in Energy Management and Connected Sites
Aguilà Vilà Identifying and combating cyber-threats in the field of online banking

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180907

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180907

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20180907

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20180928

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181106

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190322

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190416

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190510

R150 Certificate of patent or registration of utility model

Ref document number: 6527590

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250