JP6947307B2 - 解析装置、解析方法及び解析プログラム - Google Patents
解析装置、解析方法及び解析プログラム Download PDFInfo
- Publication number
- JP6947307B2 JP6947307B2 JP2020532170A JP2020532170A JP6947307B2 JP 6947307 B2 JP6947307 B2 JP 6947307B2 JP 2020532170 A JP2020532170 A JP 2020532170A JP 2020532170 A JP2020532170 A JP 2020532170A JP 6947307 B2 JP6947307 B2 JP 6947307B2
- Authority
- JP
- Japan
- Prior art keywords
- destination information
- communication destination
- visually similar
- image
- character string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims description 53
- 238000004891 communication Methods 0.000 claims description 240
- 238000006243 chemical reaction Methods 0.000 claims description 74
- 238000000034 method Methods 0.000 claims description 33
- 238000012015 optical character recognition Methods 0.000 claims description 12
- 238000010586 diagram Methods 0.000 description 25
- 238000007781 pre-processing Methods 0.000 description 6
- 239000000284 extract Substances 0.000 description 5
- 239000003086 colorant Substances 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 241000282412 Homo Species 0.000 description 2
- 230000010485 coping Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012854 evaluation process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000012447 hatching Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Information Transfer Between Computers (AREA)
- Character Discrimination (AREA)
- Facsimiles In General (AREA)
Description
本発明は、解析装置、解析方法及び解析プログラムに関する。
現在、ドメイン名は、Webサイトやメールアドレスの一部として世界中で広く使用されている。元々、ドメイン名とは、IP(Internet Protocol)アドレスの代わりに人間が理解しやすい文字列に変換するために導入されたものであり、一般にサービス名が含まれることが多い。
サイバー攻撃を行う攻撃者は、このようなドメイン名の性質を悪用し、正規のサービスで利用されているドメイン名に類似したドメイン名を用いて攻撃を行う。このような正規のサービスを狙う悪性なドメイン名には、大きく分けて2種類存在する。
一つは、人間のタイプミスを狙ったタイポスクワッティングと呼ばれる攻撃である。これは、正規サイトのドメイン名に対し、キーボードの配列上で距離的に近い文字を置換、挿入することによって、類似するドメイン名を作成する攻撃である。
もう一つは、人間の視覚における判断ミスを狙ったホモグラフ攻撃と呼ばれる攻撃である。これは、正規サイトのドメイン名の一部を視覚的に類似する文字に置換することによって、類似ドメイン名を生成する攻撃である。
このホモグラフ攻撃において生成されたドメイン名をホモグラフドメイン名と呼ぶ。IDN(Internationalized Domain Name)の導入以後、ドメイン名には、Unicodeに含まれる文字を用いることが可能となった。このため、ホモグラフ攻撃の方が、タイポスクワッティングと比して、非常に多くの正規ドメイン名と類似するドメイン名を作り出すことが可能である。また、ホモグラフ攻撃で作成された国際化ドメイン名(ホモグラフIDN)が、実際にフィッシング攻撃に代表されるサイバー攻撃で利用され、大きな脅威となっている。
dnstwist、[online]、[平成30年6月19日検索]、インターネット<URL:https://github.com/elceef/dnstwist/>
ホモグラフIDNの検知手法として、事前に作成した、視覚的に近い文字の組み合わせを変換表として利用する手法がある。この変換表には、非ASCII文字と、それに類似するASCII文字との組が登録されている。変換表として利用する手法では、この変換表の情報を基に、対象のドメイン名中の非ASCII文字をASCII文字に変換する。そして、変換表として利用する手法では、変換後のドメイン名が、正規サイトのドメイン名と一致するか否かを確認することによって、対象のドメイン名がホモグラフIDNであるか否かを判別する。
具体的には、非特許文献1に記載のソフトウェアは、ドメイン名の類似性を利用した攻撃で用いられる悪性ドメイン名の探索に用いられ、このソフトウェア内部には、ASCII文字とそれに対して視覚的に類似する文字列との変換表が事前に定義されている。
この変換表を逆に利用し、対象のドメイン名に含まれる非ASCII文字列をASCII文字列に変換することによって、正規サイトのドメイン名と一致する否かを判別することができる。
しかしながら、非特許文献1に記載の変換表を利用する手法では、予め定義される変換表に登録されていない文字については、変換することができない。また、非特許文献1に記載の変換表を利用する手法では、Unicode文字の追加やドメイン名で利用可能な文字の追加に伴い、類似の文字の組み合わせを網羅的に特定して、変換表を手動で更新する必要がある。
本発明は、上記に鑑みてなされたものであって、予め変換表を用意することなく、解析対象の通信先情報に視覚的に類似する通信先情報を、自動的に生成することができる解析装置、解析方法及び解析プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る解析装置は、解析対象の通信先情報の入力を受け付ける入力部と、通信先情報に含まれる部分文字列を画像に変換する変換部と、変換部によって変換された画像に、視覚的に類似する文字列を求め、該求めた文字列を基に、通信先情報に視覚的に類似する既知の通信先情報を探索する探索部と、通信先情報と、通信先情報に視覚的に類似する既知の通信先情報との組み合わせを出力する出力部と、を有することを特徴とする。
本発明によれば、予め変換表を用意することなく、解析対象の通信先情報に視覚的に類似する通信先情報を、自動的に生成することができる。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[実施の形態]
まず、実施の形態に係る解析装置について、概略構成、評価処理の流れ及び具体例を説明する。図1は、実施の形態に係る解析装置の概略構成を示す模式図である。実施の形態に係る解析装置10は、ROM(Read Only Memory)、RAM(Random Access Memory)、CPU(Central Processing Unit)等を含むコンピュータ等に所定のプログラムが読み込まれて、CPUが所定のプログラムを実行することで実現される。また、解析装置10は、NIC(Network Interface Card)等を有し、LAN(Local Area Network)やインターネットなどの電気通信回線を介した他の装置との間の通信を行うことも可能である。
まず、実施の形態に係る解析装置について、概略構成、評価処理の流れ及び具体例を説明する。図1は、実施の形態に係る解析装置の概略構成を示す模式図である。実施の形態に係る解析装置10は、ROM(Read Only Memory)、RAM(Random Access Memory)、CPU(Central Processing Unit)等を含むコンピュータ等に所定のプログラムが読み込まれて、CPUが所定のプログラムを実行することで実現される。また、解析装置10は、NIC(Network Interface Card)等を有し、LAN(Local Area Network)やインターネットなどの電気通信回線を介した他の装置との間の通信を行うことも可能である。
解析装置10は、図1に示すように、入力部11、変換部12、探索部13、識別部14及び出力部15を有する。
入力部11は、解析対象の通信先情報の入力を受け付ける。例えば、通信先情報は、ドメイン名やURL(Uniform Resource Locator)を示す情報である。
変換部12は、解析対象の通信先情報に含まれる部分文字列を画像に変換する。変換部12は、解析対象の通信先情報から、登録可能或いは指定可能である領域を特定する。そして、変換部12は、特定した領域の部分文字列を任意の区切り文字或いは任意の文字数で分割し、分割した文字列をそれぞれ画像に変換する。
探索部13は、変換部12によって変換された画像に、視覚的に類似する文字列を求め、該求めた文字列を基に、解析対象の通信先情報に視覚的に類似する既知の通信先情報を探索する。
探索部13は、変換部12が変換した画像に対して光学文字認識などの画像認識技術を適用して、分割した文字または文字列の画像に視覚的に類似する文字列を求める。探索部13は、解析対象の通信先情報に含まれる部分文字列と、この部分文字列が変換された画像に視覚的に類似する文字列との組み合わせを変換表として抽出する。探索部13は、変換表と既知の通信先情報の一覧とを参照し、解析対象の通信先情報に視覚的に類似する通信先情報を、既知の通信先情報一覧から探索する。
識別部14は、解析対象の通信先情報に視覚的に類似する既知の通信先情報の設定情報または登録情報を取得し、解析対象の通信先情報に視覚的に類似する既知の通信先情報が、解析対象の通信先情報と同一の管理者によって管理されているか、または、解析対象の通信先情報の管理者とは異なる第三者によって管理されているかを識別する。
出力部15は、解析対象の通信先情報と、解析対象の通信先情報に視覚的に類似する既知の通信先情報との組み合わせを出力する。出力部15は、解析対象の通信先情報と、解析対象の通信先情報に視覚的に類似する既知の通信先情報との組み合わせに、識別部14による識別結果を付して出力する。
このように、解析装置10は、解析対象の通信先情報に含まれる部分文字列を画像に変換し、画像認識技術による文字列抽出を行うことによって、予め変換表を用意することなく、解析対象の通信先情報に視覚的に類似する通信先情報を自動的に生成することができる。続いて、解析装置10の各構成要素の処理について具体的に説明する。
[入力部]
まず、入力部11に入力される解析対象の通信先情報の一例について説明する。図2は、図1に示す入力部11に入力される通信先情報の一例を示す図である。
まず、入力部11に入力される解析対象の通信先情報の一例について説明する。図2は、図1に示す入力部11に入力される通信先情報の一例を示す図である。
例えば、図1の通番「1」は、「examp1e.co.jp」(exampleという単語に含まれる英小文字の「l」に対応する文字が英小文字の「エル」ではなく数字の「1」となっている)というホモグラフ攻撃で利用されるドメイン名を入力として利用することを示している。
[変換部]
次に、変換部12の処理について説明する。変換部12は、まず、解析対象の通信先情報から、ユーザが登録可能或いは指定可能である領域を特定する。この特定方法の一例として、Public Suffix(例えば、Public Suffix List、[online]、[平成30年6月19日検索]、インターネット<URL:https://publicsuffix.org/list/>参照)を参照する方法がある。
次に、変換部12の処理について説明する。変換部12は、まず、解析対象の通信先情報から、ユーザが登録可能或いは指定可能である領域を特定する。この特定方法の一例として、Public Suffix(例えば、Public Suffix List、[online]、[平成30年6月19日検索]、インターネット<URL:https://publicsuffix.org/list/>参照)を参照する方法がある。
Public Suffixは、ドメイン名のうち個人ユーザがコントロールできない部分の文字列のことである。Public Suffixは、「.com」や「.net」のようなgTLD(generic top level domain)や、「.co.jp」や「.co.uk」のようなccTLD(country code top level domain)を含む文字列によって構成される。変換部12は、解析対象の通信先情報のうち、Public Suffixに該当する部分を除外することによって、ユーザが登録可能或いは指定可能な領域を特定する。そして、変換部12は、このように特定した領域の部分文字列を、任意の区切り文字或いは任意の文字数で分割する。
図3は、解析対象の通信先情報と、解析対象の通信先情報に含まれる部分文字列から変換された画像との対応表の一例を示す図である。例えば、変換部12は、図3の通番「1」の通信先情報「examp1e.co.jp」から、Public Suffix「.co.jp」を除去した部分文字列「examp1e」を画像変換の対象とする例として特定する。
次に、変換部12による前処理について説明する。図4A及び図4Bは、図1に示す変換部12による前処理の処理内容を説明する図である。図4A及び図4Bでは、「a」の上部に「´」が付されている対象文字に対して画像変換を実施する際の前処理を一例として説明する。
変換部12は、ホモグラフ攻撃で利用されるドメイン名のうち、利用される文字であって、攻撃者が似せようとした文字を特定するために、光学文字認識に代表される画像認識技術を使用する。例えば、図4A及び図4Bの対象文字(「a」の上部に「´」が付されている。)の場合、この対象文字を光学文字認識で読み取った際に「a」に変換されることを期待する。しかしながら、光学文字認識の精度が高い場合には、対象文字と「a」の字形が異なるため期待通りの読み取り結果にならない場合がある。
そこで、本実施の形態では、画像の一部を塗りつぶし字形を変えた画像をあえて用意することによって、読み取り結果に多様性を持たせる。以降、この画像をマスク画像とする。図4A及び図4Bでは、ある文字にマスク画像で塗りつぶす際に用いる色に対し、黒と白の2色を用意する例を示す。なお、マスク画像は、黒と白との2色に限らない。
マスク画像が、白の場合には文字の一部を消去することによって、また、黒の場合にはノイズが加わることによって、それぞれマスクをかけない画像と比べて読み取り結果に影響を与えることが可能となる。図4Aでは、マスク画像の配置方法として、作成した画像を2×2、4×4、8×8マスに分割し、そのうち任意の1箇所を黒のマスク画像で塗りつぶす例を示す。図4Bでは、マスク画像の配置方法として、作成した画像を2×2、4×4、8×8マスに分割し、そのうち任意の1箇所を白のマスク画像で塗りつぶす例を示す。なお、画像の分割方法は、これらのパターンに限定されない。また、マスク画像で塗りつぶす箇所は、1箇所に限定されるものではなく任意のN箇所かつ複数の色の組み合わせを指定できる。
図4A及び図4Bの例では、最終的に、1文字に対し2種類の色(黒、白)、84種類のマスク箇所で168種類のマスク画像、及び、マスクを適用しない画像の計169種類の文字画像が生成される。なお、図4Bでは、表記の都合上、白のマスクの色をドットのハッチングで表記しており、分割したマスの罫線も書き加えている。
一連のマスク処理は、後段の画像認識処理で、視覚的に近い文字列をあえて読み誤らせるために行う。例えば、マスク処理では、攻撃者が似せようとした、「a」の上部に「´」が付されている文字を、「a」と読み誤まる結果が含まれるように、様々なマスクを用意すればよい。
このように、一連のマスク処理を行うことによって、分割した文字列をそれぞれ画像に変換する際に、読み取り結果に多様性を持たせることによって、探索部13が抽出する変換表に、画像に視覚的に類似する文字列の組み合わせを多数含ませることができる。
[探索部]
次に、探索部13の処理について説明する。まず、探索部13は、変換部12が変換した画像に対して光学文字認識などの画像認識技術を適用して、これらの画像に視覚的に類似する文字列を求める。なお、視覚的に類似する文字列とは、人間が視覚を使って認知および判断を行う際に、文字の字形的な特徴や、既知または人気サービス名の文字列の特徴によって同一とみなしてしまう可能性のある文字列のことを指す。図5は、図1に示す探索部13によって抽出された、部分文字列の変換画像に視覚的に類似する文字列の一例を示す図である。
次に、探索部13の処理について説明する。まず、探索部13は、変換部12が変換した画像に対して光学文字認識などの画像認識技術を適用して、これらの画像に視覚的に類似する文字列を求める。なお、視覚的に類似する文字列とは、人間が視覚を使って認知および判断を行う際に、文字の字形的な特徴や、既知または人気サービス名の文字列の特徴によって同一とみなしてしまう可能性のある文字列のことを指す。図5は、図1に示す探索部13によって抽出された、部分文字列の変換画像に視覚的に類似する文字列の一例を示す図である。
図5において、入力通信先は、解析対象として入力された通信先情報を示す。また、部分文字列(画像)は、この解析対象の通信先情報のうち、変換部12によって変換された部分文字列に対する画像を示す。そして、部分文字列の読取・認識結果は、探索部13が抽出した、部分文字列の画像に視覚的に類似する文字列を示す。
探索部13は、解析対象の通信先情報から抽出された部分文字列の画像に対し、画像認識技術を用いて読み取りを行い、部分文字列の画像に視覚的に類似する文字列文字列を認識する。探索部13は、画像認識技術の一例として、例えば、光学文字認識技術が実装されているオープンソースソフトウェアであるTesseract OCR(例えば、Tesseract OCR、[online]、[平成30年6月19日検索]、インターネット<URL:https://opensource.google.com/projects/tesseract/>参照)を利用する方がある。
例えば、図5の通番「1」を例に説明する。この場合、「examp1e」という部分文字列の画像に対し、変換部12によって、図4A及び図4Bにおいて説明したマスク画像を用いた前処理を実施される。そして、探索部13からは、「1」がそのまま数字の1として認識されて「examp1e」という文字列が、結果として出力される、或いは、「1」が英小文字のエルとして認識されて「example」という文字列が、結果として出力される。
そして、探索部13は、解析対象の通信先情報に含まれる部分文字列と、この部分文字列が変換された画像に視覚的に類似する文字列との組み合わせを変換表として抽出する。図6は、図1に示す探索部13が抽出する変換表の一例を示す図である。図6に示すように、変換表131は、解析対象の通信先情報に含まれる部分文字列(元の文字または文字列)と、この部分文字列が変換された画像に視覚的に類似する文字列(類似文字または文字列)とが対応付けられている。
例えば、探索部13は、図6の通番「1」の場合、「1(数字の1)」に対して、「l(英小文字のエル)」を類似文字として対応付ける。このように、本実施の形態では、探索部13は、解析対象の通信先情報に含まれる部分文字列と、それに視覚的に類似する文字列とを対応付けた変換表を自動的に出力する。したがって、本実施の形態によれば、探索部13は、変換表を自動的に出力するため、予め変換表を用意せずとも、解析対象の通信先情報に視覚的に類似する通信先情報を探索することができる。
なお、画像に複数のマスクをかけた結果、解析対象の通信先情報の1つの文字列に対して、複数の視覚的に類似する文字列が出力される場合がある。この場合、変換表では、解析対象の通信先情報の一つの文字列に対して、マスクの数分、読み取った結果を対応付けられる。ただし、実際には複数のマスクの読み取り結果が同一の結果になることが多数あるため、既に変換表に存在する組み合わせについては、変換表には含めない。
以降、探索部13による探索処理について説明する。まず、探索部13が参照する既知の通信先情報の一覧(既知通信先リスト)について説明する。図7は、既知通信先リストを例示する図である。図7に示す既知通信先リスト132では、各既知の通信先情報(既知通信先)にそれぞれ通番が付されている。
既知通信先リスト132は、予め作成されて解析装置10内に記憶されている。既知の通信先情報一覧の生成方法は、複数ある。例えば、解析装置10の使用者が管理している通信先情報の一部または全部が、既知通信先リストとして生成される。或いは、世界または各国でよく参照されているWebサイトで利用されている通信先情報の一部または全部が、既知通信先リストとして生成される。
探索部13は、変換表131(図6参照)と、既知通信先リスト132とを参照し、解析対象の通信先情報に視覚的に類似する通信先情報を、既知通信先リストから探索する。
図8は、図1に示す探索部13による探索結果の一例を示す図である。図8に示すように、探索部13は、解析対象の通信先情報(入力通信先)と、視覚的に類似する既知の通信先情報(既知通信先)とを対応付けて出力する。
例えば、図8の通番「1」を例に説明する。この場合、探索部13は、入力通信先「examp1e.co.jp」に含まれる文字列「1」に対し、変換表131(図6参照)で合致する通番「5」に示す類似文字「l(英小文字のエル)」と通番「6」に示す類似文字「1(数字の1)」とを参照して、類似通信先として「example.co.jp」と、「examp1e.co.jp」とを求める。
そして、探索部13は、この類似通信先を、既知通信先リスト132(図7参照)から探索する。既知通信先リスト132には、この類似通信先「example.co.jp」(通番「1」参照)が含まれている。このため、探索部13は、入力通信先「examp1e.co.jp」の類似する既知の通信先情報として、「example.co.jp」を出力する。
このように、探索部13は、変換表に記載された部分文字列と、この部分文字列が変換された画像に視覚的に類似する文字列との組み合わせを基に、解析対象の通信先情報に視覚的に類似する通信先情報を探索し、探索した類似する通信先情報のうち、既知の通信先情報であるもののみを抽出することができる。
[識別部]
次に、識別部14の処理について説明する。識別部14は、解析対象の通信先情報と、解析対象の通信先情報に視覚的に類似する既知の通信先情報との組み合わせを基に、解析対象の通信先情報に視覚的に類似する既知の通信先情報の設定情報または登録情報を取得する。
次に、識別部14の処理について説明する。識別部14は、解析対象の通信先情報と、解析対象の通信先情報に視覚的に類似する既知の通信先情報との組み合わせを基に、解析対象の通信先情報に視覚的に類似する既知の通信先情報の設定情報または登録情報を取得する。
図9は、解析対象の通信先情報に対応する設定情報の一例を示す図である。図9に示すように、識別部14は、解析対象の通信先情報のうち、例えば、ドメイン名に対応する設定情報であるSレコード、NS(Name Server record)レコード、SOA(Start Of Authority record)レコード等を設定情報及び管理情報として取得する。A(Address)レコード、NSレコード、SOAレコードは、任意の組織内ネットワークに配置されたキャッシュDNS(Domain Name System)サーバ上で、DNSプロトコルを利用して入手することができる。
例えば、図9の通番「1」の場合、解析対象の通信先情報(通信先)「examp1e.co.jp」は、AレコードとしてIPアドレス「192.0.2.2」が設定されており、NSレコードとして「ns1.example.co.jp」が設定されており、SOAレコードとして「ns1.example.co.jp. nobody. localhost. 42 86400 43200 604800 10800」が設定されていることを示している。
図10は、解析対象の通信先情報に対応する登録情報の一例を示す図である。識別部14は、解析対象の通信先情報のうち、例えばドメイン名に対応する登録情報であるドメイン名登録者、ドメイン名登録日、ドメイン名更新日、ドメイン名失効日等は、例えばWHOISプロトコルを利用して入手することができる。例えば、図10の通番「1」の場合、通信先「examp1e.co.jp」に対応するドメイン名登録者が「Example Company」であり、ドメイン名登録日が「2001年1月1日」、ドメイン名更新日が「2016年1月1日」、ドメイン名失効日が「2017年1月1日」であることを示している。
続いて、識別部14は、取得した解析対象の通信先情報に視覚的に類似する既知の通信先情報の設定情報または登録情報を基に、解析対象の通信先情報に視覚的に類似する既知の通信先情報が、解析対象の通信先情報と同一の管理者によって管理されているか、または、解析対象の通信先情報の管理者とは異なる第三者によって管理されているかを識別する。図11は、図1に示す識別部14による識別結果を示す図である。
例えば、図11の認識結果一覧143通番「1」の場合、すなわち、通信先「examp1e.co.jp」に類似する既知通信先が「example.co.jp」と特定された場合について説明する。この場合、識別部14は、図9に例示する通信先の設定情報や、図10に例示する通信先の登録情報を参照する。この結果、入力通信先「examp1e.co.jp」と既知通信先「example.co.jp」のAレコード、NSレコード、SOAレコードが完全一致し、かつ、ドメイン名登録者が完全一致した場合には、識別部14は、解析対象の通信先情報に視覚的に類似する既知の通信先情報が、解析対象の通信先情報と同一の管理者によって管理されていると識別する。そして、識別部14は、解析対象の通信先情報に視覚的に類似する既知の通信先情報との組み合わせに、「Yes」を付与する。
また、識別部14が、解析対象の通信先情報の管理者とは異なる第三者によって管理されていることを識別した場合には、解析対象の通信先情報と、解析対象の通信先情報に視覚的に類似する既知の通信先情報との組み合わせに、「No」を付与する。なお、同一の管理者とみなす条件は複数考えられ、各々の通信先に対応する設定情報や登録情報の一部または全部またはその組み合わせの完全一致または部分一致の個数を使うことが考えられる。
出力部15は、解析対象の通信先情報と、解析対象の通信先情報に視覚的に類似する既知の通信先情報との組み合わせに、識別部14による識別結果が付された解析結果一覧141を、例えば、本解析装置10の使用者或いは外部の対処装置に出力する。この解析結果一覧141を用いて各種対処が実行される。
例えば、解析対象の通信先情報に視覚的に類似する既知の通信先情報が、解析対象の通信先情報と同一の管理者によって管理されていると識別された場合であって、解析対象の通信先情報に視覚的に類似する既知の通信先情報が攻撃者に管理されている場合には、この解析対象の通信先情報をブラックリストに登録し、以降の受信を回避する。また、解析対象の通信先情報に視覚的に類似する既知の通信先情報が、解析対象の通信先情報の管理者とは異なる第三者によって管理されている場合であって、解析対象の通信先情報に視覚的に類似する既知の通信先情報が、本解析装置10の使用者が管理するものである場合には、例えば、ブランド力強化のために、解析対象の通信先情報に視覚的に類似する既知の通信先情報を他者に独占されないように、先取り等の手続きを進める。
[解析処理の処理手順]
次に、解析装置10による解析処理の処理手順について説明する。図12は、実施の形態に係る解析処理の処理手順を示すフローチャートである。
次に、解析装置10による解析処理の処理手順について説明する。図12は、実施の形態に係る解析処理の処理手順を示すフローチャートである。
図12に示すように、入力部11が、解析対象の通信先情報(通信先)の入力を受け付けると(ステップS1)、変換部12は、解析対象の通信先情報に含まれる部分文字列を画像に変換する(ステップS2)。
続いて、探索部13は、変換部12によって変換された画像に、視覚的に類似する文字列を求め、該求めた文字列を基に、解析対象の通信先情報に視覚的に類似する既知の通信先情報を探索する(ステップS3)。
そして、識別部14は、解析対象の通信先情報に視覚的に類似する既知の通信先情報の設定情報または登録情報を取得し、解析対象の通信先情報に視覚的に類似する既知の通信先情報が、解析対象の通信先情報と同一の管理者によって管理されているか、または、解析対象の通信先情報の管理者とは異なる第三者によって管理されているかを識別する(ステップS4)。
出力部15は、出力部15は、解析対象の通信先情報と、解析対象の通信先情報に視覚的に類似する既知の通信先情報との組み合わせに、識別部14による識別結果を付して出力する(ステップS5)。
[実施の形態の効果]
このように、本実施の形態に係る解析装置10は、解析対象の通信先情報の入力を受け付けると、通信先情報に含まれる部分文字列を画像に変換する。そして、解析装置10は、変換した画像に、視覚的に類似する文字列を求め、該求めた文字列を基に、通信先情報に視覚的に類似する既知の通信先情報を探索し、通信先情報と、通信先情報に視覚的に類似する既知の通信先情報との組み合わせを出力する。この結果、解析装置10によれば、解析対象通信先に対して、予め類似文字列の変換表を用意することなく、解析対象の通信先情報に視覚的に類似する通信先情報を自動的に生成することができる。
このように、本実施の形態に係る解析装置10は、解析対象の通信先情報の入力を受け付けると、通信先情報に含まれる部分文字列を画像に変換する。そして、解析装置10は、変換した画像に、視覚的に類似する文字列を求め、該求めた文字列を基に、通信先情報に視覚的に類似する既知の通信先情報を探索し、通信先情報と、通信先情報に視覚的に類似する既知の通信先情報との組み合わせを出力する。この結果、解析装置10によれば、解析対象通信先に対して、予め類似文字列の変換表を用意することなく、解析対象の通信先情報に視覚的に類似する通信先情報を自動的に生成することができる。
また、解析装置10は、解析対象の通信先情報から、登録可能或いは指定可能である領域を特定し、特定した領域の部分文字列を任意の区切り文字或いは任意の文字数で分割し、分割した文字列をそれぞれ画像に変換する。このため、解析装置10によれば、解析対象の通信先情報のうち、攻撃者が、視覚的に類似する文字列を設定可能な領域を特定することによって、解析対象の通信先情報に視覚的に類似する通信先情報をより正確に抽出することができる。
また、解析装置10は、変換した画像に対して光学文字認識を適用して画像に視覚的に類似する文字列を求め、解析対象の通信先情報に含まれる部分文字列と、部分文字列が変換された画像に視覚的に類似する文字列との組み合わせを変換表として抽出する。このため、解析装置10によれば、事前に、予め類似文字列の変換表を用意せずとも、適切な変換表を、処理中に自動的に抽出することができる。
そして、解析装置10は、変換表と既知の通信先情報の一覧とを参照し、解析対象の通信先情報に視覚的に類似する通信先情報を既知の通信先情報一覧から探索する。したがって、解析装置10では、解析対象の通信先情報に視覚的に類似する通信先情報の候補を適切に探索できる。このため、解析装置10によれば、解析対象の通信先情報が、解析対象通信先が既に存在する通信先情報のうち、どのような正規通信先或いはサービスを狙って生成されたのかを特定することができる。
さらに、解析装置10は、通信先情報と、通信先情報に視覚的に類似する既知の通信先情報との組み合わせを基に、通信先情報に視覚的に類似する既知の通信先情報の設定情報または登録情報を取得する。そして、解析装置10は、通信先情報に視覚的に類似する既知の通信先情報が、通信先情報と同一の管理者によって管理されているか、または、通信先情報の管理者とは異なる第三者によって管理されているかを識別する。
したがって、解析装置10による解析結果を基に、解析対象の通信先情報が類似させようとした正規通信先を特定することや、解析対象の通信先情報がサイバー攻撃目的で生成されたものかを特定することができる。例えば、解析結果を用いることによって、解析対象の通信先情報がフィッシングに代表されるサイバー攻撃を目的として生成されたものかどうかを特定することができる。
[実施の形態のシステム構成について]
図1に示した解析装置10の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、解析装置10の機能の分散及び統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散または統合して構成することができる。
図1に示した解析装置10の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、解析装置10の機能の分散及び統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散または統合して構成することができる。
また、解析装置10において行われる各処理は、全部または任意の一部が、CPU及びCPUにより解析実行されるプログラムにて実現されてもよい。また、解析装置10において行われる各処理は、ワイヤードロジックによるハードウェアとして実現されてもよい。
また、実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともできる。もしくは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上述及び図示の処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて適宜変更することができる。
[プログラム]
図13は、プログラムが実行されることにより、解析装置10が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
図13は、プログラムが実行されることにより、解析装置10が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、解析装置10の各処理を規定するプログラムは、コンピュータ1000により実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、解析装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施の形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。或いは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施の形態について説明したが、本実施の形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施の形態に基づいて当業者等によりなされる他の実施の形態、実施例及び運用技術等は全て本発明の範疇に含まれる。
10 解析装置
11 入力部
12 変換部
13 探索部
14 識別部
15 出力部
11 入力部
12 変換部
13 探索部
14 識別部
15 出力部
Claims (5)
- 解析対象の通信先情報の入力を受け付ける入力部と、
前記通信先情報に含まれる部分文字列を画像に変換する変換部と、
前記変換部によって変換された画像に、視覚的に類似する文字列を求め、該求めた文字列を基に、前記通信先情報に視覚的に類似する既知の通信先情報を探索する探索部と、
前記通信先情報と、前記通信先情報に視覚的に類似する既知の通信先情報との組み合わせを出力する出力部と、
を有し、
前記探索部は、前記変換部が変換した画像に対して光学文字認識を適用して前記画像に前記視覚的に類似する文字列を求め、前記解析対象の通信先情報に含まれる部分文字列と、前記部分文字列が変換された画像に前記視覚的に類似する文字列との組み合わせを変換表として抽出し、前記変換表と既知の通信先情報の一覧とを参照し、前記通信先情報に視覚的に類似する通信先情報を前記既知の通信先情報一覧から探索することを特徴とする解析装置。 - 前記変換部は、前記通信先情報から、登録可能或いは指定可能である領域を特定し、特定した領域の部分文字列を任意の区切り文字或いは任意の文字数で分割し、分割した文字列をそれぞれ画像に変換することを特徴とする請求項1に記載の解析装置。
- 前記通信先情報に視覚的に類似する既知の通信先情報の設定情報または登録情報を取得し、前記通信先情報に視覚的に類似する既知の通信先情報が、前記通信先情報と同一の管理者によって管理されているか、または、前記通信先情報の管理者とは異なる第三者によって管理されているかを識別する識別部をさらに有し、
前記出力部は、前記通信先情報と、前記通信先情報に視覚的に類似する既知の通信先情報との組み合わせに、前記識別部による識別結果を付して出力することを特徴とする請求項1または2に記載の解析装置。 - 解析装置が実行する解析方法であって、
解析対象の通信先情報の入力を受け付ける工程と、
前記通信先情報に含まれる部分文字列を画像に変換する工程と、
変換された画像に、視覚的に類似する文字列を求め、該求めた文字列を基に、前記通信先情報に視覚的に類似する既知の通信先情報を探索する工程と、
前記通信先情報と、前記通信先情報に視覚的に類似する既知の通信先情報との組み合わせを出力する工程と、
を含み、
前記探索する工程は、前記変換する工程において変換された画像に対して光学文字認識を適用して前記画像に前記視覚的に類似する文字列を求め、前記解析対象の通信先情報に含まれる部分文字列と、前記部分文字列が変換された画像に前記視覚的に類似する文字列との組み合わせを変換表として抽出し、前記変換表と既知の通信先情報の一覧とを参照し、前記通信先情報に視覚的に類似する通信先情報を前記既知の通信先情報一覧から探索することを特徴とする解析方法。 - 解析対象の通信先情報の入力を受け付けるステップと、
前記通信先情報に含まれる部分文字列を画像に変換するステップと、
変換された画像に、視覚的に類似する文字列を求め、該求めた文字列を基に、前記通信先情報に視覚的に類似する既知の通信先情報を探索するステップと、
前記通信先情報と、前記通信先情報に視覚的に類似する既知の通信先情報との組み合わせを出力するステップと、
をコンピュータに実行させ、
前記探索するステップは、前記変換するステップにおいて変換された画像に対して光学文字認識を適用して前記画像に前記視覚的に類似する文字列を求め、前記解析対象の通信先情報に含まれる部分文字列と、前記部分文字列が変換された画像に前記視覚的に類似する文字列との組み合わせを変換表として抽出し、前記変換表と既知の通信先情報の一覧とを参照し、前記通信先情報に視覚的に類似する通信先情報を前記既知の通信先情報一覧から探索するための解析プログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018139082 | 2018-07-25 | ||
| JP2018139082 | 2018-07-25 | ||
| PCT/JP2019/018132 WO2020021811A1 (ja) | 2018-07-25 | 2019-04-26 | 解析装置、解析方法及び解析プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2020021811A1 JPWO2020021811A1 (ja) | 2021-02-15 |
| JP6947307B2 true JP6947307B2 (ja) | 2021-10-13 |
Family
ID=69182175
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020532170A Active JP6947307B2 (ja) | 2018-07-25 | 2019-04-26 | 解析装置、解析方法及び解析プログラム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11843633B2 (ja) |
| EP (1) | EP3809299B1 (ja) |
| JP (1) | JP6947307B2 (ja) |
| WO (1) | WO2020021811A1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020170309A (ja) * | 2019-04-02 | 2020-10-15 | キヤノン株式会社 | 画像処理システム、画像処理装置、画像処理方法、及びプログラム |
| JP7545050B2 (ja) | 2021-01-15 | 2024-09-04 | 富士通株式会社 | 通信接続プログラム、通信接続方法、および情報処理装置 |
| US11689546B2 (en) * | 2021-09-28 | 2023-06-27 | Cyberark Software Ltd. | Improving network security through real-time analysis of character similarities |
| JP2023067463A (ja) | 2021-11-01 | 2023-05-16 | 富士通株式会社 | ドメイン検索プログラム、ドメイン検索方法および情報処理装置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4545540B2 (ja) | 2004-10-01 | 2010-09-15 | 三菱電機株式会社 | アクセス防止装置 |
| WO2007072320A2 (en) * | 2005-12-23 | 2007-06-28 | International Business Machines Corporation | Method for evaluating and accessing a network address |
| US9521161B2 (en) * | 2007-01-16 | 2016-12-13 | International Business Machines Corporation | Method and apparatus for detecting computer fraud |
| JP2009087226A (ja) * | 2007-10-02 | 2009-04-23 | Kddi Corp | ウェブサイト判定装置およびウェブサイト判定プログラム |
| JP5449521B2 (ja) * | 2010-02-24 | 2014-03-19 | 三菱電機株式会社 | 検索装置及び検索プログラム |
| US8606565B2 (en) * | 2010-11-10 | 2013-12-10 | Rakuten, Inc. | Related-word registration device, information processing device, related-word registration method, program for related-word registration device, and recording medium |
| WO2015098253A1 (ja) * | 2013-12-26 | 2015-07-02 | 株式会社ニコン | 電子機器 |
| JP6200101B2 (ja) * | 2014-10-28 | 2017-09-20 | 日本電信電話株式会社 | 分析装置、分析システム、分析方法、および、分析プログラム |
| GB201605004D0 (en) * | 2016-03-24 | 2016-05-11 | Secr Defence | A method of protecting a user from messages with links to malicious websites |
| US10193923B2 (en) * | 2016-07-20 | 2019-01-29 | Duo Security, Inc. | Methods for preventing cyber intrusions and phishing activity |
-
2019
- 2019-04-26 JP JP2020532170A patent/JP6947307B2/ja active Active
- 2019-04-26 US US17/261,173 patent/US11843633B2/en active Active
- 2019-04-26 WO PCT/JP2019/018132 patent/WO2020021811A1/ja unknown
- 2019-04-26 EP EP19840304.0A patent/EP3809299B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020021811A1 (ja) | 2020-01-30 |
| US20210279497A1 (en) | 2021-09-09 |
| JPWO2020021811A1 (ja) | 2021-02-15 |
| EP3809299B1 (en) | 2023-03-08 |
| EP3809299A1 (en) | 2021-04-21 |
| EP3809299A4 (en) | 2022-03-16 |
| US11843633B2 (en) | 2023-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6947307B2 (ja) | 解析装置、解析方法及び解析プログラム | |
| US10178107B2 (en) | Detection of malicious domains using recurring patterns in domain names | |
| US10200405B2 (en) | Tokenization of domain names for domain name impersonation detection using matching | |
| US9083735B2 (en) | Method and apparatus for detecting computer fraud | |
| US20210006593A1 (en) | Optically analyzing text strings such as domain names | |
| Suzuki et al. | ShamFinder: An automated framework for detecting IDN homographs | |
| US11212313B2 (en) | Detection of domain name impersonation | |
| JP6557334B2 (ja) | アクセス分類装置、アクセス分類方法、及びアクセス分類プログラム | |
| WO2017217163A1 (ja) | アクセス分類装置、アクセス分類方法及びアクセス分類プログラム | |
| US9882933B1 (en) | Tokenization of domain names for domain name impersonation detection using matching | |
| He et al. | Malicious domain detection via domain relationship and graph models | |
| US20240323223A1 (en) | Detecting visual similarity between dns fully qualified domain names | |
| WO2019142399A1 (ja) | 収集装置、収集方法及び収集プログラム | |
| Na et al. | Service identification of internet-connected devices based on common platform enumeration | |
| KR101893029B1 (ko) | 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치 | |
| WO2020170806A1 (ja) | 推定方法、推定装置及び推定プログラム | |
| KR101863569B1 (ko) | 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치 | |
| Yan et al. | Pontus: A linguistics-based DGA detection system | |
| CN114024701A (zh) | 域名检测方法、装置及通信系统 | |
| Pascariu et al. | Detecting Phishing Websites Through Domain and Content Analysis | |
| JP7459962B2 (ja) | 検知装置、検知方法および検知プログラム | |
| Butler | Considering the Plausibility of IDN Homograph Attacks on iOS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200619 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210629 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210720 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210817 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210830 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6947307 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |