JP7102780B2 - Unauthorized communication countermeasure system and method - Google Patents
Unauthorized communication countermeasure system and method Download PDFInfo
- Publication number
- JP7102780B2 JP7102780B2 JP2018035588A JP2018035588A JP7102780B2 JP 7102780 B2 JP7102780 B2 JP 7102780B2 JP 2018035588 A JP2018035588 A JP 2018035588A JP 2018035588 A JP2018035588 A JP 2018035588A JP 7102780 B2 JP7102780 B2 JP 7102780B2
- Authority
- JP
- Japan
- Prior art keywords
- malware
- communication
- file
- countermeasure
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明はマルウェアによって起こされる不正通信に対処する不正通信対処システム及び方法に関する。 The present invention relates to an unauthorized communication countermeasure system and method for dealing with unauthorized communication caused by malware.
マルウェアの中には、ユーザ端末内のプログラムに感染してそのプログラムの動作を妨げたり、ユーザの意図に反する有害な作用を及ぼすものがある。このようなマルウェアは、実行されると、インターネット内に配置されたC&Cサーバ(コマンド&コントロールサーバ)などの不正サーバと不正通信を行って不正サーバからインターネットを介してユーザ端末などのマルウェア感染装置を遠隔操作するボットネットを構成する。遠隔操作の指令者は指令者装置を操作してマルウェア感染装置に対して不正サーバ経由で指令を送信することが行われる。不正サーバから命令が送信されると、遠隔操作されるマルウェア感染装置はそのユーザの意図とは関係なく、他の端末やサーバを攻撃したり、個人情報を盗み出したりする。このようなマルウェアが拡散して多数の端末やコンピュータ装置が感染すると、それら多数のマルウェア感染装置は不正サーバと接続して不正通信を行うことになる。 Some malware infects a program in a user terminal and interferes with the operation of the program, or has a harmful effect contrary to the intention of the user. When such malware is executed, it illegally communicates with a malicious server such as a C & C server (command & control server) located on the Internet, and the malicious server sends a malware-infected device such as a user terminal via the Internet. Configure a remotely operated bot net. The remote-controlled commander operates the commander device to send a command to the malware-infected device via an unauthorized server. When a command is sent from a malicious server, a remotely controlled malware-infected device attacks other terminals or servers or steals personal information regardless of the user's intention. When such malware spreads and infects a large number of terminals and computer devices, the large number of malware-infected devices connect to a malicious server and perform unauthorized communication.
このような不正通信に対処する方法としては、従来、特許文献1に開示されたように、インターネットに接続する複数のLANを有するネットワークにおいて各LANに接続した端末装置へのインターネットからのアクセスは、全て不正侵入検知代理サーバを経由するようにしてネットワークへの不正侵入に対して警告と反撃を実行する技術がある。
As a method for dealing with such unauthorized communication, conventionally, as disclosed in
しかしながら、かかる従来技術では、不正サーバに対して反撃を行うことで抑止力とすることを狙いとしているが、インターネットに接続されたネットワーク毎に不正侵入検知代理サーバ等の不正通信対処設備を構築する必要があり、不正通信対処設備やネットワーク構築のためにコスト高となるという問題があった。 However, in such a conventional technique, although the aim is to counterattack an unauthorized server to provide a deterrent, an unauthorized communication countermeasure facility such as an unauthorized intrusion detection proxy server is constructed for each network connected to the Internet. There was a problem that it was necessary and the cost was high due to the equipment for dealing with unauthorized communication and the construction of the network.
そこで、本発明の目的は、インターネットに接続されたネットワーク毎に不正通信対処設備を構築することなくマルウェアによって起こされる不正通信に迅速に対処することができる不正通信対処システム及び方法を提供することである。 Therefore, an object of the present invention is to provide a fraudulent communication countermeasure system and method capable of swiftly dealing with fraudulent communication caused by malware without constructing a fraudulent communication countermeasure facility for each network connected to the Internet. be.
本発明の不正通信対処システムは、インターネットを介して転送されるファイルを取り込むファイル取込手段と、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するマルウェア判定手段と、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するサーバアドレス検出手段と、対抗措置手段とを備え、前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、前記不正サーバのアドレス宛に特定のパケットを連続して発信する輻輳トラフィック発信機能部を動作させ、前記対抗措置手段は、前記マルウェアによる前記不正通信挙動をログとして蓄積する通信挙動DB(データベース)装置を備え、前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積することを特徴としている。
本発明の不正通信対処システムは、インターネットを介して転送されるファイルを取り込むファイル取込手段と、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するマルウェア判定手段と、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するサーバアドレス検出手段と、対抗措置手段とを備え、前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、前記不正サーバのソフトウェアの脆弱性に対応したコードを含んだパケットを前記不正サーバのアドレス宛に発信する脆弱性コード発信機能部を動作させ、前記対抗措置手段は、前記マルウェアによる前記不正通信挙動をログとして蓄積する通信挙動DB(データベース)装置を備え、前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積することを特徴としている。
本発明の不正通信対処システムは、インターネットを介して転送されるファイルを取り込むファイル取込手段と、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するマルウェア判定手段と、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するサーバアドレス検出手段と、対抗措置手段とを備え、前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、RAT(Remote Access Tool)型のプログラムを含むパケットを前記不正サーバのアドレス宛に発信するRAT型プログラム発信機能部を動作させ、前記対抗措置手段は、前記マルウェアによる前記不正通信挙動をログとして蓄積する通信挙動DB(データベース)装置を備え、前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積することを特徴としている。
The unauthorized communication countermeasure system of the present invention executes a file importing means for importing a file transferred via the Internet and the file imported by the file importing means in a virtual environment, and based on the execution contents. A malware determining means for determining whether or not the file is malware, and an address of an unauthorized server based on the execution contents of the file under the virtual environment when the file is determined to be malware by the malware determining means. The countermeasure means is provided with a server address detecting means for detecting the file, and the countermeasure means is congested traffic that continuously sends a specific packet to the address of the malicious server in response to the unauthorized communication behavior by the malware. The transmission function unit is operated, and the countermeasure means includes a communication behavior DB (database) device that stores the unauthorized communication behavior by the malware as a log, and the communication behavior DB device is such that the file is stored by the malware determination means. When it is determined to be malware, it is determined whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the log of the new method is accumulated .
The unauthorized communication countermeasure system of the present invention executes a file importing means for importing a file transferred via the Internet and the file imported by the file importing means in a virtual environment, and based on the execution contents. A malware determining means for determining whether or not the file is malware, and an address of an unauthorized server based on the execution contents of the file under the virtual environment when the file is determined to be malware by the malware determining means. The countermeasure means includes a server address detecting means for detecting the file and a countermeasure means, and the countermeasure means receives a packet containing a code corresponding to a vulnerability in the software of the malicious server in response to the unauthorized communication behavior by the malware. The vulnerability code transmission function unit that transmits to the address of the unauthorized server is operated, and the countermeasure means includes a communication behavior DB (database) device that stores the unauthorized communication behavior by the malware as a log, and the communication behavior DB. When the file is determined to be malware by the malware determining means, the device determines whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the said new method. It is characterized by accumulating logs.
The malicious communication countermeasure system of the present invention executes a file importing means for importing a file transferred via the Internet and the file imported by the file importing means in a virtual environment, and based on the execution contents. A malware determining means for determining whether or not the file is malware, and an address of an unauthorized server based on the execution contents of the file under the virtual environment when the file is determined to be malware by the malware determining means. The countermeasure means includes a server address detecting means for detecting the above, and the countermeasure means sends a packet containing a RAT (Remote Access Tool) type program to the address of the malicious server in response to the malicious communication behavior caused by malware. The RAT type program transmission function unit that transmits to the address is operated, and the countermeasure means includes a communication behavior DB (database) device that stores the unauthorized communication behavior by the malware as a log, and the communication behavior DB device is the said. When the file is determined to be malware by the malware determining means, it is determined whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the log of the new method is accumulated. It is characterized by that.
本発明の不正通信対処方法は、不正通信対処システムにおける不正通信対処方法であって、前記不正通信対処システムは、ファイル取込手段と、マルウェア判定手段と、サーバアドレス検出手段と、対抗措置手段とを備え、前記対抗措置手段は、通信挙動DB(データベース)装置を備え、前記ファイル取込手段は、インターネットを介して転送されるファイルを取り込むステップを有し、前記マルウェア判定手段は、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するステップを有し、前記サーバアドレス検出手段は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するステップを有し、前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、前記不正サーバのアドレス宛に特定のパケットを連続して発信する輻輳トラフィック発信機能ステップを動作させ、前記対抗措置手段は、前記通信挙動DB装置に、前記マルウェアによる前記不正通信挙動をログとして蓄積する第1の蓄積ステップを有し、前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積する第2の蓄積ステップを有することを特徴としている。
本発明の不正通信対処方法は、不正通信対処システムにおける不正通信対処方法であって、前記不正通信対処システムは、ファイル取込手段と、マルウェア判定手段と、サーバアドレス検出手段と、対抗措置手段とを備え、前記対抗措置手段は、通信挙動DB(データベース)装置を備え、前記ファイル取込手段は、インターネットを介して転送されるファイルを取り込むステップを有し、前記マルウェア判定手段は、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するステップを有し、前記サーバアドレス検出手段は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するステップを有し、前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、前記不正サーバのソフトウェアの脆弱性に対応したコードを含んだパケットを前記不正サーバのアドレス宛に発信する脆弱性コード発信機能ステップを動作させ、前記対抗措置手段は、前記通信挙動DB装置に、前記マルウェアによる前記不正通信挙動をログとして蓄積する第1の蓄積ステップを有し、前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積する第2の蓄積ステップを有することを特徴としている。
本発明の不正通信対処方法は、不正通信対処システムにおける不正通信対処方法であって、前記不正通信対処システムは、ファイル取込手段と、マルウェア判定手段と、サーバアドレス検出手段と、対抗措置手段とを備え、前記対抗措置手段は、通信挙動DB(データベース)装置を備え、前記ファイル取込手段は、インターネットを介して転送されるファイルを取り込むステップを有し、前記マルウェア判定手段は、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するステップを有し、前記サーバアドレス検出手段は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するステップを有し、前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、RAT(Remote Access Tool)型のプログラムを含むパケットを前記不正サーバのアドレス宛に発信するRAT型プログラム発信機能ステップを動作させ、前記対抗措置手段は、前記通信挙動DB装置に、前記マルウェアによる前記不正通信挙動をログとして蓄積する第1の蓄積ステップを有し、前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積する第2の蓄積ステップを有することを特徴としている。
The fraudulent communication coping method of the present invention is a fraudulent communication coping method in a fraudulent communication coping system, and the fraudulent communication coping system includes a file importing means , a malware determining means , a server address detecting means, and a countermeasure means. The countermeasure means includes a communication behavior DB (database) device, the file importing means has a step of fetching a file transferred via the Internet, and the malware determining means has the file fetching means. The file taken in by the embedding means is executed in a virtual environment, and has a step of determining whether or not the file is malware based on the execution content, and the server address detecting means is the malware determining means. When the file is determined to be malware, the file has a step of detecting the address of the unauthorized server from the execution contents of the file in the virtual environment, and the countermeasure means corresponds to the unauthorized communication behavior by the malware. Then, the congestion traffic transmission function step of continuously transmitting a specific packet to the address of the malicious server is operated, and the countermeasure means logs the unauthorized communication behavior by the malware in the communication behavior DB device. The communication behavior DB device has a first accumulation step of accumulating as, and when the file is determined to be malware by the malware determining means, whether or not the unauthorized communication behavior by the malware is a new method. It is characterized by having a second accumulation step of accumulating the log of the new method in the case of the new method.
The fraudulent communication coping method of the present invention is a fraudulent communication coping method in a fraudulent communication coping system, and the fraudulent communication coping system includes a file importing means , a malware determining means , a server address detecting means, and a countermeasure means. The countermeasure means includes a communication behavior DB (database) device, the file importing means has a step of fetching a file transferred via the Internet, and the malware determining means has the file fetching means. The file taken in by the embedding means is executed in a virtual environment, and has a step of determining whether or not the file is malware based on the execution content, and the server address detecting means is the malware determining means. When the file is determined to be malware, the file has a step of detecting the address of an unauthorized server from the execution contents of the file in the virtual environment, and the countermeasure means corresponds to the unauthorized communication behavior by the malware. Then, the vulnerability code transmission function step of transmitting a packet containing the code corresponding to the software vulnerability of the malicious server to the address of the malicious server is operated, and the countermeasure means is the communication behavior DB device. In addition, the communication behavior DB device has a first accumulation step of accumulating the unauthorized communication behavior by the malware as a log, and when the file is determined to be malware by the malware determining means, the said by the malware. It is characterized by having a second accumulation step of determining whether or not the unauthorized communication behavior is a new method and accumulating the log of the new method when the new method is used.
The fraudulent communication coping method of the present invention is a fraudulent communication coping method in a fraudulent communication coping system, and the fraudulent communication coping system includes a file importing means , a malware determining means , a server address detecting means, and a countermeasure means. The countermeasure means includes a communication behavior DB (database) device, the file fetching means has a step of fetching a file transferred via the Internet, and the malware determining means has the file fetching means. The file taken in by the embedding means is executed in a virtual environment, and has a step of determining whether or not the file is malware based on the execution content, and the server address detecting means is the malware determining means. When the file is determined to be malware, it has a step of detecting the address of an unauthorized server from the execution contents of the file in the virtual environment, and the countermeasure means corresponds to the unauthorized communication behavior by the malware. Then, the RAT type program transmission function step of transmitting a packet containing a RAT (Remote Access Tool) type program to the address of the malicious server is operated, and the countermeasure means causes the communication behavior DB device to transmit the malware. The communication behavior DB device has a first storage step of accumulating the unauthorized communication behavior by the malware as a log, and when the file is determined to be malware by the malware determining means, the unauthorized communication behavior by the malware is detected. It is characterized by having a second accumulation step of determining whether or not it is a new method and accumulating the log of the new method in the case of the new method.
本発明の不正通信対処システム及び方法によれば、マルウェアによって起こされる不正通信を検出して不正通信を行う不正サーバに向けてマルウェアによる不正通信挙動の手法に応じた対抗措置を生成するパケットを送信するので、不正通信を確実に停止或いは遮断させることができる。よって、不正通信に迅速に対処することができる。また、本発明の不正通信対処システムや方法を用いた装置をインターネット上に配置させることができるので、ネットワーク毎に不正通信対処設備を特に構築する必要がない。 According to the malicious communication countermeasure system and method of the present invention, a packet that detects malicious communication caused by malware and generates a countermeasure according to the method of malicious communication behavior by malware is transmitted to a malicious server that performs unauthorized communication. Therefore, unauthorized communication can be reliably stopped or blocked. Therefore, it is possible to quickly deal with unauthorized communication. Further, since the device using the unauthorized communication countermeasure system and method of the present invention can be arranged on the Internet, it is not necessary to particularly construct the unauthorized communication countermeasure equipment for each network.
以下、本発明の実施例を、図面を参照しつつ詳細に説明する。 Hereinafter, examples of the present invention will be described in detail with reference to the drawings.
図1は本発明による不正通信対処システムの構成を示している。このシステムでは、IX(Internet eXchange)11、ASP(Application Service Provider)12、及びISP(Internet Service Provider)13、14、15がインターネット10に接続されている。なお、IX11、ASP12、及びISP13、14、15各々は本実施例では装置として示している。 FIG. 1 shows the configuration of an unauthorized communication coping system according to the present invention. In this system, IX (Internet eXchange) 11, ASP (Application Service Provider) 12, and ISP (Internet Service Provider) 13, 14, and 15 are connected to the Internet 10. In addition, IX11, ASP12, and ISP13, 14, 15 are each shown as an apparatus in this embodiment.
ISP13、14、15にはユーザネットワーク16、17、18が各々接続されている。ISP13、14、15はインターネット10と、ローカルネットワークであるユーザネットワーク16、17、18との間の通信を各々中継する中継装置である。ユーザネットワーク16、17、18各々には各種のユーザ端末が接続されている。
IX11はサンドボックス装置101、不正サーバリストDB(データベース)装置102、及び不正サーバ検知装置103を含んでいる。サンドボックス装置101、不正サーバリストDB装置102、及び不正サーバ検知装置103はインターネット10に接続されている。
The IX 11 includes a
サンドボックス装置101はファイル取込手段、マルウェア判定手段、及びサーバアドレス検出手段を構成し、不正サーバ検知装置103は不正サーバ通信検出手段及び通信相手アドレス検出手段を構成する。
The
サンドボックス装置101は、インターネット10をパケットの形式で転送されるプログラム等のファイルを取り込み、そのファイルを仮想環境下で実行し、実行中の通信挙動からファイルがマルウェアか否かを判定する。仮想環境はサンドボックス装置101内に形成され、マルウェアであるファイルを実行しても装置外のインターネットに何ら影響を与えない隔離された領域である。また、サンドボックス装置101は、ファイルがマルウェアであると判断した場合には送信先の不正サーバのIPアドレスを取得し、取得したIPアドレスを不正サーバリストDB装置102に供給する。
The
不正サーバリストDB装置102は、サンドボックス装置101から供給された不正サーバのIPアドレスを蓄積する。不正サーバ検知装置103は、インターネット10からユーザネットワーク16、17、18に至るラインの通信を監視してそれらのユーザネットワークを介した不正サーバの通信を検出する。
The rogue server
ASP12は、不正通信ユーザ通知装置104、ユーザ課金装置105、オーダ受付装置106、対抗措置装置107、及び通信挙動DB装置108を含んでいる。それらの装置105~108の各々はインターネット10に接続されている。
The
不正通信ユーザ通知装置104はネットワーク特定手段及び不正通信通知手段を構成し、ユーザ課金装置105は課金手段を構成する。オーダ受付装置106はオーダ受信手段を構成し、対抗措置装置107は対抗措置手段を構成する。
The unauthorized communication
不正通信ユーザ通知装置104は、ユーザネットワークの管理者に対して、不正通信の検知をメールで通知する。オーダ受付装置106はユーザネットワークの管理者からの不正通信に対する対抗措置オーダをメール又は特定のWebページで受け付ける。対抗措置装置107は、オーダ受付装置106がオーダ受付を行うと、対抗措置対象の不正サーバとユーザネットワークの端末との各々に対してリセットコマンドであるRSTパケットを発信して通信を遮断し、更に、対抗措置対象の不正サーバに対しては対抗措置を生成するパケットを送信する。ユーザ課金装置105は対抗措置オーダを発信した管理者に対して課金を行う。また、通信挙動DB装置108はマルウェアによる不正通信挙動をログとして蓄積する。
The unauthorized communication
サンドボックス装置101、不正サーバ検知装置103、不正通信ユーザ通知装置104、ユーザ課金装置105、オーダ受付装置106、対抗措置装置107、及び通信挙動DB装置108の各々は、例えば、図2に示すように、CPU(Central Processing Unit)201、メモリ202、補助記憶部203、表示部204、通信IF部205、及び入力部206が共通の内部バス207に接続されたコンピュータ装置200からなる。通信IF部205は上記したインターネット10等のネットワーク回線に接続される。CPU201がメモリ202又は補助記憶部203に記憶されたプログラムを実行することにより、各装置の動作を実行する。また、ユーザは入力部206より入力操作を行ってCPU201に対して指令し、また、CPU201は表示部204に動作結果等の情報を表示させる。このような構成により、サンドボックス装置101、不正サーバリストDB装置102、不正サーバ検知装置103、不正通信ユーザ通知装置104、ユーザ課金装置105、オーダ受付装置106、対抗措置装置107、及び通信挙動DB装置108の各々は、以下に示す動作を行い、また、それら装置間において通信可能にされている。
Each of the
対抗措置装置107は、機能的には図3に示すように、送信元アドレス選択機能部211、RSTパケット発信機能部212、輻輳トラフィック発信機能部213、脆弱性コード発信機能部214、及びRAT型プログラム発信機能部215を備えている。
Functionally, as shown in FIG. 3, the
送信元アドレス選択機能部211は対抗措置装置107が送信するパケットの送信元IPアドレスを予め定められた複数のIPアドレスの中からランダムに選択する。RSTパケット発信機能部212はRSTパケットを対抗措置対象の不正サーバとユーザネットワークの端末との各々に対してRSTパケットを発信する。輻輳トラフィック発信機能部213は、TCPのSYNパケットやICMPパケットを不正サーバ又は不正サーバが存在するネットワークのアドレス宛に連続して発信する。脆弱性コード発信機能部214はサーバのOS等のソフトウェアの脆弱性に対応したコードを含んだパケットを不正サーバに対して発信する。RAT型プログラム発信機能部215はRAT(Remote Access Tool)型のプログラムを含むパケットを不正サーバに向けて発信する。
The source address
対抗措置装置107は、不正サーバに対して対抗措置を実行する際には使用されたマルウェアの手法に対応して輻輳トラフィック発信機能部213、脆弱性コード発信機能部214、及びRAT型プログラム発信機能部215のうちの少なくとも1つを動作させる。輻輳トラフィック発信機能部213、脆弱性コード発信機能部214、及びRAT型プログラム発信機能部215各々の発信パケットの送信元アドレスには送信元アドレス選択機能部211によってランダムに選択されたIPアドレスが用いられる。
The
次に、かかる不正通信対処システムの通信監視動作の流れについて図4のフローチャートを用いて説明する。 Next, the flow of the communication monitoring operation of the unauthorized communication coping system will be described with reference to the flowchart of FIG.
先ず、サンドボックス装置101がIX11に転送されるファイルを受信する(ステップS100)。これはファイル取込ステップであり、例えば、メールの添付ファイルやWEBデータに含まれているスクリプトファイルである。サンドボックス装置101は、このようなファイルを受信すると、予め定められた仮想環境下でその受信ファイルを実行し(ステップS101)、実行内容である実行中の挙動を分析してファイルがマルウェアか否かを判定する(ステップS102)。ステップS101及びS102はマルウェア判定ステップである。挙動としては不正サーバとの不正通信挙動が挙げられ、スパムメールやDDos攻撃の発生源となるような遠隔操作のコマンド及び制御を不正サーバから受ける通信である。マルウェアと判定した場合には、サンドボックス装置101は、そのマルウェアによる不正通信挙動をログとして記録し、その不正通信挙動ログを通信挙動DB装置108に通知する(ステップS103)。
First, the
通信挙動DB装置108は、通知された不正通信挙動ログを内部メモリ(図示せず)に蓄積し(ステップS201)、今回通知された不正通信挙動ログが表すマルウェアの種類を分類する(ステップS202)。内部メモリには過去の不正通信挙動ログが記録されており、過去の不正通信挙動ログに基づいて今回通知された不正通信挙動ログが表すマルウェアの種類を判断することができる。例えば、過去の不正通信挙動ログ各々と今回通知された不正通信挙動ログとを比較し、その類似度が最も高いいずれか1つの過去の不正通信挙動ログを検出し、その過去の不正通信挙動ログが表すマルウェアの種類を今回通知された不正通信挙動ログが表すマルウェアの種類とすることができる。一方、過去の不正通信挙動ログ各々と今回通知された不正通信挙動ログと類似度がいずも既定値以下であるならば、今回通知された不正通信挙動ログが表すマルウェアの種類は新手法として分類される(ステップS203)。新手法であるならば、今回通知された不正通信挙動ログを対抗措置装置107に通知する(ステップS204)。
The communication
対抗措置装置107は、通知された新手法の不正通信挙動ログを内部メモリ(図示せず)に蓄積し(ステップS301)、その不正通信挙動ログ、すなわち新手法に対応して機能部213~215の動作設定を行う(ステップS302)。これにより新手法のマルウェアに対抗措置の動作が決定される。よって、このような通信監視動作によって対抗措置装置107ではマルウェアの種類毎に適した対抗措置動作が設定されることになる。
The
更に、かかる不正通信対処システムの不正通信対処動作の流れについて図5のフローチャートを用いて説明する。 Further, the flow of the unauthorized communication countermeasure operation of the unauthorized communication countermeasure system will be described with reference to the flowchart of FIG.
先ず、サンドボックス装置101はIX11に転送されるファイルを受信すると(ステップS400)、予め定められた仮想環境下でその受信ファイルを実行し(ステップS401)、実行内容である実行中の挙動を分析してファイルがマルウェアか否かを判定する(ステップS402)。ステップS400~S402は上述の通信監視動作のステップS100~S102と同一である。ステップS401及びS402はマルウェア判定ステップである。マルウェアと判定した場合には、サンドボックス装置101は、仮想環境下における不正サーバとの通信挙動から不正サーバのIPアドレスを取得し(ステップS403)、取得したIPアドレスを不正サーバリストDB装置102に供給する(ステップS404)。サーバアドレス検出ステップであるステップS403では例えば、遠隔操作を行う不正サーバとの通信際においてマルウェアの実行マシンの送信パケットの送信先となるIPアドレスが不正サーバのIPアドレスとして検出される。ステップS404により不正サーバリストDB装置102には不正サーバのIPアドレスが蓄積される。
First, when the
不正サーバ検知装置103は、例えば、予め定められた周期で又はサンドボックス装置101からの指令を受けて、不正サーバリストDB装置102にアクセスして不正サーバリストDB装置102から不正サーバのIPアドレスを取り出す(ステップS501)。その取り出したIPアドレスを用いた通信を監視する(ステップS502)。不正サーバ検知装置103はインターネット10の本体とISP13、14、15との間の通信回線に接続されているので、監視はこの通信回線を転送されるパケットを受信することになり、その受信パケットに含まれる送信先のIPアドレスをステップS201で取り出したIPアドレスと比較することにより行われる。監視の結果、不正サーバの通信を検出すると(ステップS503)、当該受信パケットに含まれる送信元のIPアドレス(不正サーバの通信相手のIPアドレス)を不正通信ユーザ通知装置104に送出する(ステップS504)。ステップS501~S504はサーバ通信検出ステップである。
The rogue
不正通信ユーザ通知装置104は、不正サーバ検知装置103から送信元のIPアドレスを受信すると、送信元のIPアドレスに応じてユーザネットワークを特定する(ステップS601)。不正通信ユーザ通知装置104は、例えば、予めIPアドレスとユーザネットワークとの関係をデータテーブルとして保有しており、IPアドレスが分かればデータテーブルを用いてどこのユーザネットワークに割当たられたアドレスであるかを特定することができる。また、不正通信ユーザ通知装置104は、各ユーザネットワークの管理者のメールアドレスをデータとして保有しているので、特定されたユーザネットワークの管理者宛にメールで不正通信の検知を通知する(ステップS602)。当該メールには、例えば、管理者の管理下のユーザネットワークを介した不正通信を検知したこと、その不正通信を遮断し、かつ対抗措置を施す有料サービスを提供していること、及びその有料サービスのオーダ、すなわち対抗措置オーダをメール又は特定のWebページで受け付けることが記載されている。
When the unauthorized communication
オーダ受付装置106は、例えば、予め定められた周期で又はサンドボックス装置101からの指令を受けて、不正サーバリストDB装置102にアクセスして不正サーバリストDB装置102から不正サーバのIPアドレスを取り出す(ステップS701)。そして、管理者から対抗措置オーダを受信するまで待機する(ステップS702)。
The
オーダ受付装置106は、対抗措置オーダを受信すると(ステップS703)、対抗措置装置107に対して、取り出したIPアドレスが割り当てられた不正サーバへの対抗措置を指令する(ステップS704)。
When the
対抗措置装置107は、対抗措置指令を受信すると、不正サーバリストDB装置102にアクセスして不正サーバリストDB装置102から該当する不正サーバのIPアドレスを取り出す(ステップS801)。また、該当不正サーバと不正通信中の送信元のIPアドレス、すなわち対抗措置オーダを発した管理者のネットワークに接続されたユーザ端末のIPアドレスを得る(ステップS802)。これは対抗措置装置107が、不正サーバ検知装置103又は不正通信ユーザ通知装置104と通信して得ることができる。また、対抗措置オーダを受けた不正通信の不正サーバ及びユーザ端末各々のIPアドレス等の不正通信情報をASP12内の図示しない記憶装置で共有し、その記憶装置にASP12内の装置104~108が適宜アクセスして不正通信情報を読み出すことができるようにしても良い。
Upon receiving the countermeasure command, the
対抗措置装置107は、不正通信の不正サーバ及びユーザ端末各々のIPアドレスを得ると、RSTパケット発信機能部212を使用してそれらのIPアドレスを送信先アドレスとしたRSTパケットをインターネット10に各々送出する(ステップS803)。一方のRSTパケットは不正通信中のユーザ端末に転送され、他方のRSTパケットは不正通信中の不正サーバに転送される。これにより、不正サーバとユーザ端末との間の不正通信が強制的に遮断される。
When the
また、対抗措置装置107は、送信元アドレス選択機能部211を使用して送信元アドレスを複数のIPアドレスの中からランダムに選択して設定する(ステップS804)。そして、設定した送信元アドレスを用いて輻輳トラフィック発信機能部213、脆弱性コード発信機能部214、及びRAT型プログラム発信機能部215のうちの少なくとも1を動作させることにより対抗措置を行う(ステップS805)。機能部213~215のうちのいずれの機能部を動作させるかについては不正通信挙動ログに記録された手法の種類(「ウィルス」、「ワーム」、「トロイの木馬」等)に対応して予め設定することができる。
Further, the
よって、輻輳トラフィック発信機能部213が動作すると、TCPのSYNパケットやICMPパケットなどの特定のパケットが不正サーバ又は不正サーバの存在するネットワークに対して連続して発信され、不正サーバが存在するネットワークの回線や不正サーバのプロセッサ(図示せず)の処理の負荷を上昇させて不正通信を抑制することが行われる。脆弱性コード発信機能部214が動作すると、サーバのOS等のソフトウェアの脆弱性に対応したコードを含んだパケットが不正サーバに向けて発信され、それにより不正サーバをハングアップさせて不正サーバの処理を停止させることが行われる。RAT型プログラム発信機能部215が動作するならば、RAT型のプログラムを含むパケットが不正サーバに向けて発信され、それによりRAT型のプログラムが不正サーバに入り込むとプロセスとして常駐する。常駐した場合には遠隔操作で不正サーバの処理やログの監視を行い、不正サーバの管理者や操作者を特定したり、不正通信の処理を停止させることが行われる。各機能部213~215はマルウェアの種類毎に不正通信が停止或いは遮断されるように動作する。
Therefore, when the congestion traffic
ユーザ課金装置105は、例えば、オーダ受付装置106からは対抗措置オーダの受信があったことが通知される。また、対抗措置装置107が対抗措置の処理後、対抗措置装置107からは対抗措置終了通知を受ける。対抗措置終了通知に応答してユーザ課金装置105は、対抗措置オーダを発した管理者に対して課金処理を実行する(ステップS901)。課金処理は例えば、予め登録された管理者のクレジットカード口座からの自動引き落とし、或いは管理者のメールアドレスに銀行口座振込依頼を記したメールを送信することにより行われる。
The
図1に示したように、ユーザ端末109はユーザネットワーク17に接続された端末であり、マルウェア110に感染されている。不正サーバ21は例えば、海外のネットワーク20に配置され、そのネットワーク20を介してインターネット10に接続されている。また、不正サーバ21はユーザ端末109に侵入したマルウェア110の実行によりユーザ端末109との間で不正通信を実行するサーバである。
As shown in FIG. 1, the
ユーザ端末109がマルウェア110の実行を開始すると、不正サーバ21との間でTCPコネクションが確立する。TCPコネクションが確立すると、ユーザ端末109と不正サーバ21との間でHTTPデータ+ACKを含むパケットが交互に転送され、これにより図1に示した不正通信111が実行される。
When the
この不正通信111の実行中に、上記した不正通信対処システムの動作が開始されると、RSTパケット(図1の112、113)がユーザ端末109及び不正サーバ21の各々に送信される。ユーザ端末109及び不正サーバ21の各々はRSTパケット112、113を受信すると、ユーザ端末109と不正サーバ21との間の通信を終了してTCPコネクションを強制的に切断する。また、対抗措置装置107から不正サーバ21に向けて図1の経路113で対抗措置を生成するパケットが送り込まれ、そのパケットにより不正サーバ21に対して反撃を実行し、不正サーバ21によるユーザ端末109への攻撃の停止が可能となる。
If the operation of the above-mentioned fraudulent communication coping system is started during the execution of the
このように、本発明による不正通信対処システムはインターネットに配置されたIX及びASPに構築されており、ユーザネットワーク内に不正通信対処設備を配置する必要はなく、更に、ユーザネットワークを接続するISPに依存せず、ASPのサービスとして、不正通信の検知、遮断、そして不正サーバへの対抗措置が可能となる。また、上述したように各ユーザネットワーク内に不正通信対処設備を配置する必要がないので、不正通信対処システムの構築コストを低減することができる。 As described above, the unauthorized communication countermeasure system according to the present invention is constructed in the IX and the ASP located on the Internet, and it is not necessary to arrange the unauthorized communication countermeasure equipment in the user network, and further, in the ISP connecting the user network. As an ASP service, it is possible to detect and block unauthorized communication and take countermeasures against unauthorized servers without depending on it. Further, as described above, it is not necessary to dispose the unauthorized communication countermeasure equipment in each user network, so that the construction cost of the unauthorized communication countermeasure system can be reduced.
更に、ASPの有料サービスとして対抗措置を行い、その対抗措置では送信元IPアドレスをランダムに設定するので、不正サーバからのASPへの再攻撃を回避させることができる。 Furthermore, since countermeasures are taken as a paid service of ASP and the source IP address is randomly set in the countermeasures, it is possible to avoid a re-attack on the ASP from an unauthorized server.
また、不正サーバが海外のネットワークに存在する場合でも不正通信の検知、遮断、そして不正サーバへの対抗措置が可能となる。 In addition, even if an unauthorized server exists in an overseas network, it is possible to detect and block unauthorized communication and take countermeasures against the unauthorized server.
なお、上記した実施例においては、インターネット10に接続されたサンドボックス装置101、不正サーバ検知装置103、不正通信ユーザ通知装置104、ユーザ課金装置105、オーダ受付装置106、対抗措置装置107、及び通信挙動DB装置108によって分散動作が行われているが、これに限らず、適宜の数の装置に分散することができる。また、インターネット10に接続された、図2に示した如き構成を有する単一のネットワーク監視装置によって全ての動作が実行されても良い。
In the above embodiment, the
10 インターネット
11 IX
12 ASP
13、14、15 ISP
20 海外ネットワーク
21 不正サーバ
101 サンドボックス装置
102 不正サーバリストDB装置
103 不正サーバ検知装置
104 不正通信ユーザ通知装置
105 ユーザ課金装置
106 オーダ受付装置
107 対抗措置装置
108 通信挙動DB装置
109 ユーザ端末
110 マルウェア
10 Internet 11 IX
12 ASP
13, 14, 15 ISP
20
Claims (13)
前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するマルウェア判定手段と、
前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するサーバアドレス検出手段と、
対抗措置手段とを備え、
前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、前記不正サーバのアドレス宛に特定のパケットを連続して発信する輻輳トラフィック発信機能部を動作させ、
前記対抗措置手段は、前記マルウェアによる前記不正通信挙動をログとして蓄積する通信挙動DB(データベース)装置を備え、
前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積することを特徴とする不正通信対処システム。 A file import method for importing files transferred via the Internet,
A malware determining means that executes the file captured by the file importing means in a virtual environment and determines whether or not the file is malware based on the execution contents.
When the file is determined to be malware by the malware determining means, the server address detecting means for detecting the address of the malicious server from the execution contents of the file in the virtual environment, and the server address detecting means.
Equipped with countermeasures
The countermeasure means operates a congestion traffic transmission function unit that continuously transmits a specific packet to the address of the malicious server in response to the malicious communication behavior caused by malware.
The countermeasure means includes a communication behavior DB (database) device that stores the unauthorized communication behavior caused by the malware as a log.
When the file is determined to be malware by the malware determination means, the communication behavior DB device determines whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the communication behavior DB device determines. An unauthorized communication countermeasure system characterized by accumulating the log of the new method.
前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するマルウェア判定手段と、
前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するサーバアドレス検出手段と、
対抗措置手段とを備え、
前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、前記不正サーバのソフトウェアの脆弱性に対応したコードを含んだパケットを前記不正サーバのアドレス宛に発信する脆弱性コード発信機能部を動作させ、
前記対抗措置手段は、前記マルウェアによる前記不正通信挙動をログとして蓄積する通信挙動DB(データベース)装置を備え、
前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積することを特徴とする不正通信対処システム。 A file import method for importing files transferred via the Internet,
A malware determining means that executes the file captured by the file importing means in a virtual environment and determines whether or not the file is malware based on the execution contents.
When the file is determined to be malware by the malware determining means, a server address detecting means for detecting the address of an unauthorized server from the execution contents of the file in the virtual environment, and a server address detecting means.
Equipped with countermeasures
The countermeasure means operates a vulnerability code transmission function unit that transmits a packet containing a code corresponding to a software vulnerability of the malicious server to the address of the malicious server in response to the malicious communication behavior caused by malware. Let me
The countermeasure means includes a communication behavior DB (database) device that stores the unauthorized communication behavior caused by the malware as a log.
When the file is determined to be malware by the malware determination means, the communication behavior DB device determines whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the communication behavior DB device determines. An unauthorized communication countermeasure system characterized by accumulating the log of the new method.
前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するマルウェア判定手段と、
前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するサーバアドレス検出手段と、
対抗措置手段とを備え、
前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、RAT(Remote Access Tool)型のプログラムを含むパケットを前記不正サーバのアドレス宛に発信するRAT型プログラム発信機能部を動作させ、
前記対抗措置手段は、前記マルウェアによる前記不正通信挙動をログとして蓄積する通信挙動DB(データベース)装置を備え、
前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積することを特徴とする不正通信対処システム。 A file import method for importing files transferred via the Internet,
A malware determining means that executes the file captured by the file importing means in a virtual environment and determines whether or not the file is malware based on the execution contents.
When the file is determined to be malware by the malware determining means, the server address detecting means for detecting the address of the malicious server from the execution contents of the file in the virtual environment, and the server address detecting means.
Equipped with countermeasures
The countermeasure means operates a RAT type program transmission function unit that transmits a packet containing a RAT (Remote Access Tool) type program to the address of the unauthorized server in response to the unauthorized communication behavior caused by malware.
The countermeasure means includes a communication behavior DB (database) device that stores the unauthorized communication behavior caused by the malware as a log.
When the file is determined to be malware by the malware determination means, the communication behavior DB device determines whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the communication behavior DB device determines. An unauthorized communication countermeasure system characterized by accumulating the log of the new method.
前記不正サーバ通信検出手段によって前記不正サーバとの通信が検出されたとき前記不正サーバの通信相手のアドレスを検出する通信相手アドレス検出手段と、
前記不正サーバの通信相手のアドレスが割り当てられたローカルネットワークを特定するネットワーク特定手段と、
前記ローカルネットワークの管理者宛に不正通信の検知を前記インターネットを介して通知する不正通信通知手段と、
前記不正通信の検知通知に対する対抗措置オーダを前記インターネットを介して受信するオーダ受信手段と、を含み、
前記ローカルネットワークは、前記インターネットに中継装置を介して接続されており、
前記対抗措置手段は、前記対抗措置オーダを受信すると、前記パケットの他に前記不正サーバのアドレス及び前記通信相手のアドレスの各々に向けて通信強制終了コマンドを含むパケットを前記インターネットに送出することを特徴とする請求項1乃至3のいずれか1記載の不正通信対処システム。 A rogue server communication detection means that detects communication with the rogue server via the Internet based on the address of the rogue server, and
When communication with the malicious server is detected by the unauthorized server communication detecting means, the communication partner address detecting means for detecting the address of the communication partner of the unauthorized server, and the communication partner address detecting means.
A network identification means for identifying a local network to which the address of the communication partner of the malicious server is assigned, and
An unauthorized communication notification means for notifying the administrator of the local network of the detection of unauthorized communication via the Internet,
A countermeasure receiving means for receiving a countermeasure order for the detection notification of unauthorized communication via the Internet, and the like.
The local network is connected to the Internet via a relay device, and the local network is connected to the Internet via a relay device.
When the countermeasure means receives the countermeasure order, it sends a packet including a communication forced termination command to each of the address of the malicious server and the address of the communication partner in addition to the packet to the Internet. The unauthorized communication countermeasure system according to any one of claims 1 to 3, which is characterized.
前記中継装置はインターネットサービスプロバイダ装置であることを特徴とする請求項4記載の不正通信対処システム。 The local network is a network under the control of an Internet provider.
The unauthorized communication countermeasure system according to claim 4, wherein the relay device is an Internet service provider device.
前記不正通信ユーザ通知装置、前記オーダ受付装置、前記対抗措置装置、及び前記ユーザ課金装置はASP(アプリケーションサービスプロバイダ)に含まれることを特徴とする請求項5記載の不正通信対処システム。 The network identifying means and the unauthorized communication notification means are configured by an unauthorized communication user notification device, the order receiving means is configured by an order receiving device, the countermeasure means is configured by a countermeasure device, and the billing means is user-charged. Consists of equipment,
The unauthorized communication countermeasure system according to claim 5 , wherein the unauthorized communication user notification device, the order reception device, the countermeasure device, and the user billing device are included in an ASP (application service provider).
前記不正通信対処システムは、ファイル取込手段と、マルウェア判定手段と、サーバアドレス検出手段と、対抗措置手段とを備え、
前記対抗措置手段は、通信挙動DB(データベース)装置を備え、
前記ファイル取込手段は、インターネットを介して転送されるファイルを取り込むステップを有し、
前記マルウェア判定手段は、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するステップを有し、
前記サーバアドレス検出手段は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するステップを有し、
前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、前記不正サーバのアドレス宛に特定のパケットを連続して発信する輻輳トラフィック発信機能ステップを動作させ、
前記対抗措置手段は、前記通信挙動DB装置に、前記マルウェアによる前記不正通信挙動をログとして蓄積する第1の蓄積ステップを有し、
前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積する第2の蓄積ステップを有することを特徴とする不正通信対処方法。 It is a method of dealing with fraudulent communication in a fraudulent communication coping system.
The fraudulent communication countermeasure system includes a file importing means , a malware determining means , a server address detecting means, and a countermeasure means.
The countermeasure means includes a communication behavior DB (database) device.
The file importing means has a step of importing a file transferred via the Internet.
The malware determining means has a step of executing the file captured by the file importing means in a virtual environment and determining whether or not the file is malware based on the execution content.
The server address detecting means has a step of detecting the address of an unauthorized server from the execution contents of the file under the virtual environment when the file is determined to be malware by the malware determining means.
The countermeasure means operates a congestion traffic transmission function step that continuously transmits a specific packet to the address of the malicious server in response to the malicious communication behavior caused by malware.
The countermeasure means has a first accumulation step of accumulating the unauthorized communication behavior by the malware as a log in the communication behavior DB device.
When the file is determined to be malware by the malware determination means, the communication behavior DB device determines whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the communication behavior DB device determines. A method for dealing with malicious communication, which comprises a second accumulation step of accumulating the log of the new method.
前記不正通信対処システムは、ファイル取込手段と、マルウェア判定手段と、サーバアドレス検出手段と、対抗措置手段とを備え、
前記対抗措置手段は、通信挙動DB(データベース)装置を備え、
前記ファイル取込手段は、インターネットを介して転送されるファイルを取り込むステップを有し、
前記マルウェア判定手段は、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するステップを有し、
前記サーバアドレス検出手段は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するステップを有し、
前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、前記不正サーバのソフトウェアの脆弱性に対応したコードを含んだパケットを前記不正サーバのアドレス宛に発信する脆弱性コード発信機能ステップを動作させ、
前記対抗措置手段は、前記通信挙動DB装置に、前記マルウェアによる前記不正通信挙動をログとして蓄積する第1の蓄積ステップを有し、
前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積する第2の蓄積ステップを有することを特徴とする不正通信対処方法。 It is a method of dealing with fraudulent communication in a fraudulent communication coping system.
The fraudulent communication countermeasure system includes a file importing means , a malware determining means , a server address detecting means, and a countermeasure means.
The countermeasure means includes a communication behavior DB (database) device.
The file importing means has a step of importing a file transferred via the Internet.
The malware determining means has a step of executing the file captured by the file importing means in a virtual environment and determining whether or not the file is malware based on the execution content.
The server address detecting means has a step of detecting the address of an unauthorized server from the execution contents of the file under the virtual environment when the file is determined to be malware by the malware determining means.
The countermeasure means operates a vulnerability code transmission function step of transmitting a packet containing a code corresponding to a software vulnerability of the malicious server to the address of the malicious server in response to the malicious communication behavior caused by malware. Let me
The countermeasure means has a first accumulation step of accumulating the unauthorized communication behavior by the malware as a log in the communication behavior DB device.
When the file is determined to be malware by the malware determination means, the communication behavior DB device determines whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the communication behavior DB device determines. A method for dealing with malicious communication, which comprises a second accumulation step of accumulating the log of the new method.
前記不正通信対処システムは、ファイル取込手段と、マルウェア判定手段と、サーバアドレス検出手段と、対抗措置手段とを備え、
前記対抗措置手段は、通信挙動DB(データベース)装置を備え、
前記ファイル取込手段は、インターネットを介して転送されるファイルを取り込むステップを有し、
前記マルウェア判定手段は、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するステップを有し、
前記サーバアドレス検出手段は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容から不正サーバのアドレスを検出するステップを有し、
前記対抗措置手段は、マルウェアによる不正通信挙動に対応して、RAT(Remote Access Tool)型のプログラムを含むパケットを前記不正サーバのアドレス宛に発信するRAT型プログラム発信機能ステップを動作させ、
前記対抗措置手段は、前記通信挙動DB装置に、前記マルウェアによる前記不正通信挙動をログとして蓄積する第1の蓄積ステップを有し、
前記通信挙動DB装置は、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき当該マルウェアによる前記不正通信挙動が新手法であるか否かを判定し、前記新手法である場合に前記新手法の前記ログを蓄積する第2の蓄積ステップを有することを特徴とする不正通信対処方法。 It is a method of dealing with fraudulent communication in a fraudulent communication coping system.
The fraudulent communication countermeasure system includes a file importing means , a malware determining means , a server address detecting means, and a countermeasure means.
The countermeasure means includes a communication behavior DB (database) device.
The file importing means has a step of importing a file transferred via the Internet.
The malware determining means has a step of executing the file captured by the file importing means in a virtual environment and determining whether or not the file is malware based on the execution content.
The server address detecting means has a step of detecting the address of an unauthorized server from the execution contents of the file under the virtual environment when the file is determined to be malware by the malware determining means.
The countermeasure means operates a RAT-type program transmission function step that transmits a packet containing a RAT (Remote Access Tool) type program to the address of the malicious server in response to the unauthorized communication behavior caused by malware.
The countermeasure means has a first accumulation step of accumulating the unauthorized communication behavior by the malware as a log in the communication behavior DB device.
When the file is determined to be malware by the malware determination means, the communication behavior DB device determines whether or not the unauthorized communication behavior by the malware is a new method, and if it is the new method, the communication behavior DB device determines. A method for dealing with malicious communication, which comprises a second accumulation step of accumulating the log of the new method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018035588A JP7102780B2 (en) | 2018-02-28 | 2018-02-28 | Unauthorized communication countermeasure system and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018035588A JP7102780B2 (en) | 2018-02-28 | 2018-02-28 | Unauthorized communication countermeasure system and method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019152912A JP2019152912A (en) | 2019-09-12 |
JP7102780B2 true JP7102780B2 (en) | 2022-07-20 |
Family
ID=67948922
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018035588A Active JP7102780B2 (en) | 2018-02-28 | 2018-02-28 | Unauthorized communication countermeasure system and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7102780B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021051481A (en) * | 2019-09-24 | 2021-04-01 | 沖電気工業株式会社 | Control device, control program, control method, support device, support program, support method, and support system |
JP7307648B2 (en) | 2019-09-30 | 2023-07-12 | 株式会社日本総合研究所 | System, decoy PC, control device, method and program for reverse phishing against phishing mail |
CN116938570A (en) * | 2023-07-27 | 2023-10-24 | 北京天融信网络安全技术有限公司 | Detection method and device, storage medium and electronic equipment |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003186763A (en) | 2001-12-21 | 2003-07-04 | Toyo Commun Equip Co Ltd | Detection and prevention method of breaking into computer system |
WO2015137235A1 (en) | 2014-03-13 | 2015-09-17 | 日本電信電話株式会社 | Identification device, identification method, and identification program |
JP2016119061A (en) | 2014-12-19 | 2016-06-30 | ザ・ボーイング・カンパニーThe Boeing Company | Policy-based network security |
US20170039369A1 (en) | 2015-03-31 | 2017-02-09 | Juniper Networks, Inc. | Configuring a sandbox environment for malware testing |
JP2017142744A (en) | 2016-02-12 | 2017-08-17 | 日本電気株式会社 | Information processing apparatus, virus detection method, and program |
US20180004939A1 (en) | 2015-01-29 | 2018-01-04 | Nec Corporation | Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored |
-
2018
- 2018-02-28 JP JP2018035588A patent/JP7102780B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003186763A (en) | 2001-12-21 | 2003-07-04 | Toyo Commun Equip Co Ltd | Detection and prevention method of breaking into computer system |
WO2015137235A1 (en) | 2014-03-13 | 2015-09-17 | 日本電信電話株式会社 | Identification device, identification method, and identification program |
JP2016119061A (en) | 2014-12-19 | 2016-06-30 | ザ・ボーイング・カンパニーThe Boeing Company | Policy-based network security |
US20180004939A1 (en) | 2015-01-29 | 2018-01-04 | Nec Corporation | Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored |
US20170039369A1 (en) | 2015-03-31 | 2017-02-09 | Juniper Networks, Inc. | Configuring a sandbox environment for malware testing |
JP2017142744A (en) | 2016-02-12 | 2017-08-17 | 日本電気株式会社 | Information processing apparatus, virus detection method, and program |
Also Published As
Publication number | Publication date |
---|---|
JP2019152912A (en) | 2019-09-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100877664B1 (en) | Detecting network attacks | |
KR101217647B1 (en) | Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs | |
JP2005506736A (en) | A method and apparatus for providing node security in a router of a packet network. | |
US20150047039A1 (en) | Secure notification on networked devices | |
EP1911241B1 (en) | Method for defending against denial of service attacks in ip networks by target victim self-identification and control | |
JP2019021294A (en) | SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS | |
CN109922072B (en) | Distributed denial of service attack detection method and device | |
JP7102780B2 (en) | Unauthorized communication countermeasure system and method | |
KR20120085821A (en) | Network communication system, server system and terminals | |
JP2006243878A (en) | Unauthorized access detection system | |
JP2004302538A (en) | Network security system and network security management method | |
JP2004140524A (en) | Method and apparatus for detecting dos attack, and program | |
JP6106861B1 (en) | Network security device, security system, network security method, and program | |
JP6870386B2 (en) | Malware unauthorized communication countermeasure system and method | |
JP6592196B2 (en) | Malignant event detection apparatus, malignant event detection method, and malignant event detection program | |
CN108418844A (en) | A kind of means of defence of application layer attack and attack protection end | |
CN105429975A (en) | Data safety defense system and method based on cloud terminal, and cloud terminal safety system | |
JP5531064B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM | |
CN112491911B (en) | DNS distributed denial of service defense method, device, equipment and storage medium | |
CN110198298A (en) | A kind of information processing method, device and storage medium | |
JP4753264B2 (en) | Method, apparatus, and computer program for detecting network attacks (network attack detection) | |
WO2019240054A1 (en) | Communication device, packet processing method, and program | |
US10757078B2 (en) | Systems and methods for providing multi-level network security | |
CN111193689B (en) | Network attack processing method and device, electronic equipment and storage medium | |
FI126032B (en) | Detection of a threat in a telecommunications network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201111 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210816 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210914 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211111 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220405 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220525 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220607 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220620 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7102780 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |