良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム
【課題】悪性ドメインリストに含まれる良性ドメイン名を抽出、除外する技術を提供する。
【解決手段】悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置において、悪性ドメインリストを格納した悪性ドメインリスト格納手段と、前記悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出手段と、前記スコア算出手段により算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当する否かを判定する判定手段と、前記判定手段により良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成手段と、を備える。
【解決手段】悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置において、悪性ドメインリストを格納した悪性ドメインリスト格納手段と、前記悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出手段と、前記スコア算出手段により算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当する否かを判定する判定手段と、前記判定手段により良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成手段と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ボット感染端末を検出する技術に関連するものであり、特に、ボット感染端末を特定するための悪性ドメインリストに含まれる良性ドメイン名を除外するための技術に関連するものである。
【背景技術】
【0002】
悪意あるプログラムであるボットに感染している端末を検出する手法として、DNSトラフィックを監視する手法が提案されている。この手法は、ボット特有の通信相手のドメイン名(悪性ドメイン名)をDNSサーバに問い合わせたユーザ(ユーザ端末)をボット感染ユーザ端末と判定するものである。また、悪性ドメイン名を取得するために、ハニーポットを用いる方法が提案されている。ハニーポットはOSの脆弱性を模擬した端末であり、それに感染活動を行うボットを捕え、ボットの挙動を分析し、悪性ドメイン名を抽出する機能を有するものである。
【0003】
ハニーポットは効率的にボットを捕え、悪性ドメインリストを収集することができる。しかしながら、ボットはネットワークの接続性を確認するために、ボット特有の通信相手以外の、良性ドメイン名へのアクセスを試みることがある。ボットが良性ドメイン名へアクセスする際もDNSを用いるため、ハニーポットで収集した悪性ドメインリストの中には良性ドメイン名が含まれてしまう。この悪性ドメインリストをそのまま利用すると、良性ドメイン名をDNSサーバへ問い合わせた端末もボット感染者としてしまい、検出精度が低下してしまう問題がある。
【0004】
検出精度の低下を防ぐために、目視等により手動でリストに含まれるドメイン名が良性かどうかを判断し、除外する必要があるが、リストの大きさによっては全ての良性ドメイン名を除外しきれず、見逃してしまう等といった問題が発生する。
【0005】
なお、本願の先行技術文献として非特許文献1がある。この文献は、ユーザの送出するDNSクエリの共起関係をもとに、未知の悪性ドメインを発見して既存の悪性ドメインリストを拡張する手法を開示している。
【0006】
また、他の先行技術文献として非特許文献2がある。この文献は、悪性ドメインリストから良性ドメイン名を検出する技術を開示しており、この技術では、グラフカーネル(非特許文献3)を用いてドメイン名のスコア付を行っている。
【0007】
また、他の先行技術文献として非特許文献4がある。この文献は、既存の悪性ドメイン名及びその登録者の情報を利用して未知の悪性ドメイン名を発見する技術を開示している。この技術は、悪意ある登録者が既存の悪性ドメイン名以外のドメイン名を登録している場合、そのドメイン名も悪性である可能性が高いというアイデアをもとにした技術である。
【先行技術文献】
【非特許文献】
【0008】
【非特許文献1】K. Sato, K. Ishibashi, T. Toyono, and N. Miyake, "Extending Black Domain Name List by Using Co-occurrence Relation between DNS Queries," Proceedings of the 3rd USENIX Workshop on Large-Scale Exploits and Emergent Threats, 2010
【非特許文献2】石橋圭介, 豊野剛, 佐藤一道, 岩村誠, "DNSクエリグラフを用いた悪性ドメイン名リスト評価," インターネットアーキテクチャ研究会, 2009
【非特許文献3】R. L. Kondor, "Diffusion Kernels on Graphs and Other Discrete Input Spaces," Proceedings of the 19th International Conference on Machine Learning, 2002
【非特許文献4】M. Felegyhazi, C. Kreibich, and V. Paxon, "On the Potential of Proactive Domain Blacklisting," Proceedings of the 3rd USENIX Workshop on Large-Scale Exploits and Emergent Threats, 2010
【発明の概要】
【発明が解決しようとする課題】
【0009】
本発明は上記の問題点に鑑みてなされたものであり、悪性ドメインリストに含まれる良性ドメイン名を抽出、除外し、悪性ドメインリストの精度を高めてボット感染端末の検出の精度を高めることを可能とした技術を提供することを目的とする。
【課題を解決するための手段】
【0010】
上記の課題を解決するために、本発明は、悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置であって、
悪性ドメインリストを格納した悪性ドメインリスト格納手段と、
前記悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出手段と、
前記スコア算出手段により算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当する否かを判定する判定手段と、
前記判定手段により良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成手段と、を備えたことを特徴とする良性ドメイン名除外装置として構成される。
【0011】
前記良性ドメイン名除外装置は、ユーザ端末からDNSサーバへの問い合わせに係るトラフィック情報を格納するトラフィック情報格納手段を更に備え、前記スコア算出手段は、前記悪性ドメインリストに含まれるあるドメイン名と他のドメイン名に関しての、前記トラフィック情報における共起頻度を算出し、当該共起頻度が大きいほど、良性ドメイン名に該当すると判定され易い大きさになるように前記あるドメイン名のスコアを算出する第1のスコア算出手段を備えることとしてもよい。
【0012】
また、前記良性ドメイン名除外装置は、DNSサーバが登録しているドメイン名の情報を格納したDNSサーバ情報格納手段を更に備え、前記スコア算出手段は、前記悪性ドメインリストに含まれるあるドメイン名を登録しているDNSサーバが、他に所有しているドメイン名を前記DNSサーバ情報格納手段から取得し、当該ドメイン名の組織名を表すラベルのばらつきを示す値を算出し、当該ばらつきを示す値が小さいほど、良性ドメイン名に該当すると判定され易い大きさになるように前記あるドメイン名のスコアを算出する第2のスコア算出手段を備えることとしてもよい。
【0013】
また、前記良性ドメイン名除外装置は、ユーザ端末からDNSサーバへの問い合わせに係るトラフィック情報を格納するトラフィック情報格納手段と、DNSサーバが登録しているドメイン名の情報を格納したDNSサーバ情報格納手段とを更に備え、前記スコア算出手段は、
前記悪性ドメインリストに含まれるあるドメイン名と他のドメイン名に関しての、前記トラフィック情報における共起頻度を算出し、当該共起頻度が大きいほど、スコアが小さくなるように前記あるドメイン名のスコアを算出する第1のスコア算出手段と、
前記悪性ドメインリストに含まれるあるドメイン名を登録しているDNSサーバが、他に所有しているドメイン名を前記DNSサーバ情報格納手段から取得し、当該ドメイン名の組織名を表すラベルのばらつきを示す値を算出し、当該ばらつきを示す値が小さいほど、スコアが小さくなるように前記あるドメイン名のスコアを算出する第2のスコア算出手段と、を備えることとしてもよい。
【0014】
上記の良性ドメイン名除外装置において、前記判定手段は、悪性ドメインリストに含まれるあるドメイン名のスコアとして、前記第1のスコア算出手段で算出されたスコアと、前記第2のスコア算出手段で算出されたスコアを組み合わせたスコアを算出することとしてもよい。更に、前記判定手段は、前記第1のスコア算出手段で算出されたスコアと前記第2のスコア算出手段で算出されたスコアを組み合わせた前記スコアが予め定めた値よりも小さいドメイン名を、良性ドメイン名に該当すると判定するようにしてもよい。
【0015】
また、本発明は、コンピュータを、上記各良性ドメイン名除外装置の各手段として機能させるためのプログラムとして構成することもできる。
【0016】
また、本発明は、悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置が実行する良性ドメイン名除外方法であって、
悪性ドメインリストを格納した悪性ドメインリスト格納手段に格納されている悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出ステップと、
前記スコア算出ステップにより算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当するか否かを判定する判定ステップと、
前記判定ステップにより良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成ステップと、を備えたことを特徴とする良性ドメイン名除外方法として構成することもできる。
【発明の効果】
【0017】
本発明によれば、悪性ドメインリストに含まれるドメイン名の中から良性ドメイン名を判定し、それを悪性ドメインリストから除外し、リストの精度を高めてボット感染端末の検出の精度を高めることが可能となる。
【図面の簡単な説明】
【0018】
【図1】DNS及びボットの挙動の概要を説明するための図である。
【図2】DNSサーバに登録されるドメイン名の組織部のばらつきが大きい場合の例を示す図である。
【図3】DNSサーバに登録されるドメイン名の組織部のばらつきが小さい場合の例を示す図である。
【図4】本発明の実施の形態に係る良性ドメイン名除外装置10の機能構成図である。
【図5】良性ドメイン名除外装置10の処理動作を示すフローチャートである。
【図6】悪性ドメインリストに含まれるメジャーサイトのドメイン名を除外するためのスコア算出を示す説明図である。
【図7】悪性ドメインリストに含まれる企業や大学等のドメイン名を除外するためのスコア算出を示す説明図である。
【発明を実施するための形態】
【0019】
以下、図面を参照しながら本発明の実施の形態を説明するが、本発明は下記の実施の形態に限定されるものではない。
【0020】
(実施の形態の概要、前提事項等)
実施の形態に係る装置及び処理内容を詳細に説明する前に、まず、実施の形態の概要や前提としている事項等について説明する。
【0021】
<概要>
ボットは他者への攻撃を行う際、攻撃指令を受けとるためにそのボット特有のサーバとの通信を行う。ボット(ボット感染端末)が通信を行うためには、当該サーバのIPアドレスを知る必要があるが、そのためにボットはDNSを用いることが知られている。DNSはドメイン名とIPアドレスのマッピングサービスであり、DNSサーバはドメイン名の問い合わせをユーザから受けると、それに対応するIPアドレスを返す。
【0022】
DNS及びボットの挙動例の概要を図1に示す。図1に示すように、ボット感染端末がボットコントロールサーバ(evil.com)にアクセスしようとするために、まず、DNSサーバに対してevil.comのIPアドレスを問い合わせる(ステップ1)。ボット感染端末は、DNSサーバからボットコントロールサーバのIPアドレスを取得し(ステップ2)、当該IPアドレスを用いてボットコントロールサーバにアクセスし(ステップ3)、ボットコントロールサーバから攻撃命令を受信する(ステップ4)。
【0023】
ボット特有の通信相手の情報(悪性ドメイン名)を収集し、その相手とのアクセスを試みるユーザ(ユーザ端末)を監視することで、ボット感染端末を特定することができる。悪性ドメインリストはハニーポットと呼ばれる端末を用いて生成することができるが、生成されたリストの中には良性ドメインが含まれているため、これを除外する必要がある。
【0024】
本実施の形態では、ユーザ端末とドメイン名、ドメイン名とDNS権威サーバの対応関係に注目し、悪性ドメインリストから良性ドメイン名を抽出する。ここで、本実施の形態では、ユーザ端末、ドメイン名、DNS権威サーバの情報、及び悪性ドメインリストはあらかじめ収集されているものとする。
【0025】
<ドメイン名に含まれる組織名>
ドメイン名の文字列に注目すると、その中には組織名等を表す文字列が含まれていることがある。例えば、"www.ntt.co.jp"というドメイン名であればnttという組織名が含まれている。これらは"co.jp"や"com"といったドメインの1つ左側に出現することが多い。comやco.jpのようなドメインはpublic suffix(例えば、http://publicsuffix.org/を参照)と呼ばれ、そのリストが公開されている。本実施の形態では、ドメイン名の組織部を、public suffixの1つ左側部分とする。
【0026】
<悪性ドメイン名の特徴>
悪性ドメイン名の特徴として、悪性ドメインリストによるボットとそのボットをコントロールするサーバとの通信のブロックを防ぐために、頻繁にドメイン名を変更するという特徴がある(例えば、非特許文献4参照)。そのため、ボット製作者は安価なドメイン名登録サービスを利用することが多い。そのようなサービスを提供するDNSサーバには様々なドメイン名が登録されており、それらのドメイン名の組織部も様々であり、ばらつきが大きい。このような例を図2に示す。
【0027】
<良性ドメイン名の特徴>
代表的な良性ドメイン名として企業や大学のサーバのドメイン名が挙げられる。それらの企業や大学では自組織でDNSサーバを運用し、ドメイン名を登録しているケースが多い。その場合、そのDNSサーバに登録されているドメイン名は自組織のみのものであり、それらのドメイン名の組織部のばらつきは少ない。このような例を図3に示す。この例では、ある組織xxxのDNSサーバが所有するドメイン名がwww.xxx.jp、mail.xxx.jp、smtp.xxx.jp、dhcp.xxx.jpというように、それらのドメイン名の組織部は同じものとなっている。
【0028】
<悪性ドメインリストに含まれる良性ドメイン>
本実施の形態においては、悪性ドメインリストに含まれる除外すべき良性ドメインを以下のタイプのものとしている。
【0029】
(1)メジャーサイトのドメイン名
前述の通り、ボットはインターネットとの接続性の確認のためボット特有の通信相手以外の端末との通信を行うことがある。接続性を効率良く確認するためには、常に稼動していると思われるサーバとの疎通性を確認すればよい。そのため、ボットはgoogle(登録商標)やmicrosoft(登録商標)といった有名なwebサイトにアクセスする。これによって、ハニーポットで生成した悪性ドメインリストにはこれらのドメイン名が含まれている。このようなドメイン名には、ボットに感染していない多くのユーザも頻繁にアクセスするため、悪性ドメインリストから取り除く必要がある。
【0030】
(2)企業、大学等のドメイン名
ボット製作者は安価なドメイン名登録サービスを利用してコントロールサーバを立てることの他に、脆弱性を持つ既設のサーバを乗っ取り、コントロールサーバを立てることがある。そのようなサーバの中には、企業や大学の持つサーバが含まれている。これらは悪性ドメイン名であるが、ボット特有の通信相手ではなくボットに感染していない一般ユーザもアクセスするため、悪性ドメインリストから取り除く必要がある。
【0031】
本実施の形態では、上記の2つのタイプの良性ドメイン名を悪性ドメインリストから取り除くこととしている。
【0032】
(装置構成)
図4に、本実施の形態に係る良性ドメイン名除外装置10の機能構成図を示す。図4に示すように、本実施の形態に係る良性ドメイン名除外装置10は、スコア算出部11、良性ドメイン名判定部12、新悪性ドメインリスト生成部13、DNSトラフィック情報格納部14、DNS権威サーバ情報格納部15、悪性ドメインリスト格納部16、新悪性ドメインリスト格納部17を有する。
【0033】
スコア算出部11は、第1スコア算出部111と第2スコア算出部112を含む。第1スコア算出部111は、悪性ドメイン名の共起関係からスコアを算出する機能部であり、第2スコア算出部112は、ドメイン名とDNS権威サーバの対応関係からスコアを算出する機能部である。なお、スコア算出の詳細例については後述する。
【0034】
良性ドメイン名判定部12は、スコア算出部11により算出されたスコアに基づき、悪性ドメインリストにおける各ドメイン名について、それが良性ドメイン名か否かを判定する機能部である。新悪性ドメインリスト生成部13は、良性ドメイン名判定部12により良性と判定されたドメイン名を悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する機能部である。
【0035】
DNSトラフィック情報格納部14には、多くのユーザ端末が接続されたIPネットワーク(インターネット)におけるトラフィックの監視により収集されたDNSトラフィック情報が格納されている。例えば、DNSトラフィック情報格納部14には、ユーザ端末の識別情報(IPアドレス等)、当該ユーザ端末が問い合わせた(アクセスしようとした)ドメイン名、問い合わせ先のDNS権威サーバの識別情報等が対応付けて格納されている。
【0036】
なお、本実施の形態において、DNSトラフィックの収集方法は特定の方法に限定されない。本実施の形態で説明するスコアを算出するために必要な情報を収集できるのであればどのような方法で収集してもよい。また、DNSトラフィックの収集は、良性ドメイン名除外装置10が行うようにしてもよいし、良性ドメイン名除外装置10の外部にあるネットワーク監視装置が収集し、収集された情報をDNSトラフィック情報格納部14に格納することとしてもよい。
【0037】
DNS権威サーバ情報格納部15には、例えば、DNS権威サーバの識別情報、当該DNS権威サーバが管理するドメイン名のリストが対応付けて格納される。DNS権威サーバ情報格納部15に格納されるDNS権威サーバ情報は、DNSトラフィック情報から抽出された情報であってもよいし、その他の方法で取得された情報でもよく、本実施の形態ではその収集方法は特定の方法に限定されない。本実施の形態で説明するスコアを算出するために必要な情報を収集できるのであればどのような方法で収集してもよい。
【0038】
悪性ドメインリスト格納部16には、前述したハニーポット等を用いて収集された悪性ドメインリスト(ドメイン名のリスト)が格納される。新悪性ドメインリスト格納部17には、本実施の形態の手法により、上記悪性ドメインリストから良性ドメイン名が除外された新たな悪性ドメインリストが格納される。なお、新悪性ドメインリスト格納部17を備えずに、悪性ドメインリスト格納部16に最初に格納された悪性ドメインリストから、良性ドメイン名を削除することにより、新悪性ドメインリストとしてもよい。
【0039】
本実施の形態に係る良性ドメイン名除外装置10は、CPU、記憶装置等からなるコンピュータ(コンピュータの機能を備える通信装置等を含む)に、良性ドメイン名除外装置10の各機能部の機能を実現するためのプログラムを実行させることにより実現できる。当該プログラムは可搬メモリ等の記録媒体からコンピュータにインストールすることとしてもよいし、ネットワーク上のサーバからダウンロードすることとしてもよい。また、良性ドメイン名除外装置10のスコア算出部11、良性ドメイン名判定部12、新悪性ドメインリスト生成部13をハードウェア回路として構成し、他の装置に組み込むような実施形態も可能である。
【0040】
なお、良性ドメイン名除外装置10において、第1スコア算出部111が算出するスコアのみで良性ドメイン名を判定しても、適切に良性ドメイン名を判定することができる場合など、第2スコア算出部112、及びDNS権威サーバ情報格納部15を備えなくてよい場合がある。このような場合としては、例えば、オリジナルの悪性ドメインリストの中に、企業、大学等のドメイン名が含まれないことが想定される場合等が考えられる。
【0041】
また、良性ドメイン名除外装置10において、第2スコア算出部112が算出するスコアのみで良性ドメイン名を判定しても、適切に良性ドメイン名を判定することができる場合など、第1スコア算出部111、及びDNSトラフィック情報格納部14を備えなくてよい場合がある。このような場合としては、例えば、オリジナルの悪性ドメインリストの中に、企業、大学等のドメイン名が含まれているが、メジャーサイトのドメイン名が含まれないことが想定される場合等が考えられる。
【0042】
ただし、本実施の形態では、第1スコア算出部111と第2スコア算出部112の両方を含む。
【0043】
(装置の動作)
次に、図5に示すフローチャートの手順に沿って、良性ドメイン名除外装置10が実行する良性ドメイン名除外処理について説明する。処理の概要は以下のとおりである。
【0044】
ステップ11)第1スコア算出部111が、DNSトラフィック情報格納部14及び悪性ドメインリスト格納部16に格納された情報を用いることにより、既存の悪性ドメインリストに含まれるドメイン名にアクセスを試みたユーザ端末を抽出し、悪性ドメイン名の共起関係からスコアを計算する (メジャーサイトのドメイン名の除去)。
【0045】
ステップ12)第2スコア算出部112が、DNS権威サーバ情報格納部15及び悪性ドメインリスト格納部16に格納された情報を用いることにより、ドメイン名とDNS権威サーバの対応関係をもとに、ある悪性ドメイン名が登録されているDNS権威サーバが他に持つドメイン名を抽出する。それらのドメイン名に含まれる組織情報からスコアを計算する (企業、大学等のサーバのドメイン名の除去)。
【0046】
ステップ13)良性ドメイン名判定部12が、ステップ11及び12で計算した2つのスコアを組み合わせたスコアを計算し、スコアが低いドメイン名を良性ドメイン名であると判定し、新悪性ドメインリスト生成部13が、良性ドメイン名を悪性ドメインリストから除外することにより新悪性ドメインリストを生成する。
【0047】
以下、各ステップの処理を詳細に説明する。
【0048】
<ステップ11の詳細>
ステップ11では、DNSトラフィック情報格納部14及び悪性ドメインリスト格納部16に格納されているユーザ端末、ドメイン名、悪性ドメインリストの情報をもとに、悪性ドメインリストに含まれる悪性ドメイン名にアクセスを試みたユーザ端末を抽出する。以後、これら抽出したユーザ端末を感染ユーザ端末と呼ぶこととする。
【0049】
次に、感染ユーザ端末がアクセスを試みた悪性ドメイン名の共起関係に注目し、悪性ドメイン名のスコアを計算する。本スコア計算の目的は、悪性ドメインリストに含まれるメジャーサイトのドメイン名を除外することである。
【0050】
まず、スコアを計算するために利用するドメイン名の共起関係について以下のように定義する。
【0051】
ドメイン名の共起関係:あるユーザ端末が2つのドメイン名へのアクセスを試みたとき、それらのドメイン名の関係を共起関係と呼ぶ。
【0052】
例として、あるユーザ端末が"www.ntt.co.jp"、"www.goo.co.jp"、"www.ntt-east.co.jp"の3つのドメイン名へのアクセスを行ったとき、www.ntt.co.jpとwww.goo.co.jpは共起関係にあり、www.goo.co.jpはwww.ntt.co.jpと共起している(逆も同様)、と呼ぶ。
【0053】
ステップ11では、上記の共起関係を用いて、悪性ドメインリストに含まれるドメイン名dのスコア付の一例として、以下の式1によりスコアC(d)を算出する。
【0054】
【数1】
式1において、DBは悪性ドメインリスト、Hd∩dmはドメイン名dとdm(悪性ドメインリストの要素)の両方にアクセスしたユーザ端末の集合とする。式1の右辺分母はドメイン名dと悪性ドメインリストに含まれる他のドメイン名との総共起回数を表現するものである。
【0055】
前述の通り、メジャーサイトのドメイン名は多数のユーザがアクセスするものであり、大部分の感染ユーザ端末がアクセスすると考えることができる。そのため、上記の式1においてdがメジャーサイトのドメイン名である場合は他のドメイン名との共起回数が大きくなる。これによって右辺の分母部が大きくなり、そのスコアは小さくなる。一方で、真に悪性のドメイン名はボット特有の通信相手であることから、ある悪性ドメイン名へのアクセスを試みるのは、特定のボットに感染しているユーザ端末のみである。このことから、真に悪性のドメイン名は他のドメイン名との共起回数は少なくなり、そのスコアは大きくなる。
【0056】
このスコア計算の概要説明図を図6に示す。図6に示すとおり、例えば、悪性ドメインリストに含まれるblack.comというドメイン名に関しては、特定のユーザ端末(図6でのユーザ端末A)のみが問い合わせを行うため、他のドメイン名との共起頻度は、図6の場合、2回と少なく、スコアが高くなる。一方、例えば、悪性ドメインリストに含まれるgoogle.comに関しては、多くのユーザ端末がアクセスするので、他のドメイン名との共起頻度が高くなり(図6では9回)、スコアは低くなる。
【0057】
なお、本例では、スコアが小さいほど良性ドメイン名に該当すると判定され易い大きさとなるようなスコアを算出しているが、上記スコアが小さい状況のときに、値が大きくなるようなスコアの算出方法を採用してもよい。
【0058】
<ステップ12の詳細>
前述したように、悪性ドメインリストから除外すべき良性ドメイン名として企業や大学等のドメイン名もある。これらのドメイン名はポピュラーでないドメイン名もあることから、ステップ11のスコア計算方法だけでは除外対象として抽出できない可能性がある。
【0059】
そこで、ステップ12では、これらの良性ドメイン名を悪性ドメインリストから除外するために、ドメイン名とDNS権威サーバの対応関係に注目してスコア計算を行う。
【0060】
悪性、良性ドメイン名の特徴で述べたように、悪性ドメイン名が登録されているDNS権威サーバが所有する他のドメイン名(DNS権威サーバ情報格納部15から取得)の組織部(ラベル)はばらつきが大きく、良性の場合はばらつきが小さい。このことに注目し、あるドメイン名dのスコア付の一例として、以下の式2によりスコアI(d)を算出する。
【0061】
【数2】
式2において、Ddはdの情報を持つDNS権威サーバが他に所有するドメイン名の集合、Dorgを同じ組織部を持つドメイン名の集合とする。式2の右辺は組織部の情報量を表しており、ドメイン名dが登録されているDNS権威サーバが、多くの組織のドメイン名を持つとき値が大きくなる。すなわち、企業や大学等の自組織でDNS権威サーバを運用している場合はそのドメイン名のスコアは小さくなり、真に悪性のドメイン名の場合はスコアが大きくなる。
【0062】
このスコア計算の概要説明図を図7(a)、(b)に示す。図7(a)に示すとおり、安価にドメイン名を登録できるサービスを提供するDNSサーバには、様々なドメイン名が登録されているため、ドメイン名の組織名のばらつきが大きい。従って、ステップ12で算出するスコアが大きくなる。
【0063】
一方、図7(b)に示すとおり、企業や大学等が自組織で用意したDNSサーバでは、その組織のドメイン名のみを登録しているケースが多く、ドメイン名の組織名のばらつきが小さい。従って、従って、ステップ12で算出するスコアは小さくなる。
【0064】
なお、本例では、スコアが小さいほど良性ドメイン名に該当すると判定され易い大きさとなるようなスコアを算出しているが、上記スコアが小さい状況のときに、大きくなるようなスコアの算出方法を採用してもよい。
【0065】
<ステップ13の詳細>
ステップ13では、ステップ11及び12で算出したスコアをもとに、ドメイン名dの最終的なスコア付の一例として、以下の式3によりスコアS(d)を算出する。
【0066】
S(d)=C(d)×I(d) (式3)
式3において、dは悪性ドメインリストに含まれているドメイン名である。このスコアが、予め定めた値よりも小さいドメイン名をもとの悪性ドメインリストから除外し、新たな悪性ドメインリストを生成する。もちろん、良性ドメイン名に該当する状況のときに、スコアが大きくなるようなスコアの算出方法を採用したときには、スコアが予め定めた値よりも大きいドメイン名をもとの悪性ドメインリストから除外する。生成した悪性ドメインリストは、新悪性ドメインリスト格納部17に出力してもよいし、良性ドメイン名除外装置10の外部(ネットワーク接続された他の装置等)へ出力することとしてもよい。
【0067】
なお、悪性ドメインリストに含まれるドメイン名の1つ1つに対してステップ11〜13の処理を順番に行うこととしてもよいし、ステップ11を悪性ドメインリストに含まれる全てのドメイン名に対して行い、次に、ステップ12を悪性ドメインリストに含まれる全てのドメイン名に対して行い、最後に、ステップ13を悪性ドメインリストに含まれる全てのドメイン名に対して行う、といった処理の順番でもよい。また、これ以外の処理の順番でもよい。結果として、悪性ドメインリストに含まれる各ドメイン名に対して良性ドメイン名の判定を行い、良性であれば除外し、新悪性ドメインリストが生成されるのであれば、処理の順番はどのようなものでもよい。
【0068】
(実施の形態の効果)
以上説明したように、本実施の形態に係る技術によれば、悪性ドメインリストの精度が向上し、ボット感染端末を正しく検出することができる。また、これまで手動により行っていた良性ドメイン名の除外を自動化できること、および手動では見逃していた良性ドメイン名の検出が可能となる。
【0069】
なお、前述したように、非特許文献1は、ユーザの送出するDNSクエリの共起関係をもとに、未知の悪性ドメインを発見して既存の悪性ドメインリストを拡張する手法を開示するが、本実施の形態は既存の悪性ドメインリストから良性ドメイン名を取り除くものであり、少なくとも、リストの拡張ではなく縮小である点で非特許文献1の技術と異なる。
【0070】
また、非特許文献2は、悪性ドメインリストから良性ドメイン名を検出する技術を開示するが、グラフカーネルを用いてドメイン名のスコア付を行っている。少なくともこの点で、ユーザの問い合わせドメイン名の共起関係及びドメイン名の登録情報をもとにしてスコア計算をする本実施の形態の技術とは異なる。
【0071】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【符号の説明】
【0072】
10 良性ドメイン名除外装置
11 スコア算出部
111 第1スコア算出部
112 第2スコア算出部
12 良性ドメイン名判定部
13 新悪性ドメインリスト生成部
14 DNSトラフィック情報格納部
15 DNS権威サーバ情報格納部
16 悪性ドメインリスト格納部
17 新悪性ドメインリスト格納部
【技術分野】
【0001】
本発明は、ボット感染端末を検出する技術に関連するものであり、特に、ボット感染端末を特定するための悪性ドメインリストに含まれる良性ドメイン名を除外するための技術に関連するものである。
【背景技術】
【0002】
悪意あるプログラムであるボットに感染している端末を検出する手法として、DNSトラフィックを監視する手法が提案されている。この手法は、ボット特有の通信相手のドメイン名(悪性ドメイン名)をDNSサーバに問い合わせたユーザ(ユーザ端末)をボット感染ユーザ端末と判定するものである。また、悪性ドメイン名を取得するために、ハニーポットを用いる方法が提案されている。ハニーポットはOSの脆弱性を模擬した端末であり、それに感染活動を行うボットを捕え、ボットの挙動を分析し、悪性ドメイン名を抽出する機能を有するものである。
【0003】
ハニーポットは効率的にボットを捕え、悪性ドメインリストを収集することができる。しかしながら、ボットはネットワークの接続性を確認するために、ボット特有の通信相手以外の、良性ドメイン名へのアクセスを試みることがある。ボットが良性ドメイン名へアクセスする際もDNSを用いるため、ハニーポットで収集した悪性ドメインリストの中には良性ドメイン名が含まれてしまう。この悪性ドメインリストをそのまま利用すると、良性ドメイン名をDNSサーバへ問い合わせた端末もボット感染者としてしまい、検出精度が低下してしまう問題がある。
【0004】
検出精度の低下を防ぐために、目視等により手動でリストに含まれるドメイン名が良性かどうかを判断し、除外する必要があるが、リストの大きさによっては全ての良性ドメイン名を除外しきれず、見逃してしまう等といった問題が発生する。
【0005】
なお、本願の先行技術文献として非特許文献1がある。この文献は、ユーザの送出するDNSクエリの共起関係をもとに、未知の悪性ドメインを発見して既存の悪性ドメインリストを拡張する手法を開示している。
【0006】
また、他の先行技術文献として非特許文献2がある。この文献は、悪性ドメインリストから良性ドメイン名を検出する技術を開示しており、この技術では、グラフカーネル(非特許文献3)を用いてドメイン名のスコア付を行っている。
【0007】
また、他の先行技術文献として非特許文献4がある。この文献は、既存の悪性ドメイン名及びその登録者の情報を利用して未知の悪性ドメイン名を発見する技術を開示している。この技術は、悪意ある登録者が既存の悪性ドメイン名以外のドメイン名を登録している場合、そのドメイン名も悪性である可能性が高いというアイデアをもとにした技術である。
【先行技術文献】
【非特許文献】
【0008】
【非特許文献1】K. Sato, K. Ishibashi, T. Toyono, and N. Miyake, "Extending Black Domain Name List by Using Co-occurrence Relation between DNS Queries," Proceedings of the 3rd USENIX Workshop on Large-Scale Exploits and Emergent Threats, 2010
【非特許文献2】石橋圭介, 豊野剛, 佐藤一道, 岩村誠, "DNSクエリグラフを用いた悪性ドメイン名リスト評価," インターネットアーキテクチャ研究会, 2009
【非特許文献3】R. L. Kondor, "Diffusion Kernels on Graphs and Other Discrete Input Spaces," Proceedings of the 19th International Conference on Machine Learning, 2002
【非特許文献4】M. Felegyhazi, C. Kreibich, and V. Paxon, "On the Potential of Proactive Domain Blacklisting," Proceedings of the 3rd USENIX Workshop on Large-Scale Exploits and Emergent Threats, 2010
【発明の概要】
【発明が解決しようとする課題】
【0009】
本発明は上記の問題点に鑑みてなされたものであり、悪性ドメインリストに含まれる良性ドメイン名を抽出、除外し、悪性ドメインリストの精度を高めてボット感染端末の検出の精度を高めることを可能とした技術を提供することを目的とする。
【課題を解決するための手段】
【0010】
上記の課題を解決するために、本発明は、悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置であって、
悪性ドメインリストを格納した悪性ドメインリスト格納手段と、
前記悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出手段と、
前記スコア算出手段により算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当する否かを判定する判定手段と、
前記判定手段により良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成手段と、を備えたことを特徴とする良性ドメイン名除外装置として構成される。
【0011】
前記良性ドメイン名除外装置は、ユーザ端末からDNSサーバへの問い合わせに係るトラフィック情報を格納するトラフィック情報格納手段を更に備え、前記スコア算出手段は、前記悪性ドメインリストに含まれるあるドメイン名と他のドメイン名に関しての、前記トラフィック情報における共起頻度を算出し、当該共起頻度が大きいほど、良性ドメイン名に該当すると判定され易い大きさになるように前記あるドメイン名のスコアを算出する第1のスコア算出手段を備えることとしてもよい。
【0012】
また、前記良性ドメイン名除外装置は、DNSサーバが登録しているドメイン名の情報を格納したDNSサーバ情報格納手段を更に備え、前記スコア算出手段は、前記悪性ドメインリストに含まれるあるドメイン名を登録しているDNSサーバが、他に所有しているドメイン名を前記DNSサーバ情報格納手段から取得し、当該ドメイン名の組織名を表すラベルのばらつきを示す値を算出し、当該ばらつきを示す値が小さいほど、良性ドメイン名に該当すると判定され易い大きさになるように前記あるドメイン名のスコアを算出する第2のスコア算出手段を備えることとしてもよい。
【0013】
また、前記良性ドメイン名除外装置は、ユーザ端末からDNSサーバへの問い合わせに係るトラフィック情報を格納するトラフィック情報格納手段と、DNSサーバが登録しているドメイン名の情報を格納したDNSサーバ情報格納手段とを更に備え、前記スコア算出手段は、
前記悪性ドメインリストに含まれるあるドメイン名と他のドメイン名に関しての、前記トラフィック情報における共起頻度を算出し、当該共起頻度が大きいほど、スコアが小さくなるように前記あるドメイン名のスコアを算出する第1のスコア算出手段と、
前記悪性ドメインリストに含まれるあるドメイン名を登録しているDNSサーバが、他に所有しているドメイン名を前記DNSサーバ情報格納手段から取得し、当該ドメイン名の組織名を表すラベルのばらつきを示す値を算出し、当該ばらつきを示す値が小さいほど、スコアが小さくなるように前記あるドメイン名のスコアを算出する第2のスコア算出手段と、を備えることとしてもよい。
【0014】
上記の良性ドメイン名除外装置において、前記判定手段は、悪性ドメインリストに含まれるあるドメイン名のスコアとして、前記第1のスコア算出手段で算出されたスコアと、前記第2のスコア算出手段で算出されたスコアを組み合わせたスコアを算出することとしてもよい。更に、前記判定手段は、前記第1のスコア算出手段で算出されたスコアと前記第2のスコア算出手段で算出されたスコアを組み合わせた前記スコアが予め定めた値よりも小さいドメイン名を、良性ドメイン名に該当すると判定するようにしてもよい。
【0015】
また、本発明は、コンピュータを、上記各良性ドメイン名除外装置の各手段として機能させるためのプログラムとして構成することもできる。
【0016】
また、本発明は、悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置が実行する良性ドメイン名除外方法であって、
悪性ドメインリストを格納した悪性ドメインリスト格納手段に格納されている悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出ステップと、
前記スコア算出ステップにより算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当するか否かを判定する判定ステップと、
前記判定ステップにより良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成ステップと、を備えたことを特徴とする良性ドメイン名除外方法として構成することもできる。
【発明の効果】
【0017】
本発明によれば、悪性ドメインリストに含まれるドメイン名の中から良性ドメイン名を判定し、それを悪性ドメインリストから除外し、リストの精度を高めてボット感染端末の検出の精度を高めることが可能となる。
【図面の簡単な説明】
【0018】
【図1】DNS及びボットの挙動の概要を説明するための図である。
【図2】DNSサーバに登録されるドメイン名の組織部のばらつきが大きい場合の例を示す図である。
【図3】DNSサーバに登録されるドメイン名の組織部のばらつきが小さい場合の例を示す図である。
【図4】本発明の実施の形態に係る良性ドメイン名除外装置10の機能構成図である。
【図5】良性ドメイン名除外装置10の処理動作を示すフローチャートである。
【図6】悪性ドメインリストに含まれるメジャーサイトのドメイン名を除外するためのスコア算出を示す説明図である。
【図7】悪性ドメインリストに含まれる企業や大学等のドメイン名を除外するためのスコア算出を示す説明図である。
【発明を実施するための形態】
【0019】
以下、図面を参照しながら本発明の実施の形態を説明するが、本発明は下記の実施の形態に限定されるものではない。
【0020】
(実施の形態の概要、前提事項等)
実施の形態に係る装置及び処理内容を詳細に説明する前に、まず、実施の形態の概要や前提としている事項等について説明する。
【0021】
<概要>
ボットは他者への攻撃を行う際、攻撃指令を受けとるためにそのボット特有のサーバとの通信を行う。ボット(ボット感染端末)が通信を行うためには、当該サーバのIPアドレスを知る必要があるが、そのためにボットはDNSを用いることが知られている。DNSはドメイン名とIPアドレスのマッピングサービスであり、DNSサーバはドメイン名の問い合わせをユーザから受けると、それに対応するIPアドレスを返す。
【0022】
DNS及びボットの挙動例の概要を図1に示す。図1に示すように、ボット感染端末がボットコントロールサーバ(evil.com)にアクセスしようとするために、まず、DNSサーバに対してevil.comのIPアドレスを問い合わせる(ステップ1)。ボット感染端末は、DNSサーバからボットコントロールサーバのIPアドレスを取得し(ステップ2)、当該IPアドレスを用いてボットコントロールサーバにアクセスし(ステップ3)、ボットコントロールサーバから攻撃命令を受信する(ステップ4)。
【0023】
ボット特有の通信相手の情報(悪性ドメイン名)を収集し、その相手とのアクセスを試みるユーザ(ユーザ端末)を監視することで、ボット感染端末を特定することができる。悪性ドメインリストはハニーポットと呼ばれる端末を用いて生成することができるが、生成されたリストの中には良性ドメインが含まれているため、これを除外する必要がある。
【0024】
本実施の形態では、ユーザ端末とドメイン名、ドメイン名とDNS権威サーバの対応関係に注目し、悪性ドメインリストから良性ドメイン名を抽出する。ここで、本実施の形態では、ユーザ端末、ドメイン名、DNS権威サーバの情報、及び悪性ドメインリストはあらかじめ収集されているものとする。
【0025】
<ドメイン名に含まれる組織名>
ドメイン名の文字列に注目すると、その中には組織名等を表す文字列が含まれていることがある。例えば、"www.ntt.co.jp"というドメイン名であればnttという組織名が含まれている。これらは"co.jp"や"com"といったドメインの1つ左側に出現することが多い。comやco.jpのようなドメインはpublic suffix(例えば、http://publicsuffix.org/を参照)と呼ばれ、そのリストが公開されている。本実施の形態では、ドメイン名の組織部を、public suffixの1つ左側部分とする。
【0026】
<悪性ドメイン名の特徴>
悪性ドメイン名の特徴として、悪性ドメインリストによるボットとそのボットをコントロールするサーバとの通信のブロックを防ぐために、頻繁にドメイン名を変更するという特徴がある(例えば、非特許文献4参照)。そのため、ボット製作者は安価なドメイン名登録サービスを利用することが多い。そのようなサービスを提供するDNSサーバには様々なドメイン名が登録されており、それらのドメイン名の組織部も様々であり、ばらつきが大きい。このような例を図2に示す。
【0027】
<良性ドメイン名の特徴>
代表的な良性ドメイン名として企業や大学のサーバのドメイン名が挙げられる。それらの企業や大学では自組織でDNSサーバを運用し、ドメイン名を登録しているケースが多い。その場合、そのDNSサーバに登録されているドメイン名は自組織のみのものであり、それらのドメイン名の組織部のばらつきは少ない。このような例を図3に示す。この例では、ある組織xxxのDNSサーバが所有するドメイン名がwww.xxx.jp、mail.xxx.jp、smtp.xxx.jp、dhcp.xxx.jpというように、それらのドメイン名の組織部は同じものとなっている。
【0028】
<悪性ドメインリストに含まれる良性ドメイン>
本実施の形態においては、悪性ドメインリストに含まれる除外すべき良性ドメインを以下のタイプのものとしている。
【0029】
(1)メジャーサイトのドメイン名
前述の通り、ボットはインターネットとの接続性の確認のためボット特有の通信相手以外の端末との通信を行うことがある。接続性を効率良く確認するためには、常に稼動していると思われるサーバとの疎通性を確認すればよい。そのため、ボットはgoogle(登録商標)やmicrosoft(登録商標)といった有名なwebサイトにアクセスする。これによって、ハニーポットで生成した悪性ドメインリストにはこれらのドメイン名が含まれている。このようなドメイン名には、ボットに感染していない多くのユーザも頻繁にアクセスするため、悪性ドメインリストから取り除く必要がある。
【0030】
(2)企業、大学等のドメイン名
ボット製作者は安価なドメイン名登録サービスを利用してコントロールサーバを立てることの他に、脆弱性を持つ既設のサーバを乗っ取り、コントロールサーバを立てることがある。そのようなサーバの中には、企業や大学の持つサーバが含まれている。これらは悪性ドメイン名であるが、ボット特有の通信相手ではなくボットに感染していない一般ユーザもアクセスするため、悪性ドメインリストから取り除く必要がある。
【0031】
本実施の形態では、上記の2つのタイプの良性ドメイン名を悪性ドメインリストから取り除くこととしている。
【0032】
(装置構成)
図4に、本実施の形態に係る良性ドメイン名除外装置10の機能構成図を示す。図4に示すように、本実施の形態に係る良性ドメイン名除外装置10は、スコア算出部11、良性ドメイン名判定部12、新悪性ドメインリスト生成部13、DNSトラフィック情報格納部14、DNS権威サーバ情報格納部15、悪性ドメインリスト格納部16、新悪性ドメインリスト格納部17を有する。
【0033】
スコア算出部11は、第1スコア算出部111と第2スコア算出部112を含む。第1スコア算出部111は、悪性ドメイン名の共起関係からスコアを算出する機能部であり、第2スコア算出部112は、ドメイン名とDNS権威サーバの対応関係からスコアを算出する機能部である。なお、スコア算出の詳細例については後述する。
【0034】
良性ドメイン名判定部12は、スコア算出部11により算出されたスコアに基づき、悪性ドメインリストにおける各ドメイン名について、それが良性ドメイン名か否かを判定する機能部である。新悪性ドメインリスト生成部13は、良性ドメイン名判定部12により良性と判定されたドメイン名を悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する機能部である。
【0035】
DNSトラフィック情報格納部14には、多くのユーザ端末が接続されたIPネットワーク(インターネット)におけるトラフィックの監視により収集されたDNSトラフィック情報が格納されている。例えば、DNSトラフィック情報格納部14には、ユーザ端末の識別情報(IPアドレス等)、当該ユーザ端末が問い合わせた(アクセスしようとした)ドメイン名、問い合わせ先のDNS権威サーバの識別情報等が対応付けて格納されている。
【0036】
なお、本実施の形態において、DNSトラフィックの収集方法は特定の方法に限定されない。本実施の形態で説明するスコアを算出するために必要な情報を収集できるのであればどのような方法で収集してもよい。また、DNSトラフィックの収集は、良性ドメイン名除外装置10が行うようにしてもよいし、良性ドメイン名除外装置10の外部にあるネットワーク監視装置が収集し、収集された情報をDNSトラフィック情報格納部14に格納することとしてもよい。
【0037】
DNS権威サーバ情報格納部15には、例えば、DNS権威サーバの識別情報、当該DNS権威サーバが管理するドメイン名のリストが対応付けて格納される。DNS権威サーバ情報格納部15に格納されるDNS権威サーバ情報は、DNSトラフィック情報から抽出された情報であってもよいし、その他の方法で取得された情報でもよく、本実施の形態ではその収集方法は特定の方法に限定されない。本実施の形態で説明するスコアを算出するために必要な情報を収集できるのであればどのような方法で収集してもよい。
【0038】
悪性ドメインリスト格納部16には、前述したハニーポット等を用いて収集された悪性ドメインリスト(ドメイン名のリスト)が格納される。新悪性ドメインリスト格納部17には、本実施の形態の手法により、上記悪性ドメインリストから良性ドメイン名が除外された新たな悪性ドメインリストが格納される。なお、新悪性ドメインリスト格納部17を備えずに、悪性ドメインリスト格納部16に最初に格納された悪性ドメインリストから、良性ドメイン名を削除することにより、新悪性ドメインリストとしてもよい。
【0039】
本実施の形態に係る良性ドメイン名除外装置10は、CPU、記憶装置等からなるコンピュータ(コンピュータの機能を備える通信装置等を含む)に、良性ドメイン名除外装置10の各機能部の機能を実現するためのプログラムを実行させることにより実現できる。当該プログラムは可搬メモリ等の記録媒体からコンピュータにインストールすることとしてもよいし、ネットワーク上のサーバからダウンロードすることとしてもよい。また、良性ドメイン名除外装置10のスコア算出部11、良性ドメイン名判定部12、新悪性ドメインリスト生成部13をハードウェア回路として構成し、他の装置に組み込むような実施形態も可能である。
【0040】
なお、良性ドメイン名除外装置10において、第1スコア算出部111が算出するスコアのみで良性ドメイン名を判定しても、適切に良性ドメイン名を判定することができる場合など、第2スコア算出部112、及びDNS権威サーバ情報格納部15を備えなくてよい場合がある。このような場合としては、例えば、オリジナルの悪性ドメインリストの中に、企業、大学等のドメイン名が含まれないことが想定される場合等が考えられる。
【0041】
また、良性ドメイン名除外装置10において、第2スコア算出部112が算出するスコアのみで良性ドメイン名を判定しても、適切に良性ドメイン名を判定することができる場合など、第1スコア算出部111、及びDNSトラフィック情報格納部14を備えなくてよい場合がある。このような場合としては、例えば、オリジナルの悪性ドメインリストの中に、企業、大学等のドメイン名が含まれているが、メジャーサイトのドメイン名が含まれないことが想定される場合等が考えられる。
【0042】
ただし、本実施の形態では、第1スコア算出部111と第2スコア算出部112の両方を含む。
【0043】
(装置の動作)
次に、図5に示すフローチャートの手順に沿って、良性ドメイン名除外装置10が実行する良性ドメイン名除外処理について説明する。処理の概要は以下のとおりである。
【0044】
ステップ11)第1スコア算出部111が、DNSトラフィック情報格納部14及び悪性ドメインリスト格納部16に格納された情報を用いることにより、既存の悪性ドメインリストに含まれるドメイン名にアクセスを試みたユーザ端末を抽出し、悪性ドメイン名の共起関係からスコアを計算する (メジャーサイトのドメイン名の除去)。
【0045】
ステップ12)第2スコア算出部112が、DNS権威サーバ情報格納部15及び悪性ドメインリスト格納部16に格納された情報を用いることにより、ドメイン名とDNS権威サーバの対応関係をもとに、ある悪性ドメイン名が登録されているDNS権威サーバが他に持つドメイン名を抽出する。それらのドメイン名に含まれる組織情報からスコアを計算する (企業、大学等のサーバのドメイン名の除去)。
【0046】
ステップ13)良性ドメイン名判定部12が、ステップ11及び12で計算した2つのスコアを組み合わせたスコアを計算し、スコアが低いドメイン名を良性ドメイン名であると判定し、新悪性ドメインリスト生成部13が、良性ドメイン名を悪性ドメインリストから除外することにより新悪性ドメインリストを生成する。
【0047】
以下、各ステップの処理を詳細に説明する。
【0048】
<ステップ11の詳細>
ステップ11では、DNSトラフィック情報格納部14及び悪性ドメインリスト格納部16に格納されているユーザ端末、ドメイン名、悪性ドメインリストの情報をもとに、悪性ドメインリストに含まれる悪性ドメイン名にアクセスを試みたユーザ端末を抽出する。以後、これら抽出したユーザ端末を感染ユーザ端末と呼ぶこととする。
【0049】
次に、感染ユーザ端末がアクセスを試みた悪性ドメイン名の共起関係に注目し、悪性ドメイン名のスコアを計算する。本スコア計算の目的は、悪性ドメインリストに含まれるメジャーサイトのドメイン名を除外することである。
【0050】
まず、スコアを計算するために利用するドメイン名の共起関係について以下のように定義する。
【0051】
ドメイン名の共起関係:あるユーザ端末が2つのドメイン名へのアクセスを試みたとき、それらのドメイン名の関係を共起関係と呼ぶ。
【0052】
例として、あるユーザ端末が"www.ntt.co.jp"、"www.goo.co.jp"、"www.ntt-east.co.jp"の3つのドメイン名へのアクセスを行ったとき、www.ntt.co.jpとwww.goo.co.jpは共起関係にあり、www.goo.co.jpはwww.ntt.co.jpと共起している(逆も同様)、と呼ぶ。
【0053】
ステップ11では、上記の共起関係を用いて、悪性ドメインリストに含まれるドメイン名dのスコア付の一例として、以下の式1によりスコアC(d)を算出する。
【0054】
【数1】
式1において、DBは悪性ドメインリスト、Hd∩dmはドメイン名dとdm(悪性ドメインリストの要素)の両方にアクセスしたユーザ端末の集合とする。式1の右辺分母はドメイン名dと悪性ドメインリストに含まれる他のドメイン名との総共起回数を表現するものである。
【0055】
前述の通り、メジャーサイトのドメイン名は多数のユーザがアクセスするものであり、大部分の感染ユーザ端末がアクセスすると考えることができる。そのため、上記の式1においてdがメジャーサイトのドメイン名である場合は他のドメイン名との共起回数が大きくなる。これによって右辺の分母部が大きくなり、そのスコアは小さくなる。一方で、真に悪性のドメイン名はボット特有の通信相手であることから、ある悪性ドメイン名へのアクセスを試みるのは、特定のボットに感染しているユーザ端末のみである。このことから、真に悪性のドメイン名は他のドメイン名との共起回数は少なくなり、そのスコアは大きくなる。
【0056】
このスコア計算の概要説明図を図6に示す。図6に示すとおり、例えば、悪性ドメインリストに含まれるblack.comというドメイン名に関しては、特定のユーザ端末(図6でのユーザ端末A)のみが問い合わせを行うため、他のドメイン名との共起頻度は、図6の場合、2回と少なく、スコアが高くなる。一方、例えば、悪性ドメインリストに含まれるgoogle.comに関しては、多くのユーザ端末がアクセスするので、他のドメイン名との共起頻度が高くなり(図6では9回)、スコアは低くなる。
【0057】
なお、本例では、スコアが小さいほど良性ドメイン名に該当すると判定され易い大きさとなるようなスコアを算出しているが、上記スコアが小さい状況のときに、値が大きくなるようなスコアの算出方法を採用してもよい。
【0058】
<ステップ12の詳細>
前述したように、悪性ドメインリストから除外すべき良性ドメイン名として企業や大学等のドメイン名もある。これらのドメイン名はポピュラーでないドメイン名もあることから、ステップ11のスコア計算方法だけでは除外対象として抽出できない可能性がある。
【0059】
そこで、ステップ12では、これらの良性ドメイン名を悪性ドメインリストから除外するために、ドメイン名とDNS権威サーバの対応関係に注目してスコア計算を行う。
【0060】
悪性、良性ドメイン名の特徴で述べたように、悪性ドメイン名が登録されているDNS権威サーバが所有する他のドメイン名(DNS権威サーバ情報格納部15から取得)の組織部(ラベル)はばらつきが大きく、良性の場合はばらつきが小さい。このことに注目し、あるドメイン名dのスコア付の一例として、以下の式2によりスコアI(d)を算出する。
【0061】
【数2】
式2において、Ddはdの情報を持つDNS権威サーバが他に所有するドメイン名の集合、Dorgを同じ組織部を持つドメイン名の集合とする。式2の右辺は組織部の情報量を表しており、ドメイン名dが登録されているDNS権威サーバが、多くの組織のドメイン名を持つとき値が大きくなる。すなわち、企業や大学等の自組織でDNS権威サーバを運用している場合はそのドメイン名のスコアは小さくなり、真に悪性のドメイン名の場合はスコアが大きくなる。
【0062】
このスコア計算の概要説明図を図7(a)、(b)に示す。図7(a)に示すとおり、安価にドメイン名を登録できるサービスを提供するDNSサーバには、様々なドメイン名が登録されているため、ドメイン名の組織名のばらつきが大きい。従って、ステップ12で算出するスコアが大きくなる。
【0063】
一方、図7(b)に示すとおり、企業や大学等が自組織で用意したDNSサーバでは、その組織のドメイン名のみを登録しているケースが多く、ドメイン名の組織名のばらつきが小さい。従って、従って、ステップ12で算出するスコアは小さくなる。
【0064】
なお、本例では、スコアが小さいほど良性ドメイン名に該当すると判定され易い大きさとなるようなスコアを算出しているが、上記スコアが小さい状況のときに、大きくなるようなスコアの算出方法を採用してもよい。
【0065】
<ステップ13の詳細>
ステップ13では、ステップ11及び12で算出したスコアをもとに、ドメイン名dの最終的なスコア付の一例として、以下の式3によりスコアS(d)を算出する。
【0066】
S(d)=C(d)×I(d) (式3)
式3において、dは悪性ドメインリストに含まれているドメイン名である。このスコアが、予め定めた値よりも小さいドメイン名をもとの悪性ドメインリストから除外し、新たな悪性ドメインリストを生成する。もちろん、良性ドメイン名に該当する状況のときに、スコアが大きくなるようなスコアの算出方法を採用したときには、スコアが予め定めた値よりも大きいドメイン名をもとの悪性ドメインリストから除外する。生成した悪性ドメインリストは、新悪性ドメインリスト格納部17に出力してもよいし、良性ドメイン名除外装置10の外部(ネットワーク接続された他の装置等)へ出力することとしてもよい。
【0067】
なお、悪性ドメインリストに含まれるドメイン名の1つ1つに対してステップ11〜13の処理を順番に行うこととしてもよいし、ステップ11を悪性ドメインリストに含まれる全てのドメイン名に対して行い、次に、ステップ12を悪性ドメインリストに含まれる全てのドメイン名に対して行い、最後に、ステップ13を悪性ドメインリストに含まれる全てのドメイン名に対して行う、といった処理の順番でもよい。また、これ以外の処理の順番でもよい。結果として、悪性ドメインリストに含まれる各ドメイン名に対して良性ドメイン名の判定を行い、良性であれば除外し、新悪性ドメインリストが生成されるのであれば、処理の順番はどのようなものでもよい。
【0068】
(実施の形態の効果)
以上説明したように、本実施の形態に係る技術によれば、悪性ドメインリストの精度が向上し、ボット感染端末を正しく検出することができる。また、これまで手動により行っていた良性ドメイン名の除外を自動化できること、および手動では見逃していた良性ドメイン名の検出が可能となる。
【0069】
なお、前述したように、非特許文献1は、ユーザの送出するDNSクエリの共起関係をもとに、未知の悪性ドメインを発見して既存の悪性ドメインリストを拡張する手法を開示するが、本実施の形態は既存の悪性ドメインリストから良性ドメイン名を取り除くものであり、少なくとも、リストの拡張ではなく縮小である点で非特許文献1の技術と異なる。
【0070】
また、非特許文献2は、悪性ドメインリストから良性ドメイン名を検出する技術を開示するが、グラフカーネルを用いてドメイン名のスコア付を行っている。少なくともこの点で、ユーザの問い合わせドメイン名の共起関係及びドメイン名の登録情報をもとにしてスコア計算をする本実施の形態の技術とは異なる。
【0071】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【符号の説明】
【0072】
10 良性ドメイン名除外装置
11 スコア算出部
111 第1スコア算出部
112 第2スコア算出部
12 良性ドメイン名判定部
13 新悪性ドメインリスト生成部
14 DNSトラフィック情報格納部
15 DNS権威サーバ情報格納部
16 悪性ドメインリスト格納部
17 新悪性ドメインリスト格納部
【特許請求の範囲】
【請求項1】
悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置であって、
悪性ドメインリストを格納した悪性ドメインリスト格納手段と、
前記悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出手段と、
前記スコア算出手段により算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当する否かを判定する判定手段と、
前記判定手段により良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成手段と
を備えたことを特徴とする良性ドメイン名除外装置。
【請求項2】
前記良性ドメイン名除外装置は、ユーザ端末からDNSサーバへの問い合わせに係るトラフィック情報を格納するトラフィック情報格納手段を更に備え、
前記スコア算出手段は、前記悪性ドメインリストに含まれるあるドメイン名と他のドメイン名に関しての、前記トラフィック情報における共起頻度を算出し、当該共起頻度が大きいほど、良性ドメイン名に該当すると判定され易い大きさになるように前記あるドメイン名のスコアを算出する第1のスコア算出手段を備える
ことを特徴とする請求項1に記載の良性ドメイン名除外装置。
【請求項3】
前記良性ドメイン名除外装置は、DNSサーバが登録しているドメイン名の情報を格納したDNSサーバ情報格納手段を更に備え、
前記スコア算出手段は、前記悪性ドメインリストに含まれるあるドメイン名を登録しているDNSサーバが、他に所有しているドメイン名を前記DNSサーバ情報格納手段から取得し、当該ドメイン名の組織名を表すラベルのばらつきを示す値を算出し、当該ばらつきを示す値が小さいほど、良性ドメイン名に該当すると判定され易い大きさになるように前記あるドメイン名のスコアを算出する第2のスコア算出手段を備える
ことを特徴とする請求項1又は2に記載の良性ドメイン名除外装置。
【請求項4】
前記良性ドメイン名除外装置は、ユーザ端末からDNSサーバへの問い合わせに係るトラフィック情報を格納するトラフィック情報格納手段と、DNSサーバが登録しているドメイン名の情報を格納したDNSサーバ情報格納手段とを更に備え、
前記スコア算出手段は、
前記悪性ドメインリストに含まれるあるドメイン名と他のドメイン名に関しての、前記トラフィック情報における共起頻度を算出し、当該共起頻度が大きいほど、スコアが小さくなるように前記あるドメイン名のスコアを算出する第1のスコア算出手段と、
前記悪性ドメインリストに含まれるあるドメイン名を登録しているDNSサーバが、他に所有しているドメイン名を前記DNSサーバ情報格納手段から取得し、当該ドメイン名の組織名を表すラベルのばらつきを示す値を算出し、当該ばらつきを示す値が小さいほど、スコアが小さくなるように前記あるドメイン名のスコアを算出する第2のスコア算出手段と、を備える
ことを特徴とする請求項1に記載の良性ドメイン名除外装置。
【請求項5】
前記判定手段は、悪性ドメインリストに含まれるあるドメイン名のスコアとして、前記第1のスコア算出手段で算出されたスコアと、前記第2のスコア算出手段で算出されたスコアを組み合わせたスコアを算出する
ことを特徴とする請求項4に記載の良性ドメイン名除外装置。
【請求項6】
前記判定手段は、前記第1のスコア算出手段で算出されたスコアと前記第2のスコア算出手段で算出されたスコアを組み合わせた前記スコアが予め定めた値よりも小さいドメイン名を、良性ドメイン名に該当すると判定する
ことを特徴とする請求項5に記載の良性ドメイン名除外装置。
【請求項7】
コンピュータを、請求項1ないし6のうちいずれか1項に記載の良性ドメイン名除外装置における各手段として機能させるためのプログラム。
【請求項8】
悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置が実行する良性ドメイン名除外方法であって、
悪性ドメインリストを格納した悪性ドメインリスト格納手段に格納されている悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出ステップと、
前記スコア算出ステップにより算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当するか否かを判定する判定ステップと、
前記判定ステップにより良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成ステップと
を備えたことを特徴とする良性ドメイン名除外方法。
【請求項1】
悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置であって、
悪性ドメインリストを格納した悪性ドメインリスト格納手段と、
前記悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出手段と、
前記スコア算出手段により算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当する否かを判定する判定手段と、
前記判定手段により良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成手段と
を備えたことを特徴とする良性ドメイン名除外装置。
【請求項2】
前記良性ドメイン名除外装置は、ユーザ端末からDNSサーバへの問い合わせに係るトラフィック情報を格納するトラフィック情報格納手段を更に備え、
前記スコア算出手段は、前記悪性ドメインリストに含まれるあるドメイン名と他のドメイン名に関しての、前記トラフィック情報における共起頻度を算出し、当該共起頻度が大きいほど、良性ドメイン名に該当すると判定され易い大きさになるように前記あるドメイン名のスコアを算出する第1のスコア算出手段を備える
ことを特徴とする請求項1に記載の良性ドメイン名除外装置。
【請求項3】
前記良性ドメイン名除外装置は、DNSサーバが登録しているドメイン名の情報を格納したDNSサーバ情報格納手段を更に備え、
前記スコア算出手段は、前記悪性ドメインリストに含まれるあるドメイン名を登録しているDNSサーバが、他に所有しているドメイン名を前記DNSサーバ情報格納手段から取得し、当該ドメイン名の組織名を表すラベルのばらつきを示す値を算出し、当該ばらつきを示す値が小さいほど、良性ドメイン名に該当すると判定され易い大きさになるように前記あるドメイン名のスコアを算出する第2のスコア算出手段を備える
ことを特徴とする請求項1又は2に記載の良性ドメイン名除外装置。
【請求項4】
前記良性ドメイン名除外装置は、ユーザ端末からDNSサーバへの問い合わせに係るトラフィック情報を格納するトラフィック情報格納手段と、DNSサーバが登録しているドメイン名の情報を格納したDNSサーバ情報格納手段とを更に備え、
前記スコア算出手段は、
前記悪性ドメインリストに含まれるあるドメイン名と他のドメイン名に関しての、前記トラフィック情報における共起頻度を算出し、当該共起頻度が大きいほど、スコアが小さくなるように前記あるドメイン名のスコアを算出する第1のスコア算出手段と、
前記悪性ドメインリストに含まれるあるドメイン名を登録しているDNSサーバが、他に所有しているドメイン名を前記DNSサーバ情報格納手段から取得し、当該ドメイン名の組織名を表すラベルのばらつきを示す値を算出し、当該ばらつきを示す値が小さいほど、スコアが小さくなるように前記あるドメイン名のスコアを算出する第2のスコア算出手段と、を備える
ことを特徴とする請求項1に記載の良性ドメイン名除外装置。
【請求項5】
前記判定手段は、悪性ドメインリストに含まれるあるドメイン名のスコアとして、前記第1のスコア算出手段で算出されたスコアと、前記第2のスコア算出手段で算出されたスコアを組み合わせたスコアを算出する
ことを特徴とする請求項4に記載の良性ドメイン名除外装置。
【請求項6】
前記判定手段は、前記第1のスコア算出手段で算出されたスコアと前記第2のスコア算出手段で算出されたスコアを組み合わせた前記スコアが予め定めた値よりも小さいドメイン名を、良性ドメイン名に該当すると判定する
ことを特徴とする請求項5に記載の良性ドメイン名除外装置。
【請求項7】
コンピュータを、請求項1ないし6のうちいずれか1項に記載の良性ドメイン名除外装置における各手段として機能させるためのプログラム。
【請求項8】
悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置が実行する良性ドメイン名除外方法であって、
悪性ドメインリストを格納した悪性ドメインリスト格納手段に格納されている悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出ステップと、
前記スコア算出ステップにより算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当するか否かを判定する判定ステップと、
前記判定ステップにより良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成ステップと
を備えたことを特徴とする良性ドメイン名除外方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2013−3595(P2013−3595A)
【公開日】平成25年1月7日(2013.1.7)
【国際特許分類】
【出願番号】特願2011−130502(P2011−130502)
【出願日】平成23年6月10日(2011.6.10)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成25年1月7日(2013.1.7)
【国際特許分類】
【出願日】平成23年6月10日(2011.6.10)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]