JP7020362B2 - 探索装置、探索方法及び探索プログラム - Google Patents

探索装置、探索方法及び探索プログラム Download PDF

Info

Publication number
JP7020362B2
JP7020362B2 JP2018192103A JP2018192103A JP7020362B2 JP 7020362 B2 JP7020362 B2 JP 7020362B2 JP 2018192103 A JP2018192103 A JP 2018192103A JP 2018192103 A JP2018192103 A JP 2018192103A JP 7020362 B2 JP7020362 B2 JP 7020362B2
Authority
JP
Japan
Prior art keywords
destination
search
unit
communication data
fingerprint
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018192103A
Other languages
English (en)
Other versions
JP2020060978A (ja
Inventor
一真 篠宮
和憲 神谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018192103A priority Critical patent/JP7020362B2/ja
Priority to PCT/JP2019/037895 priority patent/WO2020075518A1/ja
Priority to EP19871873.6A priority patent/EP3848834B1/en
Priority to US17/282,778 priority patent/US11924243B2/en
Publication of JP2020060978A publication Critical patent/JP2020060978A/ja
Application granted granted Critical
Publication of JP7020362B2 publication Critical patent/JP7020362B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、探索装置、探索方法及び探索プログラムに関する。
サイバー攻撃において、攻撃者は、作成したマルウェアを感染させたホストをC&C(Command and Control)サーバ等の悪性サーバを通じて操作することで、任意の攻撃を成立させる。このような攻撃に対する防護策として、悪性サーバのブラックリストを用いた通信の検知及び遮断が行われている。
また、ブラックリストに掲載する悪性サーバを探索する方法として、プローブパケットをサーバに送出し、当該プローブパケットに対するレスポンスから当該サーバが悪性であるか否かを判断する方法が知られている(例えば、非特許文献1を参照)。
Antonio Nappa, Zhaoyan Xu, M. Zubair Rafique, Juan Caballero, and Guofei Gu. CyberProbe: Towards Internet-Scale Active Detection of Malicious Servers. Proceedings of NDSS, pp.23-26, February 2014.
しかしながら、従来の技術には、悪性サーバの探索を効率的に行うことができない場合があるという問題がある。攻撃者は、複数のサーバを用意し、短期間に使用するサーバを切り替えることで探索を回避する場合があるため、効率的に探索して悪性サーバのリストを更新する必要があるが、従来の技術では効率的な探索を行うことができないことがある。
例えば、非特許文献1に記載の方法では、悪性サーバの候補の絞り込みが不十分なため、悪性として使用され始めたサーバにすぐにプローブパケットを送信できないことや、切り替えにより既に悪性でなくなったサーバに対してもプローブパケットをより多く送信することが考えられる。また、非特許文献1に記載の方法は、フィンガープリントの生成にヘッダの情報を参照し、特定のプロトコルを重視する方式をとっているため、マルウェア独自のプロトコルを含む、その他のプロトコルを用いて通信を行う悪性サーバの発見が不可能になる。このため、非特許文献1に記載の方法では、悪性サーバの探索の効率が低下することがある。
上述した課題を解決し、目的を達成するために、探索装置は、既知のマルウェアを実行して得た通信データから、リクエストに対応する第1の通信データと、当該リクエストに対するレスポンスに対応する第2の通信データと、の組み合わせであるフィンガープリントを抽出する抽出部と、前記フィンガープリントに対し、前記マルウェアの悪性度に応じた優先度を付与する付与部と、前記フィンガープリントに含まれる前記第1の通信データに基づくリクエストであるプローブと、前記フィンガープリントに含まれる前記第2の通信データに基づくシグネチャと、をプロトコル非依存で生成する生成部と、送出先の通信に関する情報を基に、前記送出先の中から探索対象の送出先を決定する決定部と、前記決定部によって決定された探索対象の送出先に対し、前記付与部によって付与された優先度に応じた順序で、前記生成部によって生成されたプローブを送出する送出部と、前記送出部によって送出されたプローブに対するレスポンスが、前記生成部によって生成されたシグネチャにマッチするか否かを基に、前記探索対象の送出先が悪性であるか否かを判定する判定部と、を有することを特徴とする。
本発明によれば、悪性サーバの探索を効率的に行うことができる。
図1は、第1の実施形態に係る探索装置の構成の一例を示す図である。 図2は、第1の実施形態に係る悪性通信データの一例を示す図である。 図3は、第1の実施形態に係るフィンガープリントの一例を示す図である。 図4は、第1の実施形態に係る探索部の構成の一例を示す図である。 図5は、第1の実施形態に係る探索対象のサーバの一例を示す図である。 図6は、第1の実施形態に係る探索装置の処理全体の流れを示すフローチャートである。 図7は、第1の実施形態に係る探索処理の流れを示すフローチャートである。 図8は、探索プログラムを実行するコンピュータの一例を示す図である。
以下に、本願に係る探索装置、探索方法及び探索プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係る探索装置の構成について説明する。図1は、第1の実施形態に係る探索装置の構成の一例を示す図である。図1に示すように、探索装置10は、入出力部11、通信部12、記憶部13及び制御部14を有する。
入出力部11は、データの入力の受け付け、及びデータの出力を行う。例えば、入出力部11は、マウスやキーボード等の入力装置を含む。また、例えば、入出力部11は、ディスプレイ等の表示装置を含む。また、通信部12は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部12はNIC(Network Interface Card)である。
記憶部13は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部13は、探索装置10で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部13は、プログラムの実行で用いられる各種情報を記憶する。また、記憶部13は、フィンガープリント記憶部131を有する。また、記憶部13は、トラヒックデータ132、AS情報133及びホワイトリスト134を記憶する。
ここで、図1に示すように、探索装置10は、悪性通信データ20の入力を受け付ける。悪性通信データ20は、既知のマルウェアをサンドボックス環境で実行した際に発生する通信のデータである。また、探索装置10は、悪性サーバリスト30を出力する。悪性サーバリスト30は、IPアドレス等によって表される悪性サーバの一覧である。
例えば、悪性通信データ20は、通信において送受信されたIPパケットのヘッダ及びペイロードである。図2は、第1の実施形態に係る悪性通信データの一例を示す図である。図2に示すように、悪性通信データ20には、「データID」、「マルウェアID」、「セッションID」、「プロトコル」、「送信元IP」、「送信先IP」、「送信元ポート」、「送信先ポート」及び「ペイロード」等が含まれる。
ここで、図2の悪性通信データ20の各レコードは、それぞれIPパケットに対応しているものとする。「データID」は、悪性通信データ20の各レコードを識別するためのIDである。また、「マルウェアID」は、各レコードに対応するIPパケットを発生させたマルウェアを識別するためのIDである。
また、「セッションID」は、IPパケットが発生したセッションを識別するためのIDである。また、「プロトコル」は、IPパケットのトランスポート層のプロトコルである。また、「送信元IP」は、IPパケットの送信元のIPアドレスである。また、「送信先IP」は、IPパケットの送信先のIPアドレスである。また、「送信元ポート」は、IPパケットの送信元のポート番号である。また、「送信先ポート」は、IPパケットの送信先のポート番号である。また、「ペイロード」は、IPパケットのペイロードである。
例えば、図2の「データID」が「1」のレコードは、「マルウェアID」が「M01」であるマルウェアが、「セッションID」が「a001」であるセッションにおいて、「プロトコル」が「TCP」、「送信元IP」が「192.0.10.101」、「送信先IP」が「192.0.20.201」、「送信元ポート」が「50000」、「送信先ポート」が「80」、「ペイロード」が「1011011001…」であるIPパケットを発生させたことを示している。
ここで、図3を用いて、フィンガープリント記憶部131に記憶されるフィンガープリントについて説明する。図3は、第1の実施形態に係るフィンガープリントの一例を示す図である。フィンガープリントは、悪性通信データ20において、要求(リクエスト)と応答(レスポンス)の関係にある通信の組み合わせである。
図3に示すように、フィンガープリントは、「リクエストID」及び「レスポンスID」によって識別される。ここで、「リクエストID」及び「レスポンスID」は、悪性通信データ20の「データID」に対応している。つまり、図3の1行目のフィンガープリントの「リクエストID」と「レスポンスID」の組み合わせは「1」と「2」なので、当該フィンガープリントは、図2の「データID」が「1」であるIPパケットと「データID」が「2」であるIPパケットとの組み合わせである。また、「リクエストID」及び「レスポンスID」には、それぞれ複数の「データID」が含まれていてもよい。
例えば、図3の1行目のレコードは、悪性通信データ20における「データID」が「1」であるIPパケットをリクエストとし、「データID」が「2」であるIPパケットをレスポンスとするフィンガープリントを表している。
「発見数」は、当該フィンガープリントを用いてこれまでに発見された悪性サーバの数である。また、「危険度」は、当該フィンガープリントの生成元である既知のマルウェアの危険度である。また、「優先度」は、当該フィンガープリントの優先度である。「優先度」の付与方法については後述する。
トラヒックデータ132は、サンドボックスではない大規模な実ネットワークでの通信のログである。トラヒックデータ132は、通信におけるデータの送信元及び送信先の情報を含む。例えば、トラヒックデータ132は、IPパケットの5-Tupleの情報であってもよいし、フローごとの通信量等の統計情報であってもよい。AS(Autonomous System)情報133は、ASごとの悪性度の情報である。ホワイトリスト134は、悪性でないことが既知のサーバの一覧であり、IPアドレス等によって表される。
制御部14は、探索装置10全体を制御する。制御部14は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部14は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部14は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部14は、抽出部141、付与部142、生成部143及び探索部144を有する。
抽出部141は、既知のマルウェアを実行して得た通信データから、リクエストに対応する第1の通信データと、当該リクエストに対するレスポンスに対応する第2の通信データと、の組み合わせであるフィンガープリントを抽出する。
例えば、抽出部141は、図2の「データID」が「1」のレコードと「データID」が「2」のレコードとの組み合わせであるフィンガープリントを取得する。このとき、図2の「データID」が「1」のレコードは、第1の通信データの一例である。また、図2の「データID」が「2」のレコードは、第2の通信データの一例である。また、図3の1行目のレコードは、フィンガープリントの一例である。
まず、抽出部141は、第1の通信データ及び第2の通信データの組み合わせである要求応答組を、所定の単位でまとめて抽出する。ここで抽出された要求応答組は、フィンガープリントの候補である。例えば、図2の「プロトコル」が「TCP」である場合、抽出部141は、セッション単位で第1の通信データ及び第2の通信データの組み合わせを抽出する。また、例えば、図2の「プロトコル」が「UDP」である場合、抽出部141は、フロー単位で第1の通信データ及び第2の通信データの組み合わせを抽出する。
ここで、フロー単位は、「送信元IP」、「送信先IP」、「送信元ポート」、「送信元ポート」同一の単位である。また、抽出部141は、通信の間が所定の時間(例えば、1秒)以上開くまでの間に発生した通信のデータをまとめて抽出してもよい。
また、抽出部141は、第1の通信データと第2の通信データの組み合わせのうち、第1の通信データに含まれる送信先が、あらかじめ設定されたホワイトリスト134に掲載されていない組み合わせを複数のクラスタに分類し、各クラスタからフィンガープリントを1つ以上抽出する。例えば、IPアドレス「192.0.40.201」がホワイトリスト134に含まれている場合、抽出部141は、図2の「データID」が「31」のレコードを抽出しない。また、抽出部141は、悪性通信データ20の各項目の値、すなわちIPパケットのヘッダ情報及びペイロードを基にクラスタリングを行う。このようにペイロードを基にクラスタリングを行うことで、抽出部141は、プロトコルに依存しないフィンガープリントを生成することができる。
付与部142は、フィンガープリントに対し、マルウェアの悪性度に応じた優先度を付与する。付与部142は、図3に示すような、フィンガープリントの「危険度」に基づいて優先度を付与することができる。また、付与部142は、フィンガープリントに対し、探索部144によって悪性であることが判定された回数が多いほど大きい優先度を付与する。探索部144による判定処理については後述する。図3の例では、付与部142は、「危険度」や「発見数」を基に特定の計算式で優先度を算出する。
生成部143は、フィンガープリントに含まれる第1の通信データに基づくリクエストであるプローブと、フィンガープリントに含まれる第2の通信データに基づくシグネチャと、を生成する。
ここで、プローブは、IPパケットであるものとする。このとき、例えば、生成部143は、図2の「データID」が「1」のレコードから、「送信先IP」が「192.0.20.201」、「送信先ポート」が「80」であるIPパケットをプローブとして生成する。また、当該プローブのペイロードは、第1の通信データに対応するIPパケットのペイロードそのものであってもよいし、第1の通信データに対応するIPパケットのペイロードに変更を加えたものであってもよい。
また、生成部143は、第2の通信データに対応するIPパケットのペイロードをシグネチャとすることができる。また、生成部143は、第2の通信データに対応するIPパケットのペイロードの一部を正規表現に置き換えること等によってシグネチャを生成してもよい。
探索部144は、プローブ及びシグネチャを用いて悪性サーバの探索を行う。また、探索部144は、発見した悪性サーバの一覧である悪性サーバリスト30を生成し出力する。ここで、図4に示すように、探索部144は、AS評価部144a、決定部144b、調査部144c、送出部144d及び判定部144eを有する。図4は、第1の実施形態に係る探索部の構成の一例を示す図である。また、以降の説明で、探索部144がプローブを送出するサーバを単に送出先と呼ぶ場合がある。
AS評価部144aは、悪性の送出先の発見状況に基づくASごとの悪性度を評価する。例えば、AS評価部144aは、ASごとの悪性のサーバの数を悪性度としてもよいし、ASごとのサーバの総数に対する悪性のサーバの割合を悪性度としてもよい。また、ASごとの過去の悪性サーバの発見数は、AS情報133として記憶部13に記憶されているものとする。なお、AS情報133は、探索装置10によって発見された悪性サーバの情報に基づいて作成されたものであってもよいし、あらかじめ外部から取得したものであってもよい。
決定部144bは、送出先の通信に関する情報を基に、送出先の中から探索対象の送出先を決定する。例えば、決定部144bは、AS評価部144aによって評価されたASごとの悪性度が、所定の閾値以上であるASに含まれる送出先を探索対象の送出先に決定することができる。
決定部144bは、外部から収集したトラヒックデータ132に基づき、悪性であることが既知の送出先から2hop先の送出先を探索対象の送出先に決定する。図5は、第1の実施形態に係る探索対象のサーバの一例を示す図である。図5のサーバ51は、C&Cサーバであり、悪性であることが既知のサーバである。
ここで、トラヒックデータ132は、サーバ51とマルウェアによりbotが実行されているサーバ52との間で通信が行われていることを示しているものとする。さらに、トラヒックデータ132は、サーバ52とサーバ53との間で通信が行われていることを示しているものとする。この場合、サーバ53はサーバ51の2hop先にあるため、決定部144bは、サーバ53を探索対象の送出先に決定する。
また、決定部144bは、探索対象を範囲として決定してもよい。例えば、決定部144bは、悪性であることが既知の送出先から1hop先及び2hop先の両方、すなわち2hop先以内を探索範囲に決定する。
また、決定部144bは、ASごとの悪性度が、所定の閾値以上、かつ悪性であることが既知の送出先から2hop先の送出先を探索対象の送出先に決定してもよい。また、決定部144bは、探索対象の送出先に対し、ASごとの悪性度が大きい順に探索順序を決定することができる。
さらに、決定部144bは、BGP(Border Gateway Protocol)経路情報等の外部の情報を参照し、悪性通信データ20の送信先IPアドレスが含まれるプレフィックスや、悪性通信データ20の送信先IPアドレスを保持する組織が保持する他のIPアドレスが優先的に探索されるように、探索対象及び探索順序を決定してもよい。
調査部144cは、プローブの送出先のポートが開いているか否かを調査する。例えば、調査部144cは、既存のポートスキャン技術を用いて送出先のポートを調査することができる。
送出部144dは、決定部144bによって決定された探索対象の送出先に対し、付与部142によって付与された優先度に応じた順序で、生成部143によって生成されたプローブを送出する。また、決定部144bによって探索順序が決定されている場合、送出部144dは、探索順序に従って生成部によって生成されたプローブを送出する。
また、調査部144cの調査により、プローブの送出先のポートが開いていないことが判明している場合、送出部144dは、当該プローブを送出せずに次のプローブの送出処理に移行することができる。
判定部144eは、送出部144dによって送出されたプローブに対するレスポンスが、生成部143によって生成されたシグネチャにマッチするか否かを基に、探索対象の送出先が悪性であるか否かを判定する。例えば、判定部144eは、レスポンスのIPパケットのペイロードがシグネチャに完全一致又は部分一致する場合にレスポンスがシグネチャにマッチすると判定してもよい。また、判定部144eは、レスポンスのIPパケットのペイロードとシグネチャとの一致度合いが閾値以上である場合にレスポンスがシグネチャにマッチすると判定してもよい。
[第1の実施形態の処理]
図6を用いて、探索装置10の処理の流れを説明する。図6は、第1の実施形態に係る探索装置の処理全体の流れを示すフローチャートである。図6に示すように、まず、探索装置10は、悪性通信データ20の入力を受け付ける(ステップS11)。次に、探索装置10は、悪性通信データ20から要求応答組を抽出する(ステップS12)。
ここで、探索装置10は、正常な要求応答組を除外する(ステップS13)。なお、正常な要求応答組とは、抽出した要求応答組のうち、送信先がホワイトリスト134に含まれる要求応答組である。そして、探索装置10は、要求応答組のクラスタリングを行い、各クラスタからフィンガープリントを抽出する(ステップS14)。
そして、探索装置10は、各フィンガープリントの危険度(ステップS15)及び発見数(ステップS16)に基づいて優先度を付与する。ここで、探索装置10は、探索処理(ステップS17)を行い、探索処理の結果を反映させた悪性サーバリスト30を出力する(ステップS18)。
図7を用いて、探索装置10による探索処理について説明する。図7は、第1の実施形態に係る探索処理の流れを示すフローチャートである。また、探索処理は、図6のステップS17に対応する処理である。
まず、図7に示すように、探索装置10は、フィンガープリントからプローブ及びシグネチャを生成する(ステップS171)。次に、探索装置10は、サーバの探索範囲を決定する(ステップS172)。また、探索装置10は、サーバの探索順序を決定する(ステップS173)。そして、探索装置10は、送出先のポートが開いているか否かを調査する(ステップS174)。
そして、探索装置10は、送出先にプローブを送出する(ステップS175)。このとき、探索装置10は、送出したプローブに対する応答がシグネチャにマッチするか否かを判定する(ステップS176)。応答がシグネチャにマッチする場合(ステップS176、Yes)、探索装置10は、送出先を悪性サーバリスト30に追加する(ステップS177)。一方、応答がシグネチャにマッチしない場合(ステップS176、No)、探索装置10は、送出先を悪性サーバリスト30に追加せずに処理を終了する。また、探索装置10は、ステップS175においてプローブを送出した後に、応答が返って来なかった場合(例えば、タイムアウトが発生した場合)、応答がシグネチャにマッチしない場合と同様に、送出先を悪性サーバリスト30に追加せずに処理を終了する。
[第1の実施形態の効果]
これまで説明してきたように、探索装置10は、既知のマルウェアを実行して得た通信データから、リクエストに対応する第1の通信データと、当該リクエストに対するレスポンスに対応する第2の通信データと、の組み合わせであるフィンガープリントを抽出する。また、探索装置10は、フィンガープリントに対し、マルウェアの悪性度に応じた優先度を付与する。また、探索装置10は、送出先の通信に関する情報を基に、送出先の中から探索対象の送出先を決定する。また、探索装置10は、フィンガープリントに含まれる第1の通信データに基づくリクエストであるプローブと、フィンガープリントに含まれる第2の通信データに基づくシグネチャと、を生成する。また、探索装置10は、決定した探索対象の送出先に対し、付与した優先度に応じた順序で、プローブを送出する。また、探索装置10は、送出したプローブに対するレスポンスが、シグネチャにマッチするか否かを基に、探索対象の送出先が悪性であるか否かを判定する。
このように、探索装置10は、悪性サーバを発見する可能性が高いフィンガープリントによる探索を優先し、かつ、悪性である可能性が高いサーバを探索対象としている。このため、探索装置10によれば、悪性サーバの探索を効率的に行うことができる。
また、非特許文献1に記載の方法では、例えばHTTPのような特定のプロトコルに適合したシグネチャが生成される。これに対し、探索装置10は、プロトコルに依存せずにフィンガープリントを生成することができ、悪性サーバの探索を効率化することができる。
また、探索装置10は、第1の通信データと第2の通信データの組み合わせのうち、第1の通信データに含まれる送信先が、あらかじめ設定されたホワイトリスト134に掲載されていない組み合わせを、ペイロードを基に複数のクラスタに分類し、プロトコルに非依存で各クラスタからフィンガープリントを抽出する。これにより、悪性でないことが明らかなサーバを探索対象から除外し、探索を効率化することができる。
また、探索装置10は、フィンガープリントに対し、悪性であることが判定された回数が多いほど大きい優先度を付与する。これにより、過去の実績に基づき、悪性サーバを発見する可能性が高いフィンガープリントによる探索を優先することができる。
また、探索装置10は、外部から収集したトラヒックデータ132に基づき、悪性であることが既知の送出先から2hop先の送出先を探索対象の送出先に決定する。これにより、悪性である可能性が高いサーバを探索対象とすることができる。特に、悪性サーバであるC&Cサーバから2hop先には、マルウェアに感染したクライアントの通信先である他の悪性サーバが存在する可能性がある。
また、探索装置10は、悪性の送出先の発見状況に基づくASごとの悪性度が、所定の閾値以上であるASに含まれる送出先を探索対象の送出先に決定する。これにより、悪性サーバが多く存在することが予想されるASを探索対象とすることができる。
また、探索装置10は、探索対象の送出先に対し、ASごとの悪性度が大きい順に探索順序を決定する。このとき、探索装置10は、探索順序に従ってプローブを送出する。これにより、悪性サーバをより早く発見することが可能になる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、探索装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の悪性サーバの探索を実行する探索プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の探索プログラムを情報処理装置に実行させることにより、情報処理装置を探索装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、探索装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の悪性サーバの探索に関するサービスを提供する探索サーバ装置として実装することもできる。例えば、探索サーバ装置は、悪性通信データを入力とし、悪性サーバリストを出力とする探索サービスを提供するサーバ装置として実装される。この場合、探索サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の悪性サーバの探索に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図8は、探索プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、探索装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、探索装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020は、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した実施形態の処理を実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 探索装置
11 入出力部
12 通信部
13 記憶部
14 制御部
20 悪性通信データ
30 悪性サーバリスト
131 フィンガープリント記憶部
132 トラヒックデータ
133 AS情報
134 ホワイトリスト
141 抽出部
142 付与部
143 生成部
144 探索部
144a AS評価部
144b 決定部
144c 調査部
144d 送出部
144e 判定部

Claims (8)

  1. 既知のマルウェアを実行して得た通信データから、リクエストに対応する第1の通信データと、当該リクエストに対するレスポンスに対応する第2の通信データと、の組み合わせであるフィンガープリントを抽出する抽出部と、
    前記フィンガープリントに対し、前記マルウェアの悪性度に応じた優先度を付与する付与部と、
    前記フィンガープリントに含まれる前記第1の通信データに基づくリクエストであるプローブと、前記フィンガープリントに含まれる前記第2の通信データに基づくシグネチャと、を生成する生成部と、
    送出先の通信に関する情報を基に、前記送出先の中から探索対象の送出先を決定する決定部と、
    前記決定部によって決定された探索対象の送出先に対し、前記付与部によって付与された優先度に応じた順序で、前記生成部によって生成されたプローブを送出する送出部と、
    前記送出部によって送出されたプローブに対するレスポンスが、前記生成部によって生成されたシグネチャにマッチするか否かを基に、前記探索対象の送出先が悪性であるか否かを判定する判定部と、
    を有することを特徴とする探索装置。
  2. 前記抽出部は、前記第1の通信データと前記第2の通信データの組み合わせのうち、前記第1の通信データに含まれる送信先が、あらかじめ設定されたホワイトリストに掲載されていない組み合わせをペイロードを基に複数のクラスタに分類し、プロトコルに非依存で各クラスタから前記フィンガープリントを抽出することを特徴とする請求項1に記載の探索装置。
  3. 前記付与部は、前記フィンガープリントに対し、前記判定部によって悪性であることが判定された回数が多いほど大きい優先度を付与することを特徴とする請求項1に記載の探索装置。
  4. 前記決定部は、外部から収集したトラヒックデータに基づき、悪性であることが既知の送出先から2hop先の送出先を探索対象の送出先に決定することを特徴とする請求項1に記載の探索装置。
  5. 前記決定部は、悪性の送出先の発見状況に基づくAS(Autonomous System)ごとの悪性度が、所定の閾値以上であるASに含まれる送出先を探索対象の送出先に決定することを特徴とする請求項1に記載の探索装置。
  6. 前記決定部は、探索対象の送出先に対し、前記ASごとの悪性度が大きい順に探索順序を決定し、
    前記送出部は、前記探索順序に従って前記生成部によって生成されたプローブを送出することを特徴とする請求項5に記載の探索装置。
  7. コンピュータによって実行される探索方法であって、
    既知のマルウェアを実行して得た通信データから、リクエストに対応する第1の通信データと、当該リクエストに対するレスポンスに対応する第2の通信データと、の組み合わせであるフィンガープリントを抽出する抽出工程と、
    前記フィンガープリントに対し、前記マルウェアの悪性度に応じた優先度を付与する付与工程と、
    前記フィンガープリントに含まれる前記第1の通信データに基づくリクエストであるプローブと、前記フィンガープリントに含まれる前記第2の通信データに基づくシグネチャと、を生成する生成工程と、
    送出先の通信に関する情報を基に、前記送出先の中から探索対象の送出先を決定する決定工程と、
    前記決定工程によって決定された探索対象の送出先に対し、前記付与工程によって付与された優先度に応じた順序で、前記生成工程によって生成されたプローブを送出する送出工程と、
    前記送出工程によって送出されたプローブに対するレスポンスが、前記生成工程によって生成されたシグネチャにマッチするか否かを基に、前記探索対象の送出先が悪性であるか否かを判定する判定工程と、
    を含むことを特徴とする探索方法。
  8. コンピュータを、請求項1から6のいずれか1項に記載の探索装置として機能させるための探索プログラム。
JP2018192103A 2018-10-10 2018-10-10 探索装置、探索方法及び探索プログラム Active JP7020362B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2018192103A JP7020362B2 (ja) 2018-10-10 2018-10-10 探索装置、探索方法及び探索プログラム
PCT/JP2019/037895 WO2020075518A1 (ja) 2018-10-10 2019-09-26 探索装置、探索方法及び探索プログラム
EP19871873.6A EP3848834B1 (en) 2018-10-10 2019-09-26 Search device, search method, and search program
US17/282,778 US11924243B2 (en) 2018-10-10 2019-09-26 Search device, search method, and search program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018192103A JP7020362B2 (ja) 2018-10-10 2018-10-10 探索装置、探索方法及び探索プログラム

Publications (2)

Publication Number Publication Date
JP2020060978A JP2020060978A (ja) 2020-04-16
JP7020362B2 true JP7020362B2 (ja) 2022-02-16

Family

ID=70165245

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018192103A Active JP7020362B2 (ja) 2018-10-10 2018-10-10 探索装置、探索方法及び探索プログラム

Country Status (4)

Country Link
US (1) US11924243B2 (ja)
EP (1) EP3848834B1 (ja)
JP (1) JP7020362B2 (ja)
WO (1) WO2020075518A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112019575B (zh) * 2020-10-22 2021-01-29 腾讯科技(深圳)有限公司 数据包处理方法、装置、计算机设备以及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014229127A (ja) 2013-05-23 2014-12-08 日本電信電話株式会社 ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム
JP2015179416A (ja) 2014-03-19 2015-10-08 日本電信電話株式会社 ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム
JP2016146114A (ja) 2015-02-09 2016-08-12 株式会社日立システムズ ブラックリストの管理方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8302191B1 (en) * 2009-03-13 2012-10-30 Symantec Corporation Filtering malware related content
JP5986340B2 (ja) * 2014-03-19 2016-09-06 日本電信電話株式会社 Url選定方法、url選定システム、url選定装置及びurl選定プログラム
WO2015141560A1 (ja) * 2014-03-19 2015-09-24 日本電信電話株式会社 トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
US20160127408A1 (en) * 2014-10-31 2016-05-05 NxLabs Limited Determining vulnerability of a website to security threats

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014229127A (ja) 2013-05-23 2014-12-08 日本電信電話株式会社 ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム
JP2015179416A (ja) 2014-03-19 2015-10-08 日本電信電話株式会社 ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム
JP2016146114A (ja) 2015-02-09 2016-08-12 株式会社日立システムズ ブラックリストの管理方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
篠宮 一真、外4名,「通信先の悪性判定のための応答シグネチャ生成法の検討」,電子情報通信学会技術研究報告 IEICE Technical Report,日本,一般社団法人電子情報通信学会,2018年02月28日,Vol.117 No.481,pp.157-160,ISSN 0913-5685

Also Published As

Publication number Publication date
US11924243B2 (en) 2024-03-05
JP2020060978A (ja) 2020-04-16
EP3848834B1 (en) 2023-03-22
US20210392145A1 (en) 2021-12-16
EP3848834A4 (en) 2022-06-15
WO2020075518A1 (ja) 2020-04-16
EP3848834A1 (en) 2021-07-14

Similar Documents

Publication Publication Date Title
US20240163253A1 (en) Network security analysis system with reinforcement learning for selecting domains to scan
US8683585B1 (en) Using file reputations to identify malicious file sources in real time
US10033745B2 (en) Method and system for virtual security isolation
CN111953641A (zh) 未知网络流量的分类
US10320833B2 (en) System and method for detecting creation of malicious new user accounts by an attacker
WO2016160132A1 (en) Behavior analysis based dns tunneling detection and classification framework for network security
US10972490B2 (en) Specifying system, specifying device, and specifying method
US9491190B2 (en) Dynamic selection of network traffic for file extraction shellcode detection
US10516694B1 (en) Hierarchical mitigation of denial of service attacks on communication networks
US11190542B2 (en) Network session traffic behavior learning system
JP2019153894A (ja) 通信制御装置、通信制御方法および通信制御プログラム
JP2017147575A (ja) 制御プログラム、制御装置、および、制御方法
JP6864610B2 (ja) 特定システム、特定方法及び特定プログラム
WO2018019010A1 (zh) 动态行为分析方法、装置、系统及设备
Xu et al. An adaptive IP hopping approach for moving target defense using a light-weight CNN detector
JP7020362B2 (ja) 探索装置、探索方法及び探索プログラム
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
JP2024023875A (ja) インラインマルウェア検出
US8661102B1 (en) System, method and computer program product for detecting patterns among information from a distributed honey pot system
JP6708575B2 (ja) 分類装置、分類方法および分類プログラム
US20220247758A1 (en) Combination rule mining for malware signature generation
JP2018120308A (ja) 分類装置、分類方法及び分類プログラム
JP7052602B2 (ja) 生成装置、生成方法及び生成プログラム
JP2017076841A (ja) 監視装置および監視方法
CN115549937A (zh) 检测并阻止网络上早期传送的恶意文件

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220104

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220117

R150 Certificate of patent or registration of utility model

Ref document number: 7020362

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150