情報処理装置、情報処理システム、プログラム、および記録媒体
【課題】ボットに感染した装置が指令サーバと行う通信を検出する。
【解決手段】既知情報記憶部100は、攻撃パケットの送信に利用されるポート番号を記憶する。通信履歴記憶部102は、監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する。時刻判定部107aは、通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する。ポート番号判定部107bは、上記のポート番号が一致するか否かを判定する。通信履歴抽出部107cは、通信履歴の中から、実行ファイルの生成時刻または更新時刻が所定期間に含まれると判定された通信プロセスを含み、かつ既知情報記憶部100が記憶するポート番号と一致しないと判定されたポート番号を含む通信履歴を抽出する。
【解決手段】既知情報記憶部100は、攻撃パケットの送信に利用されるポート番号を記憶する。通信履歴記憶部102は、監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する。時刻判定部107aは、通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する。ポート番号判定部107bは、上記のポート番号が一致するか否かを判定する。通信履歴抽出部107cは、通信履歴の中から、実行ファイルの生成時刻または更新時刻が所定期間に含まれると判定された通信プロセスを含み、かつ既知情報記憶部100が記憶するポート番号と一致しないと判定されたポート番号を含む通信履歴を抽出する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信に係る情報を処理する情報処理装置および情報処理システムに関する。また、本発明は、情報処理装置としてコンピュータを機能させるためのプログラム、およびそのプログラムを記録した記録媒体にも関する。
【背景技術】
【0002】
近年、ウィルスに感染したコンピュータに悪質な動作を実行させる、ボットと呼ばれるウィルスによる被害が拡大している。ボットは、外部の指令サーバに通信セッションを確立して新たなコードをダウンロードする機能や、攻撃のための指令を受ける機能、指令に従って攻撃する機能などを持つ悪意のコードで構成されている。ボットに感染して加害者として攻撃を行うことになった加害者装置や上記の指令サーバを撲滅することは重要であり、被害者装置から通信経路を辿って攻撃元を追跡するIPトレースバック技術が注目されている。
【0003】
IPトレースバックとは、送信元のIPアドレスを詐称して行う攻撃を、パケット中のIPレイヤの情報を用いて追跡する手法である。IPトレースバックの代表的な方式として、通過するパケットのハッシュ値を通信経路上の専用の装置で保存しておき、被害者側に届いた攻撃パケットのハッシュ値を、装置に残された情報から追跡するハッシュ方式がある(非特許文献1,2参照)。
【0004】
この他、ルータを通過するパケットをサンプリングして、パケット情報とルータ情報をICMPパケットに載せて、Destination IP(被害者のIPアドレス)へ送付するICMP方式がある(非特許文献3参照)。また、通過するパケットをサンプリングして、ルーティングに影響のないヘッダ領域にルータ情報を書き込むパケットマーキング方式もあり、被害者側でマーキング情報を組み立てることで、通信経路を追跡することができる(非特許文献4参照)。
【非特許文献1】Strayer, W. T. Jones, C. E. Tchakountio, F. Snoeren, A. C. Schwartz, B. Clements, R. C. Condell, M. Partridge, “Traceback of single IP packets using SPIE, ” DARPA Information Survivability Conference and Exposition, Proceedings, Vol. 2, pp. 266-270, April 2003.
【非特許文献2】A. C. Snoeren, C. Partridge, L. A. Sanchez, C. E. Jones, F. Tchakountio, S. T. Kent, and W. T. Strayer“Hash-Based IP Traceback,”Proceeding or SIGCOMM ’01, August 2001.
【非特許文献3】Steven Bellovin, and Marcus Leech, Tom Taylor, “ICMP Traceback Messages,” IETF, Internet Draft, draft-ietf-itrace-04.txt, Aug. 2003.
【非特許文献4】D. Song and A Perrig, “Advanced and Authenticated Marking Schemes for IP Traceback,” Proc. of IEEE Inforcom, April, 2001.
【発明の開示】
【発明が解決しようとする課題】
【0005】
図4は、ボットによる通信のモデルを示している。ボットによる通信には、攻撃を行う加害者PC(Personal Computer)400,401と、攻撃を受ける被害者PC410,411,412,413と、攻撃コード(実行ファイル)の配信や攻撃指示を行う指令サーバ420,421とが関係している。外部の加害者PC400は、ボットをダウンロードする初期コードを加害者PC401に埋め込む。加害者PC401は、この初期コードに従って指令サーバ420から新たなコードを受信する。さらに、加害者PC401は、指令サーバ421から指令を受け取り、被害者PCに対して各種攻撃を行う。
【0006】
本発明者らは、通信プロセスと通信の宛先をモニタするツールを実装し、加害者PCの通信挙動をモニタした。図5はこの様子を示している。加害者PCは初期のコード“^21.tmp.exe”を起動すると、新たにコード“nbin.exe”を取得した(時刻14:06:51)。この53秒後、加害者PCはコード“nbin.exe”により外部サーバとの通信を開始してコード“EventLogger.exe”を取得した(時刻14:07:44)。また、90秒後には加害者PCはコード“EventLogger.exe”により新たな通信を開始した(時刻14:08:21)。上記の3種類のコードによる通信が指令サーバとの通信である。
【0007】
上記のようにボットに感染した加害者PCが指令サーバと行う通信と、加害者PCが被害者PCと行う攻撃のための通信は別個の通信であり、通信に使用するパケットも異なる。このため、従来のIPトレースバック方式では、被害者PCに到着したパケットの情報に基づいて被害者PCから加害者PCまでの通信を追跡することはできるが、被害者PCに到着したパケットとは異なるパケットを用いている指令サーバまでの通信を追跡することはできなかった。
【0008】
本発明は、上述した課題に鑑みてなされたものであって、ボットに感染した装置が指令サーバと行う通信を検出することができる情報処理装置、情報処理システム、プログラム、および記録媒体を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明は、上記の課題を解決するためになされたもので、攻撃パケットの送信に利用されるポート番号を記憶する既知情報記憶手段と、監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、前記通信履歴に含まれる通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する時刻判定手段と、前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、前記通信履歴の中から、前記時刻判定手段による判定の結果、実行ファイルの生成時刻または更新時刻が前記所定期間に含まれると判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する抽出手段とを備えたことを特徴とする情報処理装置である。
【0010】
ボットには、新たな実行ファイルを次々に取得して通信プロセスを起動するという特徴がある。また、本発明者は、Webブラウザに寄生して新たな実行ファイルを取得し、その後Webブラウザを元の状態に戻すという特徴を有するボットを確認した。これらの特徴を有するボットによって起動する通信プロセスの実行ファイルの生成時刻または更新時刻は攻撃時刻に近いという特徴がある。このため、通信プロセスの実行ファイルの生成時刻または更新時刻が攻撃時刻に基づく所定期間に含まれる通信プロセスが実行した通信は指令サーバとの通信である可能性がある。
【0011】
しかし、当該通信の中には、被害者の装置を宛先とし、攻撃パケットの送信に利用した通信が含まれている可能性がある。そこで、攻撃パケットの送信に利用されることが既知であるポート番号を用いた判定を行うことにより、被害者の装置を宛先とする通信を除外することが可能となる。すなわち、通信履歴に含まれるポート番号が、攻撃パケットの送信に利用されるポート番号と一致した場合、当該ポート番号を利用した通信は、攻撃パケットの送信に利用した通信であると判定することができる。また、通信履歴に含まれるポート番号が、攻撃パケットの送信に利用されるポート番号と一致しなかった場合、当該ポート番号を利用した通信は指令サーバとの通信である可能性がある。
【0012】
したがって、通信プロセスの実行ファイルの生成時刻または更新時刻に関する判定と、通信に利用したポート番号に関する判定とを組み合わせることによって、攻撃パケットの送信に利用した通信を除外し、指令サーバとの通信を検出することができる。
【0013】
また、本発明の情報処理装置において、前記通信履歴はさらに、前記通信プロセスが実行した通信の宛先の識別情報を含み、攻撃パケットを受信した装置の識別情報を含むメッセージを他の装置から受信する受信手段と、前記通信履歴に含まれる識別情報が、前記メッセージに含まれる識別情報と一致するか否かを判定する識別情報判定手段とをさらに備え、前記抽出手段は、前記識別情報判定手段による判定の結果、前記メッセージに含まれる識別情報と一致する識別情報が前記通信履歴に含まれる場合に前記通信履歴の抽出を行うことを特徴とする。
【0014】
本発明では、指令サーバから指令を受けて被害者の装置へ攻撃パケットを送信した加害者の装置の通信履歴を処理対象とすることが特に効果的である。加害者の装置の通信履歴には、被害者の装置へ攻撃パケットを送信した通信に係る通信履歴が含まれている。したがって、攻撃パケットを受信した装置の識別情報と一致する識別情報が通信履歴に含まれる場合に通信履歴の抽出を行うことによって、指令サーバとの通信の検出精度を向上することができる。
【0015】
また、本発明は、上記の情報処理装置としてコンピュータを機能させるためのプログラムである。
【0016】
また、本発明は、上記のプログラムを格納したコンピュータ読み取り可能な記録媒体である。
【0017】
また、本発明は、第1の情報処理装置および第2の情報処理装置を備えた情報処理システムであって、前記第1の情報処理装置は、攻撃パケットの送信に利用されるポート番号を記憶する既知情報記憶手段と、監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信の宛先の識別情報と、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、前記通信履歴に含まれる通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する時刻判定手段と、前記通信履歴記憶手段が記憶する前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、前記通信履歴の中から、前記時刻判定手段による判定の結果、実行ファイルの生成時刻または更新時刻が前記所定期間に含まれると判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する第1の抽出手段と、前記第1の抽出手段が抽出した前記通信履歴を前記第2の情報処理装置へ送信する送信手段とを備え、前記第2の情報処理装置は、複数の前記第1の情報処理装置から前記通信履歴を受信する受信手段と、前記受信手段が受信した前記通信履歴の中から、共通の識別情報を有する前記通信履歴を抽出する第2の抽出手段とを備えたことを特徴とする情報処理システムである。
【0018】
ボットでは、加害者として機能する複数の装置が同一の指令サーバと通信を行う特徴がある。この特徴を利用して、複数の第1の通信装置で抽出した通信履歴の中から共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信の検出精度を向上することができる。
【発明の効果】
【0019】
本発明によれば、ボットに感染した装置が指令サーバと行う通信を検出することができるという効果が得られる。
【発明を実施するための最良の形態】
【0020】
以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態による情報処理システムの構成を示している。本情報処理システムは、ボットによる被害者または加害者となる端末装置1(例えばPC)と、端末装置1から受信する通信履歴に基づいて通信の解析を行うサーバ2とを備えている。本情報処理システムでは複数台の端末装置1が存在しているが、図1では1台のみを図示し、他の端末装置1の図示を省略している。
【0021】
以下、端末装置1が備える構成およびその動作を説明する。端末装置1は、既知情報記憶部100、通信監視部101、通信履歴記憶部102、被害報告部103、被害情報受信部104、被害情報記憶部105、加害者判定部106、通信解析部107、通信履歴報告部108、操作検出部109、および操作時刻記憶部110を備えている。端末装置1は被害者にも加害者にもなり得ることから、端末装置1は、被害者としての処理構成(被害報告部103)と、加害者としての処理構成(既知情報記憶部100、通信解析部107、通信履歴報告部108、操作検出部109、操作時刻記憶部110)との両方を備えている。既知情報記憶部100、通信履歴記憶部102、被害情報記憶部105、および操作時刻記憶部110は、異なる記録媒体で構成されていてもよいし、同一の記録媒体上の異なる記憶領域で構成されていてもよい。
【0022】
既知情報記憶部100は、予め得られている既知情報を記憶する。サーバ2などの他の装置から既知情報を受信することによって端末装置1が既知情報を取得してもよいし、既知情報が格納された記録媒体から既知情報を読み出すことによって端末装置1が既知情報を取得してもよい。既知情報の詳細については後述する。
【0023】
通信監視部101は、端末装置1が他の装置と行う通信を監視し、通信結果を通信履歴として通信履歴記憶部102に格納する。通信監視部101の機能は、例えばMicrosoft(登録商標)社から提供されているPort Reporterというツールにより実現することが可能である。あるいは、Windows(登録商標) XP標準のIPHLPAPI.DLLで、TCPについてはAllocateAndGetTcpExTableFromStack()、UDPについてはUDP:AllocateAndGetUdpExTableFromStack()というAPIを100msec程度の周期で呼び出すことによっても、通信監視部101の機能を実現することが可能である。
【0024】
通信履歴記憶部102は通信履歴を記憶する。この通信履歴には、監視対象となった通信の宛先を識別する識別情報と、監視対象となった通信を実行したときに起動した通信プロセスを識別する情報(本実施形態では通信プロセス名)と、監視対象となった通信が利用したポート番号と、監視対象となった通信を行った時刻(通信時刻)とが含まれる。識別情報は、IPアドレスまたはドメイン名、もしくはその両方であり、ドメイン名はFQDN(Fully Qualified Domain Name)であってもよい。以下に登場する他の識別情報についても同様である。識別情報を構成するIPアドレスとドメイン名とを関連付けるには、通信時にDNSサーバに名前解決を依頼した後、DNSサーバから返信されるパケットにIPアドレスとドメイン名の両者が含まれていることを利用すればよい。
【0025】
被害報告部103は、端末装置1がボットによる攻撃パケットを受信し被害者となった場合に、攻撃パケットの受信に係る通信履歴を含むメッセージをサーバ2へ送信することによって、サーバ2に被害を報告する。サーバ2へ送信する通信履歴には、端末装置1の識別情報と攻撃パケットの受信時刻(攻撃時刻とする)が含まれる。この通信履歴を含むメッセージの送信は、例えば攻撃を受けたことを認識したユーザが端末装置1に入力した指示に基づいて行われる。
【0026】
ボットによる攻撃に関する通信履歴を各端末装置1から受信したサーバ2は、各端末装置1の通信履歴を統合した被害情報を生成し、被害情報を含むメッセージを端末装置1へ送信する。この被害情報には、攻撃パケットを受信した端末装置1の識別情報と攻撃時刻(あるいは攻撃時刻を含む時間範囲でもよい)が含まれている。被害情報受信部104は、被害情報を含むサーバ2からのメッセージを受信し、メッセージに含まれる被害情報を被害情報記憶部105に格納する。被害情報記憶部105は被害情報を記憶する。
【0027】
加害者判定部106は、端末装置1が加害者であるか否かを判定する。この判定には、被害情報記憶部105が記憶する被害情報に含まれる識別情報および攻撃時刻と、通信履歴記憶部102が記憶する通信履歴に含まれる識別情報および通信時刻とが用いられる。具体的には、加害者判定部106は、まず被害情報記憶部105から被害情報を読み出すと共に、通信履歴記憶部102から通信履歴を読み出す。続いて、加害者判定部106は、被害情報に含まれる攻撃時刻と、通信履歴に含まれる通信時刻とを比較し、攻撃時刻を基準とする前後の所定時間以内の通信時刻を含む通信履歴を以降の処理対象とする。
【0028】
続いて、加害者判定部106は、被害情報に含まれる識別情報(攻撃パケットを受信した端末装置1の識別情報)と、通信履歴に含まれる識別情報(通信の宛先の装置の識別情報)とが一致するか否かを判定する。被害情報に含まれる識別情報が、通信履歴に含まれるいずれかの識別情報と一致した場合、自身の端末装置1が加害者であると判断することが可能である。また、被害情報に含まれる識別情報が、通信履歴に含まれるどの識別情報とも一致しなかった場合、自身の端末装置1が加害者ではないと判断することが可能である。
【0029】
続いて、加害者判定部106は判定結果および攻撃時刻を通信解析部107に通知する。本実施形態では、端末装置1が加害者であると判断された場合に通信解析部107は以降の処理を行い、端末装置1が加害者ではないと判断された場合に通信解析部107は以降の処理を行わない。
【0030】
通信解析部107は、既知情報記憶部100が記憶する既知情報と、通信履歴記憶部102が記憶する通信履歴と、操作時刻記憶部110が記憶する操作時刻とに基づいて、端末装置1が行った通信を解析し、指令サーバとの通信に係る通信履歴を抽出する。通信解析部107のより具体的な動作については後述する。通信履歴報告部108は、通信解析部107が抽出した通信履歴を含むメッセージをサーバ2へ送信する。
【0031】
操作検出部109は、端末装置1に対するユーザの操作を検出し、検出を行った時刻を操作時刻として操作時刻記憶部110に格納する。操作時刻記憶部110は操作時刻を記憶する。上記の構成のほか、端末装置1は、ユーザが操作入力を行う入力装置や、通信プロセスの実行ファイル等を記憶する記憶装置等を備えているが、図示を省略している。
【0032】
次に、サーバ2が備える構成およびその動作を説明する。サーバ2は、被害情報受信部200、被害情報記憶部201、被害情報配信部202、通信履歴受信部203、通信履歴記憶部204、および通信解析部205を備えている。被害情報記憶部201と通信履歴記憶部204は、異なる記録媒体で構成されていてもよいし、同一の記録媒体上の異なる記憶領域で構成されていてもよい。
【0033】
被害情報受信部200は、各端末装置1から送信された、被害情報を含むメッセージを受信し、メッセージに含まれる各被害情報を統合して被害情報記憶部201に格納する。被害情報記憶部201は被害情報を記憶する。被害情報配信部202は、被害情報記憶部201から被害情報を読み出し、被害情報を含むメッセージを端末装置1へ送信することによって、被害情報を各端末装置1に配信する。
【0034】
通信履歴受信部203は、端末装置1から送信された、通信履歴を含むメッセージを受信し、メッセージに含まれる通信履歴を通信履歴記憶部204に格納する。通信履歴記憶部204は通信履歴を記憶する。通信解析部205は、通信履歴記憶部204が記憶する通信履歴に基づいて、各端末装置1が行った通信を解析する。通信解析部205のより具体的な動作については後述する。
【0035】
次に、端末装置1が備える通信解析部107のより具体的な構成および動作を説明する。図2は通信解析部107の構成を示している。通信解析部107は、時刻判定部107a、ポート番号判定部107b、および通信履歴抽出部107cを備えている。通信解析部107による通信の解析には、既知情報記憶部100に格納されている既知情報と、通信履歴記憶部102に格納されている通信履歴と、操作時刻記憶部110に格納されている操作時刻とが用いられる。
【0036】
既知情報記憶部100は、通信解析部107が参照する既知情報として、ポート番号リストを記憶する。ポート番号リストは、攻撃パケットの送信に利用されるポート番号をリスト化したものである。ポート番号リストには、攻撃に頻繁に利用されるTCP-Port 25,TCP-Port 135-139,UDP-Port 53が含まれる。
【0037】
時刻判定部107aは、通信履歴記憶部102から通信履歴を読み出し、通信履歴に含まれる通信プロセス名を取得する。続いて、時刻判定部107aは、取得した通信プロセス名を有する通信プロセスの実行ファイルの生成時刻または更新時刻を取得する。ボットには、新たな実行ファイルを次々に取得して通信プロセスを起動するという特徴や、Webブラウザに寄生して新たな実行ファイルを取得し、その後Webブラウザを元の状態に戻すという特徴を有している。これらの特徴を有するボットによって起動する通信プロセスの実行ファイルの生成時刻または更新時刻は新しく、攻撃時刻に近い。
【0038】
このため、時刻判定部107aは、加害者判定部106から通知された攻撃時刻を基準とする所定期間(攻撃時刻の1時間前など)を設定し、上記の生成時刻または更新時刻が所定期間に含まれるか否かを判定する。生成時刻または更新時刻が所定期間に含まれない場合、実行ファイルの正常な生成または更新が行われたと判定することができる。これに対して、生成時刻または更新時刻が所定期間に含まれる場合、該当する通信プロセスが実行した通信は指令サーバとの通信である可能性がある。したがって、時刻判定部107aによる判定の結果から、指令サーバとの通信に係る通信履歴の候補を特定することが可能である。
【0039】
ただし、ボットに感染する直前に、Windows(登録商標) Updateなどの機能により、端末装置1が実行ファイルの正規な生成または更新を行う可能性があるため、これに係る通信履歴を除外することがより望ましい。実行ファイルの正規な生成または更新はユーザの操作に基づいて行われるので、実行ファイルの生成時刻または更新時刻がユーザの操作時刻を基準とする所定期間内の場合には、その実行ファイルの生成または更新は正常であるものとする。
【0040】
上記に基づき、時刻判定部107aは、操作時刻記憶部110から操作時刻を読み出し、操作時刻を基準とする所定期間(操作時刻の数分後など)を設定する。また、時刻判定部107aは、操作時刻を基準とする所定期間を含まないように、攻撃時刻を基準とする所定期間を設定した上で、上記の判定を行う。これによって、ユーザの操作に基づく実行ファイルの正常な生成または更新に係る通信履歴を除外し、指令サーバとの通信に係る通信履歴の候補を特定することが可能となる。
【0041】
時刻判定部107aは、実行ファイルの生成時刻または更新時刻が攻撃時刻に基づく所定期間に含まれた通信プロセス名を判定結果として通信履歴抽出部107cに通知する。この通信プロセス名を含む通信履歴は、指令サーバとの通信に係る通信履歴の候補であるが、ボットは指令サーバとの通信以外に被害者への攻撃も行うため、上記の通信履歴の候補から、被害者への攻撃に係る通信履歴を除外する必要がある。ポート番号判定部107bは、このための判定を行う。
【0042】
ポート番号判定部107bは、既知情報記憶部100からポート番号リストを読み出すと共に、通信履歴記憶部102から通信履歴を読み出す。続いて、ポート番号判定部107bは、通信履歴に含まれるポート番号がポート番号リスト内のポート番号と一致するか否かを判定する。通信履歴に含まれるポート番号がポート番号リスト内のいずれかのポート番号と一致した場合、このポート番号を利用した通信は、攻撃パケットの送信に利用した通信であると判定することができる。また、通信履歴に含まれるポート番号がポート番号リスト内のどのポート番号とも一致しなかった場合、このポート番号を利用した通信は指令サーバとの通信である可能性がある。したがって、ポート番号判定部107bによる判定の結果から、被害者を宛先とする通信を除外し、指令サーバとの通信に係る通信履歴の候補を特定することが可能である。ポート番号判定部107bは、ポート番号リスト内のどのポート番号とも一致しなかったポート番号を判定結果として通信履歴抽出部107cに通知する。
【0043】
通信履歴抽出部107cは、通信履歴記憶部102から通信履歴を読み出し、時刻判定部107aによる判定の結果と、ポート番号判定部107bによる判定の結果とに基づいて、指令サーバとの通信に係る通信履歴を抽出する。具体的には、通信履歴抽出部107cは、時刻判定部107aによる判定の結果、実行ファイルの生成時刻または更新時刻が攻撃時刻に基づく所定期間に含まれると判定された通信プロセス名を含み、かつポート番号判定部107bによる判定の結果、ポート番号リスト内のどのポート番号とも一致しないと判定されたポート番号を含む通信履歴を抽出する。上記のようにして抽出された通信履歴が、指令サーバとの通信に係る通信履歴として特定されたものである。また、抽出された通信履歴に含まれる識別情報が指令サーバの識別情報となる。上記の通信履歴の抽出の際に、被害情報に含まれる攻撃時刻を基準とした前後の所定時間以内の通信時刻を含む通信履歴を処理対象としてもよい。
【0044】
次に、サーバ2が備える通信解析部205のより具体的な動作を説明する。サーバ2の通信履歴記憶部204には、指令サーバとの通信に係る通信履歴として各端末装置1で抽出された通信履歴が格納されている。各通信履歴は、端末装置1毎に区別できるようになっている。通信解析部205は、通信履歴記憶部204から複数の端末装置1についての通信履歴を読み出し、それらに共通する識別情報があるか否かを判定する。
【0045】
より具体的には、通信解析部205はまず、1つの端末装置1についての通信履歴から、互いに異なる1または複数の識別情報を抽出し、各識別情報と出現頻度のペアを記憶装置に格納する。ここで、「互いに異なる」と記載したのは、1つの端末装置1についての通信履歴が複数のレコードからなり、同一の識別情報が複数レコードに記録されている場合に、同一の識別情報を1回だけ抽出する(その結果、抽出された識別情報は全て異なる)ことを明示するためである。最初の端末装置1についての通信履歴を処理したときには各識別情報の出現頻度は1にセットされる。
【0046】
続いて、通信解析部205は、他の1つの端末装置1についての通信履歴から、互いに異なる1または複数の識別情報を抽出し、記憶装置に格納されている各識別情報と比較する。通信履歴から抽出した識別情報が、記憶装置に格納されているいずれかの識別情報と一致した場合、その識別情報の出現頻度に1が加算される。また、通信履歴から抽出した識別情報が、記憶装置に格納されているどの識別情報とも一致しなかった場合、新たな識別情報と出現頻度(値は1)のペアが記憶装置に格納される。通信解析部205は、全ての端末装置1についての通信履歴を処理するまで上記の処理を繰り返す。上記の処理が終了したら、通信解析部205は記憶装置から出現頻度を読み出し、その出現頻度が所定値N(Nは2以上)以上である場合に、その出現頻度とペアになっている識別情報を記憶装置から読み出す。この識別情報は、指令サーバの識別情報として信頼度が高いものとなる。
【0047】
ボットでは、加害者として機能する複数の端末装置1が同一の指令サーバと通信を行う特徴がある。したがって、複数の端末装置1で抽出した通信履歴の中から、共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信に係る通信履歴の抽出精度を高めることができる。
【0048】
図3は、共通の識別情報を有する通信履歴が抽出される様子を示している。加害者となった端末装置1a,1b,1c,1dから通信履歴がサーバ2に報告される。4つの端末装置の通信履歴のうち、端末装置1b,1cからの通信履歴が、共通する識別情報を有している。この識別情報は、指令サーバの識別情報として、より信頼度が高いものとなる。通信プロセス名(図3の「nbin.exe」)も取得されている場合には、共通する通信プロセス名を有する通信履歴を抽出することによって、指令サーバとの通信に係る通信履歴の抽出精度をより高めることができる。
【0049】
上述したように、本実施形態によれば、通信プロセスの実行ファイルの生成時刻または更新時刻に関する判定と、通信に利用したポート番号に関する判定とを組み合わせることによって、既知の正常な通信と、攻撃パケットの送信に利用した通信とを除外し、指令サーバとの通信を検出することができる。
【0050】
また、加害者判定部106による判定の結果、端末装置1が加害者であると判断された場合に通信履歴の抽出を行うことによって、指令サーバとの通信の検出精度を向上することができる。さらに、加害者であると判断された端末装置1が、指令サーバ2との通信に係る通信履歴のみをサーバ2に報告することによって、端末装置1の正常な通信履歴の漏洩を防止することができる。
【0051】
また、複数の端末装置1で抽出した通信履歴の中から、共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信の検出精度を向上することができる。
【0052】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態による端末装置1の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
【0053】
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0054】
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【図面の簡単な説明】
【0055】
【図1】本発明の一実施形態による情報処理システムの構成を示すブロック図である。
【図2】本発明の一実施形態による端末装置が備える通信解析部の構成を示すブロック図である。
【図3】本発明の一実施形態によるサーバが備える通信解析部の動作を説明するための参考図である。
【図4】ボットによる通信のモデルを示す参考図である。
【図5】ボットによる通信をモニタした結果を示す参考図である。
【符号の説明】
【0056】
1・・・端末装置(第1の情報処理装置)、2・・・サーバ(第2の情報処理装置)、100・・・既知情報記憶部(既知情報記憶手段)、101・・・通信監視部、102,204・・・通信履歴記憶部(通信履歴記憶手段)、103・・・被害報告部(送信手段)、104,200・・・被害情報受信部(受信手段)、105,201・・・被害情報記憶部、106・・・加害者判定部、107,205・・・通信解析部(第1の抽出手段、第2の抽出手段)、107a・・・時刻判定部(時刻判定手段)、107b・・・ポート番号判定部(ポート番号判定手段)、107c・・・通信履歴抽出部(抽出手段)、108・・・通信履歴報告部、109・・・操作検出部、110・・・操作時刻記憶部、202・・・被害情報配信部、203・・・通信履歴受信部(受信手段)
【技術分野】
【0001】
本発明は、通信に係る情報を処理する情報処理装置および情報処理システムに関する。また、本発明は、情報処理装置としてコンピュータを機能させるためのプログラム、およびそのプログラムを記録した記録媒体にも関する。
【背景技術】
【0002】
近年、ウィルスに感染したコンピュータに悪質な動作を実行させる、ボットと呼ばれるウィルスによる被害が拡大している。ボットは、外部の指令サーバに通信セッションを確立して新たなコードをダウンロードする機能や、攻撃のための指令を受ける機能、指令に従って攻撃する機能などを持つ悪意のコードで構成されている。ボットに感染して加害者として攻撃を行うことになった加害者装置や上記の指令サーバを撲滅することは重要であり、被害者装置から通信経路を辿って攻撃元を追跡するIPトレースバック技術が注目されている。
【0003】
IPトレースバックとは、送信元のIPアドレスを詐称して行う攻撃を、パケット中のIPレイヤの情報を用いて追跡する手法である。IPトレースバックの代表的な方式として、通過するパケットのハッシュ値を通信経路上の専用の装置で保存しておき、被害者側に届いた攻撃パケットのハッシュ値を、装置に残された情報から追跡するハッシュ方式がある(非特許文献1,2参照)。
【0004】
この他、ルータを通過するパケットをサンプリングして、パケット情報とルータ情報をICMPパケットに載せて、Destination IP(被害者のIPアドレス)へ送付するICMP方式がある(非特許文献3参照)。また、通過するパケットをサンプリングして、ルーティングに影響のないヘッダ領域にルータ情報を書き込むパケットマーキング方式もあり、被害者側でマーキング情報を組み立てることで、通信経路を追跡することができる(非特許文献4参照)。
【非特許文献1】Strayer, W. T. Jones, C. E. Tchakountio, F. Snoeren, A. C. Schwartz, B. Clements, R. C. Condell, M. Partridge, “Traceback of single IP packets using SPIE, ” DARPA Information Survivability Conference and Exposition, Proceedings, Vol. 2, pp. 266-270, April 2003.
【非特許文献2】A. C. Snoeren, C. Partridge, L. A. Sanchez, C. E. Jones, F. Tchakountio, S. T. Kent, and W. T. Strayer“Hash-Based IP Traceback,”Proceeding or SIGCOMM ’01, August 2001.
【非特許文献3】Steven Bellovin, and Marcus Leech, Tom Taylor, “ICMP Traceback Messages,” IETF, Internet Draft, draft-ietf-itrace-04.txt, Aug. 2003.
【非特許文献4】D. Song and A Perrig, “Advanced and Authenticated Marking Schemes for IP Traceback,” Proc. of IEEE Inforcom, April, 2001.
【発明の開示】
【発明が解決しようとする課題】
【0005】
図4は、ボットによる通信のモデルを示している。ボットによる通信には、攻撃を行う加害者PC(Personal Computer)400,401と、攻撃を受ける被害者PC410,411,412,413と、攻撃コード(実行ファイル)の配信や攻撃指示を行う指令サーバ420,421とが関係している。外部の加害者PC400は、ボットをダウンロードする初期コードを加害者PC401に埋め込む。加害者PC401は、この初期コードに従って指令サーバ420から新たなコードを受信する。さらに、加害者PC401は、指令サーバ421から指令を受け取り、被害者PCに対して各種攻撃を行う。
【0006】
本発明者らは、通信プロセスと通信の宛先をモニタするツールを実装し、加害者PCの通信挙動をモニタした。図5はこの様子を示している。加害者PCは初期のコード“^21.tmp.exe”を起動すると、新たにコード“nbin.exe”を取得した(時刻14:06:51)。この53秒後、加害者PCはコード“nbin.exe”により外部サーバとの通信を開始してコード“EventLogger.exe”を取得した(時刻14:07:44)。また、90秒後には加害者PCはコード“EventLogger.exe”により新たな通信を開始した(時刻14:08:21)。上記の3種類のコードによる通信が指令サーバとの通信である。
【0007】
上記のようにボットに感染した加害者PCが指令サーバと行う通信と、加害者PCが被害者PCと行う攻撃のための通信は別個の通信であり、通信に使用するパケットも異なる。このため、従来のIPトレースバック方式では、被害者PCに到着したパケットの情報に基づいて被害者PCから加害者PCまでの通信を追跡することはできるが、被害者PCに到着したパケットとは異なるパケットを用いている指令サーバまでの通信を追跡することはできなかった。
【0008】
本発明は、上述した課題に鑑みてなされたものであって、ボットに感染した装置が指令サーバと行う通信を検出することができる情報処理装置、情報処理システム、プログラム、および記録媒体を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明は、上記の課題を解決するためになされたもので、攻撃パケットの送信に利用されるポート番号を記憶する既知情報記憶手段と、監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、前記通信履歴に含まれる通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する時刻判定手段と、前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、前記通信履歴の中から、前記時刻判定手段による判定の結果、実行ファイルの生成時刻または更新時刻が前記所定期間に含まれると判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する抽出手段とを備えたことを特徴とする情報処理装置である。
【0010】
ボットには、新たな実行ファイルを次々に取得して通信プロセスを起動するという特徴がある。また、本発明者は、Webブラウザに寄生して新たな実行ファイルを取得し、その後Webブラウザを元の状態に戻すという特徴を有するボットを確認した。これらの特徴を有するボットによって起動する通信プロセスの実行ファイルの生成時刻または更新時刻は攻撃時刻に近いという特徴がある。このため、通信プロセスの実行ファイルの生成時刻または更新時刻が攻撃時刻に基づく所定期間に含まれる通信プロセスが実行した通信は指令サーバとの通信である可能性がある。
【0011】
しかし、当該通信の中には、被害者の装置を宛先とし、攻撃パケットの送信に利用した通信が含まれている可能性がある。そこで、攻撃パケットの送信に利用されることが既知であるポート番号を用いた判定を行うことにより、被害者の装置を宛先とする通信を除外することが可能となる。すなわち、通信履歴に含まれるポート番号が、攻撃パケットの送信に利用されるポート番号と一致した場合、当該ポート番号を利用した通信は、攻撃パケットの送信に利用した通信であると判定することができる。また、通信履歴に含まれるポート番号が、攻撃パケットの送信に利用されるポート番号と一致しなかった場合、当該ポート番号を利用した通信は指令サーバとの通信である可能性がある。
【0012】
したがって、通信プロセスの実行ファイルの生成時刻または更新時刻に関する判定と、通信に利用したポート番号に関する判定とを組み合わせることによって、攻撃パケットの送信に利用した通信を除外し、指令サーバとの通信を検出することができる。
【0013】
また、本発明の情報処理装置において、前記通信履歴はさらに、前記通信プロセスが実行した通信の宛先の識別情報を含み、攻撃パケットを受信した装置の識別情報を含むメッセージを他の装置から受信する受信手段と、前記通信履歴に含まれる識別情報が、前記メッセージに含まれる識別情報と一致するか否かを判定する識別情報判定手段とをさらに備え、前記抽出手段は、前記識別情報判定手段による判定の結果、前記メッセージに含まれる識別情報と一致する識別情報が前記通信履歴に含まれる場合に前記通信履歴の抽出を行うことを特徴とする。
【0014】
本発明では、指令サーバから指令を受けて被害者の装置へ攻撃パケットを送信した加害者の装置の通信履歴を処理対象とすることが特に効果的である。加害者の装置の通信履歴には、被害者の装置へ攻撃パケットを送信した通信に係る通信履歴が含まれている。したがって、攻撃パケットを受信した装置の識別情報と一致する識別情報が通信履歴に含まれる場合に通信履歴の抽出を行うことによって、指令サーバとの通信の検出精度を向上することができる。
【0015】
また、本発明は、上記の情報処理装置としてコンピュータを機能させるためのプログラムである。
【0016】
また、本発明は、上記のプログラムを格納したコンピュータ読み取り可能な記録媒体である。
【0017】
また、本発明は、第1の情報処理装置および第2の情報処理装置を備えた情報処理システムであって、前記第1の情報処理装置は、攻撃パケットの送信に利用されるポート番号を記憶する既知情報記憶手段と、監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信の宛先の識別情報と、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、前記通信履歴に含まれる通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する時刻判定手段と、前記通信履歴記憶手段が記憶する前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、前記通信履歴の中から、前記時刻判定手段による判定の結果、実行ファイルの生成時刻または更新時刻が前記所定期間に含まれると判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する第1の抽出手段と、前記第1の抽出手段が抽出した前記通信履歴を前記第2の情報処理装置へ送信する送信手段とを備え、前記第2の情報処理装置は、複数の前記第1の情報処理装置から前記通信履歴を受信する受信手段と、前記受信手段が受信した前記通信履歴の中から、共通の識別情報を有する前記通信履歴を抽出する第2の抽出手段とを備えたことを特徴とする情報処理システムである。
【0018】
ボットでは、加害者として機能する複数の装置が同一の指令サーバと通信を行う特徴がある。この特徴を利用して、複数の第1の通信装置で抽出した通信履歴の中から共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信の検出精度を向上することができる。
【発明の効果】
【0019】
本発明によれば、ボットに感染した装置が指令サーバと行う通信を検出することができるという効果が得られる。
【発明を実施するための最良の形態】
【0020】
以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態による情報処理システムの構成を示している。本情報処理システムは、ボットによる被害者または加害者となる端末装置1(例えばPC)と、端末装置1から受信する通信履歴に基づいて通信の解析を行うサーバ2とを備えている。本情報処理システムでは複数台の端末装置1が存在しているが、図1では1台のみを図示し、他の端末装置1の図示を省略している。
【0021】
以下、端末装置1が備える構成およびその動作を説明する。端末装置1は、既知情報記憶部100、通信監視部101、通信履歴記憶部102、被害報告部103、被害情報受信部104、被害情報記憶部105、加害者判定部106、通信解析部107、通信履歴報告部108、操作検出部109、および操作時刻記憶部110を備えている。端末装置1は被害者にも加害者にもなり得ることから、端末装置1は、被害者としての処理構成(被害報告部103)と、加害者としての処理構成(既知情報記憶部100、通信解析部107、通信履歴報告部108、操作検出部109、操作時刻記憶部110)との両方を備えている。既知情報記憶部100、通信履歴記憶部102、被害情報記憶部105、および操作時刻記憶部110は、異なる記録媒体で構成されていてもよいし、同一の記録媒体上の異なる記憶領域で構成されていてもよい。
【0022】
既知情報記憶部100は、予め得られている既知情報を記憶する。サーバ2などの他の装置から既知情報を受信することによって端末装置1が既知情報を取得してもよいし、既知情報が格納された記録媒体から既知情報を読み出すことによって端末装置1が既知情報を取得してもよい。既知情報の詳細については後述する。
【0023】
通信監視部101は、端末装置1が他の装置と行う通信を監視し、通信結果を通信履歴として通信履歴記憶部102に格納する。通信監視部101の機能は、例えばMicrosoft(登録商標)社から提供されているPort Reporterというツールにより実現することが可能である。あるいは、Windows(登録商標) XP標準のIPHLPAPI.DLLで、TCPについてはAllocateAndGetTcpExTableFromStack()、UDPについてはUDP:AllocateAndGetUdpExTableFromStack()というAPIを100msec程度の周期で呼び出すことによっても、通信監視部101の機能を実現することが可能である。
【0024】
通信履歴記憶部102は通信履歴を記憶する。この通信履歴には、監視対象となった通信の宛先を識別する識別情報と、監視対象となった通信を実行したときに起動した通信プロセスを識別する情報(本実施形態では通信プロセス名)と、監視対象となった通信が利用したポート番号と、監視対象となった通信を行った時刻(通信時刻)とが含まれる。識別情報は、IPアドレスまたはドメイン名、もしくはその両方であり、ドメイン名はFQDN(Fully Qualified Domain Name)であってもよい。以下に登場する他の識別情報についても同様である。識別情報を構成するIPアドレスとドメイン名とを関連付けるには、通信時にDNSサーバに名前解決を依頼した後、DNSサーバから返信されるパケットにIPアドレスとドメイン名の両者が含まれていることを利用すればよい。
【0025】
被害報告部103は、端末装置1がボットによる攻撃パケットを受信し被害者となった場合に、攻撃パケットの受信に係る通信履歴を含むメッセージをサーバ2へ送信することによって、サーバ2に被害を報告する。サーバ2へ送信する通信履歴には、端末装置1の識別情報と攻撃パケットの受信時刻(攻撃時刻とする)が含まれる。この通信履歴を含むメッセージの送信は、例えば攻撃を受けたことを認識したユーザが端末装置1に入力した指示に基づいて行われる。
【0026】
ボットによる攻撃に関する通信履歴を各端末装置1から受信したサーバ2は、各端末装置1の通信履歴を統合した被害情報を生成し、被害情報を含むメッセージを端末装置1へ送信する。この被害情報には、攻撃パケットを受信した端末装置1の識別情報と攻撃時刻(あるいは攻撃時刻を含む時間範囲でもよい)が含まれている。被害情報受信部104は、被害情報を含むサーバ2からのメッセージを受信し、メッセージに含まれる被害情報を被害情報記憶部105に格納する。被害情報記憶部105は被害情報を記憶する。
【0027】
加害者判定部106は、端末装置1が加害者であるか否かを判定する。この判定には、被害情報記憶部105が記憶する被害情報に含まれる識別情報および攻撃時刻と、通信履歴記憶部102が記憶する通信履歴に含まれる識別情報および通信時刻とが用いられる。具体的には、加害者判定部106は、まず被害情報記憶部105から被害情報を読み出すと共に、通信履歴記憶部102から通信履歴を読み出す。続いて、加害者判定部106は、被害情報に含まれる攻撃時刻と、通信履歴に含まれる通信時刻とを比較し、攻撃時刻を基準とする前後の所定時間以内の通信時刻を含む通信履歴を以降の処理対象とする。
【0028】
続いて、加害者判定部106は、被害情報に含まれる識別情報(攻撃パケットを受信した端末装置1の識別情報)と、通信履歴に含まれる識別情報(通信の宛先の装置の識別情報)とが一致するか否かを判定する。被害情報に含まれる識別情報が、通信履歴に含まれるいずれかの識別情報と一致した場合、自身の端末装置1が加害者であると判断することが可能である。また、被害情報に含まれる識別情報が、通信履歴に含まれるどの識別情報とも一致しなかった場合、自身の端末装置1が加害者ではないと判断することが可能である。
【0029】
続いて、加害者判定部106は判定結果および攻撃時刻を通信解析部107に通知する。本実施形態では、端末装置1が加害者であると判断された場合に通信解析部107は以降の処理を行い、端末装置1が加害者ではないと判断された場合に通信解析部107は以降の処理を行わない。
【0030】
通信解析部107は、既知情報記憶部100が記憶する既知情報と、通信履歴記憶部102が記憶する通信履歴と、操作時刻記憶部110が記憶する操作時刻とに基づいて、端末装置1が行った通信を解析し、指令サーバとの通信に係る通信履歴を抽出する。通信解析部107のより具体的な動作については後述する。通信履歴報告部108は、通信解析部107が抽出した通信履歴を含むメッセージをサーバ2へ送信する。
【0031】
操作検出部109は、端末装置1に対するユーザの操作を検出し、検出を行った時刻を操作時刻として操作時刻記憶部110に格納する。操作時刻記憶部110は操作時刻を記憶する。上記の構成のほか、端末装置1は、ユーザが操作入力を行う入力装置や、通信プロセスの実行ファイル等を記憶する記憶装置等を備えているが、図示を省略している。
【0032】
次に、サーバ2が備える構成およびその動作を説明する。サーバ2は、被害情報受信部200、被害情報記憶部201、被害情報配信部202、通信履歴受信部203、通信履歴記憶部204、および通信解析部205を備えている。被害情報記憶部201と通信履歴記憶部204は、異なる記録媒体で構成されていてもよいし、同一の記録媒体上の異なる記憶領域で構成されていてもよい。
【0033】
被害情報受信部200は、各端末装置1から送信された、被害情報を含むメッセージを受信し、メッセージに含まれる各被害情報を統合して被害情報記憶部201に格納する。被害情報記憶部201は被害情報を記憶する。被害情報配信部202は、被害情報記憶部201から被害情報を読み出し、被害情報を含むメッセージを端末装置1へ送信することによって、被害情報を各端末装置1に配信する。
【0034】
通信履歴受信部203は、端末装置1から送信された、通信履歴を含むメッセージを受信し、メッセージに含まれる通信履歴を通信履歴記憶部204に格納する。通信履歴記憶部204は通信履歴を記憶する。通信解析部205は、通信履歴記憶部204が記憶する通信履歴に基づいて、各端末装置1が行った通信を解析する。通信解析部205のより具体的な動作については後述する。
【0035】
次に、端末装置1が備える通信解析部107のより具体的な構成および動作を説明する。図2は通信解析部107の構成を示している。通信解析部107は、時刻判定部107a、ポート番号判定部107b、および通信履歴抽出部107cを備えている。通信解析部107による通信の解析には、既知情報記憶部100に格納されている既知情報と、通信履歴記憶部102に格納されている通信履歴と、操作時刻記憶部110に格納されている操作時刻とが用いられる。
【0036】
既知情報記憶部100は、通信解析部107が参照する既知情報として、ポート番号リストを記憶する。ポート番号リストは、攻撃パケットの送信に利用されるポート番号をリスト化したものである。ポート番号リストには、攻撃に頻繁に利用されるTCP-Port 25,TCP-Port 135-139,UDP-Port 53が含まれる。
【0037】
時刻判定部107aは、通信履歴記憶部102から通信履歴を読み出し、通信履歴に含まれる通信プロセス名を取得する。続いて、時刻判定部107aは、取得した通信プロセス名を有する通信プロセスの実行ファイルの生成時刻または更新時刻を取得する。ボットには、新たな実行ファイルを次々に取得して通信プロセスを起動するという特徴や、Webブラウザに寄生して新たな実行ファイルを取得し、その後Webブラウザを元の状態に戻すという特徴を有している。これらの特徴を有するボットによって起動する通信プロセスの実行ファイルの生成時刻または更新時刻は新しく、攻撃時刻に近い。
【0038】
このため、時刻判定部107aは、加害者判定部106から通知された攻撃時刻を基準とする所定期間(攻撃時刻の1時間前など)を設定し、上記の生成時刻または更新時刻が所定期間に含まれるか否かを判定する。生成時刻または更新時刻が所定期間に含まれない場合、実行ファイルの正常な生成または更新が行われたと判定することができる。これに対して、生成時刻または更新時刻が所定期間に含まれる場合、該当する通信プロセスが実行した通信は指令サーバとの通信である可能性がある。したがって、時刻判定部107aによる判定の結果から、指令サーバとの通信に係る通信履歴の候補を特定することが可能である。
【0039】
ただし、ボットに感染する直前に、Windows(登録商標) Updateなどの機能により、端末装置1が実行ファイルの正規な生成または更新を行う可能性があるため、これに係る通信履歴を除外することがより望ましい。実行ファイルの正規な生成または更新はユーザの操作に基づいて行われるので、実行ファイルの生成時刻または更新時刻がユーザの操作時刻を基準とする所定期間内の場合には、その実行ファイルの生成または更新は正常であるものとする。
【0040】
上記に基づき、時刻判定部107aは、操作時刻記憶部110から操作時刻を読み出し、操作時刻を基準とする所定期間(操作時刻の数分後など)を設定する。また、時刻判定部107aは、操作時刻を基準とする所定期間を含まないように、攻撃時刻を基準とする所定期間を設定した上で、上記の判定を行う。これによって、ユーザの操作に基づく実行ファイルの正常な生成または更新に係る通信履歴を除外し、指令サーバとの通信に係る通信履歴の候補を特定することが可能となる。
【0041】
時刻判定部107aは、実行ファイルの生成時刻または更新時刻が攻撃時刻に基づく所定期間に含まれた通信プロセス名を判定結果として通信履歴抽出部107cに通知する。この通信プロセス名を含む通信履歴は、指令サーバとの通信に係る通信履歴の候補であるが、ボットは指令サーバとの通信以外に被害者への攻撃も行うため、上記の通信履歴の候補から、被害者への攻撃に係る通信履歴を除外する必要がある。ポート番号判定部107bは、このための判定を行う。
【0042】
ポート番号判定部107bは、既知情報記憶部100からポート番号リストを読み出すと共に、通信履歴記憶部102から通信履歴を読み出す。続いて、ポート番号判定部107bは、通信履歴に含まれるポート番号がポート番号リスト内のポート番号と一致するか否かを判定する。通信履歴に含まれるポート番号がポート番号リスト内のいずれかのポート番号と一致した場合、このポート番号を利用した通信は、攻撃パケットの送信に利用した通信であると判定することができる。また、通信履歴に含まれるポート番号がポート番号リスト内のどのポート番号とも一致しなかった場合、このポート番号を利用した通信は指令サーバとの通信である可能性がある。したがって、ポート番号判定部107bによる判定の結果から、被害者を宛先とする通信を除外し、指令サーバとの通信に係る通信履歴の候補を特定することが可能である。ポート番号判定部107bは、ポート番号リスト内のどのポート番号とも一致しなかったポート番号を判定結果として通信履歴抽出部107cに通知する。
【0043】
通信履歴抽出部107cは、通信履歴記憶部102から通信履歴を読み出し、時刻判定部107aによる判定の結果と、ポート番号判定部107bによる判定の結果とに基づいて、指令サーバとの通信に係る通信履歴を抽出する。具体的には、通信履歴抽出部107cは、時刻判定部107aによる判定の結果、実行ファイルの生成時刻または更新時刻が攻撃時刻に基づく所定期間に含まれると判定された通信プロセス名を含み、かつポート番号判定部107bによる判定の結果、ポート番号リスト内のどのポート番号とも一致しないと判定されたポート番号を含む通信履歴を抽出する。上記のようにして抽出された通信履歴が、指令サーバとの通信に係る通信履歴として特定されたものである。また、抽出された通信履歴に含まれる識別情報が指令サーバの識別情報となる。上記の通信履歴の抽出の際に、被害情報に含まれる攻撃時刻を基準とした前後の所定時間以内の通信時刻を含む通信履歴を処理対象としてもよい。
【0044】
次に、サーバ2が備える通信解析部205のより具体的な動作を説明する。サーバ2の通信履歴記憶部204には、指令サーバとの通信に係る通信履歴として各端末装置1で抽出された通信履歴が格納されている。各通信履歴は、端末装置1毎に区別できるようになっている。通信解析部205は、通信履歴記憶部204から複数の端末装置1についての通信履歴を読み出し、それらに共通する識別情報があるか否かを判定する。
【0045】
より具体的には、通信解析部205はまず、1つの端末装置1についての通信履歴から、互いに異なる1または複数の識別情報を抽出し、各識別情報と出現頻度のペアを記憶装置に格納する。ここで、「互いに異なる」と記載したのは、1つの端末装置1についての通信履歴が複数のレコードからなり、同一の識別情報が複数レコードに記録されている場合に、同一の識別情報を1回だけ抽出する(その結果、抽出された識別情報は全て異なる)ことを明示するためである。最初の端末装置1についての通信履歴を処理したときには各識別情報の出現頻度は1にセットされる。
【0046】
続いて、通信解析部205は、他の1つの端末装置1についての通信履歴から、互いに異なる1または複数の識別情報を抽出し、記憶装置に格納されている各識別情報と比較する。通信履歴から抽出した識別情報が、記憶装置に格納されているいずれかの識別情報と一致した場合、その識別情報の出現頻度に1が加算される。また、通信履歴から抽出した識別情報が、記憶装置に格納されているどの識別情報とも一致しなかった場合、新たな識別情報と出現頻度(値は1)のペアが記憶装置に格納される。通信解析部205は、全ての端末装置1についての通信履歴を処理するまで上記の処理を繰り返す。上記の処理が終了したら、通信解析部205は記憶装置から出現頻度を読み出し、その出現頻度が所定値N(Nは2以上)以上である場合に、その出現頻度とペアになっている識別情報を記憶装置から読み出す。この識別情報は、指令サーバの識別情報として信頼度が高いものとなる。
【0047】
ボットでは、加害者として機能する複数の端末装置1が同一の指令サーバと通信を行う特徴がある。したがって、複数の端末装置1で抽出した通信履歴の中から、共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信に係る通信履歴の抽出精度を高めることができる。
【0048】
図3は、共通の識別情報を有する通信履歴が抽出される様子を示している。加害者となった端末装置1a,1b,1c,1dから通信履歴がサーバ2に報告される。4つの端末装置の通信履歴のうち、端末装置1b,1cからの通信履歴が、共通する識別情報を有している。この識別情報は、指令サーバの識別情報として、より信頼度が高いものとなる。通信プロセス名(図3の「nbin.exe」)も取得されている場合には、共通する通信プロセス名を有する通信履歴を抽出することによって、指令サーバとの通信に係る通信履歴の抽出精度をより高めることができる。
【0049】
上述したように、本実施形態によれば、通信プロセスの実行ファイルの生成時刻または更新時刻に関する判定と、通信に利用したポート番号に関する判定とを組み合わせることによって、既知の正常な通信と、攻撃パケットの送信に利用した通信とを除外し、指令サーバとの通信を検出することができる。
【0050】
また、加害者判定部106による判定の結果、端末装置1が加害者であると判断された場合に通信履歴の抽出を行うことによって、指令サーバとの通信の検出精度を向上することができる。さらに、加害者であると判断された端末装置1が、指令サーバ2との通信に係る通信履歴のみをサーバ2に報告することによって、端末装置1の正常な通信履歴の漏洩を防止することができる。
【0051】
また、複数の端末装置1で抽出した通信履歴の中から、共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信の検出精度を向上することができる。
【0052】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態による端末装置1の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
【0053】
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0054】
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【図面の簡単な説明】
【0055】
【図1】本発明の一実施形態による情報処理システムの構成を示すブロック図である。
【図2】本発明の一実施形態による端末装置が備える通信解析部の構成を示すブロック図である。
【図3】本発明の一実施形態によるサーバが備える通信解析部の動作を説明するための参考図である。
【図4】ボットによる通信のモデルを示す参考図である。
【図5】ボットによる通信をモニタした結果を示す参考図である。
【符号の説明】
【0056】
1・・・端末装置(第1の情報処理装置)、2・・・サーバ(第2の情報処理装置)、100・・・既知情報記憶部(既知情報記憶手段)、101・・・通信監視部、102,204・・・通信履歴記憶部(通信履歴記憶手段)、103・・・被害報告部(送信手段)、104,200・・・被害情報受信部(受信手段)、105,201・・・被害情報記憶部、106・・・加害者判定部、107,205・・・通信解析部(第1の抽出手段、第2の抽出手段)、107a・・・時刻判定部(時刻判定手段)、107b・・・ポート番号判定部(ポート番号判定手段)、107c・・・通信履歴抽出部(抽出手段)、108・・・通信履歴報告部、109・・・操作検出部、110・・・操作時刻記憶部、202・・・被害情報配信部、203・・・通信履歴受信部(受信手段)
【特許請求の範囲】
【請求項1】
攻撃パケットの送信に利用されるポート番号を記憶する既知情報記憶手段と、
監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、
前記通信履歴に含まれる通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する時刻判定手段と、
前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、
前記通信履歴の中から、前記時刻判定手段による判定の結果、実行ファイルの生成時刻または更新時刻が前記所定期間に含まれると判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する抽出手段と、
を備えたことを特徴とする情報処理装置。
【請求項2】
前記通信履歴はさらに、前記通信プロセスが実行した通信の宛先の識別情報を含み、
攻撃パケットを受信した装置の識別情報を含むメッセージを他の装置から受信する受信手段と、
前記通信履歴に含まれる識別情報が、前記メッセージに含まれる識別情報と一致するか否かを判定する識別情報判定手段とをさらに備え、
前記抽出手段は、前記識別情報判定手段による判定の結果、前記メッセージに含まれる識別情報と一致する識別情報が前記通信履歴に含まれる場合に前記通信履歴の抽出を行う
ことを特徴とする請求項1に記載の情報処理装置。
【請求項3】
請求項1または請求項2に記載の情報処理装置としてコンピュータを機能させるためのプログラム。
【請求項4】
請求項3に記載のプログラムを格納したコンピュータ読み取り可能な記録媒体。
【請求項5】
第1の情報処理装置および第2の情報処理装置を備えた情報処理システムであって、
前記第1の情報処理装置は、
攻撃パケットの送信に利用されるポート番号を記憶する既知情報記憶手段と、
監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信の宛先の識別情報と、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、
前記通信履歴に含まれる通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する時刻判定手段と、
前記通信履歴記憶手段が記憶する前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、
前記通信履歴の中から、前記時刻判定手段による判定の結果、実行ファイルの生成時刻または更新時刻が前記所定期間に含まれると判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する第1の抽出手段と、
前記第1の抽出手段が抽出した前記通信履歴を前記第2の情報処理装置へ送信する送信手段とを備え、
前記第2の情報処理装置は、
複数の前記第1の情報処理装置から前記通信履歴を受信する受信手段と、
前記受信手段が受信した前記通信履歴の中から、共通の識別情報を有する前記通信履歴を抽出する第2の抽出手段とを備えた
ことを特徴とする情報処理システム。
【請求項1】
攻撃パケットの送信に利用されるポート番号を記憶する既知情報記憶手段と、
監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、
前記通信履歴に含まれる通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する時刻判定手段と、
前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、
前記通信履歴の中から、前記時刻判定手段による判定の結果、実行ファイルの生成時刻または更新時刻が前記所定期間に含まれると判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する抽出手段と、
を備えたことを特徴とする情報処理装置。
【請求項2】
前記通信履歴はさらに、前記通信プロセスが実行した通信の宛先の識別情報を含み、
攻撃パケットを受信した装置の識別情報を含むメッセージを他の装置から受信する受信手段と、
前記通信履歴に含まれる識別情報が、前記メッセージに含まれる識別情報と一致するか否かを判定する識別情報判定手段とをさらに備え、
前記抽出手段は、前記識別情報判定手段による判定の結果、前記メッセージに含まれる識別情報と一致する識別情報が前記通信履歴に含まれる場合に前記通信履歴の抽出を行う
ことを特徴とする請求項1に記載の情報処理装置。
【請求項3】
請求項1または請求項2に記載の情報処理装置としてコンピュータを機能させるためのプログラム。
【請求項4】
請求項3に記載のプログラムを格納したコンピュータ読み取り可能な記録媒体。
【請求項5】
第1の情報処理装置および第2の情報処理装置を備えた情報処理システムであって、
前記第1の情報処理装置は、
攻撃パケットの送信に利用されるポート番号を記憶する既知情報記憶手段と、
監視対象となった通信を実行したときに起動した通信プロセスと、当該通信プロセスによる通信の宛先の識別情報と、当該通信プロセスによる通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、
前記通信履歴に含まれる通信プロセスの実行ファイルの生成時刻または更新時刻が、攻撃時刻に基づく所定期間に含まれるか否かを判定する時刻判定手段と、
前記通信履歴記憶手段が記憶する前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、
前記通信履歴の中から、前記時刻判定手段による判定の結果、実行ファイルの生成時刻または更新時刻が前記所定期間に含まれると判定された通信プロセスを含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する第1の抽出手段と、
前記第1の抽出手段が抽出した前記通信履歴を前記第2の情報処理装置へ送信する送信手段とを備え、
前記第2の情報処理装置は、
複数の前記第1の情報処理装置から前記通信履歴を受信する受信手段と、
前記受信手段が受信した前記通信履歴の中から、共通の識別情報を有する前記通信履歴を抽出する第2の抽出手段とを備えた
ことを特徴とする情報処理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2010−9187(P2010−9187A)
【公開日】平成22年1月14日(2010.1.14)
【国際特許分類】
【出願番号】特願2008−165749(P2008−165749)
【出願日】平成20年6月25日(2008.6.25)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成19年度、独立行政法人情報通信研究機構、「インターネットにおけるトレースバック技術に関する研究開発」委託研究、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(599108264)株式会社KDDI研究所 (233)
【Fターム(参考)】
【公開日】平成22年1月14日(2010.1.14)
【国際特許分類】
【出願日】平成20年6月25日(2008.6.25)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成19年度、独立行政法人情報通信研究機構、「インターネットにおけるトレースバック技術に関する研究開発」委託研究、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(599108264)株式会社KDDI研究所 (233)
【Fターム(参考)】
[ Back to top ]