JP7501642B2 - 判定装置、判定方法、および、判定プログラム - Google Patents
判定装置、判定方法、および、判定プログラム Download PDFInfo
- Publication number
- JP7501642B2 JP7501642B2 JP2022545265A JP2022545265A JP7501642B2 JP 7501642 B2 JP7501642 B2 JP 7501642B2 JP 2022545265 A JP2022545265 A JP 2022545265A JP 2022545265 A JP2022545265 A JP 2022545265A JP 7501642 B2 JP7501642 B2 JP 7501642B2
- Authority
- JP
- Japan
- Prior art keywords
- domain name
- pattern
- time
- operation mode
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 23
- 238000010586 diagram Methods 0.000 description 14
- 230000002123 temporal effect Effects 0.000 description 5
- 230000010365 information processing Effects 0.000 description 4
- 238000001914 filtration Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003211 malignant effect Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 239000010454 slate Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/30—Managing network names, e.g. use of aliases or nicknames
- H04L61/3015—Name registration, generation or assignment
- H04L61/3025—Domain name generation or assignment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/30—Managing network names, e.g. use of aliases or nicknames
- H04L61/3015—Name registration, generation or assignment
- H04L61/302—Administrative registration, e.g. for domain names at internet corporation for assigned names and numbers [ICANN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Description
まず、図1~図3を用いて、本実施形態の特定装置(判定装置)の概要を説明する。例えば、特定装置は、入力されたドメイン名のドメインパーキングの利用や、悪性利用等、運用形態の変化を時系列で示した時系列情報に基づき、当該ドメイン名が悪性ドメイン名か否かの再判断が必要なドメイン名か否かを判定する。例えば、特定装置は、ドメイン名のドメインパーキングの利用と悪性利用との時間的な関係に基づき、当該ドメイン名の運用形態の変化のパターンを特定する。そして、特定装置は、特定したパターンに基づき、当該ドメイン名が所定日時以降、悪性ドメイン名に変化する可能性があるか否かを判定する。
図4は、特定装置10の構成の一例を示す図である。図4に示すように、特定装置10は、入力部11と、記憶部12と、制御部13と、出力部14とを備える。
入力部11は、DNSデータセット入力部111と、ドメイン名登録情報入力部112と、ドメイン名ブラックリスト入力部113とを備える。
次に、図4の記憶部12を説明する。記憶部12は、第1のパターン情報と、第2のパターン情報と、第3のパターン情報とを記憶する。
第1のパターン情報は、ドメイン名が登録されてから失効するまでの単一の期間(ライフサイクル)を対象にした時系列パターンを示す情報である。この第1のパターン情報の一例を図1に示す。
次に、第2のパターン情報を説明する。第2のパターン情報は、ドメイン名の再登録の前後における当該ドメイン名の運用形態の変化のパターンを示す情報である。この第2のパターン情報の一例を図2に示す。
次に、第3のパターン情報を説明する。第3のパターン情報は、ドメイン名が複数のネームサーバ(複数のドメインパーキング事業者)を同時にまたは切り替えながら運用される際の運用形態の時系列の変化のパターンを示す情報である。
次に、図4の制御部13を説明する。制御部13は、第1の特定部131と、第2の特定部132と、第3の特定部133と、判定部134とを備える。
次に、図8を用いて特定装置10の処理手順の例を説明する。まず、特定装置10のDNSデータセット入力部111は、DNSデータセットの入力を受け付ける(S1)。また、ドメイン名登録情報入力部112は、ドメイン名の登録情報の入力を受け付ける(S2)。さらに、ドメイン名ブラックリスト入力部113は、ドメイン名のブラックリストの入力を受け付ける(S3)。
次に、特定装置10が実行する処理の具体例を説明する。図9は、特定装置10におけるドメイン名に対する特定の一例を示す図である。
図9の通番1の2020年7月2日の時点における「example.com」に関する特定の例を説明する。例えば、図5のDNSデータセットを参照すると、「example.com」は、2020年6月1日にドメインパーキングではないNSレコード「ns.malicious.example」が設定され、2020年7月1日にドメインパーキングのNSレコード「ns.parking.example」が設定されている。このことから、特定装置10は、「example.com」について2020年7月1日から、ある1種類の事業者のドメインパーキングにより利用されていると判断する。
さらに、特定装置10は、2020年7月3日以後における「example.com」の運用形態について該当しうる時系列パターンを特定する。前記したとおり、「example.com」は、2020年7月1日からドメインパーキングに利用されている。よって、特定装置10は、2020年7月3日からドメイン名が失効するまでの間における運用形態について、該当しうる時系列パターンの候補は、図1のパターン2,4,7と特定する。
次に、図9の通番2の2020年7月2日時点の「example.net」に対する特定の例を説明する。
さらに、特定装置10は、2020年7月3日以後における「example.net」の運用形態について該当しうる時系列パターンを特定する。前記したとおり、「example.net」は、2020年7月1日に悪性利用の記録がある。よって、特定装置10は、2020年7月3日からドメイン名が失効するまでの間における運用形態について、該当しうる時系列パターンの候補は、図1のパターン3,5,8,9と特定する。
次に、図9の通番3の2020年7月2日時点の「example.net」に対する特定の例を説明する。
さらに、特定装置10は、2020年7月3日以後における「example.org」の運用形態について該当しうる時系列パターンを特定する。前記したとおり、「example.net」は、2020年7月1日に悪性利用の記録がある。よって、特定装置10は、2020年7月3日からドメイン名が失効するまでの間における運用形態について、該当しうる時系列パターンの候補は、図1のパターン3,5,8,9と特定する。
最後に、図9の通番4の2020年7月2日時点の「example.jp」に対する特定の例を説明する。
さらに、特定装置10は、2020年7月3日以後における「example.jp」の運用形態について該当しうる時系列パターンを特定する。前記したとおり、「example.jp」は、2020年7月1日からドメインパーキングに利用されている。よって、特定装置10は、2020年7月3日からドメイン名が失効するまでの間における運用形態について、該当しうる時系列パターンの候補は、図1のパターン2,4,7と特定する。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU(Central Processing Unit)及び当該CPUにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
前記した特定装置10は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置を各実施形態のシステムとして機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
11 入力部
12 記憶部
13 制御部
14 出力部
111 DNSデータセット入力部
112 ドメイン名登録情報入力部
113 ドメイン名ブラックリスト入力部
131 第1の特定部
132 第2の特定部
133 第3の特定部
134 判定部
Claims (5)
- 所定日時までのドメイン名のパーキングの利用の有無および悪性利用の有無を含む運用形態を時系列で示した時系列情報の入力を受け付ける入力部と、
前記入力されたドメイン名の時系列情報に示される前記所定日時における前記ドメイン名のパーキングの利用の有無および悪性利用の有無と、ドメイン名の前記運用形態の時系列の変化のパターンを示すパターン情報とに基づき、前記入力されたドメイン名の運用形態の時系列の変化が、前記パターン情報に示されるいずれのパターンに該当するかを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する特定部と、
前記特定された前記所定日時以後の当該ドメイン名の運用形態の候補に基づき、前記ドメイン名の運用形態が悪性利用に変化する可能性があるか否かを判定する判定部と、
前記判定の結果を出力する出力部と、
を備えることを特徴とする判定装置。 - 前記ドメイン名の時系列情報は、さらに、
当該ドメイン名が失効後に再登録された時期を示す情報を含み、
前記パターン情報は、さらに、
ドメイン名の再登録の前後の期間におけるドメイン名の前記運用形態のパターンを示す情報を含み、
前記特定部は、
前記入力されたドメイン名の時系列情報に基づき、前記入力されたドメイン名が再登録されたものであると判定された場合、前記入力されたドメイン名の再登録の前後の期間における前記運用形態の変化が、前記パターン情報に示されるいずれのパターンに該当するかを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する
ことを特徴とする請求項1に記載の判定装置。 - 前記ドメイン名の時系列情報は、さらに、
当該ドメイン名の運用に用いられた1以上のネームサーバのホスト名を時系列で示した情報を含み、
前記パターン情報は、さらに、
複数のネームサーバを同時に、または、切り替えながらドメイン名が運用される場合の前記運用形態の時系列の変化のパターンを示す情報を含み、
前記特定部は、さらに、
前記入力されたドメイン名の時系列情報に基づき、前記入力されたドメイン名が再登録されたものであると判定された場合、前記パターン情報に基づき、前記入力されたドメイン名の再登録の前後の期間における前記運用形態の変化が、前記パターン情報に示されるいずれのパターンに該当するか否かを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する
ことを特徴とする請求項1に記載の判定装置。 - 判定装置により実行される判定方法であって、
所定日時までのドメイン名のパーキングの利用の有無および悪性利用の有無を含む運用形態を時系列で示した時系列情報の入力を受け付ける工程と、
前記入力されたドメイン名の時系列情報に示される前記所定日時における前記ドメイン名のパーキングの利用の有無および悪性利用の有無と、ドメイン名の前記運用形態の時系列の変化のパターンを示すパターン情報とに基づき、前記入力されたドメイン名の運用形態の時系列の変化が、前記パターン情報に示されるいずれのパターンに該当するかを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する工程と、
前記特定された前記所定日時以後の当該ドメイン名の運用形態の候補に基づき、前記ドメイン名の運用形態が悪性利用に変化する可能性があるか否かを判定する工程と、
前記判定の結果を出力する工程と、
を含むことを特徴とする判定方法。 - 所定日時までのドメイン名のパーキングの利用の有無および悪性利用の有無を含む運用形態を時系列で示した時系列情報の入力を受け付ける工程と、
前記入力されたドメイン名の時系列情報に示される前記所定日時における前記ドメイン名のパーキングの利用の有無および悪性利用の有無と、ドメイン名の前記運用形態の時系列の変化のパターンを示すパターン情報とに基づき、前記入力されたドメイン名の運用形態の時系列の変化が、前記パターン情報に示されるいずれのパターンに該当するかを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する工程と、
前記特定された前記所定日時以後の当該ドメイン名の運用形態の候補に基づき、前記ドメイン名の運用形態が悪性利用に変化する可能性があるか否かを判定する工程と、
前記判定の結果を出力する工程と、
をコンピュータに実行させることを特徴とする判定プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2020/032935 WO2022044334A1 (ja) | 2020-08-31 | 2020-08-31 | 判定装置、判定方法、および、判定プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2022044334A1 JPWO2022044334A1 (ja) | 2022-03-03 |
JP7501642B2 true JP7501642B2 (ja) | 2024-06-18 |
Family
ID=80354944
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022545265A Active JP7501642B2 (ja) | 2020-08-31 | 2020-08-31 | 判定装置、判定方法、および、判定プログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US20230308478A1 (ja) |
EP (1) | EP4187412A4 (ja) |
JP (1) | JP7501642B2 (ja) |
WO (1) | WO2022044334A1 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009514068A (ja) | 2005-09-16 | 2009-04-02 | センドリ・インコーポレイテッド | ドメイン名をリースして、リースされたドメイン名からウェブサーファーをリダイレクトするために使用される電子マーケットプレイス |
JP2015076892A (ja) | 2013-10-11 | 2015-04-20 | ベリサイン・インコーポレイテッド | 権威ネームサーバの変化に基づくドメイン名の特徴付け |
JP2016524202A (ja) | 2013-04-11 | 2016-08-12 | ブランドシールド リミテッド | ブランド名とドメイン名を保護する装置、システム、および方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6196008B2 (ja) | 2015-03-05 | 2017-09-13 | 日本電信電話株式会社 | 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム |
WO2018163464A1 (ja) * | 2017-03-09 | 2018-09-13 | 日本電信電話株式会社 | 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム |
-
2020
- 2020-08-31 JP JP2022545265A patent/JP7501642B2/ja active Active
- 2020-08-31 WO PCT/JP2020/032935 patent/WO2022044334A1/ja active Application Filing
- 2020-08-31 EP EP20951583.2A patent/EP4187412A4/en active Pending
- 2020-08-31 US US18/023,034 patent/US20230308478A1/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009514068A (ja) | 2005-09-16 | 2009-04-02 | センドリ・インコーポレイテッド | ドメイン名をリースして、リースされたドメイン名からウェブサーファーをリダイレクトするために使用される電子マーケットプレイス |
JP2016524202A (ja) | 2013-04-11 | 2016-08-12 | ブランドシールド リミテッド | ブランド名とドメイン名を保護する装置、システム、および方法 |
JP2015076892A (ja) | 2013-10-11 | 2015-04-20 | ベリサイン・インコーポレイテッド | 権威ネームサーバの変化に基づくドメイン名の特徴付け |
Non-Patent Citations (2)
Title |
---|
千葉 大紀 ほか,攻撃インフラの時系列変動特性に基づく悪性ドメイン名の検知法,電子情報通信学会技術研究報告,日本,一般社団法人電子情報通信学会,2015年06月04日,Vol.115 No.80,p.51-56 |
針生 剛男 ほか,エスカレートするサイバー攻撃に立ち向かうNTTグループのセキュリティ,NTT技術ジャーナル,一般社団法人電気通信協会,2018年02月01日, 第30巻 ,第2号 ,p.19-25 |
Also Published As
Publication number | Publication date |
---|---|
JPWO2022044334A1 (ja) | 2022-03-03 |
EP4187412A1 (en) | 2023-05-31 |
US20230308478A1 (en) | 2023-09-28 |
EP4187412A4 (en) | 2024-03-13 |
WO2022044334A1 (ja) | 2022-03-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10924347B1 (en) | Networking device configuration value persistence | |
US10831466B2 (en) | Automatic patch management | |
US8554907B1 (en) | Reputation prediction of IP addresses | |
US9934384B2 (en) | Risk assessment for software applications | |
EP3552098B1 (en) | Operating system update management for enrolled devices | |
CN103023983B (zh) | 用于分布计算机安全任务的处理的系统 | |
US8832840B2 (en) | Mobile application security and management service | |
US10740411B2 (en) | Determining repeat website users via browser uniqueness tracking | |
US8019845B2 (en) | Service delivery using profile based management | |
US11477167B2 (en) | Systems and methods for performing dynamic firewall rule evaluation | |
JP2006024059A (ja) | 文書管理用コンピュータプログラムならびに文書管理装置および方法 | |
CN111147605B (zh) | 服务注册方法、装置和设备 | |
US20220156813A1 (en) | Adaptive control of domain name registrations via dynamically variable registration requirements | |
US10764399B2 (en) | Customized web services gateway | |
CN114584486A (zh) | 一种基于分布式的网络资产扫描探测平台及扫描探测方法 | |
JP7501642B2 (ja) | 判定装置、判定方法、および、判定プログラム | |
CN113205304A (zh) | 业务流程配置方法、装置、设备及存储介质 | |
US10181039B1 (en) | Systems and methods for providing computing security by classifying organizations | |
Dhirani et al. | Federated hybrid clouds service level agreements and legal issues | |
CN116151631A (zh) | 一种业务决策处理系统、一种业务决策处理方法和装置 | |
CN111651235A (zh) | 一种虚拟机组任务管理方法及装置 | |
EP3991377A1 (en) | Lifecycle management of secrets on serverless platform | |
JP6669679B2 (ja) | 分類装置、分類方法及び分類プログラム | |
CN113656100A (zh) | 接口切换方法、装置、电子装置及计算机程序产品 | |
US11620675B2 (en) | Detector, detection method, and detection program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230125 |
|
A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A801 Effective date: 20230125 |
|
A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A80 Effective date: 20230125 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240220 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240319 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240507 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240520 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7501642 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |