JPWO2016140037A1 - 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム - Google Patents

通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム Download PDF

Info

Publication number
JPWO2016140037A1
JPWO2016140037A1 JP2017503393A JP2017503393A JPWO2016140037A1 JP WO2016140037 A1 JPWO2016140037 A1 JP WO2016140037A1 JP 2017503393 A JP2017503393 A JP 2017503393A JP 2017503393 A JP2017503393 A JP 2017503393A JP WO2016140037 A1 JPWO2016140037 A1 JP WO2016140037A1
Authority
JP
Japan
Prior art keywords
communication destination
dns
dns query
target communication
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017503393A
Other languages
English (en)
Other versions
JP6315640B2 (ja
Inventor
大紀 千葉
大紀 千葉
毅 八木
毅 八木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2016140037A1 publication Critical patent/JPWO2016140037A1/ja
Application granted granted Critical
Publication of JP6315640B2 publication Critical patent/JP6315640B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

通信先対応関係収集装置(100)は、対応関係を収集する対象となる対象通信先を指定する通信先指定部(101)と、対象通信先に対応するIPアドレスが変更される周期以下の周期で、対象通信先にDNSクエリを送信するようにDNSクライアントを制御し、DNSクエリに対する応答から対象通信先に対応するIPアドレスを収集するDNSクエリ送信制御部(102)と、DNSクエリ送信制御部(102)で収集した対象通信先に対応するIPアドレス及びDNSクエリに対する応答が行われた日時または時刻のうちの少なくとも一方から履歴情報を構築する対応関係履歴情報構築部(103)と、を有する。

Description

本発明は、通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラムに関する。
インターネットの普及に伴い、DDoS攻撃やスパムメール送信等のサイバー攻撃が急増している。これらの攻撃のほとんどは、マルウェアと呼ばれる悪意あるソフトウェアに起因している。攻撃者は一般ユーザの端末やサーバ等をマルウェアに感染させ、マルウェアを操作することで端末やサーバを不正に制御し、情報収集や新たな攻撃を実施している。これらの攻撃は近年社会問題化している。このため、マルウェア感染を中心としたサイバー攻撃への対策が急務となっている。
サイバー攻撃対策としては、端末上で実施する対策とネットワーク上で実施する対策とが利用されている。端末上で実施する対策としては、アンチウィルスソフトを用いる手法や、ホスト型IDS(Intrusion Detection System)やホスト型IPS(Intrusion Prevention System)を用いる手法が利用されている。これらの手法では、端末にソフトウェアをインストールして対策を実施する。
一方、ネットワーク上で実施する対策としては、ネットワーク型のIDSやIPS、FW(Firewall)やWAF(Web Application Firewall)等を用いる手法が利用されている。これらの手法では、ネットワークの通信経路上に検査装置を配置する。例えば、ネットワークの通信経路のうちDNSサーバへの通信を監視できる箇所で、DNSクエリやDNSレスポンスの通信の検査を行う手法が提案されている(例えば、非特許文献1または2を参照)。また、近年では、端末や装置のログを分析して攻撃の痕跡を発見するSIEM(Security Information and Event Management)サービス等も実施されている。
これらの手法においては、ハニーポットと呼ばれるおとりのシステム上でマルウェア感染攻撃やその他のサイバー攻撃の通信相手や通信内容を収集する。また、サンドボックスと呼ばれるマルウェア解析システムでマルウェアを実際に動作させてマルウェアの通信先や通信内容を収集したり、スパムメール対策システムやDDoS対策システムで攻撃と判定された通信の通信先や通信内容を収集したりすることで、攻撃に関わる通信の情報を収集する。
そして、収集した情報について、例えば通信先のIPアドレス等をブラックリスト化し、当該IPアドレスを相手とした通信を攻撃と判定する。なお、ブラックリスト化する情報は、統一資源位置指定子(URL:Uniform Resource Locator)やドメイン名とする場合もあるが、この際は、URLやドメイン名を正規表現でブラックリスト化することもある。
なお、通常異なる装置やソフトウェアからトラヒックログやアラートを収集して通信相手や通信内容の情報を抽出する際、装置やソフトウェアに応じて各項目の表記方法が異なる場合があるが、近年ではSIEM製品として異なる表記で示されたログ情報を統一的な表記方法に変換して集計する技術も普及している。
M. Antonakakis, et al., "Building a Dynamic Reputation System for DNS," Proc. USENIX conference on Security, 2010. L. Bilge, et al., "EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis," Proc. NDSS, 2011.
しかし、上記の方法では、ハニーポットやサンドボックス等を利用してサイバー攻撃に関わる通信の情報を収集する際に、利用されるすべての悪性通信先を抽出することはできない。例えば、ハニーポットで収集可能な悪性サイトの通信先は無数に存在する上に、時間経過とともに当該悪性サイトの無効化や、別の通信先への移行が発生する。
また、サンドボックスでマルウェアを解析する場合に、マルウェアは解析の妨害やインターネットへの接続確認を目的として、良性通信先へのアクセスや、時間経過とともに変化する悪性通信先へのアクセスを発生させる。このようにサイバー攻撃に関わる通信の情報を収集するだけでは、悪性通信先を網羅的に、かつ、正確に特定し、ブラックリスト化することは困難である。
例えば、非特許文献1または2においては、ある時点までに収集した情報を利用して、当該時点で特定されていない悪性通信先をブラックリスト化する手法が提案されているが、攻撃者によって一時的に利用される悪性通信先や攻撃者が攻撃の準備のために確保している悪性通信先を特定することができないという課題がある。
このため、現在では、サイバー攻撃を発見するために、ある時点で最新のブラックリストを参照しても、攻撃に利用される悪性通信先を特定できない場合がある。この時、一時的に利用される悪性通信先や攻撃準備に利用される悪性通信先を識別するための根拠情報として、ドメイン名またはホスト名またはFQDN(Fully Qualified Domain Name)と、IPアドレスの対応関係の時間経過に伴う状況の変化を記録した履歴情報が必要となる。
本発明の目的は、通信先とIPアドレスとの対応関係の時間経過に伴う変化を反映した履歴情報を構築することにある。
本発明の通信先対応関係収集装置は、IPアドレスに対応する通信先であって、該IPアドレスを収集する対象となる対象通信先を指定する通信先指定部と、所定の周期で前記対象通信先にDNSクエリを送信するようにDNSクライアントを制御し、前記DNSクエリに対する応答から前記対象通信先に対応するIPアドレスを収集するDNSクエリ送信制御部と、前記DNSクエリ送信制御部で収集した前記対象通信先に対応するIPアドレス及び前記DNSクエリに対する応答が行われた日時または時刻のうちの少なくとも一方から履歴情報を構築する対応関係履歴情報構築部と、を有することを特徴とする。
また、本発明の通信先対応関係収集方法は、IPアドレスに対応する通信先であって、該IPアドレスを収集する対象となる対象通信先を指定する通信先指定工程と、所定の周期で前記対象通信先にDNSクエリを送信するようにDNSクライアントを制御し、前記DNSクエリに対する応答から前記対象通信先に対応するIPアドレスを収集するDNSクエリ送信制御工程と、前記DNSクエリ送信制御工程で収集した前記対象通信先に対応するIPアドレス及び前記DNSクエリに対する応答が行われた日時または時刻のうちの少なくとも一方から履歴情報を構築する対応関係履歴情報構築工程と、を含んだことを特徴とする。
また、本発明の通信先対応関係収集プログラムは、コンピュータに、IPアドレスに対応する通信先であって、該IPアドレスを収集する対象となる対象通信先を指定する通信先指定ステップと、所定の周期で前記対象通信先にDNSクエリを送信するようにDNSクライアントを制御し、前記DNSクエリに対する応答から前記対象通信先に対応するIPアドレスを収集するDNSクエリ送信制御ステップと、前記DNSクエリ送信制御ステップで収集した前記対象通信先に対応するIPアドレス及び前記DNSクエリに対する応答が行われた日時または時刻のうちの少なくとも一方から履歴情報を構築する対応関係履歴情報構築ステップと、を実行させることを特徴とする。
本発明によれば、通信先とIPアドレスとの対応関係の時間経過に伴う変化を反映した履歴情報を構築することができる。
図1は、実施形態1に係る通信先対応関係収集装置の構成の一例を示す図である。 図2は、実施形態1に係る通信先対応関係収集装置における入力通信先の一例を示す図である。 図3は、実施形態1に係る通信先対応関係収集装置における入力通信先及び入力通信先に関連する通信先の一例を示す図である。 図4は、実施形態1に係る通信先対応関係収集装置における入力通信先及び入力通信先のコンテンツ内に含まれるリンク先の通信先の一例を示す図である。 図5は、実施形態1に係る通信先対応関係収集装置における対象通信先の一例を示す図である。 図6は、実施形態1に係る通信先対応関係収集装置における対象通信先の運用形態等及び制御方法の一例を示す図である。 図7は、実施形態1に係る通信先対応関係収集装置のDNSクエリ送信タイミングの一例を示す図である。 図8は、実施形態1に係る通信先対応関係収集装置で観測される応答の一例を示す図である。 図9は、実施形態1に係る通信先対応関係収集装置で収集する通信先とIPアドレスとの対応関係の履歴情報の一例を示す図である。 図10は、実施形態1に係る通信先対応関係収集装置の処理の一例を示す図である。 図11は、通信先対応関係収集装置として機能するコンピュータの一例を示す図である。
以下に添付図面を参照して、この発明に係る通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラムの実施形態を詳細に説明する。なお、この実施形態によりこの発明が限定されるものではない。
[実施形態1に係る通信先対応関係収集装置の構成]
まず、図1を用いて、通信先対応関係収集装置の構成について説明する。図1は、実施形態1に係る通信先対応関係収集装置の構成の一例を示す図である。図1に示すように、通信先対応関係収集装置100は、通信先指定部101と、DNSクエリ送信制御部102と、対応関係履歴情報構築部103と、DNSサーバ通信監視部150と、を有する。なお、DNSサーバ通信監視部150は必須の構成ではなく、必ずしも通信先対応関係収集装置100に備えられる必要はない。
通信先指定部101は、IPアドレスに対応する通信先であって、該IPアドレスを収集する対象となる対象通信先を指定する。通信先指定部101には、ドメイン名、ホスト名またはFQDNが掲載された任意のリストが入力される。そして、通信先指定部101は、入力されたリストを基に、対応関係を収集する対象となる対象通信先を指定する。以降の説明において、特に記載がない場合においては、通信先とはドメイン名、ホスト名またはFQDN等を示すものとし、IPアドレスは含まないものとする。
通信先指定部101に入力される通信先について、図2を用いて説明する。図2は、実施形態1に係る通信先対応関係収集装置における入力通信先の一例を示す図である。図2に示すように、通信先指定部101は、入力されたリストとリストに記載されている通信先についての情報を取得する。入力される通信先のリストとしては、悪性であることが明らかになっている既知の悪性通信先リストや、良性であることが明らかになっている既知の良性通信先リストが考えられる。例えば、図2の通番1の行は、リスト掲載ドメイン名「example.com」の通信先が、リスト種別「リスト1」のリストから収集されたことを示している。なお、入力されるリストは、前述の悪性通信先リストや良性通信先リストのように悪性または良性を示すようなものに限られず、通信先が記載されていれば良い。
通信先指定部101は、図3に示すように、リストに掲載された入力通信先に関連する通信先を収集する。図3は、実施形態1に係る通信先対応関係収集装置における入力通信先及び入力通信先に関連する通信先の一例を示す図である。通信先指定部101は、図2に示すリストに掲載された通信先のサブドメインや、図2に示すリストに掲載された通信先をサブドメインとして持つ通信先を収集する。例えば、図3の通番1の通信先「example.com」に関連する通信先として「foo.example.com」や「bar.example.com」を収集する。関連する通信先を収集する方法はどのような方法であっても良い。例えば、第3者が提供する検索エンジンを利用して通信先を検索した検索結果から収集すること等が考えられる。
通信先指定部101は、図4に示すように、入力通信先や入力通信先と関連する通信先とリンクしている通信先を収集する。図4は、実施形態1に係る通信先対応関係収集装置における入力通信先及び入力通信先のコンテンツ内に含まれるリンク先の通信先の一例を示す図である。通信先指定部101は、図2または図3に示す通信先に対して、HTTPやHTTPSのプロトコルを用いてアクセスすることで、当該通信先のコンテンツを収集し、当該コンテンツ内に含まれるリンク先URLから通信先を収集する。
例えば、図4の通番1の通信先「example.com」にアクセスした際のHTMLコンテンツ内に、静的なリンク先「http://example.jp/index.php」が存在した場合を示しており、この場合は、通信先指定部101は「example.jp」を通信先として収集する。また、図4の通番11の通信先「foo.example.com」にアクセスした際に、リダイレクト先のリンク先「http://foo.example.jp/top.jpg」を読み込んだ場合は、通信先指定部101は「foo.example.jp」を通信先として収集する。なお、コンテンツを収集する方法はこれらの方法に限られず、例えば、検索エンジンに代表されるようなWeb空間の巡回方式等であっても良い。
通信先指定部101は、これまで説明した方法で収集した通信先を統合し、図5に示すように、通信先対応関係の収集対象となる対象通信先として指定する。図5は、実施形態1に係る通信先対応関係収集装置における対象通信先の一例を示す図である。なお、収集対象の通信先の指定方法はこれまで説明した方法に限られず、任意の通信先を指定することができる。
DNSクエリ送信制御部102は、対象通信先に対応するIPアドレスが変化する周期を調査し、該周期以下となるように、対象通信先にDNSクエリを送信する周期を設定する。DNSクエリ送信制御部102は、設定した周期で、対象通信先にDNSクエリを送信するようにDNSクライアントを制御し、DNSクエリに対する応答から対象通信先に対応するIPアドレスを収集する。また、DNSクエリ送信制御部102は、対象通信先が、送信元IPアドレスによって異なる応答を行う運用形態を採用している場合は、複数のDNSクライアントからDNSリクエストを送信し、それぞれのDNSリクエストに対する応答から対象通信先に対応するIPアドレスを収集する。
DNSクエリ送信制御部102は、まず、図6に示すような、対象通信先のIPアドレスの運用形態を参照する。図6は、実施形態1に係る通信先対応関係収集装置における対象通信先の運用形態等及び制御方法の一例を示す図である。運用形態としては、対象通信先においてIPアドレスを1つのみ利用する「単独型」や、対象通信先においてアクセス負荷分散のためにIPアドレスを複数個利用する「負荷分散型」や、対象通信先においてアクセス負荷分散のために複数の地域に分散したIPアドレスを複数個利用する「地域分散型」がある。
このような運用形態は、各通信先を運用する事業者が公開する情報や、第3者が調査して公開する情報や、独自に各通信先にアクセスすることで調査した情報によって特定することができる。例えば、地域分散を実現するための公知の技術であるコンテンツデリバリーネットワーク(CDN:Contents Delivery Network)を提供するAkamai社は、自社CDNをWebサイトに利用する企業のリストを公開しており、当該リストに記載された企業のWebサイトの通信先を地域分散型と特定することができる。なお、運用形態及び運用形態の特定方法は上記に限るものではない。
図6に示すように、DNSクエリ送信制御部102は、特定した運用形態をもとにDNSクライアントの送信元IPアドレスを制御する。例えば、「単独型」の運用形態の場合、送信元IPアドレスによって応答が変化しないため、単一の送信元IPアドレスを利用する。また、「負荷分散型」の運用形態の場合、DNSクエリの送信タイミングによって応答が変化するが、送信元IPアドレスによって応答は変化しないため、単一の送信元IPアドレスを利用する。このとき、同時に異なる送信元IPアドレスからDNSクエリを送信することで負荷分散を作動させ、複数のIPアドレスを入手しても良い。
また、「地域分散型」の運用形態の場合、送信元IPアドレスの地域によって応答が変化するため、複数地域の送信元IPアドレスを利用する。例えば、図6の通番1には、対象通信先「example.com」の運用形態を「単独型」と特定し、DNSクライアントに「単一」の送信元IPアドレスを利用する例を示す。
複数地域の送信元IPアドレスは、例えば「http://www.vpngate.net/ja/」等で公開されている公開VPN中継サーバを利用して送信元IPアドレスを指定の地域の送信元IPアドレスに変換することで利用することができる。また、既存のVPNサービス等を利用することで用意することができる。なお、運用形態に応じた送信元IPアドレスの制御や、複数地域の送信元IPアドレスの利用方法は上記に限るものではない。
DNSクエリ送信制御部102は、各対象通信先に対して、対象通信先におけるIPアドレスが変化する周期を調査し、その結果によりDNSクライアントからのDNSクエリの送信タイミングを図7に示すタイミングで制御し、送信したDNSクエリに対する応答より、通信先とIPアドレスとの対応関係を収集する。図7は、実施形態1に係る通信先対応関係収集装置のDNSクエリ送信タイミングの一例を示す図である。ここで変化周期とは、対象通信先に対応するIPアドレスが変化する周期のことであり、変化周期以下の任意のタイミングでDNSクエリを送信することで、変化前と変化後の通信先とIPアドレスとの対応関係を網羅的に収集することができる。変化周期は、各通信先を運用する事業者が公開する情報や、第3者が調査して公開する情報や、独自に各通信先にアクセスすることで調査した情報によって特定することができる。例えば、各通信先のDNSレコードのキャッシュ更新のタイミングを設定するパラメータであるTTL(Time to Live)値を変化周期として利用することが可能である。変化周期が特定できない対象通信先の場合は、既定値として設定した送信タイミングでDNSクエリを送信する。
例えば、図7の通番1には、対象通信先「example.com」の変化周期が特定できないため、「−」が記入されている。この場合は、DNSクエリ送信制御部102は、対象通信先「example.com」に対して、既定値として設定した「1日毎」でDNSクエリを送信する。また、図7の通番2では、対象通信先「foo.example.com」の変化周期が「1時間」と特定されている。この場合は、DNSクエリ送信制御部102は、対象通信先「foo.example.com」に対して「1時間毎」にDNSクエリを送信する例を示す。なお、変化周期の特定方法は上記に限るものではない。
DNSサーバ通信監視部150は、DNSサーバを監視し、対象通信先に対応するIPアドレスを収集する。具体的には、DNSサーバ通信監視部150は、任意の権威DNSサーバやキャッシュDNSサーバで通信を監視し、観測したDNSクエリとDNS応答から通信先とIPアドレスとの対応関係を収集する。DNSクエリとDNS応答の通信を観測できる任意のDNSサーバが存在する場合、当該通信の観測により、通信先とIPアドレスとの対応関係を収集できる。観測方法としては、当該DNSサーバ上で通信を監視する方法や、当該DNSサーバが所属するネットワーク上で通信を監視する方法があるが、これらの方法に限るものではない。
DNSクエリ送信制御部102及びDNSサーバ通信監視部150が収集する通信先とIPアドレスとの対応関係について、図8を用いて説明する。図8は、実施形態1に係る通信先対応関係収集装置で観測される応答の一例を示す図である。例えば、図8の通番1では、「2015年1月1日 00:00:00」の時点で、「10.0.0.1」の送信元IPアドレスを持つクライアントから、「example1.jp」の通信先に対するDNSクエリが送信され、DNSクエリに対応するDNS応答により、「example1.jp」に対応するIPアドレスが「192.0.2.1」と観測された例を示す。
対応関係履歴情報構築部103は、DNSクエリ送信制御部102及びDNSサーバ通信監視部150の一方または両方で収集した対象通信先に対応するIPアドレス及びDNSクエリに対する応答が行われた日時または時刻のうちの少なくとも一方から履歴情報を構築する。例えば、対応関係履歴情報構築部103は、図9に示すように、対象とする通信先に対応するIPアドレスの結果を時刻情報付きで表したものを履歴情報として構築するようにしても良い。例えば、図9の通番1には、対象通信先「example.com」に「2015年1月1日 00:00:00」の時点でIPアドレス「192.0.2.1」が対応した例を示す。また、図9の通番2には、対象通信先「foo.example.com」に「2015年1月1日 00:00:00」の時点でIPアドレス「203.0.113.1」が対応し、「2015年1月1日 01:00:00」の時点でIPアドレス「203.0.113.2」が対応し、「2015年1月1日 02:00:00」の時点でIPアドレス「203.0.113.3」が対応した例を示す。また、図9の通番21には、対象通信先「example.org」に「2015年1月1日 00:00:00」の時点で、複数のIPアドレス「192.0.2.21,192.0.2.121」が対応した例を示す。
なお、図9では、日時および時刻の両方から履歴情報を構築した場合の例を示しているが、履歴情報は、日時または時刻のいずれか一方から構築されてもよい。例えば、「2015年1月1日」、「2015年1月2日」、「2015年1月3日」のそれぞれについて履歴情報が構築されるようにしてもよいし、「01:00:00」、「02:00:00」、「03:00:00」のそれぞれについて履歴情報が構築されるようにしてもよい。
[実施形態1に係る通信先対応関係収集装置の処理]
図10を用いて、通信先対応関係収集装置100の処理について説明する。図10は、実施形態1に係る通信先対応関係収集装置の処理の一例を示す図である。
図10に示すように、まず、通信先指定部101にはドメイン名またはホスト名またはFQDN掲載リストが入力される(ステップS101)。そして、通信先指定部101は、対象のドメイン名またはホスト名またはFQDNを抽出し、対象通信先に指定する(ステップS102)。
次に、DNSクエリ送信制御部102は、対象ドメイン名またはホスト名またはFQDNの運用形態の調査を行う(ステップS103)。そして、DNSクエリ送信制御部102は、DNSクエリを送信するDNSクライアントを決定する(ステップS104)。DNSクエリ送信制御部102は、対象ドメイン名またはホスト名またはFQDNにおけるIPアドレスの変化頻度の調査を行い(ステップS105)、調査結果に基づきDNSクエリの送信タイミングを決定し(ステップS106)、DNSクエリを送信し、その応答からドメイン名またはホスト名またはFQDNとIPアドレスの対応関係を収集する(ステップS107)。
また、通信監視対象のDNSサーバが存在する場合(ステップS108、Yes)は、DNSサーバ通信監視部150は、DNSサーバでドメイン名またはホスト名またはFQDNとIPアドレスの対応関係を観測し、収集する(ステップS109)。そして、対応関係履歴情報構築部103は、ドメイン名またはホスト名またはFQDNとIPアドレスの対応関係の履歴情報を出力する(ステップS110)。
[実施形態1の効果]
通信先指定部101は、IPアドレスに対応する通信先であって、該IPアドレスを収集する対象となる対象通信先を指定する。DNSクエリ送信制御部102は、所定の周期以下の周期で、対象通信先にDNSクエリを送信するようにDNSクライアントを制御し、DNSクエリに対する応答から対象通信先に対応するIPアドレスを収集する。対応関係履歴情報構築部103は、DNSクエリ送信制御部102で収集した対象通信先に対応するIPアドレス及びDNSクエリに対する応答が行われた時刻から履歴情報を構築する。これにより、対象通信先に対応するIPアドレスが変化した場合であっても、通信先とIPアドレスとの対応関係の時間経過に伴う変化を反映した履歴情報を構築することができる。
また、対象通信先に対応するIPアドレスが変化する周期を調査し、該周期以下となるようにIPアドレスを収集する周期を設定することで、対象通信先に対応するIPアドレスが変化する周期以下の周期で通信先とIPアドレスとの対応関係を収集することができ、時間経過に伴う変化をより正確に取得することができる。なお、通信先対応関係収集装置100で構築された履歴情報は、通信先のブラックリスト作成や、悪性度の算出等に利用することができる。
また、通信先指定部101は、対象通信先のサブドメイン及び対象通信先をサブドメインとして持つ通信先及び対象通信先のコンテンツ内に含まれるリンク先を対象通信先に含めても良い。これにより、より多くの通信先についての対応関係を収集できる。
対象通信先に対応するIPアドレスが変化する周期を調査し、該周期以下となるようにIPアドレスを収集する周期を設定する。これにより、対象通信先に対応するIPアドレスが変化する周期以下の周期で通信先とIPアドレスとの対応関係を収集することができるので、網羅的に対応関係を収集できる。
また、DNSサーバ通信監視部150は、DNSサーバを監視し、対象通信先に対応するIPアドレスを収集し、対応関係履歴情報構築部103は、DNSサーバ通信監視部150で収集した対象通信先に対応するIPアドレス及びDNSクエリに対する応答が行われた時刻から履歴情報を構築する。これにより、DNSクライアントからDNSクエリを送信することなく対象通信先に対応するIPアドレスを取得することができる。
また、DNSクエリ送信制御部102は、通信先が、送信元IPアドレスによって異なる応答を行う運用形態を採用している場合は、複数のDNSクライアントからDNSリクエストを送信し、それぞれのDNSリクエストに対する応答から対象通信先に対応するIPアドレスを収集する。これにより、対象通信先に対応するIPアドレスが複数ある場合に対応することができる。
また、対象通信先には、ドメイン名、ホスト名、FQDNのうち少なくとも一つが含まれる。ドメイン名、ホスト名、FQDNはサブドメインを持っている場合や、サブドメインとして持たれている場合があるため、関連する通信先を含めて対応関係を収集することができる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU(Central Processing Unit)及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
また、上記実施形態において説明した通信先対応関係収集装置が実行する処理について、コンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータが読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、図1に示した通信先対応関係収集装置と同様の機能を実現するプログラムを実行するコンピュータの一例を説明する。
図11は、通信先対応関係収集装置として機能するコンピュータの一例を示す図である。図11に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図11に例示するように、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図11に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図11に例示するように、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、図11に例示するように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図11に例示するように、例えばディスプレイ1130に接続される。
ここで、図11に例示するように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記のプログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、実行する。
なお、プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
100 通信先対応関係収集装置
101 通信先指定部
102 DNSクエリ送信制御部
103 対応関係履歴情報構築部
150 DNSサーバ通信監視部

Claims (8)

  1. IPアドレスに対応する通信先であって、該IPアドレスを収集する対象となる対象通信先を指定する通信先指定部と、
    所定の周期で前記対象通信先にDNSクエリを送信するようにDNSクライアントを制御し、前記DNSクエリに対する応答から前記対象通信先に対応するIPアドレスを収集するDNSクエリ送信制御部と、
    前記DNSクエリ送信制御部で収集した前記対象通信先に対応するIPアドレス及び前記DNSクエリに対する応答が行われた日時または時刻のうちの少なくとも一方から履歴情報を構築する対応関係履歴情報構築部と、
    を有することを特徴とする通信先対応関係収集装置。
  2. 前記通信先指定部は、前記対象通信先のサブドメイン及び前記対象通信先をサブドメインとして持つ通信先及び前記対象通信先のコンテンツ内に含まれるリンク先を対象通信先に含めることを特徴とする請求項1に記載の通信先対応関係収集装置。
  3. 前記DNSクエリ送信制御部は、前記対象通信先に対応するIPアドレスが変化する周期を調査し、該周期以下となるように前記IPアドレスを収集する周期を設定することを特徴とする請求項1に記載の通信先対応関係収集装置。
  4. DNSサーバを監視し、前記対象通信先に対応する前記IPアドレスを収集するDNSサーバ通信監視部をさらに有し、
    前記対応関係履歴情報構築部は、前記DNSサーバ通信監視部で収集した前記対象通信先に対応するIPアドレス及び前記DNSクエリに対する応答が行われた日時または時刻のうちの少なくとも一方から前記履歴情報を構築することを特徴とする請求項1に記載の通信先対応関係収集装置。
  5. 前記DNSクエリ送信制御部は、前記対象通信先が、送信元IPアドレスによって異なる応答を行う運用形態を採用している場合は、複数のDNSクライアントからDNSリクエストを送信し、それぞれの前記DNSリクエストに対する応答から前記対象通信先に対応するIPアドレスを収集することを特徴とする請求項1に記載の通信先対応関係収集装置。
  6. 前記対象通信先には、ドメイン名、ホスト名、FQDNのうち少なくとも一つが含まれることを特徴とする請求項1に記載の通信先対応関係収集装置。
  7. IPアドレスに対応する通信先であって、該IPアドレスを収集する対象となる対象通信先を指定する通信先指定工程と、
    所定の周期で前記対象通信先にDNSクエリを送信するようにDNSクライアントを制御し、前記DNSクエリに対する応答から前記対象通信先に対応するIPアドレスを収集するDNSクエリ送信制御工程と、
    前記DNSクエリ送信制御工程で収集した前記対象通信先に対応するIPアドレス及び前記DNSクエリに対する応答が行われた日時または時刻のうちの少なくとも一方から履歴情報を構築する対応関係履歴情報構築工程と、
    を含んだことを特徴とする通信先対応関係収集方法。
  8. コンピュータに、
    IPアドレスに対応する通信先であって、該IPアドレスを収集する対象となる対象通信先を指定する通信先指定ステップと、
    所定の周期で前記対象通信先にDNSクエリを送信するようにDNSクライアントを制御し、前記DNSクエリに対する応答から前記対象通信先に対応するIPアドレスを収集するDNSクエリ送信制御ステップと、
    前記DNSクエリ送信制御ステップで収集した前記対象通信先に対応するIPアドレス及び前記DNSクエリに対する応答が行われた日時または時刻のうちの少なくとも一方から履歴情報を構築する対応関係履歴情報構築ステップと、
    を実行させることを特徴とする通信先対応関係収集プログラム。
JP2017503393A 2015-03-05 2016-02-12 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム Active JP6315640B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015043941 2015-03-05
JP2015043941 2015-03-05
PCT/JP2016/054101 WO2016140037A1 (ja) 2015-03-05 2016-02-12 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム

Publications (2)

Publication Number Publication Date
JPWO2016140037A1 true JPWO2016140037A1 (ja) 2017-07-27
JP6315640B2 JP6315640B2 (ja) 2018-04-25

Family

ID=56849385

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017503393A Active JP6315640B2 (ja) 2015-03-05 2016-02-12 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム

Country Status (4)

Country Link
US (1) US10917380B2 (ja)
EP (1) EP3249861B1 (ja)
JP (1) JP6315640B2 (ja)
WO (1) WO2016140037A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8560604B2 (en) 2009-10-08 2013-10-15 Hola Networks Ltd. System and method for providing faster and more efficient data communication
US9241044B2 (en) 2013-08-28 2016-01-19 Hola Networks, Ltd. System and method for improving internet communication by using intermediate nodes
MA41502A (fr) 2015-02-14 2017-12-19 Valimail Inc Validation centralisée d'expéditeurs d'email par ciblage de noms ehlo et d'adresses ip
US11057446B2 (en) 2015-05-14 2021-07-06 Bright Data Ltd. System and method for streaming content from multiple servers
US10148512B2 (en) * 2016-08-12 2018-12-04 T-Mobile Usa, Inc. Mobile video optimization
US11190374B2 (en) 2017-08-28 2021-11-30 Bright Data Ltd. System and method for improving content fetching by selecting tunnel devices
EP4311204A3 (en) 2017-08-28 2024-04-10 Bright Data Ltd. Method for improving content fetching by selecting tunnel devices
CN109218464B (zh) * 2018-09-21 2021-11-26 漳州科华技术有限责任公司 模块并联的地址冲突上报方法、系统、设备及存储介质
JP7115221B2 (ja) * 2018-10-31 2022-08-09 富士通株式会社 サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置
JP7120049B2 (ja) * 2019-01-25 2022-08-17 富士通株式会社 サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置
LT3780547T (lt) 2019-02-25 2023-03-10 Bright Data Ltd. Turinio parsisiuntimo, naudojant url bandymų mechanizmą, sistema ir būdas
EP4030318A1 (en) 2019-04-02 2022-07-20 Bright Data Ltd. System and method for managing non-direct url fetching service
JP7297249B2 (ja) * 2019-08-07 2023-06-26 株式会社日立製作所 計算機システム及び情報の共有方法
US11582247B1 (en) 2022-04-19 2023-02-14 Palo Alto Networks, Inc. Method and system for providing DNS security using process information

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004274652A (ja) * 2003-03-12 2004-09-30 Hitachi Ltd Ip網用の移動端末およびパケット通信方法
JP2010161499A (ja) * 2009-01-06 2010-07-22 Fujitsu Ltd パケット送信システム、送信端末、受信端末、送信プログラム、受信プログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6353825B1 (en) * 1999-07-30 2002-03-05 Verizon Laboratories Inc. Method and device for classification using iterative information retrieval techniques
KR100842589B1 (ko) * 2004-01-29 2008-07-01 삼성전자주식회사 고속 데이터 전송을 위한 이동통신 시스템에서 이동단말에 대한 푸시 서비스 제공 방법과 이를 위한 푸시서버 장치
WO2006075323A2 (en) * 2005-01-13 2006-07-20 Flash Networks Ltd Method and system for optimizing dns queries.
US8332484B2 (en) * 2006-09-06 2012-12-11 Akamai Technologies, Inc. Hybrid content delivery network (CDN) and peer-to-peer (P2P) network
US8539577B1 (en) * 2008-06-20 2013-09-17 Verisign, Inc. System and method for fast flux detection
EP2426870A1 (en) * 2009-05-01 2012-03-07 Panasonic Corporation Communication bandwidth control device and communication bandwidth control method
US8935428B2 (en) * 2009-06-24 2015-01-13 Broadcom Corporation Fault tolerance approaches for DNS server failures
US8347394B1 (en) * 2009-07-15 2013-01-01 Trend Micro, Inc. Detection of downloaded malware using DNS information
US8689280B2 (en) * 2011-09-09 2014-04-01 Microsoft Corporation DNS-based content routing
US9215123B1 (en) * 2013-03-15 2015-12-15 Nominum, Inc. DNS requests analysis

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004274652A (ja) * 2003-03-12 2004-09-30 Hitachi Ltd Ip網用の移動端末およびパケット通信方法
JP2010161499A (ja) * 2009-01-06 2010-07-22 Fujitsu Ltd パケット送信システム、送信端末、受信端末、送信プログラム、受信プログラム

Also Published As

Publication number Publication date
EP3249861A1 (en) 2017-11-29
EP3249861B1 (en) 2018-12-19
US10917380B2 (en) 2021-02-09
EP3249861A4 (en) 2018-02-28
US20180034766A1 (en) 2018-02-01
WO2016140037A1 (ja) 2016-09-09
JP6315640B2 (ja) 2018-04-25

Similar Documents

Publication Publication Date Title
JP6315640B2 (ja) 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム
US11323469B2 (en) Entity group behavior profiling
US11888897B2 (en) Implementing decoys in a network environment
US9942270B2 (en) Database deception in directory services
US10469514B2 (en) Collaborative and adaptive threat intelligence for computer security
US9356950B2 (en) Evaluating URLS for malicious content
US10476891B2 (en) Monitoring access of network darkspace
US9762543B2 (en) Using DNS communications to filter domain names
US8561187B1 (en) System and method for prosecuting dangerous IP addresses on the internet
EP2612488B1 (en) Detecting botnets
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
US20150326588A1 (en) System and method for directing malicous activity to a monitoring system
US20150326587A1 (en) Distributed system for bot detection
US10645061B2 (en) Methods and systems for identification of a domain of a command and control server of a botnet
WO2016081561A1 (en) System and method for directing malicious activity to a monitoring system
WO2018163464A1 (ja) 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム
Jin et al. Design of detecting botnet communication by monitoring direct outbound DNS queries
JP5813810B2 (ja) ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム
US20230370492A1 (en) Identify and block domains used for nxns-based ddos attack
Chowdhury et al. eyeDNS: Monitoring a University Campus Network
一瀨光 A study on detection and blocking of DNS-based botnet communication
Li et al. Security Analysis of DNS Open Resolvers by Continuous and Ambulatory Detection

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170407

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180206

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180320

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180322

R150 Certificate of patent or registration of utility model

Ref document number: 6315640

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150