JP7465387B2 - プロセス情報を使用してdnsセキュリティを提供する方法およびシステム - Google Patents

プロセス情報を使用してdnsセキュリティを提供する方法およびシステム Download PDF

Info

Publication number
JP7465387B2
JP7465387B2 JP2023066956A JP2023066956A JP7465387B2 JP 7465387 B2 JP7465387 B2 JP 7465387B2 JP 2023066956 A JP2023066956 A JP 2023066956A JP 2023066956 A JP2023066956 A JP 2023066956A JP 7465387 B2 JP7465387 B2 JP 7465387B2
Authority
JP
Japan
Prior art keywords
dns
process information
domain name
query
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023066956A
Other languages
English (en)
Other versions
JP2023159044A5 (ja
JP2023159044A (ja
Inventor
シャオ ズーハン
チェン ジャンハオ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Palo Alto Networks Inc
Original Assignee
Palo Alto Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Palo Alto Networks Inc filed Critical Palo Alto Networks Inc
Publication of JP2023159044A publication Critical patent/JP2023159044A/ja
Publication of JP2023159044A5 publication Critical patent/JP2023159044A5/ja
Application granted granted Critical
Publication of JP7465387B2 publication Critical patent/JP7465387B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

悪意のある個人は、様々な方法でコンピュータシステムを侵害しようと試みる。一つの例として、そうした個人は、電子メールの添付ファイルに悪意のあるソフトウェア(「マルウェア(“malware”)」)を埋め込み、または、他の方法で含み、そして、マルウェアを、疑わないユーザに対して送信し、または、送信させることができる。実行されると、マルウェアは、被害者のコンピュータを侵害する。あるタイプのマルウェアは、危険にさらされたコンピュータにリモートホストと通信するように指示する。例えば、マルウェアは、侵害されたコンピュータを「ボットネット(“botnet”)」における「ボット(“bot”)」へと変えることができ、不正な個人の制御下にあるコマンドアンドコントロール(C&C)サーバからの指示を受け取り、かつ/あるいは、データを報告する。マルウェアによって生じる被害を軽減する一つのアプローチは、セキュリティ会社(または、他の適切なエンティティ)が、マルウェアを識別し、そして、エンドユーザコンピュータ上のマルウェアが到達し/実行されるのを防止することである。別のアプローチは、危険にさらされたコンピュータがC&Cサーバと通信するのを防ぐことである。残念ながら、マルウェアの作成者は、彼らのソフトウェアの動作(workings)を不明瞭にするために、ますます高度なテクニックを使用している。従って、マルウェアを検出し、かつ、その被害を防止するための改良された技法(technique)に対する継続的な必要性が存在している。
本発明の様々な実施形態が、以下の詳細な説明および添付の図面において開示されている。
図1Aは、プロセス情報を使用してDNSセキュリティを提供するための環境に係る一つの実施形態を示している。 図1Bは、プロセス情報を使用してDNSセキュリティを提供するための環境に係る別の実施形態を示している。 図1Cは、プロセス情報を使用してDNSセキュリティを提供するための環境に係るさらに別の実施形態を示している。 図1Dは、プロセス情報を使用してDNSセキュリティを提供するための環境に係るさらに別の実施形態を示している。 図2は、プロセス情報の一つの例を示している。 図3は、プロセス情報を使用してDNSセキュリティを提供するためのワークフローに係る一つの例を示している。 図4は、プロセス情報を使用してDNSセキュリティを提供するプロセスの一つの実施形態を説明するフローチャートである。 図5は、DNSプロファイルを使用する異常の検出に係る一つの例を示している。
本発明は、プロセス、装置、システム、物質の組成、コンピュータ読取り可能記憶媒体上に具現化されたコンピュータプログラム製品、及び/又は、プロセッサに結合されたメモリに保管され、かつ/あるいは、それによって提供される命令を実行するように構成されたプロセッサといった、プロセッサを含む、多数の方法で実施することができる。この明細書において、これらの実施形態、または本発明が採用し得るその他の形態は、技法と称される。一般的に、開示されたプロセスのステップの順序は、本発明の範囲内で変更することができる。特に指示のない限り、タスクを実行するように構成されているものと記載されたプロセッサまたはメモリといったコンポーネントは、所与の時間にタスクを実行するように一時的に構成されている一般的なコンポーネント、または、タスクを実行するように製造されている特定のコンポーネントとして実装することができる。ここにおいて使用されるように、用語「プロセッサ(“processor”)」は、コンピュータプログラム命令といった、データを処理するように構成された1つ以上のデバイス、回路、及び/又は、処理コアを指す。
本発明の1つ以上の実施形態の詳細な説明は、本発明の原理を説明する添付の図面と共に以下で提供される。本発明は、そうした実施形態に関連して説明されるが、本発明は、任意の実施形態に限定されるものではない。本発明の範囲は、請求項によってのみ限定されるものであり、そして、本発明は、多数の代替、変形、および均等物を含んでいる。本発明の完全な理解を提供するために、以下の説明に多数の具体的な詳細が記載されている。これらの詳細は、例示のために提供されるものであり、そして、本発明は、これらの特定の詳細の一部または全部を伴うことなく、請求項に従って実施することができる。明瞭にするために、発明に関連する技術分野において知られている技術資料は、発明が不必要に不明瞭にならないように、詳細には説明していない。
従来、エンドポイントがマルウェア(例えば、コマンドおよび制御マルウェア)に感染した場合、エンドポイントは、一連の良性ドメイン(benign domains)を順番に使用して、大量のDNSクエリ(DNS queries)を生成することができる。エンドポイントがマルウェアに感染したか否かを判定するために、DNSセキュリティサービスは、非常に大量のDNSクエリをレビューし、そして、DNSクエリ上でドメイン生成アルゴリズム(domain generation algorithm、DGA)技法を使用して、マルウェアを含むエンドポイントを識別することができる。DNSクエリをフィルタリングすることは有益であり、その結果、非C&Cプロセス及び/又はアプリケーションからのDNSクエリをフィルタリングすることができ、そして、DGA技法の精度を高める(例えば、偽陽性および偽陰性を減らす)ために、特定のプロセス及び/又は特定のアプリケーションに関連するDNSクエリにDGA技法を適用することができる。
いくつかの実施形態において、プロセス情報を使用してDNSセキュリティを提供するためのシステム/方法/コンピュータプログラム製品は、アプリケーションが、ドメイン名を使用して、インターネットサービスにアクセスしていると判定すること、関連するドメイン名システム(DNS)クエリと共に前記アプリケーションに関連付けられたプロセス情報を識別して、前記ドメイン名に関連付けられたIPアドレスを特定すること、前記プロセス情報および前記関連するDNSクエリをDNSセキュリティサービスに送信すること、および、前記DNSセキュリティサービスからの応答に基づいて、アクションを実行すること、を含んでいる。
いくつかの実施形態において、前記関連するDNSクエリと共に前記アプリケーションに関連付けられた前記プロセス情報を識別して、前記ドメイン名に関連付けられた前記IPアドレスを特定することは、前記関連するDNSクエリを、外部リゾルバから別のリゾルバに迂回することを含み、ここで、前記迂回された関連するDNSクエリは、前記プロセス情報を含んでいる。
いくつかの実施形態において、前記プロセス情報は、プロセスID、および、ホスト名、アクティブ・ディレクトリ・ドメイン、オペレーティングシステムのタイプとバージョン、及び/又は、ネットワークインターフェイス、のうち1つ以上を含んでいる。
いくつかの実施形態において、前記プロセス情報は、プロセスID、および、プロセスメタ情報、ユーザメタ情報、及び/又は、エンドポイントメタ情報、のうち1つ以上を含んでいる。
いくつかの実施形態において、前記迂回された関連するDNSクエリは、DNSについて拡張メカニズムを使用するプロセス情報を含んでいる。
いくつかの実施形態において、前記DNSクエリは、DNSリゾルバに送信される。
いくつかの実施形態において、前記アクションを実行することは、前記ドメイン名が、前記アプリケーションと通信することが許可されている既知のドメイン名のセットに関連付けられているか否かを判定すること、および、前記ドメイン名が、前記アプリケーションと通信することが許可されている既知のドメイン名のセットに関連付けられていないという判定に応答して、前記関連するDNSクエリをブロックまたはシンクホールすることを含んでいる。
いくつかの実施形態において、前記アクションを実行することは、前記プロセス情報が、新規に登録されたドメインに関連するか、および、前記プロセス情報が、システムプロセスに関連するか否かを判定すること、および、前記プロセス情報が、前記新規に登録されたドメインに関連し、かつ、前記プロセス情報が、前記システムプロセスに関連するという判定に応答して、前記関連するDNSクエリをブロックまたはシンクホールすることを含んでいる。
いくつかの実施形態において、前記アクションを実行することは、前記プロセス情報が、デジタル署名なしプロセスに関連するか否かを判定すること、および、前記プロセス情報が、前記デジタル署名なしプロセスに関連するという判定に応答して、前記関連するDNSクエリをブロックまたはシンクホールすることを含んでいる。
いくつかの実施形態において、前記アクションを実行することは、前記アプリケーションに関連付けられているエンドポイントを隔離することを含んでいる。
いくつかの実施形態において、前記アクションを実行することは、前記プロセス情報に関連付けられたファイルを削除することを含んでいる。
図1Aは、プロセス情報を使用してDNSセキュリティを提供するための環境に係る一つの実施形態を示している。いくつかの実施形態において、環境100は、DNSリクエストを解決するDNSリゾルバまたはファイアウォール130に接続されており、または、アップストリームDNSリゾルバ150、および、悪意または望まないDNSメッセージを検出する、DNSセキュリティ検出器160使用する、ローカルエリアネットワーク(LAN)またはワイドエリアネットワーク(WAN)120に接続されたエンドポイント110を含んでいる。
いくつかの実施形態において、LANまたはWAN 120に接続されたエンドポイント110上で実行されるプロセスまたはアプリケーションは、インターネットにアクセスしようと試みる。インターネットにアクセスするため、例えば、インターネットサービスにアクセスするため、または、インターネットリソースにアクセスするために、プロセスまたはアプリケーション110は、最初に解決されるべき、ドメイン名を利用して、インターネットサービスまたはインターネットリソースにアクセスすることができる。ドメイン名を利用するために、プロセスまたはアプリケーション110は、ドメイン名を介してインターネットサービスまたはインターネットリソースにアクセスしようと試みることができ、そして、エンドポイント110上で実行されるエージェントは、ドメイン名を含むネットワークコール(network call)をインターセプトし、そして、元々はアップストリームDNSリゾルバ150に送られるドメイン名システム(DNS)クエリを、DNSリゾルバまたはファイアウォール130に迂回(divert)または誘導(steer)することができる。いくつかの実施形態において、迂回されたDNSクエリは、ハイパーテキスト転送プロトコルセキュア(HTTPS)上でDNSリゾルバまたはファイアウォール130に送られ、そして、迂回されたDNSクエリは、元のDNSクエリに加えて、プロセスIDと、エンドポイントメタデータ、ユーザメタデータ、及び/又は、プロセスメタデータのうちの1つ以上と、を含むプロセス情報を含んでいる。いくつかの実施形態において、プロセス情報は、プロセスIDと、ホスト名、アクティブ・ディレクトリ・ドメイン、オペレーティングシステムのタイプおよびバージョン、及び/又は、ネットワークインターフェイスのうちの1つ以上と、を含んでいる。
いくつかの実施態様において、エンドポイント110は、コンピュータ、ラップトップ、携帯電話、タブレット、等である。典型的には、エンドポイント110上にロードされたプロセスまたはアプリケーションがドメイン名を使用してインターネットにアクセスしようとすると、エンドポイント110上で動作しているオペレーティングシステムに構築されたエージェントは、ドメイン名に関連するIPアドレスを獲得するためにDNSクエリを獲得し、そして、DNSクエリをDNSリゾルバに転送して、DNSクエリに含まれるドメイン名に基づいてIPアドレスを獲得する。いくつかの実施形態において、DNSクエリは、DNSリゾルバまたはファイアウォール130によって、DNSセキュリティ検出器160に転送することができる。いくつかの実施形態において、DNSセキュリティ検出器160は、悪意のあるDNSメッセージ、または、望ましくないDNSメッセージを検出する。
いくつかの実施形態において、DNSリゾルバまたはファイアウォール130は、コンフィグレーション(例えば、ポリシー管理)及び/又はロギングのためにマネジメント140と通信する。
典型的には、主要なオペレーティングシステム(例えば、Windows、MacOS、Linux(登録商標)、等)は、カーネルにおいて確立されたTCPまたはUDPフローのための追加のメタデータを提供するメカニズムを有している。いくつかの実施形態において、追加的なメタデータは、プロセスIDを含むプロセス情報を含んでいる。
第1に、エージェントは、DNSメッセージの制御を獲得する。
一つの例として、Windowsオペレーティングシステム(OS)を実行するコンピュータにおいて、Windowsオペレーティングシステムは、トラフィックダイバーティング、トラフィックステアリング、またはトラフィックリダイレクトと称され得る、任意の外向(outgoing)DNSクエリの制御を獲得するためのユーザースペースプログラム(user space program)を提供する。Windowsでは、Windows Filtering Platform(WFP)フレームワークにより、ユーザースペースプログラムが、カーネルドライバをWFPフレームワークの中へインストールし、任意の指定された送信IPパケットをユーザースペースプログラムに迂回することができる。
別の例において、MacOSを実行しているコンピュータでは、ユーザースペースプログラムのために、NetworkExtensionフレームワークが提供され、カーネルのネットワーク機能を拡張する。NEDNSProxyProviderと呼ばれるAPIは、ユーザースペースプログラムが外向DNSトラフィックを制御できるようにすることができる。代替的に、ユーザースペースプログラムは、MacOSのBSDカーネルにおけるファイアウォールを使用して、外向DNSクエリをローカルプロキシにリダイレクトすることができる。
さらに別の例において、Linux(登録商標)を実行しているコンピュータでは、ネットフィルタフレームワークは、カーネルからユーザスペースプロキシへのあらゆる種類のトラフィックのリダイレクトを可能にする、iptables target NFQUEUEを提供する。一つの例として、ポート53に対するTCPおよびUDPトラフィックのiptablesルールは、NFQUEUEにリダイレクトするように設定することができ、これにより、エージェントはDNSクエリを制御することができる。
代替的に、いくつかの実施形態において、任意のオペレーティングシステムを実行するエンドポイント上で実行されるエージェントは、ローカルホスト(例えば、127.0.0.1)でUDPまたはTCPポート53をリスニング(listening)することによって、DNSプロキシとして機能することができ、そして、エンドポイントは、ローカルホスト(例えば、127.0.0.1)をデフォルトDNSサーバであるように設定する。この実施形態において、ユーザまたはシステム管理者は、例えば、ログイン時に実行される手動コンフィグレーションまたはスクリプトを介して、このコンフィグレーションを有するようにエンドポイントを特別に構成する必要がある。
第2に、エージェントは、DNSクエリを生成したプロセスの情報を獲得する。
一つの例として、Windowsオペレーティングシステム(OS)を実行しているコンピュータにおいて、ユーザープログラムは、WFPドライバをインストールし、各フローのプロセスIDを獲得することができる。
別の例において、MacOSを実行するコンピュータは、「pktap」(packet TAP)と呼ばれる仮想インターフェイスを使用して、任意のネットワークインターフェイスからのトラフィックをミラー(mirror)し、そして、プロセスIDを含む対応するプロセス情報でトラフィックを豊富にすることができる。「pktap」インターフェイスからキャプチャされた各パケットについて、パケットのヘッダは、プロセスIDを含むプロセス情報を含むことができる。
続いて、プロセスIDを含むプロセス情報を使用して、DNSセキュリティを実行することができる。
図1Bは、プロセス情報を使用してDNSセキュリティを提供するための環境に係る別の実施形態を示している。いくつかの実施形態において、環境1000は、セキュリティ検出器を伴うDNSエージェント1010を含む、エンドポイント1020を含んでいる。マネジメント1040は、図1Aのマネジメント140と対応しており、そして、アップストリームDNSリゾルバ1030は、図1AのアップストリームDNSリゾルバ150と対応している。
いくつかの実施形態において、環境1000においては、セキュリティ検出器を伴うDNSエージェント1010は、エンドポイント1020上で動作し、そして、エンドポイント1020の中でDNSセキュリティ検出を実行する。DNSクエリが、セキュリティ検出器1010によって許可されると決定された場合、セキュリティ検出器を伴うDNSエージェント1010は、DNSクエリを解決するために、アップストリームDNSリゾルバ1030と通信する。
いくつかの実施形態において、セキュリティ検出器を伴うDNSエージェント1010は、コンフィグレーション及び/又はロギングのためにマネジメント1040と通信する。
図1Cは、プロセス情報を使用してDNSセキュリティを提供するための環境に係るさらに別の実施形態を示している。いくつかの実施形態において、環境1050は、DNSセキュリティ検出器1060と通信するDNSエージェント1052を含む、エンドポイント1054を含んでいる。マネジメント1056は、図1Aのマネジメント140と対応しており、そして、アップストリームDNSリゾルバ1058は、図1AのアップストリームDNSリゾルバ150と対応している。
いくつかの実施形態において、環境1050においては、DNSエージェント1052は、エンドポイント1054上で動作しており、そして、DNSトラフィックを制御し、かつ、DNSトラフィックを対応するプロセスと相関(correlates)させる。一つの態様として、DNSエージェント1052は、DNSセキュリティを実行しない。DNSエージェント1052は、DNSセキュリティを実行すること、および、DNSクエリが進行を許可されるべきか否かについて結果を提供することのために、DNSメッセージをDNSセキュリティ検出器1060に転送する。DNSクエリが、DNSセキュリティ検出器1060によって、進行を許可されるものと決定される場合、DNSエージェント1052は、DNSクエリを解決するために、DNSクエリをアップストリームDNSリゾルバ1058に転送する。
いくつかの実施形態において、DNSエージェント1052およびDNSセキュリティ検出器1060は、コンフィグレーション及び/又はロギングのためにマネジメント1056と通信する。
図1Dは、プロセス情報を使用してDNSセキュリティを提供するための環境に係るさらに別の実施形態を示している。いくつかの実施形態において、環境1070は、LANまたはWAN 1074を介して、DNSセキュリティ検出器を含むDNSリゾルバ/プロキシ/ファイアウォール1076と通信する、エンドポイント1072を含んでいる。マネジメント1078は、図1Aのマネジメント140と対応しており、そして、アップストリームDNSリゾルバ1080は、図1AのアップストリームDNSリゾルバ150と対応している。
いくつかの実施形態において、この環境1070においては、エンドポイント1072上で実行されるDNSエージェントは、公開リゾルバまたは別個のDNSセキュリティ検出器とは直接的に通信せず、そして、DNSクエリおよびプロセス情報を受信する、DNSセキュリティ検出器を含む専用のDNSリゾルバ/プロキシ/ファイアウォール1076と通信する。そして、DNSセキュリティ検出器は、DNSクエリの進行が許可されるべきか否かを決定する。DNSセキュリティ検出器を含む専用DNSリゾルバ/プロキシ/ファイアウォール1076が、DNSクエリは進行が許可されるべきであると判断した場合、DNSセキュリティ検出器を含む専用DNSリゾルバ/プロキシ/ファイアウォール1076は、DNSクエリを解決するために、DNSクエリを、アップストリームDNSリゾルバ1080に転送する。
いくつかの実施形態において、DNSセキュリティ検出器を含む専用DNSリゾルバ/プロキシ/ファイアウォール1076は、コンフィグレーション及び/又はロギングのためにマネジメント1078と通信する。
図2は、プロセス情報の一つの例を示している。
いくつかの実施形態において、エンドポイント上で動作しているDNSエージェントが、外向DNSクエリに関連するプロセス情報を獲得すると、DNSエージェントは、プロセス情報を伴うDNSクエリをDNSリゾルバまたはファイアウォールに対して送信する。ファイアウォールは、DNS検出器を含み、または、DNS検出器に転送する。いくつかの実施形態において、プロセス情報を伴うDNSクエリは、有効なDNSメッセージ、または、他のフォーマット(例えば、JavaScriptオブジェクト表記(JSON)、拡張可能マークアップ言語(XML)、等)において送信される。いくつかの実施形態において、プロセス情報を伴うDNSクエリは、標準DNSメッセージとしてエンコーディングされ、そして、HTTPSプロトコルを介して転送される。プロセス情報を元のDNSクエリに追加するために、RFC 5891で定義されているように、プロセス情報は、DNSプロトコルのEDNS0オプション(または、DNSの標準拡張メカニズム)を介して追加することができる。
この例において、プロセス情報200は、直列化(serialized)されたJSON文字列として保管されており、そして、プロセスID 4408、親プロセスID 4044、プロセス名「powershell.exe」、プロセス実行可能画像パス「c:\\windows\\system32\\windowssherl\\v1.0\\powershell.exe」、引数(argument)を含む、プロセスコマンドライン「C:\\Windows\\System32\WindowsPowerShell\v1.0\\\powershell.exe」、プロセス実行可能ファイルのSHA256値「sha256」:「9f914d4270f215501044acd32aaef1419d404fddddfa5d3b48ccd9f」、および、プロセス実行可能ファイルのコードシグナリング状態「2」を含む。いくつかの実施形態において、プロセス情報は、さらに、コードシグナリング証明書を含み、それは、プロセス実行可能ファイルを解析することによって獲得することができる。一つの例として、コードシグナリング証明書は、プロセス実行可能ファイル(例えば、Windows Portable Executable(PE) ファイル)の構文解析(parsing)を介してロケート(located)され、それは、プロセス実行可能イメージパスを使用してロケートされている。
この例において、メタデータ200は、さらに、エンドポイントのホスト名「DESKTOP-INP9BQQ」、カレントユーザーの名前「DESKTOP-INP9BQQ\\Claud」、エンドポイントのオペレーティングシステム「windows」、オペレーティングシステムバージョン情報「10」、等を含んでいる。
図3は、プロセス情報を使用してDNSセキュリティを提供するためのワークフローに係る一つの例を示している。ワークフロー300は、Windows上の実装であり、以下のオペレーションを含んでいる。
いくつかの実施態様において、オペレーション1およびオペレーション3は、異なるスレッドで並列に実行されている。例えば、両方のオペレーションは、カーネル・コールバックに依存しており、そして、どのオペレーションを第1に実行するかは保証されていない。別の言葉で言えば、オペレーション1およびオペレーション3は、2つのオペレーションを区別するためのラベルが付されているが、必ずしもオペレーション3がオペレーション1の後に行われることを意味するわけではない。
オペレーション1において、DNSエージェントは、WindowsのWFPサブシステム(FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4レイヤ)を使用して、宛先ポートの53を有している全ての確立されたTCPまたはUDPフローをトレースすることができる。新しいDNSフローが確立されると、いつも、DNSエージェントは、フロー情報を獲得し、それは、送信元IP、送信元ポート、宛先IP、宛先ポート、および、プロセスIDを含んでいる。
オペレーション2において、DNSエージェントは、WindowsのWFPサブシステム(FWPM_LAYER_OUTBOUND_IPPACKET_V4層)を使用して、パケットの宛先ポートが53の場合に、全ての外向TCPまたはUDPパケットを迂回(divert)する。いくつかの実施形態において、迂回は、パケットが、その元の宛先に送信されないことを意味する。また、DNSエージェントは、ルックアップ構造から、4個のタプルまたはフロー情報(送信元IP、送信元ポート、宛先IP、宛先ポート)に基づいて、プロセス情報を獲得するよう試みることができる。プロセス情報が存在しない場合、DNSエージェントは、オペレーション1が完了するのを待つことができる(例えば、100ミリ秒)。
4個のタプルまたはフロー情報(送信元IP、送信元ポート、宛先IP、宛先ポート)とプロセス情報との関係は、メモリ内のルックアップテーブルといった、ルックアップ構造へと更新される。
オペレーション3において、フロー情報を獲得した後で、DNSエージェントは、標準Windows APIを使用して、例えば、名前、コマンド行、実行可能パス、実行可能コード署名、等といった、プロセス情報を獲得することができる。
オペレーション4において、DNSエージェントが、元のDNSクエリパケットおよび元のDNSクエリパケットに関連するプロセス情報を獲得した後で、DNSエージェントは、DNSリソースレコード(RR)を、直列化されたプロセス情報のデータを伴うOPTのタイプ(DNSプロトコルにおいて定義された擬似レコードのタイプ)で構築し、拡張DNSクエリを獲得するために、DNS拡張メカニズム(EDNS0)によって定義された技法を使用して、RRを元のDNSクエリメッセージの中へ挿入し、そして、DNSオーバHTTPS(DNS-over-HTTPS)規格で定義されたフォーマットで、指定されたプロトコル(例えば、HTTPS)を介して、特定のDNSリゾルバ(例えば、クライアントによって制御されるDNSリゾルバ)に対して拡張DNSクエリを転送することができる。
オペレーション5において、指定されたDNSリゾルバは、RRおよび元のDNSクエリからプロセス情報を獲得するために拡張DNSクエリを解析し、全てのプロセス情報および元のDNSクエリをDNSセキュリティAPI(検出器)に対して送信し、そして、DNSクエリがDNSセキュリティAPI(検出器)からの悪意ある又は望まれないものであるか否か、および、元のDNSパケットが、現在のポリシに基づいて、ブロックされるべきか否かについての応答を待つことができる。
元のDNSクエリがDNSセキュリティAPI(検出器(Detector))によって拒否された場合、指定されたDNSリゾルバは、DNSエージェントを用いた拡張DNSクエリの解決を中止または終了することができ、そして、従って、元のDNSクエリがタイムアウトし、または、指定されたDNSリゾルバが事前に設定されたシンクホールIPアドレスをDNSエージェントに提供し、その結果、元のDNSクエリは事前に設定されたシンクホールIPアドレスに解決される。
いくつかの実施形態において、アラートおよびログは、指定されたDNSリゾルバ側、及び/又は、DNSセキュリティAPI(検出器)側のいずれかで、このオペレーションにおいて提供され得る。
オペレーション6において、元のDNSクエリがDNSセキュリティAPI(検出器)によって許可される場合、特定のDNSリゾルバは、元のDNSクエリをアップストリームのDNSリゾルバに送信することができる。アップストリームDNSリゾルバは、特定のパブリックDNSリゾルバ(例えば、8.8.8.8)、企業顧客の内部DNSリゾルバ、元のDNSクエリの元の宛先IPアドレス、等であり得る。
アップストリームDNSリゾルバからの結果が獲得された後、指定されたDNSリゾルバは、DNS-over-HTTPレスポンスにおけるDNS-over-HTTP標準によって、応答をDNSエージェントに戻り迂回することができ、そして、DNSエージェントは、転送されたAPIインターフェイスを通して元のDNSリゾルバに応答を返すことができ、その結果、問合せを開始した元のプロセスは、DNS応答を受け取ることができる。
その後で、DNSエージェントは、DNSクエリおよびプロセス情報に基づいて、アクションを実行することができる。
図4は、プロセス情報を使用してDNSセキュリティを提供するプロセスの一つの実施形態を説明するフローチャートである。いくつかの実施形態において、プロセス400は、図1Aのエンドポイント110上で実行されるDNSエージェント、図1BのDNSエージェント1010、図1CのDNSエージェント1052、または、図1Dのエンドポイント1072上で実行されるエージェントを使用して実施され、そして、以下を含んでいる。
410において、DNSエージェントは、アプリケーションがドメイン名を使用してインターネットサービスにアクセスしていることを決定する。例えば、DNSエージェントは、エンドポイント上で実行されているブラウザ(例えば、Google ChromeまたはMicrosoft Edge)がfacebook.comにアクセスしようと試みているエンドポイントにおいて実行されていること、または、悪意のあるアプリケーションがA2d34xx.comにアクセスしようと試みていることを検出する。
420において、DNSエージェントは、関連するドメイン名システム(DNS)クエリと共に、アプリケーションに関連付けられたプロセス情報を識別して、ドメイン名に関連付けられたIPアドレスを特定する。例えば、DNSエージェントは、ドメイン名を使用してインターネットにアクセスしようと試みているブラウザまたは悪意のあるアプリケーションに関連付けられたプロセスID 4103を含む、DNSクエリおよびプロセス情報を識別する。
430において、DNSエージェントは、プロセス情報および関連するDNSクエリを、DNSセキュリティサービスに送信する。
440において、DNSエージェントは、DNSセキュリティサービスからの応答に基づいてアクションを実行する。いくつかの実施形態においては、関連するDNSクエリが悪意または望まないものであることをDNSセキュリティサービスからの応答が示す場合、アクションは、次のうち1つ以上を含む。DNSクエリまたは応答を破棄する、DNSクエリをシンクホールする、ユーザにアラートを送信する、かつ/あるいは、管理システムにログを書き込む、ことである。いくつかの実施形態において、本アクションは、アプリケーションまたはプロセスに関連するエンドポイントを隔離すること、プロセス情報に関連するファイルを除去すること、DNSクエリを発行したプロセスを終了すること、等を含む。
プロセス400の利点のいくつかは、DNSリクエストと共にプロセス情報を含めることによって、DGA検出における精度の向上(例えば、リコールレートの向上、偽陽性率の低下、等)、命令と制御(command and communication)通信のために良性ドメイン(例えば、Twitter、Github、Blogspot)のシーケンスを使用するマルウェアの検出における精度の向上、正規プロセスが送信すべきでない異常トラフィックの検出における精度の向上、等を含んでいる。加えて、プロセス情報は、また、危殆化(compromise)のよりきめ細かいコンテキストを提供し、そして、よりきめ細かい行動を導くことができる。特定のプロセスを終了する、特定の悪意のあるファイルのセットを隔離する、等といったものである。
図5は、DNSプロファイルを使用する異常の検出に係る一つの例を示している。
本実施例において、プロセスのDNSプロファイルは、登録者(registrant)に関連付けられたドメインのグループを含んでいる。例えば、Skypeプロファイルにおいて、ドメイン「skype.com」、「skype.net」、および「skypesets.com」が、Skype.exeプロセスに関連付けられている。別の例では、Akamaiプロファイルにおいて、ドメイン「akadns.net」は、登録者「Akamai Inc.」と関連付けられている。さらに別の例では、AOLプロファイルにおいて、ドメイン「aolcdn.com」は、登録者「AOL Inc.」と関連付けられている。さらに別の例では、Microsoftプロファイルにおいて、登録者「Microsoft Corp.」と関連付けられているドメイン「Hotmail.com」が多数存在している。
DNSプロファイルが確立された後で、プロセス(例えば、skype.exe)からDNSクエリを受信すると、DNSエージェントは、DNSクエリに関連するドメインが既知のドメインのリスト(例えば、確立されたプロファイルに関連付けられたドメインのリスト)中に見つかるか否かを決定し、そして、ドメインが既知のドメインのリスト中で見つかる場合、DNSエージェントは、ドメインが既知のドメインのリスト中で見つかると決定することができ、そして、その後で、DNSクエリをブロックまたはシンクホールし、かつ/あるいは、アラートを送信することができる。
別の例では、「powerpoint.exe」プロセスのプロファイルを使用して、多数のログを検討した後で、「powerpoint.exe」がupdate.microsoft.comおよびdownload.microsoft.comに関連するドメインをクエリし、そして、両方のMicrosoftドメインはMicrosoftに登録されていると判断することができる。従って、「powerpoint.exe」がMicrosoft.comに関連しないドメインをクエリする場合、異常なドメインである判定(verdict)をすることができる。
さらに別の例において、いくつかのマルウェアは、その命令と制御(C2)通信のためにいくつかの正規のWebサービスを利用する。例えば、マルウェアはtwitter.com、github.com、およびdropbox.comをC2通信に使用することができる。この例において、3個のクエリそれぞれは正当であるが、定義された期間内に3個のドメインを順番にクエリする単一のプロセスは疑わしい。DNSクエリはプロセスIDに基づいてグループ化されるので、DNSクエリを事前に定義された期間内に正規のドメインの既知のパターン/シーケンスと一致させるプロセスは、悪意があると判断される。
さらに別の例において、DNSセキュリティ検出器は、プロセス情報が新しく登録されたドメインに関連しており、かつ、システムプロセスに関連しているか否かを判定することができる。そして、プロセス情報が新しく登録されたドメインに関連しており、かつ、システムプロセスに関連していると、DNSセキュリティ検出器が判定した場合、DNSセキュリティ検出器は、DNSクエリを発行したプロセスまたはアプリケーションがマルウェアであると判定することができる。
さらに別の例において、DNSセキュリティ検出器は、プロセス情報がデジタル署名なしプロセス(unsigned process)に関連するか否かを決定することができ、そして、プロセス情報がデジタル署名なしプロセスに関連していることをDNSセキュリティ検出器が決定する場合、DNSセキュリティ検出器は、DNSクエリを発行したプロセスまたはアプリケーションがマルウェアであると決定することができる。
さらに別の例では、DNSクエリに関連するプロセス情報を持つことで、DGAおよびDNSトンネル検出の精度を高めることができる。
例えば、5個のDNSクエリが1分間で受信されるものと仮定すると、DNSクエリの各ドメインは、2文字長のトップレベルドメイン(TLD)を伴う、5文字のランダム文字及び/又はデジットであり、そして、ドメインの少なくとも1つがNXDOMAIN(登録されていないドメイン)である。この例では、5個のDNSクエリが同じソースプロセスから来ているので、DNSクエリを生成しているプロセスがマルウェアQsnatchであると、判断することができる。
前述の実施形態は、理解を明確にするために、ある程度詳細に説明されているが、本発明は、提供される詳細に限定されるものではない。本発明を実施するための多くの代替的な方法が存在している。開示された実施形態は、例示的なものであり、かつ、限定的なものではない。

Claims (20)

  1. システムであって、
    メモリと、
    前記メモリに接続されたプロセッサであり、前記プロセッサは、
    アプリケーションが、ドメイン名を使用して、インターネットサービスにアクセスしていると判定し、
    関連するドメイン名システム(DNS)クエリと共に前記アプリケーションに関連付けられたプロセス情報を識別して、前記ドメイン名に関連付けられたIPアドレスを特定し、前記関連するDNSクエリと共に前記アプリケーションに関連付けられた前記プロセス情報を識別して、前記ドメイン名に関連付けられた前記IPアドレスを特定することは、
    前記関連するDNSクエリを、外部リゾルバから別のリゾルバに迂回すること、を含み、
    前記迂回された関連するDNSクエリは、前記プロセス情報を含んでおり、
    前記プロセス情報および前記関連するDNSクエリをDNSセキュリティサービスに送信し、かつ、
    前記DNSセキュリティサービスからの応答に基づいて、アクションを実行する、
    ように構成されている、プロセッサと、
    を含む、システム。
  2. 前記プロセス情報は、プロセスID、および、
    ホスト名、アクティブ・ディレクトリ・ドメイン、オペレーティングシステムのタイプとバージョン、及び/又は、ネットワークインターフェイス、のうち1つ以上、
    を含む、請求項1に記載のシステム。
  3. 前記プロセス情報は、プロセスID、および、
    プロセスメタ情報、ユーザメタ情報、及び/又は、エンドポイントメタ情報、のうち1つ以上、
    を含む、請求項1に記載のシステム。
  4. 前記迂回された関連するDNSクエリは、DNSについて拡張メカニズムを使用するプロセス情報を含んでいる、
    請求項1に記載のシステム。
  5. 前記DNSクエリは、DNSリゾルバに送信される、
    請求項1に記載のシステム。
  6. 前記アクションを実行することは、
    前記ドメイン名が、前記アプリケーションと通信することが許可されている既知のドメイン名のセットに関連付けられているか否かを判定すること、および、
    前記ドメイン名が、前記アプリケーションと通信することが許可されている既知のドメイン名のセットに関連付けられていないという判定に応答して、前記関連するDNSクエリをブロックまたはシンクホールすること、
    を含む、請求項1に記載のシステム。
  7. 前記アクションを実行することは、
    前記プロセス情報が、新規に登録されたドメインに関連するか、および、前記プロセス情報が、システムプロセスに関連するか否かを判定すること、および、
    前記プロセス情報が、前記新規に登録されたドメインに関連し、かつ、前記プロセス情報が、前記システムプロセスに関連するという判定に応答して、前記関連するDNSクエリをブロックまたはシンクホールすること、
    を含む、請求項1に記載のシステム。
  8. システムであって、
    メモリと、
    前記メモリに接続されたプロセッサであり、前記プロセッサは、
    アプリケーションが、ドメイン名を使用して、インターネットサービスにアクセスしていると判定し、
    関連するドメイン名システム(DNS)クエリと共に前記アプリケーションに関連付けられたプロセス情報を識別して、前記ドメイン名に関連付けられたIPアドレスを特定し、かつ、
    前記プロセス情報および前記関連するDNSクエリをDNSセキュリティサービスに送信する、
    プロセッサと、
    アクションを実行するように構成され、かつ、前記DNSセキュリティサービスに応答する、DNSセキュリティ検出器であり、前記アクションを実行することは、
    前記プロセス情報が、デジタル署名なしプロセスに関連するか否かを判定すること、および、
    前記プロセス情報が、前記デジタル署名なしプロセスに関連するという判定に応答して、前記関連するDNSクエリをブロックまたはシンクホールすること、を含む、
    DNSセキュリティ検出器と、
    を含む、システム。
  9. 前記アクションを実行することは、
    前記アプリケーションに関連付けられているエンドポイントを隔離すること、
    を含む、請求項1に記載のシステム。
  10. 前記アクションを実行することは、
    前記プロセス情報に関連付けられたファイルを削除すること、
    を含む、請求項1に記載のシステム。
  11. 方法であって、
    アプリケーションが、ドメイン名を使用して、インターネットサービスにアクセスしていると、プロセッサを使用して、判定するステップと、
    関連するドメイン名システム(DNS)クエリと共に前記アプリケーションに関連付けられたプロセス情報を、前記プロセッサを使用して、識別するステップであり、前記ドメイン名に関連付けられたIPアドレスを特定し、前記関連するDNSクエリと共に前記アプリケーションに関連付けられた前記プロセス情報を識別して、前記ドメイン名に関連付けられた前記IPアドレスを特定する前記ステップは、
    前記関連するDNSクエリを、外部リゾルバから別のリゾルバに迂回するステップを含み、前記迂回された関連するDNSクエリは、前記プロセス情報を含んでいる、
    ステップと、
    前記プロセス情報および前記関連するDNSクエリを、前記プロセッサを使用して、DNSセキュリティサービスに送信するステップと、
    前記DNSセキュリティサービスからの応答に基づいて、前記プロセッサを使用して、アクションを実行するステップと、
    を含む、方法。
  12. 前記プロセス情報は、プロセスID、および、
    ホスト名、アクティブ・ディレクトリ・ドメイン、オペレーティングシステムのタイプとバージョン、及び/又は、ネットワークインターフェイス、のうち1つ以上、
    を含む、請求項11に記載の方法。
  13. 前記プロセス情報は、プロセスID、および、
    プロセスメタ情報、ユーザメタ情報、及び/又は、エンドポイントメタ情報、のうち1つ以上、
    を含む、請求項11に記載の方法。
  14. 前記迂回された関連するDNSクエリは、DNSについて拡張メカニズムを使用するプロセス情報を含んでいる、
    請求項11に記載の方法。
  15. 前記アクションを実行することは、
    前記ドメイン名が、前記アプリケーションと通信することが許可されている既知のドメイン名のセットに関連付けられているか否かを判定すること、および、
    前記ドメイン名が、前記アプリケーションと通信することが許可されている既知のドメイン名のセットに関連付けられていないという判定に応答して、前記関連するDNSクエリをブロックまたはシンクホールすること、
    を含む、請求項11に記載の方法。
  16. 前記アクションを実行することは、
    前記プロセス情報が、新規に登録されたドメインに関連するか、および、前記プロセス情報が、システムプロセスに関連するか否かを判定すること、および、
    前記プロセス情報が、前記新規に登録されたドメインに関連し、かつ、前記プロセス情報が、前記システムプロセスに関連するという判定に応答して、前記関連するDNSクエリをブロックまたはシンクホールすること、
    を含む、請求項11に記載の方法。
  17. 前記アクションを実行することは、
    前記アプリケーションに関連付けられているエンドポイントを隔離すること、
    を含む、請求項11に記載の方法。
  18. 非一時的コンピュータ読取り可能媒体において具現化され、かつ、複数のコンピュータ命令を含むコンピュータプログラムであって、
    前記コンピュータ命令が実行されると、コンピュータに、
    アプリケーションが、ドメイン名を使用して、インターネットサービスにアクセスしていると判定するステップと、
    関連するドメイン名システム(DNS)クエリと共に前記アプリケーションに関連付けられたプロセス情報を識別するステップであり、前記ドメイン名に関連付けられたIPアドレスを特定し、前記関連するDNSクエリと共に前記アプリケーションに関連付けられた前記プロセス情報を識別して、前記ドメイン名に関連付けられた前記IPアドレスを特定する前記ステップは、
    前記関連するDNSクエリを、外部リゾルバから別のリゾルバに迂回するステップを含み、前記迂回された関連するDNSクエリは、前記プロセス情報を含んでいる、
    ステップと、
    前記プロセス情報および前記関連するDNSクエリをDNSセキュリティサービスに送信するステップと、
    前記DNSセキュリティサービスからの応答に基づいて、アクションを実行するステップと、
    実施させる、コンピュータプログラム。
  19. 方法であって、
    アプリケーションが、ドメイン名を使用して、インターネットサービスにアクセスしていると、プロセッサを使用して、判定するステップと、
    関連するドメイン名システム(DNS)クエリと共に前記アプリケーションに関連付けられたプロセス情報を、前記プロセッサを使用して、識別するステップであり、前記ドメイン名に関連付けられたIPアドレスを特定するステップと、
    前記プロセス情報および前記関連するDNSクエリを、前記プロセッサを使用して、DNSセキュリティサービスに送信するステップと、
    前記DNSセキュリティサービスからの応答に基づいて、DNSセキュリティ検出器を使用して、アクションを実行するステップと、
    を含み、前記アクションを実行するステップは、
    前記プロセス情報が、デジタル署名なしプロセスに関連しているか否かを判定するステップと、
    前記プロセス情報が、デジタル署名なしプロセスに関連しているという判定に応答して、前記関連するDNSクエリをブロックまたはシンクホールするステップと、
    を含む、方法。
  20. 非一時的コンピュータ読取り可能媒体において具現化され、かつ、複数のコンピュータ命令を含むコンピュータプログラムであって、
    前記コンピュータ命令が実行されると、コンピュータに、
    アプリケーションが、ドメイン名を使用して、インターネットサービスにアクセスしていると、プロセッサを使用して、判定するステップと、
    関連するドメイン名システム(DNS)クエリと共に前記アプリケーションに関連付けられたプロセス情報を、前記プロセッサを使用して、識別するステップであり、前記ドメイン名に関連付けられたIPアドレスを特定するステップと、
    前記プロセス情報および前記関連するDNSクエリを、前記プロセッサを使用して、DNSセキュリティサービスに送信するステップと、
    前記DNSセキュリティサービスからの応答に基づいて、DNSセキュリティ検出器を使用して、アクションを実行するステップと、
    を含み、前記アクションを実行するステップは、
    前記プロセス情報が、デジタル署名なしプロセスに関連しているか否かを判定するステップと、
    前記プロセス情報が、デジタル署名なしプロセスに関連しているという判定に応答して、前記関連するDNSクエリをブロックまたはシンクホールするステップと、
    を実施させる、コンピュータプログラム。
JP2023066956A 2022-04-19 2023-04-17 プロセス情報を使用してdnsセキュリティを提供する方法およびシステム Active JP7465387B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/724,130 US11582247B1 (en) 2022-04-19 2022-04-19 Method and system for providing DNS security using process information
US17/724130 2022-04-19

Publications (3)

Publication Number Publication Date
JP2023159044A JP2023159044A (ja) 2023-10-31
JP2023159044A5 JP2023159044A5 (ja) 2024-02-13
JP7465387B2 true JP7465387B2 (ja) 2024-04-10

Family

ID=85198809

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023066956A Active JP7465387B2 (ja) 2022-04-19 2023-04-17 プロセス情報を使用してdnsセキュリティを提供する方法およびシステム

Country Status (5)

Country Link
US (1) US11582247B1 (ja)
EP (1) EP4266649A1 (ja)
JP (1) JP7465387B2 (ja)
KR (1) KR102642602B1 (ja)
CN (1) CN116915743A (ja)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008084729A1 (ja) 2006-12-28 2008-07-17 Nec Corporation アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム
JP2008532133A (ja) 2005-02-24 2008-08-14 アールエスエイ セキュリティー インコーポレーテッド Dns偽装をするトロイの木馬を検出及び緩和するシステム及び方法
JP2011076188A (ja) 2009-09-29 2011-04-14 Nippon Telegr & Teleph Corp <Ntt> Dnsトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム
WO2016140037A1 (ja) 2015-03-05 2016-09-09 日本電信電話株式会社 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム
US20180013775A1 (en) 2016-07-08 2018-01-11 Nec Laboratories America, Inc. Host level detect mechanism for malicious dns activities

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7970765B1 (en) * 2006-03-14 2011-06-28 Juniper Networks, Inc. Network device for providing integrated DNS caching services
US8489637B2 (en) * 2009-11-19 2013-07-16 International Business Machines Corporation User-based DNS server access control
US9467461B2 (en) * 2013-12-21 2016-10-11 Akamai Technologies Inc. Countering security threats with the domain name system
US9571518B2 (en) * 2015-03-06 2017-02-14 International Business Machines Corporation Identifying malicious web infrastructures
US9578042B2 (en) * 2015-03-06 2017-02-21 International Business Machines Corporation Identifying malicious web infrastructures
US9819696B2 (en) * 2015-11-04 2017-11-14 Bitdefender IPR Management Ltd. Systems and methods for detecting domain generation algorithm (DGA) malware
US9942235B2 (en) * 2015-12-16 2018-04-10 Verizon Patent And Licensing Inc. Network access security for internet of things (IoT) devices
US11601466B2 (en) * 2017-09-13 2023-03-07 Comcast Cable Communications, Llc Identifying malware devices with domain name system (DNS) queries
RU2668710C1 (ru) * 2018-01-17 2018-10-02 Общество с ограниченной ответственностью "Группа АйБи ТДС" Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике
US11818151B2 (en) * 2018-01-26 2023-11-14 Palo Alto Networks, Inc. Identification of malicious domain campaigns using unsupervised clustering
US11240257B2 (en) * 2019-03-07 2022-02-01 Lookout, Inc. Domain name and URL visual verification for increased security
US11411969B2 (en) * 2019-11-25 2022-08-09 Red Hat, Inc. Live process migration in conjunction with electronic security attacks
US11539722B2 (en) * 2020-07-14 2022-12-27 Vmware, Inc. Security threat detection based on process information
US11736500B2 (en) * 2020-08-12 2023-08-22 Arista Networks, Inc. System and method for device quarantine management

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008532133A (ja) 2005-02-24 2008-08-14 アールエスエイ セキュリティー インコーポレーテッド Dns偽装をするトロイの木馬を検出及び緩和するシステム及び方法
WO2008084729A1 (ja) 2006-12-28 2008-07-17 Nec Corporation アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム
JP2011076188A (ja) 2009-09-29 2011-04-14 Nippon Telegr & Teleph Corp <Ntt> Dnsトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム
WO2016140037A1 (ja) 2015-03-05 2016-09-09 日本電信電話株式会社 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム
US20180013775A1 (en) 2016-07-08 2018-01-11 Nec Laboratories America, Inc. Host level detect mechanism for malicious dns activities

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
SIVAKORN, S. et al.,Countering Malicious Processes with Process-DNS Association,Network and Distributed Systems Security (NDSS) Symposium 2019,2019年02月,pp.1-15

Also Published As

Publication number Publication date
EP4266649A1 (en) 2023-10-25
KR20230149251A (ko) 2023-10-26
US20230336572A1 (en) 2023-10-19
JP2023159044A (ja) 2023-10-31
CN116915743A (zh) 2023-10-20
US11582247B1 (en) 2023-02-14
KR102642602B1 (ko) 2024-03-05

Similar Documents

Publication Publication Date Title
US12003485B2 (en) Outbound/inbound lateral traffic punting based on process risk
US8875220B2 (en) Proxy-based network access protection
US11647003B2 (en) Concealing internal applications that are accessed over a network
US10432588B2 (en) Systems and methods for improving HTTPS security
US10237286B2 (en) Content delivery network protection from malware and data leakage
US8413238B1 (en) Monitoring darknet access to identify malicious activity
US10855656B2 (en) Fine-grained firewall policy enforcement using session app ID and endpoint process ID correlation
US8407324B2 (en) Dynamic modification of the address of a proxy
US9407650B2 (en) Unauthorised/malicious redirection
WO2018098000A1 (en) Network security based on device identifiers and network addresses
US20130097699A1 (en) System and method for detecting a malicious command and control channel
US8839424B2 (en) Cross-site request forgery protection
US11729134B2 (en) In-line detection of algorithmically generated domains
US20210266293A1 (en) Real-time detection of dns tunneling traffic
US8230506B1 (en) Proxy communication detection
JP7465387B2 (ja) プロセス情報を使用してdnsセキュリティを提供する方法およびシステム
US12034745B2 (en) Method and system for providing DNS security using process information
US8793488B1 (en) Detection of embedded resource location data
US11683337B2 (en) Harvesting fully qualified domain names from malicious data packets
US11570149B2 (en) Feedback mechanism to enforce a security policy
US20230370492A1 (en) Identify and block domains used for nxns-based ddos attack

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230424

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230424

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20230424

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230711

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231010

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231107

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20240202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240305

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240329

R150 Certificate of patent or registration of utility model

Ref document number: 7465387

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150