JP6734466B2 - 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム - Google Patents

攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム Download PDF

Info

Publication number
JP6734466B2
JP6734466B2 JP2019504300A JP2019504300A JP6734466B2 JP 6734466 B2 JP6734466 B2 JP 6734466B2 JP 2019504300 A JP2019504300 A JP 2019504300A JP 2019504300 A JP2019504300 A JP 2019504300A JP 6734466 B2 JP6734466 B2 JP 6734466B2
Authority
JP
Japan
Prior art keywords
domain name
attack
attack countermeasure
countermeasure
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019504300A
Other languages
English (en)
Other versions
JPWO2018163464A1 (ja
Inventor
大紀 千葉
大紀 千葉
満昭 秋山
満昭 秋山
毅 八木
毅 八木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2018163464A1 publication Critical patent/JPWO2018163464A1/ja
Application granted granted Critical
Publication of JP6734466B2 publication Critical patent/JP6734466B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラムに関する。
サイバー攻撃を実施する攻撃者は、多くの場合、ドメイン名とDNS(Domain Name System)を通信インフラとして利用する。例えば、攻撃者は、次々と新たなドメイン名を利用しながらマルウェアと呼ばれる悪意のあるソフトウェアを配信し、マルウェアに感染した端末の制御を行う。また、攻撃者は、正規のサービス名や著名な事業者名と類似したドメイン名を悪用することで、ユーザを欺きフィッシング攻撃を実施する。
このようなサイバー攻撃で悪用されるドメイン名(以後、悪性ドメイン名という。)に対する対策として、悪性ドメイン名を特定し、特定した悪性ドメイン名宛の通信を通信経路上で監査することでサイバー攻撃を防ぐ対策が実施されている。
例えば、DNS通信に関しては、ローカルネットワークやISP(Internet Service Provider)に配置されるキャッシュDNSサーバにおいて、ユーザからの悪性ドメイン名宛の通信をフィルタリングする対策が行なわれている。また、DNS通信に関しては、権威DNSサーバにおいて、悪性ドメイン名に関するリソースレコードを削除するなどの対策が行われている。
また、HTTP/HTTPS等のWeb通信に関しては、ローカルネットワークに配置されるIDS(Intrusion Detection System)、IPS(Intrusion Prevention System)、DPI(Deep Packet Inspection)に代表されるセキュリティアプライアンスにおいて、ユーザからの悪性ドメイン名宛の通信をフィルタリングする対策や、Webサーバ上で悪性コンテンツを特定し削除する対策が行われている。
J. Ma, L. K. Saul, S. Savage, and G. M. Voelker, "Beyond Blacklists: Learning to Detect Malicious Web Sites from Suspicious URLs", Proc. 15th ACM KDD, p.1245, 2009. M. Felegyhazi, C. Kreibich, and V. Paxson, "On the Potential of Proactive Domain Blacklisting", Proc. USENIX LEET, vol.42, no. 8, p.6, 2010. M. Antonakakis, R. Perdisci, D. Dagon, W. Lee, and N. Feamster, "Building a Dynamic Reputation System for DNS", Proc. 19th USENIX Security Symposium, 2010. D. Chiba, T. Yagi, M. Akiyama, T. Shibahara, T. Yada, T. Mori, and S. Goto, "DomainProfiler: Discovering Domain Names Abused in Future", Proc. 46th IEEE/IFIP DSN, pp.491−502, Jun. 2016. S. Hao, A. Kantchelian, B. Miller, V. Paxson, and N. Feamster, "PREDATOR: Proactive Recognition and Elimination of Domain Abuse at Time-Of-Registration", Proc. ACM CCS, pp.1568−1579, 2016. K. Sato, K. Ishibashi, T. Toyono, and N. Miyake, "Extending Black Domain Name List by Using Co-occurrence Relation between DNS queries", Proc. USENIX LEET, 2010. L. Bilge, E. Kirda, C. Kruegel, and M. Balduzzi, "EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis", NDSS, pp.1−17, 2011. M. Antonakakis, R. Perdisci, W. Lee, N. V. Ii, and D. Dagon, "Detecting Malware Domains at the Upper DNS Hierarchy", Proc. 20th USENIX Security Symposium, 2011. M. Antonakakis, R. Perdisci, Y. Nadji, "From Throw-Away Traffic to Bots:Detecting the Rise of DGA-Based Malware", Proc. the 21st USENIX Security Symposium, 2012. B. Rahbarinia, R. Perdisci, and M. Antonakakis, "Segugio: Efficient Behavior-Based Tracking of Malware-Control Domains in Large ISP Networks", Proc. 45th IEEE/IFIP DSN, no. 3, pp.403−414, Jun. 2015. A. Zarras, A. Kapravelos, G. Stringhini, T. Holz, C. Kruegel, and G. Vigna, "The Dark Alleys of Madison Avenue: Understanding Malicious Advertisements", Proc. ACM IMC, 2014. Y. Gilad, A. Herzberg, M. Sudkovitch, and M. Goberman, "CDN-on-Demand: An Affordable DDoS Defense via Untrusted Clouds", Proc. NDSS, 2016. M. Akiyama, T. Yagi, and M. Itoh, "Searching structural neighborhood of malicious URLs to improve blacklisting", Proc. IEEE/IPSJ SAINT, pp.1−10, Jul. 2011. S. Schiavoni, F. Maggi, L. Cavallaro, and S. Zanero, "Phoenix: DGA-Based Botnet Tracking and Intelligence", Proc. DIMVA, 2014. C. Lever, R. Walls, Y. Nadji, D. Dagon, P. McDaniel, and M. Antonakakis, "Domain-Z: 28 Registrations Later", Proc. IEEE S&P, 2016. M. Kuhrer, C. Rossow, and T. Holz, "Paint It Black: Evaluating the Effectiveness of Malware Blacklists", Proc. RAID 2014. T. Vissers, W. Joosen, and N. Nikiforakis, "Parking Sensors: Analyzing and Detecting Parked Domains", Proc. NDSS. February, pp.8−11, 2015. J. Szurdi, B. Kocso, G. Cseh, J. Spring, M. Felegyhazi, and C. Kanich, "The Long ″Taile″ of Typosquatting Domain Names", Proc. USENIX Security Symposium, 2014. Z. Li, S. Alrwais, Y. Xie, F. Yu, and X. Wang, "Finding the Linchpins of the Dark Web: a Study on Topologically Dedicated Hosts on Malicious Web Infrastructures", Proc. IEEE S&P, pp.112−126, May 2013. B. Rahbarinia, M. Balduzzi, and R. Perdisci, "Real-Time Detection of Malware Downloads via Large-Scale URL→File→Machine Graph Mining", Proc. ACM AsiaCCS, pp.783−794, 2016.
ここで、攻撃者は様々な特性をもつ悪性ドメイン名を利用するため、全ての悪性ドメイン名を同じ条件の攻撃対策で利用できるとは限らない。
例えば、インターネット上の広告配信に利用されるドメイン名が悪用された場合について説明する。この場合には、当該ドメイン名をDNS通信経路上のキャッシュDNSサーバや権威DNSサーバでフィルタリングに利用すると、本来悪意のない正規の広告配信までフィルタリングされてしまう。このため、この場合には、Web通信経路上で悪性なコンテンツのみを特定した後にフィルタリング等の対策を実施する必要がある。
一方、攻撃専用に生成された悪性ドメイン名が利用された場合、正規のサービスを誤ってフィルタリングする可能性が低いことから、該ドメイン名をDNS通信経路上でそのままフィルタリングする対策を実施することが可能である。このとき、悪性ドメイン名をフィルタリングする際に、各ドメイン名の階層構造を考慮せずにセカンドレベルドメイン単位で一律にフィルタリングすると正規のサービスに影響を及ぼす可能性がある。また、攻撃者は、次々と新たな悪性ドメイン名を利用し、古い悪性ドメイン名の利用を停止することから、各悪性ドメイン名への対策は時間経過とともに無効化する。
このように、悪性ドメイン名の特性に応じて、実施するべき攻撃対策方法、対策粒度、対策期間が異なる。したがって、各悪性ドメイン名に対して、実施すべき攻撃対策を適切に決定する必要がある。
しかしながら、従来の悪性ドメイン名を特定する手法(非特許文献1〜10参照)や、ドメイン名の特性を解明する手法(非特許文献11〜20参照)では、いずれも悪性ドメイン名を特定するだけに留まり、各悪性ドメイン名に対して実施するべき攻撃対策方法、対策粒度、対策期間を決定することができない。
例えば、非特許文献1に記載の手法は、悪性ドメイン名の文字列の統計的特性に着目して悪性ドメイン名のリストを拡張する手法である。そして、非特許文献2に記載の手法は、ドメイン名のWHOIS登録情報を基に、悪性ドメイン名を特定する手法である。また、非特許文献3に記載の手法は、ドメイン名に対応するIP(Internet Protocol)アドレスや、対応するIPアドレスが共通するドメイン名の特性に着目することによって、悪性ドメイン名を特定する手法である。また、非特許文献4に記載の手法は、ドメイン名の公開ドメイン名リストへの登録状況の時系列変化に着目して、新たな悪性ドメイン名を発見する手法である。
また、非特許文献5に記載の手法は、ドメイン名登録事業者において悪性ドメイン名が大量に同時登録される特性に着目して、ドメイン名の悪性判定を行う手法である。また、非特許文献6に記載の手法は、複数の感染した端末から送出されるDNSクエリの共起性に着目して、悪性ドメイン名を発見する手法である。非特許文献7に記載の手法は、ユーザが送出するDNSクエリのトラヒックパターンに着目して、悪性ドメイン名を特定する手法である。
そして、非特許文献8に記載の手法は、権威DNSサーバ上でキャッシュDNSサーバからのDNSクエリのパターンに着目して、悪性ドメイン名を発見する手法である。非特許文献9に記載の手法は、キャッシュDNSサーバ上で存在しないドメイン名宛のDNSクエリを観測することで悪性ドメイン名を特定する手法である。非特許文献10に記載の手法は、キャッシュDNSサーバ上で観測できるDNS問合せのトラヒックパターンに着目して、悪性ドメイン名を発見する手法である。
これらの非特許文献1〜10に記載の手法は、いずれも悪性ドメイン名を特定する手段を有するものの、各悪性ドメイン名に対してどのような対策を、どこで、いつまで実施するべきなのかを決定できないという問題がある。
また、非特許文献11に記載の手法では、広告配信を悪用する攻撃手法の解明と、それに関与するドメイン名の特定を試みている。非特許文献12では、CDN(Content Delivery Network)で利用されるドメイン名を特定する手法が言及されている。そして、非特許文献13では、悪性ドメイン名の階層構造に着目して、新たな悪性ドメイン名を発見する方法を提案している。また、非特許文献14は、攻撃者がDGA(Domain Generation Algorithm:ドメイン名生成アルゴリズム)で生成した悪性ドメイン名を、その文字列の特性や出現頻度を利用して特定する方法を提案している。
また、非特許文献15では、DNSトラヒックログからドメイン名の所有者情報の変化を推定する方法を提案している。非特許文献16に記載の技術では、元々攻撃者が保有していた悪性ドメイン名のうち、セキュリティ組織等が再取得したシンクホールと呼ばれるドメイン名の特定を試みている。非特許文献17に記載の技術では、実際には利用されておらず広告表示が行われるパーキングと呼ばれるドメイン名の特定を試みている。
そして、非特許文献18では、著名なドメイン名のミスタイプをしたときにアクセスしうる悪性ドメイン名を特定する手法を提案している。非特許文献19では、動的に設定変更可能なダイナミックDNSと呼ばれるサービスで利用されるドメイン名を特定する方法が言及されている。そして、非特許文献20の中では、無料で取得と維持とが可能なドメイン名を特定する方法が言及されている。
しかしながら、これらの非特許文献11〜20に記載の手法は、各々の悪性ドメイン名の特性の解明を試みているものの、いずれも、悪性ドメイン名への対策を決定するまでには至っていない。
本発明は、上記に鑑みてなされたものであって、悪性ドメイン名に基づく攻撃に対し、ドメイン名ごとに攻撃対策手法を客観的に決定することができる攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る攻撃対策決定装置は、任意のドメイン名を入力とし、ドメイン名に関する特徴情報として、ドメイン名に対応する設定情報、ドメイン名に対応する登録情報、及び、ドメイン名に対応するアドレスに応じた外部情報を取得する入力部と、特徴情報に基づき、ドメイン名に対して予め指定されたカテゴリを特定し、特定したカテゴリに応じてドメイン名に対する攻撃対策を段階的に決定する攻撃対策決定部と、攻撃対策に応じた攻撃対策用情報を出力する攻撃対策情報出力部と、を有することを特徴とする。
本発明によれば、悪性ドメイン名に基づく攻撃に対し、ドメイン名ごとに攻撃対策手法を客観的に決定することができる。
図1は、実施の形態に係る攻撃対策決定装置の概略構成を示す模式図である。 図2は、図1に示すドメイン名入力部に入力されたドメイン名の一例を示す図である。 図3は、図1に示すドメイン名入力部に入力されたドメイン名に対応する設定情報の一例を説明する図である。 図4は、図1に示すドメイン名入力部に入力されたドメイン名に対応する登録情報の一例を示す図である。 図5は、図1に示すドメイン名入力部に入力されたドメイン名に対応するIPアドレスに対応する外部情報の一例を示す図である。 図6は、図1に示す攻撃対策手段決定部が、ドメイン名入力部に入力された各ドメイン名に対し、対応するカテゴリを特定し付与した結果の一例を示す図である。 図7は、Webホスティングにおける階層構造の一例を示す図である。 図8は、ドメイン名ホスティングにおける階層構造の一例を示す図である。 図9は、図1に示す攻撃対策手段決定部による、各カテゴリに属する悪性ドメイン名に対する攻撃対策手段の設定の一例を示す図である。 図10は、図1に示す攻撃対策粒度決定部による、各カテゴリに属する悪性ドメイン名に対する攻撃対策粒度の設定の一例を示す図である。 図11は、図1に示す攻撃対策有効期限決定部による、各カテゴリに属する悪性ドメイン名に対する攻撃対策有効期限の設定の一例を示す図である。 図12は、図1に示す攻撃対策情報出力部による攻撃対策の決定の一例を示す図である。 図13は、図1に示す攻撃対策情報出力部によって出力された攻撃対策情報を用いて攻撃対策手段を実現する場所の一例を示す図である。 図14は、図1に示す攻撃対策情報出力部による出力情報の一例を示す図である。 図15は、図1に示す攻撃対策情報出力部による出力情報の一例を示す図である。 図16は、図1に示す攻撃対策情報出力部による出力情報の一例を示す図である。 図17は、図1に示す攻撃対策情報出力部による出力情報の一例を示す図である。 図18は、実施の形態に係る攻撃対策決定装置の攻撃対策決定処理の処理手順を示すフローチャートである。 図19は、プログラムが実行されることにより、攻撃対策決定装置が実現されるコンピュータの一例を示す図である。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[実施の形態]
まず、実施の形態に係る攻撃対策決定装置について、概略構成、評価処理の流れ及び具体例を説明する。図1は、実施の形態に係る攻撃対策決定装置の概略構成を示す模式図である。攻撃対策決定装置10は、図1に示すように、ドメイン名入力部11(入力部)、攻撃対策決定部16及び攻撃対策情報出力部15を有する。
ドメイン名入力部11は、任意のドメイン名を入力とし、ドメイン名に関する特徴情報を取得する。ドメイン名入力部11は、ドメイン名に関する特徴情報として、ドメイン名に対応する設定情報、ドメイン名に対応する登録情報、及び、ドメイン名に対応するIPアドレスに応じた外部情報を取得する。
攻撃対策決定部16は、ドメイン名入力部11が取得した特徴情報に基づき、ドメイン名に対して予め指定されたカテゴリを特定し、特定したカテゴリに応じてドメイン名に対する攻撃対策を段階的に決定する。攻撃対策決定部16は、攻撃対策手段、攻撃対策粒度、攻撃対策の有効期限を順次決定する。攻撃対策決定部16は、攻撃対策手段決定部12、攻撃対策粒度決定部13、攻撃対策有効期限決定部14を有する。
攻撃対策手段決定部12は、入力されたドメイン名に対して、ドメイン名入力部11が取得した該ドメイン名の特徴情報に基づいて、予め指定されたカテゴリを特定する。各ドメイン名には、予め、対応するカテゴリがそれぞれ指定されている。
そして、攻撃対策手段決定部12は、ドメイン名に対して特定されたカテゴリの情報を用いて、ドメイン名に対する攻撃対策手段を決定する。攻撃対策手段決定部12は、ドメイン名に対して特定されたカテゴリに応じて、このドメイン名が、正規サービスを悪用して作られたドメイン名(以後、悪用ドメイン名という)であるか、または、攻撃専用に作られたドメイン名(以後、攻撃専用ドメイン名という)であるかを特定する。なお、悪用ドメイン名と攻撃専用ドメイン名とのいずれの特性に該当するかは、カテゴリごとに予め設定されている。
攻撃対策手段決定部12は、ドメイン名が悪用ドメイン名であると特定した場合には、「Web通信レベル」の攻撃対策手段を適用すると決定する。一方、攻撃対策手段決定部12は、ドメイン名が攻撃専用ドメインであると特定した場合、「DNS通信レベル」でドメイン名を利用したフィルタリング等の攻撃対策手段を適用すると決定する。そして、攻撃対策手段決定部12は、ドメイン名が悪用ドメイン名と攻撃専用ドメイン名との双方に対応するカテゴリに該当する場合には、正規サービスの阻害を防ぐために、このドメイン名に対しては、悪用ドメイン名に対する攻撃対策手段を優先して決定する。
攻撃対策粒度決定部13は、入力されたドメイン名に対して特定されたカテゴリの情報を用いて、ドメイン名の上位ドメイン名または下位ドメイン名、または、ドメイン名配下に存在するコンテンツの状況からドメイン名の運用特性を特定し、ドメイン名に対する攻撃対策粒度を決定する。言い換えると、攻撃対策粒度決定部13は、各カテゴリに属する悪性ドメイン名または攻撃専用ドメイン名の特性を解析し、各カテゴリに基づき、攻撃対策で利用する情報の粒度を決定する。なお。各カテゴリについて、それぞれ対応する攻撃対策粒度が予め設定されている。
攻撃対策有効期限決定部14は、入力されたドメイン名に対して特定されたカテゴリの情報を用いて、ドメイン名に対する攻撃対策の有効期限を決定する。例えば、攻撃対策有効期限決定部14は、各カテゴリに属する悪性ドメイン名の特性を解析し、各カテゴリに基づき攻撃対策で利用する情報の有効期限を決定する。言い換えると、攻撃対策有効期限決定部14は、各ドメイン名に付与されたカテゴリの情報を利用し、各カテゴリに属するドメイン名の登録期間または利用期間の情報を基に、各ドメイン名の登録終了または利用終了までの時間を推定し、推定した時間を攻撃対策の有効期限として設定する。
なお、各カテゴリについて、それぞれ対応する攻撃対策有効期限が予め設定されている。攻撃対策決定装置10は、有効期限を経過した場合には、このドメイン名に対して、再度、特徴情報の取得処理、カテゴリの特定処理、及び、攻撃対策の段階的な決定処理を実行し、このドメイン名に対する攻撃対策情報を更新してもよい。
攻撃対策情報出力部15は、各攻撃対策に応じた攻撃対策用情報を出力する。攻撃対策情報出力部15は、ドメイン名入力部11に入力されたドメイン名について、攻撃対策手段決定部12と攻撃対策粒度決定部13と攻撃対策有効期限決定部14とが決定した、攻撃対策手段、攻撃対策粒度及び攻撃対策有効期限を基に、攻撃対策用情報を作成する。そして、攻撃対策情報出力部15は、ドメイン名ごとに決定した攻撃対策用情報を、攻撃対策を実現する各実施場所に応じた出力先に出力する。
このとき、攻撃対策の実施場所にある出力先のサーバ装置等の種別を示す情報は、予め攻撃対策決定装置10が保持している。攻撃対策情報出力部15は、この情報を参照し、出力先のサーバ装置の種別等に応じたデータ形式で攻撃対策用情報を出力する。
また、攻撃対策情報出力部15は、攻撃対策有効期限決定部14が決定した有効期限と、有効期限経過時には攻撃対策用情報の破棄を指示する情報とを、攻撃対策用情報に付して出力先に攻撃対策用情報を出力してよい。これに応じて、出力先のサーバ装置は、有効期限経過時には攻撃対策用情報を破棄する。また、攻撃対策用情報を破棄した後、出力先のサーバ装置は、新たな攻撃対策用情報の送信を攻撃対策決定装置10に要求してもよい。
このように、本実施の形態に係る攻撃対策決定装置によれば、ドメイン名ごとに攻撃対策手法を客観的に決定し、正規サービスを阻害せずに攻撃対策を実現できる攻撃対策情報を出力或いは更新することができる。続いて、各構成部の処理について詳細に説明する。
[ドメイン名入力部の処理]
まず、ドメイン名入力部11の処理について説明する。図2は、図1に示すドメイン名入力部11に入力されたドメイン名の一例を示す図である。ドメイン名入力部11は、図2に示すように、入力されたドメイン名に通番を対応付ける。例えば、図2の通番「1」は、「example.com」というドメイン名を入力として利用することを示している。
そして、図3は、図1に示すドメイン名入力部11に入力されたドメイン名に対応する設定情報の一例を説明する図である。図3には、通番、ドメイン名、Aレコード、NSレコード及びSOAレコード等の項目が設定されている。このうち、Aレコード、NSレコード及びSOAレコード等は、各ドメイン名に対応する設定情報である。ドメイン名入力部11は、Aレコード、NSレコード及びSOAレコード等の設定情報を、例えば、任意の組織内ネットワークに配置されたキャッシュDNSサーバ上で、DNSプロトコルを利用して入手する。
具体的に、図3の通番「1」の行について説明する。通番「1」の行に示すように、ドメイン名「example.com」については、2017年1月1日00:00:00時点でAレコードとしてIPアドレス「192.0.2.2」が設定されており、NSレコードとして「ns1.example.com」が設定されており、SOAレコードとして「ns1.example.com. nobody.localhost.42 86400 43200 604800 10800」が設定されていた。そこで、ドメイン名入力部11は、ドメイン名「example.com」について上記のAレコード「192.0.2.2」、NSレコード「ns1.example.com」及びSOAレコード「ns1.example.com. nobody.localhost.42 86400 43200 604800 10800」等の設定情報を、キャッシュDNSサーバ上で、DNSプロトコルを用いて取得する。
そして、ドメイン名入力部11が、入力されたドメイン名から、該ドメイン名に対応する登録情報を取得する例について説明する。図4は、図1に示すドメイン名入力部11に入力されたドメイン名に対応する登録情報の一例を示す図である。図4には、通番、ドメイン名、WHOISサーバ名、NSサーバ名、ドメイン名登録日、ドメイン名更新日、ドメイン名失効日等の項目が対応付けられている。このうち、WHOISサーバ名、NSサーバ名、ドメイン名登録日、ドメイン名更新日、ドメイン名失効日等が、各ドメイン名に対応する登録情報である。ドメイン名入力部11は、各ドメイン名に対応するこれらの登録情報を、例えば、WHOISプロトコルを用いて取得する。
具体的には、図4の通番「1」の行では、ドメイン名「example.com」について、WHOISサーバ名が「whois.example.com」であり、NSサーバ名が「ns1.example.com」であり、ドメイン名登録日が「2001年1月1日」、ドメイン名更新日が「2016年1月1日」、ドメイン名失効日が「2017年1月1日」であることが登録されている。そこで、ドメイン名入力部11は、ドメイン名「example.com」について、WHOISサーバ名「whois.example.com」、NSサーバ「ns1.example.com」、ドメイン名登録日「2001年1月1日」、ドメイン名更新日「2016年1月1日」、ドメイン名失効日「2017年1月1日」を、WHOISプロトコルを用いて取得する。
そして、ドメイン名入力部11が、入力されたドメイン名から、ドメイン名に対応するIPアドレスに応じた外部情報を取得する例について説明する。図5は、図1に示すドメイン名入力部11に入力されたドメイン名に対応するIPアドレスに対応する外部情報の一例を示す図である。図5には、IPアドレスの外部情報として、IPアドレスの属するアドレスプレフィックス、AS(Autonomous System)番号、所有組織名、国、地域インターネットレジストリ(RIR: Regional Internet Registry)、当該アドレス割当日等の項目が設定されている。ドメイン名入力部11は、IPアドレスの外部情報を、WHOISプロトコルを用いる他、各RIRが公開している情報、MaxMind社のGeoIP(登録商標)等の公開されたサービスを用いて取得する。
具体的には、図5の通番「1」の行では、IPアドレス「192.0.2.2」について、アドレスプレフィックスが「192.0.2.0/24」、AS番号が「64498」、所有組織名が「TEST-NET-1」、国が「US」、RIRが「ARIN」、アドレス割当日が「2001年1月1日」であることが設定されている。そこで、ドメイン名入力部11は、IPアドレス「192.0.2.2」について、WHOISプロトコル、各RIRが公開している情報、MaxMind社のGeoIP等の公開されたサービスを用いて、アドレスプレフィックス「192.0.2.0/24」、AS番号「64498」、所有組織名「TEST-NET-1」、国「US」、RIR「ARIN」、アドレス割当日「2001年1月1日」を取得する。
[攻撃対策手段決定部によるカテゴリ特定処理]
次に、攻撃対策手段決定部12の処理について説明する。まず、攻撃対策手段決定部12が、入力されたドメイン名に対応するカテゴリを特定する処理について説明する。攻撃対策手段決定部12は、ドメイン名入力部11が取得した、該ドメイン名に関する特徴情報、すなわち、ドメイン名に対応する設定情報、ドメイン名に対応する登録情報、及び、ドメイン名に対応するIPアドレスに応じた外部情報を用いて、ドメイン名に対応するカテゴリを特定する。なお、前述したように、各ドメイン名には、特徴情報に応じて、予め、対応するカテゴリがそれぞれ指定されている。また、各カテゴリについて、後述の攻撃対策手段、攻撃対策粒度及び攻撃対策有効期限が予め設定されている。
図6は、図1に示す攻撃対策手段決定部12が、ドメイン名入力部11に入力された各ドメイン名に対し、対応するカテゴリを特定し付与した結果の一例を示す図である。図6では、カテゴリとして、「広告」、「CDN」、「Webホスティング」、「DGA」、「再登録」、「シンクホール」、「パーキング」、「タイポスクワッティング」、「コンテンツ無存在」、「ダイナミックDNS」、「無料」、「ドメイン名ホスティング」を挙げている。もちろん、カテゴリは、これらに限るものではない。そして、攻撃対策手段決定部12は、各ドメイン名の各々のカテゴリへの所属状況を特定するために、各々のカテゴリにおいて、公知の手法の利用や、独自に収集した各カテゴリに属するドメイン名リストとのマッチング等を行えばよい。
ここで、図6のカテゴリに属するドメイン名について説明する。まず、「広告」カテゴリに属するドメイン名とは、Web上のオンライン広告配信システムに関連するドメイン名のことである。攻撃対策手段決定部12は、公知の広告事業者ドメイン名リストであるEasylist(https://easylist.to/)等を利用したマッチングを行って、「広告」カテゴリのドメイン名を特定する(詳細は、非特許文献11参照)。
そして、「CDN」カテゴリに属するドメイン名とは、Web上の分散コンテンツ配信基盤であるCDN(Content Delivery Network)で利用されるドメイン名のことである。攻撃対策手段決定部12は、ドメイン名に対応するIPアドレスがCDN事業者の所有するアドレス帯に含まれるかどうかを確認することによって、「CDN」カテゴリのドメイン名を特定する(詳細は、非特許文献12参照)。また、攻撃対策手段決定部12は、ドメイン名のCNAMEレコードの設定情報を参照して、CDN事業者のドメイン名が設定されているかどうかを確認する。このとき、攻撃対策手段決定部12は、ドメイン名入力部11が取得した、ドメイン名に対応する設定情報、登録情報、IPアドレスに応じた外部情報を参照して、「CDN」カテゴリを付与するドメイン名を特定する。
そして、「Webホスティング」カテゴリに属するドメイン名とは、ホスティングサービスやクラウドサービスを利用して運用されているドメイン名のことである。ここで、図7は、Webホスティングにおける階層構造の一例を示す図である。例えば、図7に示すようにドメイン名「foo.example.com」の配下に、複数URL(foo.example.com/〜user1, foo.example.com/〜user2,・・・,foo.example.com/〜userN) が存在する場合、このドメイン名「foo.example.com」は「Webホスティング」で利用されるドメイン名であると言える。攻撃対策手段決定部12は、検索エンジン等を利用して各ドメイン名の配下のコンテンツの存在状況を抽出することによって、「Webホスティング」で利用されるドメイン名を特定する(詳細は、非特許文献13参照)。
「DGA」カテゴリに属するドメイン名とは、攻撃者がDGA(ドメイン名生成アルゴリズム、Domain Generation Algorithm)で生成したドメイン名のことである。攻撃対策手段決定部12は、DGAで生成されたドメイン名の文字列が通常利用されるドメイン名と異なる特性に着目し、文字列の特徴や出現頻度に基づいて特定する手法を用いて、「DGA」カテゴリのドメイン名を特定する(詳細は、非特許文献14参照)。
「再登録」カテゴリに属するドメイン名とは、元々別の所有者が所有していたドメイン名が失効し、その後再登録されたドメイン名のことである。攻撃対策手段決定部12は、各ドメイン名のWHOISデータの登録情報を継続的に入手し、所有者情報の変化を観測する手法や、DNSトラヒックログの変化から所有者情報の変化を推定する手法(詳細は、非特許文献15参照)を用いることによって、「再登録」カテゴリのドメイン名を特定する。
「シンクホール」カテゴリに属するドメイン名とは、元々攻撃者が保有していた悪性ドメイン名のうち、セキュリティ組織等が観測のために再取得したドメイン名のことである。攻撃対策手段決定部12は、ドメイン名の設定情報であるNSレコードの情報を参照し、事前に入手した既知シンクホール情報とのマッチングを行う手法(詳細は、非特許文献16参照)を用いることによって、「シンクホール」カテゴリのドメイン名を特定する。
「パーキング」カテゴリに属するドメイン名とは、実際には利用されておらず広告表示が行われているドメイン名のことである。攻撃対策手段決定部12は、ドメイン名の設定情報であるNSレコードの情報を参照し、事前に入手した既知パーキング情報とのマッチングを行う手法(詳細は、非特許文献17参照)を用いることによって、「パーキング」カテゴリのドメイン名を特定する。
「タイポスクワッティング」カテゴリに属するドメイン名とは、著名なドメイン名を入力する際にミスタイプしたときにアクセスしうる悪性ドメイン名のことである。攻撃対策手段決定部12は、ミスタイプが発生するモデル(文字列の追加、削除、置換、入替等)を規定し、著名なドメイン名をミスタイプさせたときにアクセスしうる悪性ドメイン名かどうかを検査する手法(詳細は、非特許文献18参照)を用いることによって、「タイポスクワッティング」カテゴリのドメイン名を特定する。
「コンテンツ無存在」カテゴリに属するドメイン名とは、ドメイン名にアクセスした際にWebコンテンツ等が存在しない、または、各ドメイン名の配下にサブドメイン名やURLが存在しないドメイン名である。攻撃対策手段決定部12は、ドメイン名へWebアクセスを行う手法や、検索エンジンなどを利用して調査する手法を用いることによって、「コンテンツ無存在」カテゴリに属するドメイン名を特定する。
「ダイナミックDNS」カテゴリに属するドメイン名とは、動的に設定変更可能なダイナミックDNSサービスを利用しているドメイン名のことである。ダイナミックDNSサービスを利用すると、ユーザは任意のサブドメイン名を登録し、当該サブドメイン名に任意のIPアドレスを容易に紐付けることができる。攻撃対策手段決定部12は、既知のダイナミックDNS事業者のドメイン名リストを入手し、当該ドメイン名とマッチングさせる手法(詳細は、非特許文献19参照)を用いることによって、「ダイナミックDNS」カテゴリのドメイン名を特定する。
「無料」カテゴリに属するドメイン名とは、ユーザが無料で取得と維持を行うことができるドメイン名のことである。攻撃対策手段決定部12は、ドメイン名の設定情報であるNSレコードの情報を参照し、事前に入手した既知無料ドメイン名提供事業者とのマッチングを行う手法(詳細は、非特許文献20参照)を用いることによって、「無料」カテゴリのドメイン名を特定する。
「ドメイン名ホスティング」カテゴリに属するドメイン名とは、「Webホスティング」と同様にホスティングサービスやクラウドサービスを利用して運用されているドメイン名のことであるが、ドメイン名の配下にサブドメイン名を作成可能である点が異なる。
図8は、ドメイン名ホスティングにおける階層構造の一例を示す図である。例えば、図8に示すようにドメイン名「example.org」の配下に複数サブドメイン名 (user1.example.org, user2.example.org,・・・,userN.example.org) が存在する場合、ドメイン名「example.org」は、「ドメイン名ホスティング」で利用されるドメイン名であると言える。攻撃対策手段決定部12は、検索エンジン等を利用して各ドメイン名の配下のコンテンツの存在状況を抽出する手法を用いることによって、「ドメイン名ホスティング」カテゴリのドメイン名を特定する。
[攻撃対策手段決定部による攻撃対策手段決定処理]
続いて、攻撃対策手段決定部12が、入力された各ドメイン名に対し、攻撃対策手段を決定する処理について説明する。
図9は、図1に示す攻撃対策手段決定部12による、各カテゴリに属する悪性ドメイン名に対する攻撃対策手段の設定の一例を示す図である。攻撃対策手段決定部12は、各カテゴリに属する悪性ドメイン名の特性を解析し、各カテゴリをさらに、悪用ドメイン名に対応する「正規サービスの悪用」と、攻撃専用ドメイン名に対応する「攻撃専用」との二種類に分類する。なお、「正規サービスの悪用」と「攻撃専用」とのいずれの特性に該当するかは、カテゴリごとに予め設定されている。
ここで、「正規サービスの悪用」は、本来正規サービスを提供する目的で用意されたサービス等が悪用されて悪性ドメイン名が作られるカテゴリであり、カテゴリのうち「広告」と「CDN」と「Webホスティング」が該当する。「正規サービスの悪用」に該当する悪性ドメイン名に関しては、「DNS通信レベル」でドメイン名を利用したフィルタリング等の攻撃対策手段を適用すると、正規サービスまで阻害されてしまう可能性が高い。したがって、攻撃対策手段決定部12は、「正規サービスの悪用」に該当する悪性ドメイン名に関しては、URLまたはコンテンツの追加情報を利用した「Web通信レベル」の攻撃対策手段を適用すると決定する。
一方、「攻撃専用」は、攻撃者が攻撃のために新たに用意する悪性ドメイン名が該当するカテゴリであり、カテゴリのうち「DGA」と「再登録」と「シンクホール」と「パーキング」と「タイポスクワッティング」と「コンテンツ無存在」と「ダイナミックDNS」と「無料」と「ドメイン名ホスティング」が該当する。攻撃対策手段決定部12は、「攻撃専用」に該当する悪性ドメイン名に関しては、「DNS通信レベル」でドメイン名を利用したフィルタリング等の攻撃対策手段を適用すると決定する。ただし、あるドメイン名が「正規サービスの悪用」(例えばWebホスティング)かつ「攻撃専用」(例えばタイポスクワッティング)の両者のカテゴリに該当する場合には、正規サービスの阻害を防ぐために、攻撃対策手段決定部12は、「正規サービスの悪用」の攻撃対策手段を優先する。
[攻撃対策粒度決定部の処理]
次に、攻撃対策粒度決定部13の処理について説明する。図10は、図1に示す攻撃対策粒度決定部13による、各カテゴリに属する悪性ドメイン名に対する攻撃対策粒度の設定の一例を示す図である。攻撃対策粒度決定部13は、各カテゴリに属する悪性ドメイン名の特性を解析し、各カテゴリに基づき攻撃対策で利用する情報の粒度を決定する。なお、ドメイン名の特性である「正規サービスの悪用」と「攻撃専用」とに対しては、予め、利用する情報の粒度が設定されている。したがって、攻撃対策決定装置10は、予め決められた各ルールにしたがって、ドメイン名のカテゴリを特定して、そのドメイン名の特性を決めることができる。さらに、攻撃対策決定装置10は、ドメイン名の特性に応じて、このドメイン名の攻撃対策粒度を設定することができる。
具体的には、予め、「正規サービスの悪用」という特性を有するカテゴリに特定されたドメイン名については、URLまたはコンテンツの粒度の情報を利用するように設定されている。したがって、攻撃対策粒度決定部13は、攻撃対策手段決定部12と同様に「正規サービスの悪用」という特性を有する「広告」と「CDN」と「Webホスティング」とを利用する悪性ドメイン名は、URLまたはコンテンツの粒度の情報を利用すると決定する。この結果、攻撃対策決定装置10は、特定の攻撃用広告や攻撃ページのみに対して攻撃を対策することができ、正規サービスへの阻害を防止できる。
一方で、「攻撃専用」という特性をもつカテゴリについては、該ドメイン名の上位または下位に存在しうるドメイン名の階層構造を応じて粒度の情報を利用するように設定されている。言い換えると、攻撃対策粒度決定部13は、「攻撃専用」という特性をもつカテゴリについては、該ドメイン名の上位または下位に存在しうるドメイン名の階層構造を考慮したルールに基づいて攻撃対策粒度を決定する。
具体的には、「攻撃専用」に該当するカテゴリのうち「ダイナミックDNS」と「無料」と「ドメイン名ホスティング」とに関しては、ドメイン名の「完全修飾ドメイン名(FQDN)の粒度の情報」を利用することが設定されている。「攻撃専用」に該当するカテゴリのうち「ダイナミックDNS」と「無料」と「ドメイン名ホスティング」とに関しては、該ドメイン名とは別の目的のドメイン名が該ドメイン名の上位または下位に存在する可能性が高いためである。したがって、この場合には、攻撃対策粒度決定部13は、当該ドメイン名の「完全修飾ドメイン名(FQDN)の粒度の情報」を利用すると決定する。この結果、出力先の装置では、別の目的のドメイン名に影響を与えずに攻撃対策を実行することができる。
また、「攻撃専用」に該当するカテゴリのうち上記以外の「DGA」と「再登録」と「シンクホール」と「パーキング」と「タイポスクワッティング」と「コンテンツ無存在」とに関しては、「セカンドレベルドメイン名(2LD)の粒度の情報」を利用することが設定されている。「ダイナミックDNS」を提供するサービスでは、ユーザが任意のサブドメイン名をサービス提供事業者のセカンドレベルドメイン名の配下に作成することができる。この場合、セカンドレベルドメイン名の粒度で対策を実施すると、当該「ダイナミックDNS」サービスを利用する別のユーザまで阻害してしまう可能性が高くなってしまう。したがって、この場合には、攻撃対策粒度決定部13は、「攻撃専用」に該当するカテゴリのうち上記以外の「DGA」と「再登録」と「シンクホール」と「パーキング」と「タイポスクワッティング」と「コンテンツ無存在」とに関しては、「セカンドレベルドメイン名(2LD)の粒度の情報」を利用すると決定する。
[攻撃対策有効期限決定部の処理]
次に、攻撃対策有効期限決定部14の処理について説明する。図11は、図1に示す攻撃対策有効期限決定部14による、各カテゴリに属する悪性ドメイン名に対する攻撃対策有効期限の設定の一例を示す図である。攻撃対策有効期限決定部14は、各カテゴリに属する悪性ドメイン名の特性を解析し、各カテゴリに基づき攻撃対策で利用する情報の有効期限を決定する。なお、前述したように、各カテゴリに対して、それぞれ対応する攻撃対策の有効期限が予め設定されている。
例えば、カテゴリのうち、攻撃者が低価格あるいは無料で大量の新しいドメイン名を容易に取得可能な「DGA」、「ダイナミックDNS」及び「無料」については、攻撃者が同じドメイン名を長期間使うことが少ないという情報(詳細は、非特許文献14、非特許文献19及び非特許文献20参照)に基づき、有効期限は「短期間」に設定されている。このため、攻撃対策有効期限決定部14は、カテゴリ「DGA」,「ダイナミックDNS」,「無料」については、有効期限を「短期間」に設定する。
一方、上記以外のカテゴリ「広告」と「CDN」と「Webホスティング」と「再登録」と「シンクホール」と「パーキング」と「タイポスクワッティング」と「コンテンツ無存在」と「ドメイン名ホスティング」とについては、有効期限は「長期間」に設定されている。したがって、攻撃対策有効期限決定部14は、カテゴリ「広告」,「CDN」,「Webホスティング」,「再登録」,「シンクホール」,「パーキング」,「タイポスクワッティング」,「コンテンツ無存在」,「ドメイン名ホスティング」については、有効期限を「長期間」に設定する。
また、攻撃対策有効期限決定部14は、有効期限を、実際の対策場所での更新頻度に応じて設定することができる。例えば、攻撃対策有効期限決定部14は、「短期間」として24時間、「長期間」として14日間と設定する。
[攻撃対策情報出力部の処理]
次に、攻撃対策情報出力部15の処理について説明する。図12は、図1に示す攻撃対策情報出力部15による攻撃対策の決定の一例を示す図である。図12では、図2に示すドメイン名入力部11に入力したドメイン名に対して攻撃対策を決定した例について示す。
攻撃対策情報出力部15は、ドメイン名入力部11に入力したドメイン名について、攻撃対策手段決定部12と攻撃対策粒度決定部13と攻撃対策有効期限決定部14が決定した「攻撃対策手段」と「攻撃対策粒度」と「攻撃対策情報有効期限」を基に、攻撃対策を決定する。
例えば、攻撃対策情報出力部15は、図12の通番「1」に示す悪性ドメイン名「example.com」は、カテゴリが「コンテンツ無存在」である(図6の通番「1」参照)。このため、攻撃対策情報出力部15は、攻撃対策手段として「DNS通信レベル」(図9の通番「9」参照)、攻撃対策粒度として「2LD情報」(図10の通番「9」参照)、攻撃対策情報有効期間として「長期間」(図11の通番「9」参照)を設定する。
そして、攻撃対策情報出力部15は、ドメイン名ごとに決定した攻撃対策を、攻撃対策の各実施場所に応じた出力先に出力する。攻撃対策情報出力部15は、ドメイン名ごとに決定した攻撃対策を、攻撃対策手段を実現する場所に出力する。図13は、図1に示す攻撃対策情報出力部15によって出力された攻撃対策情報を用いて攻撃対策手段を実現する場所の一例を示す図である。
攻撃対策手段を実現する場所の例として、図13の通番「1」に「キャッシュDNSサーバ」が示されている。図13は、この「キャッシュDNSサーバ」では、「DNS通信レベルのフィルタリング」が実施可能であることを示している。そして、攻撃対策情報を適用する場所の例として、図13の通番「2」に「権威DNSサーバ」が示されている。図13は、この「権威DNSサーバ」では、「DNS通信レベルのフィルタリングまたは管理者通告」が実施可能であることを示している。ここで、管理者通告とは、該悪性ドメイン名の管理者に対策を実施するように通告する例がある。
また、攻撃対策情報を適用する場所の例として、図13の通番「3」に、「Webサーバ」が示されている。図13は、この「Webサーバ」では、「Web通信レベルのフィルタリングまたは管理者通告」が実施可能であることを示している。また、攻撃対策情報を適用する場所の例として、図13の通番「4」に、「セキュリティアプライアンス」が示されている。図13は、この「セキュリティアプライアンス」では「DNS通信レベルまたはWeb通信レベルのフィルタリング」を実施可能であることを示している。図13に例示する攻撃対策情報の各出力先一覧は、予め作成されたものであり、攻撃対策決定装置10は、図13に例示する攻撃対策情報の各出力先一覧を保持している。
図14は、図1に示す攻撃対策情報出力部15による出力情報の一例を示す図である。図14は、図2に示したドメイン名のドメイン名入力部11に入力に応じた、「キャッシュDNSサーバ」向けの攻撃対策用情報を示す。出力先の装置は、図14のような出力情報を利用することによって、「キャッシュDNSサーバ」上で悪性ドメイン名に対するフィルタリングの対策を実現することができる。
図15は、図1に示す攻撃対策情報出力部15による出力情報の一例を示す図である。図15は、図2に示したドメイン名のドメイン名入力部11に入力に応じた、「.example」のトップレベルドメイン名の「権威DNSサーバ」向けの攻撃対策用情報を示す。権威DNSサーバでは、自身の配下に存在するドメイン名のみ対策することが可能である。このため、図15に示すように、攻撃対策情報出力部15は、権威DNSサーバに対しては、「.example」のトップレベルドメインをもつドメイン名のみを出力する。そして、この出力された情報を基に、「.example」の権威DNSサーバが、例えば、当該ドメイン名に関わる通信をフィルタリングするという対策をとることで、攻撃の発生を阻止することができる。
図16は、図1に示す攻撃対策情報出力部15による出力情報の一例を示す図である。図16は、図2に示したドメイン名のドメイン名入力部11に入力に応じた、「webhosting.example」という「Webサーバ」向けの攻撃対策用情報を示す。Webサーバでは、自身のサーバ上のコンテンツのみ対策することが可能である。このため、図16に示すように、攻撃対策情報出力部15は、Webサーバに対しては、「webhosting.example」配下に存在するコンテンツを含む情報のみを出力する。
図17は、図1に示す攻撃対策情報出力部15による出力情報の一例を示す図である。図17は、図2に示したドメイン名のドメイン名入力部11に入力に応じた、「セキュリティアプライアンス」向けの攻撃対策用情報を示す。「セキュリティアプライアンス」ではDNS通信レベルおよびWeb通信レベルの両者を取り扱うことができる。このため、図17に示すように、攻撃対策情報出力部15は、「セキュリティアプライアンス」向けの攻撃対策用情報として、DNS通信レベルおよびWeb通信レベルの両者を含む情報を出力する。
[攻撃対策決定処理の処理手順]
次に、攻撃対策決定装置10による攻撃対策決定処理について説明する。図18は、実施の形態に係る攻撃対策決定装置10の攻撃対策決定処理の処理手順を示すフローチャートである。
まず、ドメイン名入力部11は、図2に示すようなドメイン名の入力を受付けると(ステップS1)、ドメイン名から、ドメイン名に関する設定情報、登録情報及びIPアドレスに応じた外部情報を取得する(ステップS2)。
続いて、攻撃対策手段決定部12は、ドメイン名から各カテゴリへの該当状況を特定する(ステップS3)。そして、攻撃対策手段決定部12は、ステップS3において特定したカテゴリに応じて、該ドメイン名に対する攻撃対策を特定する(ステップS4)。
攻撃対策粒度決定部13は、該ドメイン名に対して攻撃対策粒度を決定する(ステップS5)。そして、攻撃対策有効期限決定部14は、該ドメイン名に対して攻撃対策有効期限を決定する(ステップS6)。続いて、攻撃対策情報出力部15は、該ドメイン名に対する攻撃対策用情報を作成する(ステップS7)。攻撃対策情報出力部15は、ステップS3〜ステップS6の処理において決定した攻撃対策手段、攻撃対策粒度及び攻撃対策有効期限を基に、攻撃対策用情報を、攻撃対策の各実施場所にある出力先のサーバ装置の種別に対応したデータ形式で作成する。そして、攻撃対策情報出力部15は、攻撃対策の各実施場所に応じた攻撃対策用情報を出力し(ステップS8)、処理を終了する。
[実施の形態の効果]
このように、実施の形態に係る攻撃対策決定装置10は、取得した特徴情報に基づき、ドメイン名に対して予め指定されたカテゴリを特定し、特定したカテゴリに応じてドメイン名に対する攻撃対策を段階的に決定して、攻撃対策用情報を出力する。したがって、本実施の形態に係る攻撃対策決定装置10によれば、悪性ドメイン名に基づく攻撃に対し、ドメイン名ごとに攻撃対策手法を客観的に決定することができる。
また、攻撃対策決定装置10によれば、カテゴリの情報を用いて、ドメイン名が、悪性ドメイン名と攻撃専用ドメイン名とのいずれであるかを特定し、特定したドメイン名の種別に応じてドメイン名に攻撃対策手段を決定するとともに、ドメイン名が悪用ドメイン名と攻撃専用ドメイン名との双方に該当する場合には、このドメイン名に対して悪性ドメイン名に対応する攻撃対策手段を優先して決定する。このため、攻撃対策決定装置10によれば、正規サービスを阻害しない攻撃対策を手段が決定されるため、正規サービスを阻害せずに攻撃対策を実現できる。
攻撃対策決定装置10によれば、ドメイン名の種別に応じて攻撃対策手段を決定するとともに、ドメイン名に対応するカテゴリの情報を用いて攻撃対策粒度を決定し、この決定した攻撃対策手段及び攻撃対策粒度に応じた攻撃対策用情報を出力する。このため、出力先の装置では、この攻撃対策用情報を利用することによって、適切な攻撃対策を実現することができる。
さらに、攻撃対策決定装置10は、ドメイン名に対応するカテゴリの情報を用いて、ドメイン名に対する攻撃対策の有効期限を決定するため、攻撃対策用情報の出力或いは更新を適切なタイミングで実行する。したがって、出力先の装置では、最新の攻撃対策用情報を利用することができる。
[実施の形態のシステム構成について]
図1に示した攻撃対策決定装置10の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、攻撃対策決定装置10の機能の分散および統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散または統合して構成することができる。
また、攻撃対策決定装置10において行われる各処理は、全部または任意の一部が、CPU(Central Processing Unit)およびCPUにより解析実行されるプログラムにて実現されてもよい。また、攻撃対策決定装置10において行われる各処理は、ワイヤードロジックによるハードウェアとして実現されてもよい。
また、実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともできる。もしくは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上述および図示の処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて適宜変更することができる。
[プログラム]
図19は、プログラムが実行されることにより、攻撃対策決定装置10が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、攻撃対策決定装置10の各処理を規定するプログラムは、コンピュータ1000により実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、攻撃対策決定装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施の形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施の形態について説明したが、本実施の形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施の形態に基づいて当業者等によりなされる他の実施の形態、実施例及び運用技術等は全て本発明の範疇に含まれる。
10 攻撃対策決定装置
11 ドメイン名入力部
12 攻撃対策手段決定部
13 攻撃対策粒度決定部
14 攻撃対策有効期限決定部
15 攻撃対策情報出力部
16 攻撃対策決定部

Claims (7)

  1. 任意のドメイン名を入力とし、前記ドメイン名に関する特徴情報として、前記ドメイン名に対応する設定情報、前記ドメイン名に対応する登録情報、及び、前記ドメイン名に対応するアドレスに応じた外部情報を取得する入力部と、
    前記特徴情報に基づき、前記ドメイン名に対して予め指定されたカテゴリを特定し、特定したカテゴリに応じて前記ドメイン名に対する攻撃対策を段階的に決定する攻撃対策決定部と、
    前記攻撃対策に応じた攻撃対策用情報を出力する攻撃対策情報出力部と、
    を有し、
    前記攻撃対策決定部は、
    前記ドメイン名に対して特定したカテゴリの情報を用いて、前記ドメイン名が、正規サービスを悪用して作られた悪性ドメイン名と、攻撃専用に作られた攻撃専用ドメイン名とのいずれであるかを特定し、特定したドメイン名の種別に応じて前記ドメイン名に攻撃対策手段を決定し、前記ドメイン名が前記悪性ドメイン名と前記攻撃専用ドメイン名との双方に該当する場合には前記ドメイン名に対して前記悪性ドメイン名に対応する攻撃対策手段を決定する攻撃対策手段決定部を
    することを特徴とする攻撃対策決定装置。
  2. 前記攻撃対策決定部は、攻撃対策手段、攻撃対策粒度、攻撃対策の有効期限を順次決定することを特徴とする請求項1に記載の攻撃対策決定装置。
  3. 前記攻撃対策決定部は、
    前記ドメイン名に対して特定されたカテゴリの情報を用いて、前記ドメイン名の上位ドメイン名または下位ドメイン名、或いは、前記ドメイン名配下に存在するコンテンツの状況から前記ドメイン名の運用特性を特定し、前記ドメイン名に対する攻撃対策粒度を決定する攻撃対策粒度決定部を
    有することを特徴とする請求項1または2に記載の攻撃対策決定装置。
  4. 前記攻撃対策決定部は、
    前記ドメイン名に対して特定されたカテゴリの情報を用いて、前記ドメイン名に対する攻撃対策の有効期限を決定する攻撃対策有効期限決定部を
    有することを特徴とする請求項1〜のいずれか一つに記載の攻撃対策決定装置。
  5. 前記攻撃対策情報出力部は、出力先の装置の種別に対応したデータ形式で攻撃対策用情報を出力することを特徴とする請求項1〜のいずれか一つに記載の攻撃対策決定装置。
  6. 対策決定装置が実行する攻撃対策決定方法であって、
    任意のドメイン名を入力とし、前記ドメイン名に関する特徴情報として、前記ドメイン名に対応する設定情報、前記ドメイン名に対応する登録情報、及び、前記ドメイン名に対応するに応じた外部情報を取得する工程と、
    前記特徴情報に基づき、前記ドメイン名に対して予め指定されたカテゴリを特定し、特定したカテゴリに応じて前記ドメイン名に対する攻撃対策を段階的に決定する工程と、
    前記攻撃対策に応じた攻撃対策用情報を出力する工程と、
    を含み、
    前記決定する工程は、
    前記ドメイン名に対して特定したカテゴリの情報を用いて、前記ドメイン名が、正規サービスを悪用して作られた悪性ドメイン名と、攻撃専用に作られた攻撃専用ドメイン名とのいずれであるかを特定し、特定したドメイン名の種別に応じて前記ドメイン名に攻撃対策手段を決定し、前記ドメイン名が前記悪性ドメイン名と前記攻撃専用ドメイン名との双方に該当する場合には前記ドメイン名に対して前記悪性ドメイン名に対応する攻撃対策手段を決定する工程
    んだことを特徴とする攻撃対策決定方法。
  7. コンピュータを、請求項1〜のいずれか一つに記載の攻撃対策決定装置として機能させるための攻撃対策決定プログラム。
JP2019504300A 2017-03-09 2017-08-22 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム Active JP6734466B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017045000 2017-03-09
JP2017045000 2017-03-09
PCT/JP2017/029941 WO2018163464A1 (ja) 2017-03-09 2017-08-22 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム

Publications (2)

Publication Number Publication Date
JPWO2018163464A1 JPWO2018163464A1 (ja) 2019-07-04
JP6734466B2 true JP6734466B2 (ja) 2020-08-05

Family

ID=63448485

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019504300A Active JP6734466B2 (ja) 2017-03-09 2017-08-22 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム

Country Status (4)

Country Link
US (1) US11652845B2 (ja)
EP (1) EP3570504B1 (ja)
JP (1) JP6734466B2 (ja)
WO (1) WO2018163464A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7115221B2 (ja) 2018-10-31 2022-08-09 富士通株式会社 サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置
JP7120049B2 (ja) 2019-01-25 2022-08-17 富士通株式会社 サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置
US11290472B2 (en) * 2019-09-25 2022-03-29 International Business Machines Corporation Threat intelligence information access via a DNS protocol
US12039276B2 (en) * 2020-04-29 2024-07-16 Cisco Technology, Inc. Anomaly classification with attendant word enrichment
JP7501642B2 (ja) * 2020-08-31 2024-06-18 日本電信電話株式会社 判定装置、判定方法、および、判定プログラム
JP7468298B2 (ja) * 2020-10-28 2024-04-16 富士通株式会社 情報処理プログラム、情報処理方法、および情報処理装置
CN113285953B (zh) * 2021-05-31 2022-07-12 西安交通大学 可用于DDoS攻击的DNS反射器检测方法、系统、设备及可读存储介质
TWI796706B (zh) * 2021-06-11 2023-03-21 安碁資訊股份有限公司 資料外洩偵測方法與裝置
GB2612008B (en) * 2021-07-06 2023-12-27 British Telecomm Malware protection

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4354201B2 (ja) 2003-03-18 2009-10-28 富士通株式会社 不正アクセス対処システム、及び不正アクセス対処処理プログラム
JP4475156B2 (ja) * 2005-03-29 2010-06-09 日本電気株式会社 ネットワーク処理装置、ネットワーク処理方法及びネットワーク処理プログラム
US7730187B2 (en) * 2006-10-05 2010-06-01 Limelight Networks, Inc. Remote domain name service
US8850571B2 (en) * 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US9317680B2 (en) * 2010-10-20 2016-04-19 Mcafee, Inc. Method and system for protecting against unknown malicious activities by determining a reputation of a link
US9467461B2 (en) * 2013-12-21 2016-10-11 Akamai Technologies Inc. Countering security threats with the domain name system
EP3021546B1 (en) * 2014-11-14 2020-04-01 Institut Mines-Telecom / Telecom Sudparis Selection of countermeasures against cyber attacks
US10701085B2 (en) 2015-03-05 2020-06-30 Nippon Telegraph And Telephone Corporation Communication partner malignancy calculation device, communication partner malignancy calculation method, and communication partner malignancy calculation program
CN106302318A (zh) * 2015-05-15 2017-01-04 阿里巴巴集团控股有限公司 一种网站攻击防御方法及装置
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US20170118241A1 (en) * 2015-10-26 2017-04-27 Shape Security, Inc. Multi-Layer Computer Security Countermeasures
US10419477B2 (en) * 2016-11-16 2019-09-17 Zscaler, Inc. Systems and methods for blocking targeted attacks using domain squatting

Also Published As

Publication number Publication date
EP3570504A1 (en) 2019-11-20
US11652845B2 (en) 2023-05-16
US20200045077A1 (en) 2020-02-06
EP3570504B1 (en) 2020-12-23
WO2018163464A1 (ja) 2018-09-13
JPWO2018163464A1 (ja) 2019-07-04
EP3570504A4 (en) 2020-07-08

Similar Documents

Publication Publication Date Title
JP6734466B2 (ja) 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム
US10135786B2 (en) Discovering and selecting candidates for sinkholing of network domains
US11128656B2 (en) Selective sinkholing of malware domains by a security device via DNS poisoning
US10305927B2 (en) Sinkholing bad network domains by registering the bad network domains on the internet
US9473528B2 (en) Identification of malware sites using unknown URL sites and newly registered DNS addresses
US9762596B2 (en) Heuristic botnet detection
US9860265B2 (en) System and method for identifying exploitable weak points in a network
US9654494B2 (en) Detecting and marking client devices
JP6315640B2 (ja) 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム
JP6196008B2 (ja) 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム
WO2007050244A2 (en) Method and system for detecting and responding to attacking networks
Kondracki et al. Catching transparent phish: Analyzing and detecting mitm phishing toolkits
Chiba et al. DomainChroma: Building actionable threat intelligence from malicious domain names
Tanabe et al. Disposable botnets: examining the anatomy of IoT botnet infrastructure
US20240340268A1 (en) Dynamic filter generation and distribution within computer networks
Kondracki et al. The droid is in the details: Environment-aware evasion of android sandboxes
Tanabe et al. Disposable botnets: long-term analysis of IoT botnet infrastructure
US12126639B2 (en) System and method for locating DGA compromised IP addresses
US20230362176A1 (en) System and method for locating dga compromised ip addresses

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190304

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200421

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200602

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200707

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200709

R150 Certificate of patent or registration of utility model

Ref document number: 6734466

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150