JPWO2008084729A1 - アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム - Google Patents

アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム Download PDF

Info

Publication number
JPWO2008084729A1
JPWO2008084729A1 JP2008553079A JP2008553079A JPWO2008084729A1 JP WO2008084729 A1 JPWO2008084729 A1 JP WO2008084729A1 JP 2008553079 A JP2008553079 A JP 2008553079A JP 2008553079 A JP2008553079 A JP 2008553079A JP WO2008084729 A1 JPWO2008084729 A1 JP WO2008084729A1
Authority
JP
Japan
Prior art keywords
application
traceback
protocol
source
virus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2008553079A
Other languages
English (en)
Inventor
寺崎 浩
浩 寺崎
雅義 玉井
雅義 玉井
そのみ 河津
そのみ 河津
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2008084729A1 publication Critical patent/JPWO2008084729A1/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

他のコンピュータを攻撃する、アプリケーションに連鎖性のあるウイルスの発信元やDNS攻撃の発信元を検知することにより、踏み台を仕掛けた本来の攻撃者を検知する。ウイルスやDNS攻撃の発信元検知装置がネットワークから、設定条件をもとにパケットをキャプチャし、必要な情報の抽出を行う。ウイルス動作やDNS攻撃の動作、特徴などの情報、各サーバのログ、などアプリケーショントレースバックに必要なデータを格納する。データベースに格納しているアプリケーショントレースバック処理結果、および各種データからウイルスやDNS攻撃の連鎖性を判定し、新たな条件を設定し、ウイルスやDNS攻撃の発信元検知を行う。データを更新、蓄積し、攻撃の挙動とウイルスやDNS攻撃の連鎖性と関連性を判定し、攻撃の発信元を検知する。

Description

本発明は、ネットワーク上のサイバー攻撃の発信源を探索する、アプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置に関する。
近年、インターネットに対する攻撃は、日々変化しており、攻撃のパターンも一層複雑化している。従来の発信元を詐称したパケットを送出する攻撃だけでなく、ボットネットのようなウイルスに感染したコンピュータを踏み台にし、踏み台を用いて攻撃する例も多く報告されており、複数のプロトコルを駆使して攻撃する、など攻撃の多様化が進んでいる。
さらに、インターネットの基幹となるDNS(Domain Name System)を利用した攻撃である、DNS反射攻撃が課題として顕在化してきた。ここで、DNS反射攻撃とは、IP(Internet Protocol)アドレスを偽装して攻撃対象のコンピュータにDNSクエリを送信することで、被害コンピュータに応答を集中させる攻撃手法である。
この攻撃手法は、インターネット上の複数のキャッシュサーバを利用することで、DNSリプライが何倍にも増幅され、結果として、被害コンピュータには、突然、大量のパケットが送りつけられることとなる。そして、大量のパケットが送りつけられることから帯域が埋め尽くされ、サービスが妨害されるというものである。
またフィッシングのようなメールによる情報発信から悪意のあるウェブサーバーへ誘導するような、複数のアプリケーションを連鎖させる脅威が増加傾向にある。
従来のIPパケットを元にしたトレースバック技術は、実際に攻撃を行っているコンピュータを検知するものであり、踏み台を使って攻撃している場合には踏み台の検知までしか活用できない。
また、何のファイルが、どのような経路で、踏み台となったコンピュータに感染したかは、各サーバのログ等を精査して行われており、その判断を人手に頼っていた。そして、アプリケーションに依存したトレースバックを動的に行うことは困難であった。
また、DNS攻撃に対しては、セキュリティパッチの適用などにより、設定が変更されないようにDNSサーバの脆弱性を防ぐだけでなく、DNSキャッシュのサービス範囲を限定し、オープンリレー状態をなくすなどが運用的な対策であった。
この点、発信元をトレースバックするものや、パケットにトレース可能な情報を付加する関連する技術として、特許文献1乃至6に記載の方法がある。
特許文献1に記載の発明は、トレースバックに必要な情報をクライアントコンピュータに蓄積するという方法である。
特許文献2に記載の発明は、トレースバックに必要な情報をルータでパケットに付加や削除を行う方法である。
特許文献3に記載の発明は、各TCP PUSHパケットを参照し、宛先ポート番号およびデータのうち、少なくともデータが相互に一致しているかを確認する方法である。そして、少なくともデータが相互に一致しているTCP PUSHパケットが所定時間内に送受信されると、当該各TCP PUSHパケットの送受信を不正アクセスと判定する方法である。
特許文献4に記載の発明は、トレースバックに必要な情報として、常時収集されているパケットのヘッダ情報、攻撃パケットのヘッダ情報、ルータ間接続情報といった情報を用いることにより攻撃パケットを特定する方法である。
特許文献5に記載の発明は、トレースバックに必要な情報として、トラフィックを収集する装置において攻撃パケットを検出し、攻撃パケットと相関のあるパケットの相関を取ることで、踏み台攻撃を特定する方法である。
特許文献6に記載の発明は、同一の宛先への情報送信がある閾値以上になった場合に攻撃判断する方法である。
特開2004−086241号公報 特開2005−275683号公報 特開2006−033472号公報 特開2006−135885号公報 特開2006−191433号公報 特開2006−350561号公報
特許文献1に記載の発明では、トレースバックに必要な情報をクライアントコンピュータに蓄積する必要があり、専用のソフトウェアを導入する必要がある。
またクライアントコンピュータがウイルスの侵入の事実を元にウイルスの発信元を検知するシステムであり、攻撃を行うアプリケーションの連鎖について対応する仕組みを持っていない。
特許文献2に記載の方法では、IPを利用した攻撃において、攻撃者と被害者の特定は可能となるが、踏み台コンピュータが存在する場合に、アプリケーションの連鎖について対応する仕組みを持っていないという問題がある。
特許文献3に記載の方法では、少なくとも送受信のデータが相互に一致している必要がある。そのため、踏み台コンピュータが存在する場合に、ウィルスやDNSといった送受信のデータが完全に一致しないアプリケーションの連鎖について対応する仕組みを持っていないという問題がある。
特許文献4に記載の方法では、IPを利用した攻撃において、攻撃者と被害者の特定は可能となるが、踏み台コンピュータが存在する場合に、アプリケーションの連鎖について対応する仕組みを持っていないという問題がある。
特許文献5に記載の方法では、IPを利用した攻撃において、攻撃者と被害者の特定は可能となるが、踏み台コンピュータが存在する場合に、アプリケーションの連鎖について対応する仕組みを持っていないという問題がある。
特許文献6に記載の方法では、IPを利用した攻撃において、攻撃者と被害者の特定は可能となるが、踏み台コンピュータが存在する場合に、アプリケーションの連鎖について対応する仕組みを持っていないという問題がある。
ここで、連鎖を判定するためには、各種条件を柔軟に変更可能な高速なデータ収集装置と、連鎖を判定可能にするための大量なデータを蓄積し、更新するための制御ソフトウェアの連携を、クライアントコンピュータ環境に依存せずに実行することが必要である。
上述した特許文献1乃至6に記載の発信元検知は、IPパケットに着目し偽装された発信元アドレスやポート番号でもルータやスイッチ等の通過履歴を記録することで発信元をトレースバックするものや、パケットにトレース可能な情報を付加するものである。しかしDoS(denial of service)攻撃等の場合、これらの方式では、攻撃を発信したコンピュータの検知しかできないため、踏み台となって攻撃を発信したコンピュータの検知は可能であるが、踏み台を仕掛けた本来の攻撃者の特定は困難であった。
また、アプリケーションプロトコルに着目したアプリケーショントレースバックを実現する装置では、アプリケーションの連鎖性のある動作に対しては考慮が充分にされていない。そのため、単一アプリケーションのプロトコルに限定した発生元検知であり、電子メールによるウイルス感染の拡大とDoSを目的としたサーバ攻撃が同じウイルスによるものである場合でも、別アプリケーションとして扱われてしまう。よって、ウイルスによるアプリケーション動作の関連性、連鎖性の判断は人手によって行われており、真の攻撃発信元を特定するには至っていない。
また、DNSサーバを利用したサーバへのDoS攻撃であっても、DNSクエリとDNSリプライの関連性、連鎖性の判断は人手によって行われており、真の攻撃発信元を特定するには至っていない。
また、これらの既存システムでは、ユーザのプライバシ保護を実現する匿名化機能がないため、通信におけるプライバシ保護を実現することができなかった。
そこで、本発明は上述した問題点を解決し、他のコンピュータを攻撃する、アプリケーションに連鎖性のあるウイルスの発信元やDNS攻撃の発信元である、踏み台を仕掛けた本来の攻撃者を検知することの可能なアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置、その方法及びそのプログラムを提供することを目的とする。
本発明によれば、第1の装置としてネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知装置であって、ネットワークを流れるパケットをキャプチャするパケットキャプチャ手段と、キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別手段と、対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理手段と、該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化手段と、ネットワーク上のウイルス情報及び通信記録を格納するログ記録手段と、前記フォーマット共通化手段からのデータと、前記ログ記録手段のデータとの連鎖性の有無を判定する手段と、連鎖性の可能性が認められる仮発信元を格納する手段と、サーバからのトレースバック実施要求を行う手段と、前記仮発信元データとプロトコルの相関に基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知手段と、を備えることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置が提供される。
更に、第2の装置として、ネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知装置であって、ネットワークを流れるパケットをキャプチャするパケットキャプチャ手段と、キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別手段と、対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理手段と、該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化手段と、ネットワーク上のDNS攻撃情報及び通信記録を格納するログ記録手段と、前記フォーマット共通化手段からのデータと、前記ログ記録手段のデータとの連鎖性の有無を判定する手段と、連鎖性の可能性が認められる仮発信元を格納する手段と、サーバからのトレースバック実施要求を行う手段と、前記仮発信元データとプロトコルの相関に基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知手段と、を備えることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置が提供される。
更に、第1の方法として、ネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知方法であって、ネットワークを流れるパケットをキャプチャするパケットキャプチャステップと、キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別ステップと、対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理ステップと、該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化ステップと、ネットワーク上のウイルス情報及び通信記録を格納するログ記録ステップと、前記フォーマット共通化ステップからのデータと、前記ログ記録ステップのデータとの連鎖性の有無を判定するステップと、連鎖性の可能性が認められる仮発信元を格納するステップと、サーバからのトレースバック実施要求を行うステップと、前記仮発信元データとプロトコルの相関に基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知ステップと、
を備えることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知方法が提供される。
更に、第2の方法として、ネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知方法であって、ネットワークを流れるパケットをキャプチャするパケットキャプチャステップと、キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別ステップと、対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理ステップと、該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化ステップと、ネットワーク上のDNS攻撃情報及び通信記録を格納するログ記録ステップと、前記フォーマット共通化ステップからのデータと、前記ログ記録ステップのデータとの連鎖性の有無を判定するステップと、連鎖性の可能性が認められる仮発信元を格納するステップと、サーバからのトレースバック実施要求を行うステップと、前記仮発信元データとプロトコルの相関に基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知ステップと、を備えることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知方法が提供される。
更に、第1のプログラムとして、ネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知プログラムであって、ネットワークを流れるパケットをキャプチャするパケットキャプチャ機能と、キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別機能と、対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理機能と、該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化機能と、ネットワーク上のウイルス情報及び通信記録を格納するログ記録機能と、前記フォーマット共通化機能からのデータと、前記ログ記録機能のデータとの連鎖性の有無を判定する機能と、連鎖性の可能性が認められる仮発信元を格納する機能と、サーバからのトレースバック実施要求を行う機能と、前記仮発信元データとプロトコルの相関に基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知機能と、をコンピュータに実現させることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知プログラムが提供される。
更に、第2のプログラムとして、ネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知プログラムであって、ネットワークを流れるパケットをキャプチャするパケットキャプチャ機能と、キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別機能と、対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理機能と、該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化機能と、ネットワーク上のDNS攻撃情報及び通信記録を格納するログ記録機能と、前記フォーマット共通化機能からのデータと、前記ログ記録機能のデータとの連鎖性の有無を判定する機能と、連鎖性の可能性が認められる仮発信元を格納する機能と、サーバからのトレースバック実施要求を行う機能と、
前記仮発信元データとプロトコルの相関に基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知機能と、をコンピュータに実現させることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知プログラムが提供される。
本発明によれば、必要な情報収集、条件を動的に変更しながら有効な情報取得と関連性データを蓄積し、アプリケーションの連鎖関係を認識する事ができる。その結果、他のコンピュータを攻撃する、アプリケーションに連鎖性のあるウイルスの発信元である踏み台を仕掛けた本来の攻撃者を検知することが可能となる。
本発明の実施形態の基本的構成を表す図である。 本発明の構成例を示す図である。 パケットから取り出した情報を共通フォーマット化した例を示す図である。 本発明の実施形態の構成例を示す図である。 本発明の実施形態のアプリケーション個別処理(DNS部分)の構成例を示す図である。 パケットから取り出した情報を共通フォーマット化した例を示す図である。
符号の説明
101 パケットキャプチャハードウェア
103 パケットキャプチャドライバ
105 アプリケーション個別処理部
107 検知インターフェイス処理部
109 データベース
111 アプリケーショントレースバック処理部
113 アプリケーション連鎖マネージャ
201 パケットキャプチャハードウェア
203 パケットキャプチャドライバ
205 アプリケーション個別処理部
207 検知インターフェイス処理部
209 データベース
211 アプリケーショントレースバック処理部
213 アプリケーション連鎖マネージャ
301 フィルタ情報記録部
302 DNSデータフィルタ部
303 DNSレコード展開部
304 DNSデータチェック部
305 DNSデータ加工部
次に、本発明の実施形態について図面を用いて説明する。
[実施形態1]
図1は、本発明の構成例を示す図である。本発明の実施形態であるアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置は、プログラム処理におけるデータ収集装置である。アプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置は、パケットキャプチャハードウェア101、パケットキャプチャドライバ103,アプリケーション個別処理部105,検知インターフェイス処理部107、データベース109、アプリケーショントレースバック処理部111、アプリケーション連鎖マネージャ113を有する。
これらは、それぞれ以下のように動作する。パケットキャプチャドライバ103は、パケットキャプチャハードウェア101に条件を設定し、任意のプロトコルのパケットを取得する。パケットキャプチャハードウェア101はパケットキャプチャドライバ103から設定された条件をもとに、LAN(Local Area Network)などのネットワークから各プロトコルのパケットをキャプチャする。パケットキャプチャドライバ103はパケットキャプチャハードウェア101からのパケットを取得して各アプリケーション別にアプリケーション個別処理部105へパケットを送出する。アプリケーション個別処理部105はアプリケーションプロトコル固有の処理を吸収するための動作を実施する。実施する動作としては、例えば、パケットや分割されたファイルの再構築、プロトコルデータの解析、デコード、ファイルの有無、ファイルの伸張、ウイルス感染チェック、単位時間のトラヒック量統計処理などを行う。そして、アプリケーショントレースバックに必要な情報を収集、集約する。検知インターフェイス処理部107はアプリケーション個別処理部105の出力データを、アプリケーション個別処理部105の出力データをアプリケーショントレースバック処理部111が認識するフォーマットへの変換の提供を行い、データベース109に送出する。
ここで、ユーザ情報を秘匿化するために秘匿化機能を更に実装してもよい。
次に、データベース109には検知インターフェイス処理部107のデータ以外に、ウイルス情報や各アプリケーションサーバのログを格納する。アプリケーショントレースバック処理部111は、アプリケーション毎にアプリケーショントレースバックを行うためのアルゴリズムを行う部分である。アプリケーショントレースバック処理部111は、データベース109に格納されているデータから単一のアプリケーションプロトコル単位での直接攻撃を行った発信元を特定する。アプリケーショントレースバック処理部111は本システムに組み込まれていてもよく、また、本システムから独立したものであってもよい。
アプリケーション連鎖マネージャ113はデータベース109に格納されているウイルス情報と各サーバのログ、アプリケーショントレースバック処理部111の結果からアプリケーションの連鎖性の有無と、収集したパケットキャプチャのデータからウイルスの連鎖性を判定する。そして判定の結果、他に関連するアプリケーションプロトコルの存在を確認した場合、アプリケーショントレースバック処理部111に連鎖元のアプリケーション条件で発信元検知を行うことを通知する。
また、アプリケーション連鎖マネージャ113は、パケットキャプチャドライバ103に条件を再設定し、新たな条件でパケットを収集してデータベース109のデータの連鎖性情報の更新を行う。データベース109、アプリケーショントレースバック処理部111およびアプリケーション連鎖マネージャ113は新たな条件での判定を繰り返し、真の攻撃元を検知するまで条件を変更しながら処理を継続する。
次に、図2を参照してウイルスの伝播がSMTPプロトコル(電子メール)によって拡大する場合を例に詳細に説明する。
図2においてパケットキャプチャドライバ103はパケットキャプチャハードウェア101にウイルスファイルを外部から入手する可能性の高いプロトコルであるSMTPプロトコル(Simple Mail Transfer Protocol:電子メール)、HTTPプロトコル(HyperText Transfer Protocol:webアクセス)、FTPプロトコル(File Transfer Protocol:ファイル転送)のパケットを取得するようにパケットキャプチャハードウェア101に設定を行う(S01)。パケットキャプチャハードウェア101は、設定に従い、ネットワーク上のSMTP、HTTP、FTPの各プロトコルのパケットをキャプチャする(S02)。
パケットキャプチャドライバ103はパケットキャプチャハードウェア101からパケットを取得して各アプリケーション別にアプリケーション個別処理部105へパケットを渡す(S03)。本実施例ではウイルスファイルが添付されたSMTPプロトコルとしたとき、パケットキャプチャドライバ103はアプリケーション個別処理部105のSMTP処理へパケットを送出する。
アプリケーション個別処理部105は、分割されたメールパケットの再構築、添付ファイルの有無、ファイルのデコード、ファイルの伸張、添付ファイルのウイルス感染の有無の検出、単位時間のメイルトラヒック量の測定を行う。そして、アプリケーショントレースバックに必要な情報である送信元のアドレス、宛先アドレス、メッセージID、使用されたプロトコル名や、メールパケット受信日時、ホスト名といったヘッダ情報を収集、加工して検知インターフェイス処理部107へ送る(S04)
検知インターフェイス処理部107はアプリケーショントレースバック処理部111の入力にあわせたフォーマット変換を行い、変換されたウイルス情報と各サーバのログをデータベース109に格納する(S05)。格納する情報としては、検知インターフェイス処理部107でsyslogでの出力例を図3に示す。
アプリケーショントレースバック処理部111はデータベース109に格納されている、変換されたウイルス情報と各サーバのログなどの情報によりSMTPプロトコルによるウイルス拡散の可能性を検知する。そして、ウイルス拡散の可能性があると判断された場合は、SMTPのアプリケーショントレースバックを行うための処理を実行する(S06)。また、該トレースバック処理により得られた発信元を、メールの仮の発信元探知の候補として取得し、これをリスト化する(S07)。なお、リスト化するのではなく、発信元候補を検出するようにしても良い。
次に、アプリケーション連鎖マネージャ113はアプリケーショントレースバック処理部111がリスト化した仮発信元の候補リスト、単位時間トラヒック量と、データベース109に格納されているウイルスの動作や特徴、各サーバのログといった情報から、仮発信元の候補とウイルスの関連性を判定する。
判定方法としては、仮発信元の単位時間トラヒック量がある時点において増大している場合は、そのように振る舞うウイルスとの関連性を考慮する事が例示出来る。また、サーバのログから、以前にメールを受信した時点からウイルスの特徴と相関が見られるような症状が発生していないか考慮することが例示出来る。更に、蓄積されているウイルスの特徴からメールに添付されたファイルにウイルスが混入していたと思われる痕跡が発見できないか考慮することが例示出来る。これらの種々の観点からウイルス連鎖性の有無を判定する(S08)。そして、連鎖性の可能性が確認された場合は、データベース109に格納されている当該仮発信元をウイルスとの連鎖性が確認された発信元としてマーキングし、仮発信元とウイルスの間に認められた関連性についてデータベース109に蓄積する。これにより、以後のトレースバック処理、及びアプリケーションの連鎖性の判定の根拠となるデータを動的に変更、蓄積することができる。
アプリケーション連鎖マネージャ113は、当該蓄積された、アプリケーションから得られた情報、各サーバのログ情報、ウイルスの特徴情報、といった情報に基づき、ウイルスの感染経緯を判別し、感染経路を特定する(S09)。
更に、サーバがICMP ECHO(Internet Control Message Protocol)により攻撃された場合について考える。ここで、ICMP ECHOとは、IPのエラーメッセージや制御メッセージを転送するためのプロトコルである。ネットワークにつながれた機器間で互いの状態を確認するために用いられている。
サーバがICMP ECHOにより攻撃され、サーバからトレースバック実施要求が行われると、実際に攻撃しているコンピュータとデータベース109に蓄積したウイルスの連鎖性の有無情報、仮発信元の候補リスト、サーバのログからICMP ECHOとウイルスファイルが添付されたSMTPプロトコルとの関連性をアプリケーショントレースバック処理部111とアプリケーション連鎖マネージャ103の間で判定処理を行う。判定処理の方法としては、ウイルスの振る舞い情報と、当該ICMP ECHO攻撃との特徴の一致や関連性が見られるか否か考慮することが例示出来る。更に、SMTPプロトコルの解析により得られた発信元と仮発信元リストとの比較し同一の発信元が格納されていないか考慮することが例示出来る。また、各サーバのログ情報から得られるメール受信時とウイルスの症状発生時との関連性を考慮することが例示出来る。これらの種々の観点からデータベース109に格納されているウイルスの特徴情報に基づき判定する(S10)。
この際、判定のためにICMP ECHOについてのキャプチャデータが必要な場合、アプリケーション連鎖マネージャ113は、パケットキャプチャドライバ103にICMP ECHOのパケットキャプチャを行うように指示を送出する。そして、ICMP ECHOから得られるヘッダ情報を収集解析し、送信元IPアドレスや、送信日時、MACアドレスといった必要なデータをデータベース109に蓄積する(S10)。
またICMP ECHOの発信元を特定するために、アプリケーション連鎖マネージャ113はアプリケーショントレースバック処理部111にICMP ECHOのトレースバックを行う指示を送出して発信元を確定することも可能である。この場合アプリケーショントレースバック処理部111は、データベース109に格納された情報からICMPECHOの発信元をトレースバックする(S11)。
以上によりICMP ECHOの大量送出による攻撃は、以前に受信した電子メールに添付されたウイルスファイルが原因であることが特定可能となる。これにより、ウイルスファイルと発信元との連鎖性を検知し、直接ICMP ECHOの大量送出による攻撃を行った発信元のみならず、当該攻撃の原因となったウイルスが添付された電子メールを送信した真の攻撃元を確定することが可能となる。
[実施形態2]
本発明の他の実施形態として、その基本構成は上記の通りであるが、第二の実施形態として、webアクセスにより送信されたウイルスファイルがウイルス内部のSMTPを自動で起動させメールでウイルスファイルを拡散する形態がある。上記と同様の構成によりアプリケーショントレースバックを行い、仮の攻撃者として、メールの送信元を検知する。
アプリケーション連鎖マネージャ113はメールの発信者を仮の攻撃者と想定するが、仮の攻撃者がwebアクセスによりウイルスに感染したことをパケットキャプチャしたHTTPプロトコルの情報から得ることができる。この場合は、更にHTTPプロトコルで得たファイル情報によるアプリケーショントレースバックを実施することで、本来の攻撃元を第一の実施形態と同様に検知することができる。
[実施形態3]
次に、図4を参照してDNS攻撃における動作例を詳細に説明する。
図4においてパケットキャプチャドライバ203はパケットキャプチャハードウェア201にSMTPプロトコル(電子メール)、DNSプロトコル(DNSサービス)のパケットを取得するようにパケットキャプチャハードウェア201に設定を行う(S101)。
パケットキャプチャハードウェア201は、設定に従い、ネットワーク上のSMTP、DNSの各プロトコルのパケットをキャプチャする(S102)。
パケットキャプチャドライバ203はパケットキャプチャハードウェア201からパケットを取得して各アプリケーション別にアプリケーション個別処理部205へパケットを渡す(S103)。本実施形態の例では、DNSサーバへの攻撃であるとしたとき、パケットキャプチャドライバ203はアプリケーション個別処理部205のDNS処理へパケットを送出する。
アプリケーション個別処理部205におけるDNS攻撃検知における構成を図5に示す。アプリケーション個別処理部205におけるDNS攻撃検知における構成は、フィルタ情報記録部301、DNSデータフィルタ部302、DNSレコード展開部303、DNSデータチェック部304及びDNSデータ加工部305を有する。
フィルタ情報記録部301には、フィルタ情報が記録されている。DNSデータフィルタ部302は、フィルタ情報記録部301に記録されているフィルタ情報をもとに、アプリケーショントレースバックに不要となる情報をフィルタする部分である。DNSレコード展開部303は、圧縮されたDNSデータの展開を行う部分である。DNSデータチェック部304は、DNSデータのチェックを行う部分である。DNSデータ加工部305は、アプリケーショントレースバックに必要な情報である送信元のアドレス、宛先アドレス、使用されたプロトコル名や、DNSパケット受信日時といったヘッダ情報を収集、加工する部分である。
アプリケーション個別処理部205に送られてきたパケットは、DNSデータフィルタ部302乃至DNSデータ加工部305の各部分を経由して、「変換されたDNS攻撃情報」として、検知インターフェイス処理部207へ送られる(S104)。
検知インターフェイス処理部207はアプリケーショントレースバック処理部211の入力にあわせたフォーマット変換を行い、変換されたDNS攻撃情報と各サーバのログをデータベース209に格納する(S105)。格納する情報の例として、検知インターフェイス処理部207でsyslogでの出力例を図6に示す。
アプリケーショントレースバック処理部211はデータベース209に格納されている、変換されたDNS攻撃情報と各サーバのログなどの情報によりDNSプロトコルによるDNS攻撃の可能性を検知する、そして、DNS攻撃の可能性があると判断された場合は、DNSのアプリケーショントレースバックを行うための処理を実行する(S106)。また、該トレースバック処理により得られた発信元を、DNS攻撃の仮の発信元探知の候補として取得し、これをリスト化する(S107)。なお、リスト化するのではなく、発信元候補を検出するようにしても良い。
次に、アプリケーション連鎖マネージャ213はアプリケーショントレースバック処理部211がリスト化した仮発信元の候補リスト、単位時間トラヒック量と、データベース209に格納されているDNS攻撃の動作や特徴、各サーバのログといった情報から、仮発信元の候補とDNS攻撃の関連性を判定する。
判定方法としては、例えば仮発信元の単位時間トラヒック量がある時点において増大している場合は、そのように振る舞うDNS攻撃との関連性を考慮することが例示出来る。また、サーバのログから、以前にDNSクエリを受信した時点からDNS攻撃の特徴と相関が見られるような症状が発生していないか考慮することが例示出来る。更に、蓄積されているDNS攻撃の特徴から痕跡が発見できないかなどの観点から判定することも考えられる。これらの種々の観点からアプリケーション連鎖性の有無を判定する(S108)。そして、連鎖性の可能性が確認された場合、データベース209に格納されている当該仮発信元をDNS攻撃との連鎖性が確認された発信元としてマーキングし、仮発信元とDNS攻撃の間に認められた関連性についてデータベース209に蓄積する。これにより、以後のトレースバック処理、及びアプリケーションの連鎖性の判定の根拠となるデータを動的に変更、蓄積することが出来る。
アプリケーション連鎖マネージャ213は、当該蓄積された、アプリケーションから得られた情報、各サーバのログ情報、DNS攻撃の特徴情報、といった情報に基づき、DNS攻撃の攻撃元を判別し、攻撃経路を特定する(S109)。
以上より得られる本発明の実施形態による第一の効果は、必要な情報収集、条件を動的に変更しながら有効な情報取得と関連性データを蓄積し、アプリケーションの連鎖関係を認識することを可能とすることである。
第二の効果は、ウイルスの攻撃と感染拡大のアプリケーションの関係が変化する新種のウイルスにも速やかに対応可能となることである。
第三の効果は、アプリケーションの連鎖性を判断するため、踏み台になって攻撃しているコンピュータの検知のみならず踏み台をしかけた本来の攻撃者までも検知することが可能となることである。
第四の効果は、DNSサーバを利用した攻撃にも速やかに対応可能となることである。
なお、アプリケーション連鎖性の、ウイルス及びDNS攻撃の発信元検知装置は、ハードウェア、ソフトウェア又はこれらの組合せにより実現することができる。
本願は、日本の特願2006−354763(2006年12月28日に出願)及び特願2007−328685(2007年12月20日に出願)に基づいたものであり、又、特願2006−354763及び特願2007−328685に基づくパリ条約の優先権を主張するものである。特願2006−354763及び特願2007−328685の開示内容は、特願2006−354763及び特願2007−328685を参照することにより本明細書に援用される。
本発明の代表的な実施形態が詳細に述べられたが、様々な変更(changes)、置き換え(substitutions)及び選択(alternatives)が請求項で定義された発明の精神と範囲から逸脱することなくなされることが理解されるべきである。また、仮にクレームが出願手続きにおいて補正されたとしても、クレームされた発明の均等の範囲は維持されるものと発明者は意図する。
本発明は、ネットワークにおいてさまざまなアプリケーションによる攻撃元を検知することにより、インターネットにおける攻撃の抑止などに広く利用できる。
【0005】
、対応可能プロトコルである場合、前記再構築されたデータからアプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理手段と、該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化手段と、ネットワーク上のウイルス情報及び通信記録を格納するログ記録手段と、前記フォーマット共通化手段からのデータと前記ログ記録手段のデータとの連鎖性の有無を判定する手段と、連鎖性の可能性が認められる再構築されたデータの仮発信元のデータを格納する手段と、サーバからのトレースバック実施要求を行う手段と、前記仮発信元のデータと連鎖性が判定され再構築されたデータの通信に用いられたプロトコル同士の相関とに基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知手段と、を備えることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置が提供される。
[0030]
また、本発明によれば、ネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知装置であって、ネットワークを流れるパケットをキャプチャするパケットキャプチャ手段と、キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別手段と、対応可能プロトコルである場合、前記再構築されたデータからアプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理手段と、
該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化手段と、ネットワーク上のDNS攻撃情報及び通信記録を格納するログ記録手段と、前記フォーマット共通化手段からのデータと前記ログ記録手段のデータとの連鎖性の有無を判定する手段と、連鎖性の可能性が認められる再構築されたデータの仮発信元のデータを格納する手段と、サーバからのトレースバック実施要求を行う手段と、前記仮発信元のデータと連鎖性が判定され再構築されたデータの通信に用いられたプロトコル同士の相関とに基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知手段と、を備えることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置が提供される。
[0031]
更に、本発明によれば、ネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知方法であって、ネットワークを流れるパケ
【0006】
ットをキャプチャするパケットキャプチャステップと、キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別ステップと、対応可能プロトコルである場合、前記再構築されたデータからアプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理ステップと、該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化ステップと、ネットワーク上のウイルス情報及び通信記録を格納するログ記録ステップと、前記フォーマット共通化ステップからのデータと前記ログ記録ステップのデータとの連鎖性の有無を判定するステップと、連鎖性の可能性が認められる再構築されたデータの仮発信元のデータを格納するステップと、サーバからのトレースバック実施要求を行うステップと、前記仮発信元のデータと連鎖性が判定され再構築されたデータの通信に用いられたプロトコル同士の相関とに基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知ステップと、を備えることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知方法が提供される。
[0032]
更に、本発明によれば、ネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知方法であって、ネットワークを流れるパケットをキャプチャするパケットキャプチャステップと、キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別ステップと、対応可能プロトコルである場合、前記再構築されたデータからアプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理ステップと、該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化ステップと、ネットワーク上のDNS攻撃情報及び通信記録を格納するログ記録ステップと、前記フォーマット共通化ステップからのデータと前記ログ記録ステップのデータとの連鎖性の有無を判定するステップと、連鎖性の可能性が認められる再構築されたデータの仮発信元のデータを格納するステップと、サーバからのトレースバック実施要求を行うステップと、前記仮発信元のデータと連鎖性が判定され再構築されたデータの通信に用いられたプロトコル同士の相関とに基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知ステップと、を備えることを特徴とするアプリケーション連鎖性ウイルス及びア
【0007】
プリケーション連鎖性DNS攻撃の発信元検知方法が提供される。
[0033]
更に、本発明によれば、ネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知プログラムであって、ネットワークを流れるパケットをキャプチャするパケットキャプチャ機能と、キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別機能と、対応可能プロトコルである場合、前記再構築されたデータからアプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理機能と、該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化機能と、ネットワーク上のウイルス情報及び通信記録を格納するログ記録機能と、前記フォーマット共通化機能からのデータと前記ログ記録機能のデータとの連鎖性の有無を判定する機能と、連鎖性の可能性が認められる再構築されたデータの仮発信元のデータを格納する機能と、サーバからのトレースバック実施要求を行う機能と、前記仮発信元のデータと連鎖性が判定され再構築されたデータの通信に用いられたプロトコル同士の相関とに基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知機能と、をコンピュータに実現させることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知プログラムが提供される。
[0034]
更に、本発明によれば、ネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知プログラムであって、ネットワークを流れるパケットをキャプチャするパケットキャプチャ機能と、キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別機能と、対応可能プロトコルである場合、前記再構築されたデータからアプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理機能と、該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化機能と、ネットワーク上のDNS攻撃情報及び通信記録を格納するログ記録機能と、前記フォーマット共通化機能からのデータと前記ログ記録機能のデータとの連鎖性の有無を判定する機能と、連鎖性の可能性が認められる再構築されたデータの仮発信元のデータを格納する機能と、サーバからのトレースバック実施要求を行う機能と、前記仮発信元のデータと連鎖性が判定され再構築されたデータの通信に用いられたプロトコル同士の相関とに基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知機能と、をコンピュータに実現させることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知プログラムが提供される。
【0008】
[0035]
更に、本発明によれば、ネットワークを流れるパケットを収集し、アプリケーションプログラムおよびアプリケーションプロトコルに関連する攻撃の発信元を検出する発信元検知装置であって、前記パケットからプロトコルの情報を抽出するプロトコル情報抽出手段と、あるアプリケーションにおけるパケット受信時のプロトコルとパケット送信時のプロトコルとの相関関係に基づき、アプリケーショントレースバックをおこない、前記発信元の特定をおこなうアプリケーショントレースバック検知手段と、を備えることを特徴とする発信元検知装置が提供される。
更に、本発明によれば、ネットワークを流れるパケットを収集し、アプリケーションプログラムおよびアプリケーションプロトコルに関連する攻撃の発信元を検出する発信元検知装置であって、前記パケットからプロトコルの情報を抽出するプロトコル情報抽出手段と、あるアプリケーションにおけるパケット受信時のプロトコルの内容を解析して得られる情報と、パケット送信時のプロトコルの内容を解析して得られる情報との相関関係に基づき、アプリケーショントレースバックをおこない、前記発信元の特定をおこなうアプリケーショントレースバック検知手段と、を備えることを特徴とする発信元検知装置が提供される。
更に、本発明によれば、ネットワークを流れるパケットを収集し、アプリケーションプログラムおよびアプリケーションプロトコルに関連する攻撃の発信元を検出する発信元検知装置であって、前記パケットからプロトコルの情報を抽出するプロトコル情報抽出手段と、あるアプリケーションにおけるパケット受信時のプロトコルの動作を解析して得られる情報と、パケット送信時のプロトコルの動作を解析して得られる情報との相関関係に基づき、アプリケーショントレースバックをおこない、前記発信元の特定をおこなうアプリケーショントレースバック検知手段と、を備えることを特徴とする発信元検知装置が提供される。
更に、本発明によれば、ネットワークを流れるパケットを収集し、アプリケーションプログラムおよびアプリケーションプロトコルに関連する攻撃の発信元を検出する発信元検知方法であって、前記パケットからプロトコルの情報を抽出するプロトコル情報抽出ステップと、あるアプリケーションにおけるパケット受信時のプロトコルとパケット送信時のプロトコルとの相関関係に基づき、アプリケーショントレースバックをおこない、前記発信元の特定をおこなうアプリケーショントレースバック検知ステップと、を備えることを特徴とする発信元検知方法が提供される。
更に、本発明によれば、ネットワークを流れるパケットを収集し、アプリケーションプログラムおよびアプリケーションプロトコルに関連する攻撃の発信元を検出する発信元検知方法であって、前記パケットからプロトコルの情報を抽出するプロトコル情報抽出ステップと、あるアプリケーションにおけるパケット受信時のプロトコルの内容を解析して得られる情報と、パケット送信時のプロトコルの内容を解析して得られる情報との相関関係に基づき、アプリケーショントレースバックをおこない、前記発信元の特定をおこなうアプリケーショントレースバック検知ステップと、を備えることを特徴とする発信元検知方法が提供される。
更に、本発明によれば、ネットワークを流れるパケットを収集し、アプリケーションプログラムおよびアプリケーションプロトコルに関連する攻撃の発信元を検出する発信元検知方法であって、前記パケットからプロトコルの情報を抽出するプロトコル情報抽出ステップと、あるアプリケーションにおけるパケット受信時のプロトコルの動作を解析して得られる情報と、パケット送信時のプロトコルの動作を解析して得られる情報との相関関係に基づき、アプリケーショントレースバックをおこない、前記発信元の特定をおこなうアプリケーショントレースバック検知ステップと、を備えることを特徴とする発信元検知方法が提供される。
更に、本発明によれば、ネットワークを流れるパケットを収集し、アプリケーションプログラムおよびアプリケーションプロトコルに関連する攻撃の発信元を検出する発信元検知方法をコンピュータに実行させるためのプログラムであって、前記発信元検知方法は、前記パケットからプロトコルの情報を抽出するプロトコル情報抽出ステップと、あるアプリケーションにおけるパケット受信時のプロトコルとパケット送信時のプロトコルとの相関関係に基づき、アプリケーショントレースバックをおこない、前記発信元の特定をおこなうアプリケーショントレースバック検知ステップと、を備えることを特徴とするプログラムが提供される。
更に、本発明によれば、ネットワークを流れるパケットを収集し、アプリケーションプログラムおよびアプリケーションプロトコルに関連する攻撃の発信元を検出する発信元検知方法をコンピュータに実行させるためのプログラムであって、前記発信元検知方法は、前記パケットからプロトコルの情報を抽出するプロトコル情報抽出ステップと、あるアプリケーションにおけるパケット受信時のプロトコルの内容を解析して得られる情報と、パケット送信時のプロトコルの内容を解析して得られる情報との相関関係に基づき、アプリケーショントレースバックをおこない、前記発信元の特定をおこなうアプリケーショントレースバック検知ステップと、を備えることを特徴とするプログラムが提供される。
更に、本発明によれば、ネットワークを流れるパケットを収集し、アプリケーションプログラムおよびアプリケーションプロトコルに関連する攻撃の発信元を検出する発信元検知方法をコンピュータに実行させるためのプログラムであって、前記発信元検知方法は、前記パケットからプロトコルの情報を抽出するプロトコル情報抽出ステップと、あるアプリケーションにおけるパケット受信時のプロトコルの動作を解析して得られる情報と、パケット送信時のプロトコルの動作を解析して得られる情報との相関関係に基づき、アプリケーショントレースバックをおこない、前記発信元の特定をおこなうアプリケーショントレースバック検知ステップと、を備えることを特徴とするプログラムが提供される。
発明の効果
[0036]
本発明によれば、必要な情報収集、条件を動的に変更しながら有効な情報取得と関連性データを蓄積し、アプリケーションの連鎖関係を認識する事ができる。その結果、他のコンピュータを攻撃する、アプリケーションに連鎖性のあるウイルスの発信元である踏み台を仕掛けた本来の攻撃者を検知することが可能となる。
図面の簡単な説明
[0037]
[図1]本発明の実施形態の基本的構成を表す図である。
[図2]本発明の構成例を示す図である。
[図3]パケットから取り出した情報を共通フォーマット化した例を示す図である。
[図4]本発明の実施形態の構成例を示す図である。
[図5]本発明の実施形態のアプリケーション個別処理(DNS部分)の構成例を示す図である。
[図6]パケットから取り出した情報を共通フォーマット化した例を示す図である。
符号の説明
[0038]
101 パケットキャプチャハードウェア
103 パケットキャプチャドライバ
105 アプリケーション個別処理部
107 検知インターフェイス処理部
109 データベース
111 アプリケーショントレースバック処理部
113 アプリケーション連鎖マネージャ
201 パケットキャプチャハードウェア
203 パケットキャプチャドライバ
205 アプリケーション個別処理部

Claims (18)

  1. ネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知装置であって、
    ネットワークを流れるパケットをキャプチャするパケットキャプチャ手段と、
    キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別手段と、
    対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理手段と、
    該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化手段と、
    ネットワーク上のウイルス情報及び通信記録を格納するログ記録手段と、
    前記フォーマット共通化手段からのデータと、前記ログ記録手段のデータとの連鎖性の有無を判定する手段と、
    連鎖性の可能性が認められる仮発信元を格納する手段と、
    サーバからのトレースバック実施要求を行う手段と、
    前記仮発信元データとプロトコルの相関に基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知手段と、
    を備えることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置。
  2. ウイルスファイルとアプリケーションの連鎖性を判定する事により、発信元を確定することを特徴とする請求項1に記載のアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置。
  3. ネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知装置であって、
    ネットワークを流れるパケットをキャプチャするパケットキャプチャ手段と、
    キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別手段と、
    対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理手段と、
    該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化手段と、
    ネットワーク上のDNS攻撃情報及び通信記録を格納するログ記録手段と、
    前記フォーマット共通化手段からのデータと、前記ログ記録手段のデータとの連鎖性の有無を判定する手段と、
    連鎖性の可能性が認められる仮発信元を格納する手段と、
    サーバからのトレースバック実施要求を行う手段と、
    前記仮発信元データとプロトコルの相関に基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知手段と、
    を備えることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置。
  4. DNS攻撃とアプリケーションの連鎖性を判定する事により、発信元を確定することを特徴とする請求項3に記載のアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置。
  5. ICMP ECHOによる攻撃を受けた場合にあっては、ICMP ECHOのパケットキャプチャを行うことにより発信元を確定することを特徴とする請求項1乃至4の何れか1項に記載のアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置。
  6. アプリケーショントレースバックに必要な情報を蓄積するデータベースを備えることにより、アプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置に蓄積されたデータに基づいて、発信元を検知することを特徴とする請求項1乃至5の何れか1項に記載のアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置。
  7. ネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知方法であって、
    ネットワークを流れるパケットをキャプチャするパケットキャプチャステップと、
    キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別ステップと、
    対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理ステップと、
    該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化ステップと、
    ネットワーク上のウイルス情報及び通信記録を格納するログ記録ステップと、
    前記フォーマット共通化ステップからのデータと、前記ログ記録ステップのデータとの連鎖性の有無を判定するステップと、
    連鎖性の可能性が認められる仮発信元を格納するステップと、
    サーバからのトレースバック実施要求を行うステップと、
    前記仮発信元データとプロトコルの相関に基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知ステップと、
    を備えることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知方法。
  8. ウイルスファイルとアプリケーションの連鎖性を判定する事により、発信元を確定することを特徴とする請求項7に記載のアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知方法。
  9. ネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知方法であって、
    ネットワークを流れるパケットをキャプチャするパケットキャプチャステップと、
    キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別ステップと、
    対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理ステップと、
    該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化ステップと、
    ネットワーク上のDNS攻撃情報及び通信記録を格納するログ記録ステップと、
    前記フォーマット共通化ステップからのデータと、前記ログ記録ステップのデータとの連鎖性の有無を判定するステップと、
    連鎖性の可能性が認められる仮発信元を格納するステップと、
    サーバからのトレースバック実施要求を行うステップと、
    前記仮発信元データとプロトコルの相関に基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知ステップと、
    を備えることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知方法。
  10. DNS攻撃とアプリケーションの連鎖性を判定する事により、発信元を確定することを特徴とする請求項9に記載のアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知方法。
  11. ICMP ECHOによる攻撃を受けた場合にあっては、ICMP ECHOのパケットキャプチャを行うことにより発信元を確定することを特徴とする請求項7乃至10の何れか1項に記載のアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知方法。
  12. アプリケーショントレースバックに必要な情報を蓄積するデータベースをアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置に備えることにより、アプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置に蓄積されたデータに基づいて、発信元を検知することを特徴とする請求項7乃至11の何れか1項に記載のアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知方法。
  13. ネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知プログラムであって、
    ネットワークを流れるパケットをキャプチャするパケットキャプチャ機能と、
    キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別機能と、
    対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理機能と、
    該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化機能と、
    ネットワーク上のウイルス情報及び通信記録を格納するログ記録機能と、
    前記フォーマット共通化機能からのデータと、前記ログ記録機能のデータとの連鎖性の有無を判定する機能と、
    連鎖性の可能性が認められる仮発信元を格納する機能と、
    サーバからのトレースバック実施要求を行う機能と、
    前記仮発信元データとプロトコルの相関に基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知機能と、
    をコンピュータに実現させることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知プログラム。
  14. ウイルスファイルとアプリケーションの連鎖性を判定する事により、発信元を確定することを特徴とする請求項13に記載のアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知プログラム。
  15. ネットワークに接続され、ネットワークを流れるデータを収集する、ウイルスやDNS攻撃の発信元検知プログラムであって、
    ネットワークを流れるパケットをキャプチャするパケットキャプチャ機能と、
    キャプチャしたパケットからデータを再構成して、対応可能プロトコルであるか判別するアプリケーション判別機能と、
    対応可能プロトコルである場合、アプリケーショントレースバックに必要な情報を取り出すための該当アプリケーションプロトコルによる処理を行うアプリケーション個別処理機能と、
    該当プロトコルによる処理結果をアプリケーショントレースバックのための共通フォーマットに変換するフォーマット共通化機能と、
    ネットワーク上のDNS攻撃情報及び通信記録を格納するログ記録機能と、
    前記フォーマット共通化機能からのデータと、前記ログ記録機能のデータとの連鎖性の有無を判定する機能と、
    連鎖性の可能性が認められる仮発信元を格納する機能と、
    サーバからのトレースバック実施要求を行う機能と、
    前記仮発信元データとプロトコルの相関に基づき、アプリケーショントレースバック機能を実現するアプリケーショントレースバック検知機能と、
    をコンピュータに実現させることを特徴とするアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知プログラム。
  16. DNS攻撃とアプリケーションの連鎖性を判定する事により、発信元を確定することを特徴とする請求項15に記載のアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知プログラム。
  17. ICMP ECHOによる攻撃を受けた場合にあっては、ICMP ECHOのパケットキャプチャを行うことにより発信元を確定することを特徴とする請求項13乃至16の何れか1項に記載のアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知プログラム。
  18. アプリケーショントレースバックに必要な情報を蓄積するデータベースをアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置に備えることにより、アプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知装置に蓄積されたデータに基づいて、発信元を検知することを特徴とする請求項13乃至17の何れか1項に記載のアプリケーション連鎖性ウイルス及びアプリケーション連鎖性DNS攻撃の発信元検知プログラム。
JP2008553079A 2006-12-28 2007-12-28 アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム Withdrawn JPWO2008084729A1 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
JP2006354763 2006-12-28
JP2006354763 2006-12-28
JP2007328685 2007-12-20
JP2007328685 2007-12-20
PCT/JP2007/075254 WO2008084729A1 (ja) 2006-12-28 2007-12-28 アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム

Publications (1)

Publication Number Publication Date
JPWO2008084729A1 true JPWO2008084729A1 (ja) 2010-04-30

Family

ID=39608623

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008553079A Withdrawn JPWO2008084729A1 (ja) 2006-12-28 2007-12-28 アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム

Country Status (3)

Country Link
US (1) US8874723B2 (ja)
JP (1) JPWO2008084729A1 (ja)
WO (1) WO2008084729A1 (ja)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5991549A (ja) * 1982-11-17 1984-05-26 Nec Corp 命令バツフアへの命令語格納方式
US7376969B1 (en) * 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US9584630B2 (en) * 2010-04-30 2017-02-28 Interdigital Patent Holdings, Inc. Light weight protocol and agent in a network communication
US8719900B2 (en) * 2010-05-18 2014-05-06 Amazon Technologies, Inc. Validating updates to domain name system records
US8875286B2 (en) * 2010-12-01 2014-10-28 Cisco Technology, Inc. Method and apparatus for detecting malicious software using machine learning techniques
US9218461B2 (en) 2010-12-01 2015-12-22 Cisco Technology, Inc. Method and apparatus for detecting malicious software through contextual convictions
US8572680B2 (en) 2011-08-11 2013-10-29 Verisign, Inc. White listing DNS top-talkers
EP3522492A1 (en) * 2012-03-22 2019-08-07 Triad National Security, LLC Path scanning for the detection of anomalous subgraphs, anomaly/change detection and network situational awareness
CN103685168B (zh) * 2012-09-07 2016-12-07 中国科学院计算机网络信息中心 一种dns递归服务器的查询请求服务方法
US20150033336A1 (en) * 2013-07-24 2015-01-29 Fortinet, Inc. Logging attack context data
WO2017039593A1 (en) 2015-08-28 2017-03-09 Hewlett Packard Enterprise Development Lp Identification of a dns packet as malicious based on a value
CN107534646A (zh) 2015-08-28 2018-01-02 慧与发展有限责任合伙企业 用于确定dns分组是否为恶意的提取数据分类
US10547636B2 (en) * 2016-12-28 2020-01-28 Verisign, Inc. Method and system for detecting and mitigating denial-of-service attacks
JP6898846B2 (ja) * 2017-12-28 2021-07-07 株式会社日立製作所 異常原因特定支援システムおよび異常原因特定支援方法
JP7060800B2 (ja) * 2018-06-04 2022-04-27 日本電信電話株式会社 感染拡大攻撃検知システム及び方法、並びに、プログラム
US11301496B2 (en) * 2018-12-26 2022-04-12 Imperva, Inc. Using access logs for network entities type classification
CN112217777A (zh) * 2019-07-12 2021-01-12 上海云盾信息技术有限公司 攻击回溯方法及设备
US11411919B2 (en) * 2019-10-01 2022-08-09 EXFO Solutions SAS Deep packet inspection application classification systems and methods
CN111695115B (zh) * 2020-05-25 2023-05-05 武汉大学 基于通信时延与安全性评估的工控系统网络攻击溯源方法
US11863415B2 (en) * 2021-01-14 2024-01-02 Zscaler, Inc. Determining endpoint and application behavior for monitoring user experience
CN112910863A (zh) * 2021-01-19 2021-06-04 清华大学 一种网络溯源方法及系统
US11582247B1 (en) 2022-04-19 2023-02-14 Palo Alto Networks, Inc. Method and system for providing DNS security using process information

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0849912A3 (en) 1996-12-18 1999-02-10 Nortel Networks Corporation Communications network monitoring
US8438241B2 (en) * 2001-08-14 2013-05-07 Cisco Technology, Inc. Detecting and protecting against worm traffic on a network
US6907525B2 (en) * 2001-08-14 2005-06-14 Riverhead Networks Inc. Protecting against spoofed DNS messages
US7062553B2 (en) * 2001-12-04 2006-06-13 Trend Micro, Inc. Virus epidemic damage control system and method for network environment
JP4088082B2 (ja) 2002-02-15 2008-05-21 株式会社東芝 未知コンピュータウイルスの感染を防止する装置およびプログラム
JP3892322B2 (ja) 2002-03-04 2007-03-14 三菱電機株式会社 不正アクセス経路解析システム及び不正アクセス経路解析方法
US7418732B2 (en) * 2002-06-26 2008-08-26 Microsoft Corporation Network switches for detection and prevention of virus attacks
WO2004008700A2 (en) * 2002-07-12 2004-01-22 The Penn State Research Foundation Real-time packet traceback and associated packet marking strategies
JP2004086241A (ja) 2002-08-22 2004-03-18 Hitachi Information Systems Ltd コンピュータウィルス感染元検知システム
JP2005025378A (ja) 2003-06-30 2005-01-27 Nidek Co Ltd コンピュータウイルス検出方法及び該方法を用いたネットワークシステム
EP1528452A1 (en) * 2003-10-27 2005-05-04 Alcatel Recursive virus detection, protection and disinfecting of nodes in a data network
US7487541B2 (en) * 2003-12-10 2009-02-03 Alcatel Lucent Flow-based method for tracking back single packets
JP2005217692A (ja) 2004-01-29 2005-08-11 Oki Techno Creation:Kk 侵入箇所特定システム
US7814546B1 (en) * 2004-03-19 2010-10-12 Verizon Corporate Services Group, Inc. Method and system for integrated computer networking attack attribution
JP2005275683A (ja) 2004-03-24 2005-10-06 Mitsubishi Electric Corp 侵入経路追跡システム
US7372809B2 (en) * 2004-05-18 2008-05-13 Time Warner Cable, Inc. Thwarting denial of service attacks originating in a DOCSIS-compliant cable network
JP4371905B2 (ja) 2004-05-27 2009-11-25 富士通株式会社 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
JP4328679B2 (ja) 2004-06-30 2009-09-09 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータネットワークの運用監視方法及び装置並びにプログラム
US20080028073A1 (en) * 2004-07-09 2008-01-31 France Telecom Method, a Device, and a System for Protecting a Server Against Denial of DNS Service Attacks
JP2006033472A (ja) 2004-07-16 2006-02-02 Kddi Corp 不正アクセス検知装置
US20060075093A1 (en) * 2004-10-05 2006-04-06 Enterasys Networks, Inc. Using flow metric events to control network operation
US7936682B2 (en) * 2004-11-09 2011-05-03 Cisco Technology, Inc. Detecting malicious attacks using network behavior and header analysis
JP4319609B2 (ja) 2004-11-09 2009-08-26 三菱電機株式会社 攻撃経路解析装置及び攻撃経路解析方法及びプログラム
JP2006191433A (ja) 2005-01-07 2006-07-20 Nippon Telegr & Teleph Corp <Ntt> 踏み台パケット・進入中継装置特定装置
US8059551B2 (en) * 2005-02-15 2011-11-15 Raytheon Bbn Technologies Corp. Method for source-spoofed IP packet traceback
JP2006243878A (ja) 2005-03-01 2006-09-14 Matsushita Electric Ind Co Ltd 不正アクセス検知システム
JP2006350561A (ja) 2005-06-14 2006-12-28 Matsushita Electric Ind Co Ltd 攻撃検出装置
JP4545647B2 (ja) * 2005-06-17 2010-09-15 富士通株式会社 攻撃検知・防御システム
US9286469B2 (en) * 2005-12-16 2016-03-15 Cisco Technology, Inc. Methods and apparatus providing computer and network security utilizing probabilistic signature generation
JP4670690B2 (ja) 2006-03-14 2011-04-13 日本電気株式会社 アプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラム
JP2007288246A (ja) 2006-04-12 2007-11-01 Yokogawa Electric Corp 攻撃検出装置

Also Published As

Publication number Publication date
US8874723B2 (en) 2014-10-28
WO2008084729A1 (ja) 2008-07-17
US20090319659A1 (en) 2009-12-24

Similar Documents

Publication Publication Date Title
JPWO2008084729A1 (ja) アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム
US8635697B2 (en) Method and system for operating system identification in a network based security monitoring solution
Ndatinya et al. Network forensics analysis using Wireshark
Whyte et al. DNS-based Detection of Scanning Worms in an Enterprise Network.
Berk et al. Designing a framework for active worm detection on global networks
US20050278779A1 (en) System and method for identifying the source of a denial-of-service attack
US20060288418A1 (en) Computer-implemented method with real-time response mechanism for detecting viruses in data transfer on a stream basis
JP2006319982A (ja) 通信ネットワーク内ワーム特定及び不活化方法及び装置
GB2502254A (en) Discovery of IP addresses of nodes in a botnet
CN110166480B (zh) 一种数据包的分析方法及装置
Tritilanunt et al. Entropy-based input-output traffic mode detection scheme for dos/ddos attacks
Kaushik et al. Network forensic system for ICMP attacks
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
US20230367875A1 (en) Method for processing traffic in protection device, and protection device
Yamada et al. Using abnormal TTL values to detect malicious IP packets
JP3760919B2 (ja) 不正アクセス防止方法、装置、プログラム
CN114244610B (zh) 一种文件传输方法、装置,网络安全设备及存储介质
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
JP5385867B2 (ja) データ転送装置及びアクセス解析方法
KR20110027386A (ko) 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법
Chen et al. Detecting Internet worms at early stage
Han et al. A collaborative botnets suppression system based on overlay network
Mabsali et al. Effectiveness of Wireshark Tool for Detecting Attacks and Vulnerabilities in Network Traffic
DiBenedetto et al. Fingerprinting custom botnet protocol stacks
Treurniet et al. A finite state machine model of TCP connections in the transport layer

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20101022

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20101022

A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20110301