通信ネットワーク監視システム
【課題】簡易な手法で悪性ホストを検出する。
【解決手段】DNS(Domain Name System)サーバ30から、端末装置を特定する第1の情報および第2の情報を受信する受信部11aと、前記受信した第1の情報および第2の情報をデータベースに格納する格納部11bと、前記第1の情報に対応する前記第2の情報の数を算出し、前記第2の情報の数を予め定められた第1の閾値と比較し、前記第2の情報の数が前記第1の閾値よりも大きいときは、前記第2の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第2の閾値と比較する判定部13aと、前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、前記判定部13aは、前記平均生存期間が前記第2の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定する。
【解決手段】DNS(Domain Name System)サーバ30から、端末装置を特定する第1の情報および第2の情報を受信する受信部11aと、前記受信した第1の情報および第2の情報をデータベースに格納する格納部11bと、前記第1の情報に対応する前記第2の情報の数を算出し、前記第2の情報の数を予め定められた第1の閾値と比較し、前記第2の情報の数が前記第1の閾値よりも大きいときは、前記第2の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第2の閾値と比較する判定部13aと、前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、前記判定部13aは、前記平均生存期間が前記第2の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムに関する。
【背景技術】
【0002】
近時、Web(World wide web)を経由したマルウェア(malware)の感染が拡大しており、大きな社会問題となっている。このマルウェアとは、コンピューターウイルスをはじめとする有害なソフトウェアの総称のことである。例えば、悪意を持って作られたソフトウェア、ワーム、スパイウェアなどに加え、初めから犯罪目的で作られたクライムウェアなども含まれる。この問題の対策として、マルウェアの配布などを行なう悪性のWebサイトをリスト化し、ユーザが誤ってその悪性のWebサイトにアクセスしないように制限を設ける対策が有望視されている。
【0003】
マルウェアの配布などを行なう悪性ホストを検出する技術として、次のようなものが存在する。まず、パターンマッチングによりマルウェアを検出する技術がある。この技術では、Webサイトからダウンロードされたコンテンツについて、パターンマッチングを行ない、マルウェアの検出を行なう。そして、マルウェアが検出されたホストを悪性ホストと判定する。次に、挙動解析によりマルウェアを検出する技術がある。この技術では、Webサイトからダウンロードされるコンテンツについて、検証用に設置されたシステムでその挙動を監視し、不正なファイルやプロセス、レジストリ情報などの作成、変更などを検出することによって、対象となるホストを判定する。さらに、Webサイトを巡回する手法がある。この手法では、Webサイトを自動的に巡回し、コンテンツを収集し、上記のいずれかの手法を用いて悪性ホストの判定を行なうものである。また、例えば、特許文献1には、DNS(Domain Name System)の偽装をするトロイの木馬プログラムを検出するシステムが開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特表2008−532133号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、最近のマルウェアは短期間に大量に亜種が作られるため、パターンの作成が追いつかないことが多い。このため、パターンマッチングによりマルウェアを検出する手法では限界がある。挙動解析によりマルウェアを検出する手法では、OS(Operating System)やソフトウェアの環境によっては検出できないマルウェアが多く、この手法にも限界がある。Webサイトを巡回する手法では、大量のリソースを使うと共に、多くの時間を要するため、すべてのWebサイトを網羅することは困難である。また、悪性のWebサイトの中には、ある端末装置から一度アクセスされると、それ以降は、同じ端末装置からアクセスがあっても、無害なコンテンツを返すようなアクセス制限機能を具備したものもあるため、正しく悪性判定を行なうことが困難となっている。
【0006】
本発明は、このような事情に鑑みてなされたものであり、簡易な手法で悪性ホストを検出することができる通信ネットワーク監視システムを提供することを目的とする。
【課題を解決するための手段】
【0007】
(1)上記の目的を達成するために、本発明は、以下のような手段を講じた。すなわち、本発明の通信ネットワーク監視システムは、通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムであって、DNS(Domain Name System)サーバから、端末装置を特定する第1の情報および第2の情報を受信する受信部と、前記受信した第1の情報および第2の情報をデータベースに格納する格納部と、前記第1の情報に対応する前記第2の情報の数を算出し、前記第2の情報の数を予め定められた第1の閾値と比較し、前記第2の情報の数が前記第1の閾値よりも大きいときは、前記第2の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第2の閾値と比較する判定部と、前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、前記判定部は、前記平均生存期間が前記第2の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定することを特徴とする。
【0008】
このように、第1の情報に対応する第2の情報の数を算出し、第2の情報の数を予め定められた第1の閾値と比較し、第2の情報の数が第1の閾値よりも大きいときは、第2の情報の平均生存期間を算定し、平均生存期間を予め定められた第2の閾値と比較し、平均生存期間が第2の閾値よりも小さい場合は、第1の情報および第2の情報で特定されるホストを悪性と判定するので、簡易な手法で悪性ホストを検出することができる。
【0009】
(2)また、本発明の通信ネットワーク監視システムは、通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムであって、DNS(Domain Name System)サーバから、端末装置を特定する第1の情報および第2の情報を受信する受信部と、前記受信した第1の情報および第2の情報をデータベースに格納する格納部と、前記第2の情報に対応する前記第1の情報の数を算出し、前記第1の情報の数を予め定められた第3の閾値と比較し、前記第1の情報の数が前記第3の閾値よりも大きいときは、前記第1の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第4の閾値と比較する判定部と、前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、前記判定部は、前記平均生存期間が前記第4の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定することを特徴とする。
【0010】
このように、第2の情報に対応する第1の情報の数を算出し、第1の情報の数を予め定められた第3の閾値と比較し、第1の情報の数が第3の閾値よりも大きいときは、第1の情報の平均生存期間を算定し、平均生存期間を予め定められた第4の閾値と比較し、平均生存期間が第4の閾値よりも小さい場合は、第1の情報および第2の情報で特定されるホストを悪性と判定するので、簡易な手法で悪性ホストを検出することができる。
【0011】
(3)また、本発明の通信ネットワーク監視システムにおいて、前記判定部は、前記第1の情報に対応する前記第2の情報のばらつき、または前記第2の情報に対応する第1の情報のばらつきに基づいて、前記判定を行なうことを特徴とする。
【0012】
このように、第1の情報に対応する第2の情報のばらつき、または第2の情報に対応する第1の情報のばらつきに基づいて、判定を行なうので、簡易な手法で悪性ホストを検出することができる。例えば、一般的に、同じドメイン名に関連付けられているIPアドレスは、アドレス空間が近くにあるため、ばらつきは小さい傾向にあるため、ばらつきが大きい場合は、悪性度が高いと判定することが可能となる。
【0013】
(4)また、本発明の通信ネットワーク監視システムにおいて、前記閾値は、可変であることを特徴とする。
【0014】
このように、閾値が可変であるため、システムの運用状況に応じた閾値の設定をすることが可能となる。すなわち、同一ドメイン名と関連付けられたIPアドレス数(例えば、100個)と、そのIPアドレスの生存期間(例えば、1か月)、同一IPアドレスと関連付けられたドメイン数(例えば、50個)と、そのドメインの生存期間(例えば、1か月)としたときに、これらの閾値を運用状況に応じて調整可能となる。
【0015】
(5)また、本発明の通信ネットワーク監視システムにおいて、前記第1の情報はドメイン名であり、前記第2の情報はIPアドレスであることを特徴とする。
【0016】
このように、第1の情報はドメイン名であり、前記第2の情報はIPアドレスであるので、簡易な手法で悪性ホストを検出することができる。
【発明の効果】
【0017】
本発明によれば、第1の情報に対応する第2の情報の数を算出し、第2の情報の数を予め定められた第1の閾値と比較し、第2の情報の数が第1の閾値よりも大きいときは、第2の情報の平均生存期間を算定し、平均生存期間を予め定められた第2の閾値と比較し、平均生存期間が第2の閾値よりも小さい場合は、第1の情報および第2の情報で特定されるホストを悪性と判定するので、簡易な手法で悪性ホストを検出することができる。
【図面の簡単な説明】
【0018】
【図1】本実施形態に係る悪性ホスト判定システム(通信ネットワーク監視システム)の概要を示す図である。
【図2】本実施形態に係る悪性ホスト判定システム(通信ネットワーク監視システム)の動作の概念を示す図である。
【図3】DNS情報収集装置11の具体的な動作を示すフローチャートである。
【図4】悪性ホスト判定装置13の具体的な動作を示すフローチャートである。
【図5】悪性ホスト判定装置13の具体的な動作を示すフローチャートである。
【図6A】IPアドレスについて、グループ化した例を示す図である。
【図6B】ドメイン名について、グループ化した例を示す図である。
【発明を実施するための形態】
【0019】
本発明者らは、Webにおける調査および検証を繰り返し、マルウェアの配布などを行なう悪性ホストには、同じドメイン名に対し、複数のIPアドレスを設定し、これらを頻繁に変更したり、複数のドメイン名を単一のIPアドレスに設定し、これらを頻繁に変更したりする傾向があることに着目し、ドメイン名をキーとして関連付けられたIPアドレスを検索し、ある一定数以上のIPアドレスに関連付けられ、その生存期間の平均が一定時間以下である場合に悪性であると判定できることを見出し、本発明をするに至った。
【0020】
すなわち、本発明は、通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムであって、DNS(Domain Name System)サーバから、端末装置を特定する第1の情報および第2の情報を受信する受信部と、前記受信した第1の情報および第2の情報をデータベースに格納する格納部と、前記第1の情報に対応する前記第2の情報の数を算出し、前記第2の情報の数を予め定められた第1の閾値と比較し、前記第2の情報の数が前記第1の閾値よりも大きいときは、前記第2の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第2の閾値と比較する判定部と、前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、前記判定部は、前記平均生存期間が前記第2の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定することを特徴とする。
【0021】
これにより、本発明者らは、簡易な手法で悪性ホストを検出することを可能とした。以下、本発明の実施形態について、図面を参照しながら説明する。
【0022】
図1は、本実施形態に係る悪性ホスト判定システム(通信ネットワーク監視システム)の概要を示す図である。この通信ネットワーク監視システム10は、トラヒック分岐装置20と接続しており、DNSサーバ30が管理するDNS情報を受信する。DNSサーバ30は、トラヒック分岐装置20を介して、ネットワーク40およびインターネット50に接続されている端末装置50a〜50cと情報の授受を行なう。
【0023】
通信ネットワーク監視システムとしての悪性ホスト判定システム10は、DNS情報収集装置11、DB12および悪性ホスト判定装置13から構成されている。DNS情報収集装置11において、トラヒック分岐装置20からDNSサーバ30が有するDNS情報、すなわち、ドメイン名とIPアドレスを取得する。DB12は、DNS情報収集装置11が収集したDNS情報を格納する。悪性ホスト判定装置13は、端末装置50cからのリクエストに応じて、DB12に格納されているドメイン名とIPアドレスの組み合わせに基づいて、悪性ホストであるかどうかの判定を行なう。
【0024】
以上のように構成された通信ネットワーク監視システムは、ドメイン名とIPアドレスの関連付けを、その生存期間と共に管理する。そして、過去に遡ってその関連付けを検証する。本実施形態に係る通信ネットワーク監視システムは、ある一定規模(例えば、ユーザ数が1万人以上)のネットワークを対象とし、そのネットワークのDNSへの問い合わせ通信の内容に基づいて、情報を抽出する。これにより、既存のDNSサーバに改変を加えることなく、本発明を実施することが可能となる。なお、DB12における情報の格納形式は、例えば、次の表のようにすることができる。
【0025】
【表1】
【0026】
図2は、本実施形態に係る通信ネットワーク監視システムの動作の概念を示す図である。トラヒック分岐装置20は、DNSサーバ30に対するDNS問い合わせ要求および、DNSサーバ30からのDNS問い合わせ返答をDNS情報収集装置に出力する。受信部11aは、DNS要求としてのホスト名および、DNS返答としてのIPアドレスを受信すると、格納部11bは、DB12にそのホスト名、IPアドレスおよび、受信時の時間情報を格納する。また、DNS情報収集装置11は、DB12に対して、新規レコードを作成したり、既存のレコードを更新したりする。また、悪性ホスト判定装置13は、受信部13bで端末装置50cからの判定要求(リクエスト)を受信し、判定部13aがDB12で検索を行ない、送信部13cが判定結果を端末装置50cに送信する。
【0027】
次に、DNS情報収集装置11が、DNS情報を収集・管理する動作について説明する。DNS情報収集装置11は、一定規模以上のネットワーク、例えば、1万人以上のユーザに利用されているDNSサーバを対象とする。DNSサーバへの問い合わせ通信内容を解析し、ドメイン名と、関連付けられているIPアドレス、および問い合わせのあった時間を収集する。DNS情報収集装置11が管理する情報としては、ドメイン名、IPアドレス、初問い合わせ時間、最終問い合わせ時間の4項目とする。なお、ドメイン名とIPアドレスの組み合わせが初めて出現した場合、最終問い合わせ時間を初問い合わせ時間とする。また、ドメイン名とIPアドレスの組み合わせが既に存在する場合、ここで観測した時間を最終問い合わせ時間として更新する。なお、DB12における情報の格納形式は、例えば、次の表のようにすることができる。
【0028】
【表2】
【0029】
図3は、DNS情報収集装置11の具体的な動作を示すフローチャートである。まず、DNS問い合わせ通信を検出すると(ステップS1)、ドメイン名および時間情報を取得する(ステップS2)。次に、DNS応答通信を検出すると(ステップS3)、IPアドレスを取得する(ステップS4)。そして、上記のように取得したドメイン名およびIPアドレスに基づいて、DBを検索する(ステップS5)。DBにドメイン名およびIPアドレスの組み合わせが存在するかどうかを判断し(ステップS6)、ドメイン名およびIPアドレスの組み合わせが存在する場合は、対象レコードの最終時間を更新し(ステップS7)、ステップS1へ遷移する。一方、ステップS7において、ドメイン名およびIPアドレスの組み合わせが存在しない場合は、新規レコードを作成し(ステップS8)、取得したドメイン名、IPアドレスおよび時間情報をDBに登録する(ステップS9)。最終時間もここでの取得時間に設定し、ステップS1へ遷移する。
【0030】
次に、悪性ホスト判定装置13が、悪性ホストを判定する動作について説明する。ここでは、頻繁に更新される複数のIPアドレスを持つ悪性ホスト(悪性ドメイン)の検出について説明する。悪性ホスト判定装置13は、ドメイン名をキーとして、関連付けられたIPアドレスを検索する。ここでは、ある一定数(例えば、50)以上のIPアドレスに関連付けられており、かつその生存期間の平均が一定時間以下の場合、悪性と判定するものとする。
【0031】
図4は、悪性ホスト判定装置13の具体的な動作を示すフローチャートである。まず、検索キーとなるドメイン名が指定されると(ステップT1)、DBを検索する(ステップT2)。次に、IPアドレス数を抽出し(ステップT3)、IPアドレス数と閾値(第1の閾値)とを比較する(ステップT4)。この閾値は、例えば、50に設定することができる。この比較の結果、IPアドレス数が閾値よりも小さかった場合は、良性判定を行なう(ステップT5)。一方、ステップT4において、IPアドレス数が閾値よりも大きかった場合は、そのIPアドレスの平均生存時間を算出する(ステップT6)。そして、平均生存時間と閾値(第2の閾値)とを比較する(ステップT7)。この閾値は、例えば、1か月とすることができる。平均生存時間が閾値よりも大きかった場合は、良性判定を行なう(ステップT5)。一方、ステップT7において、平均生存時間が閾値よりも小さかった場合は、悪性判定を行なう(ステップT8)。
【0032】
なお、IPアドレスのばらつきを判定基準に用いることもできる。一般的に、同じドメイン名に関連付けられているIPアドレスは、アドレス空間が近くにあるため、ばらつきは小さい傾向にある。例えば、3つのIPアドレスが次のようになっていれば、ばらつきは小さく、悪性度も小さいと考えられる。
aaa.bbb.ccc.200
aaa.bbb.ccc.202
aaa.bbb.ccc.205
【0033】
一方、3つのIPアドレスが次のようになっていれば、ばらつきは大きく、悪性度は大きいと考えられる。
aaa.bbb.ccc.200
ddd.eee.fff.1
ggg.hhh.iii.90
また、誤検知を防ぐために、ホワイトリストを持たせることも可能である。
【0034】
次に、悪性ホスト判定装置13が、悪性ホストを判定する動作について説明する。ここでは、頻繁に更新される複数のドメインを持つIPアドレスの検出について説明する。悪性ホスト判定装置13は、IPアドレスをキーとして、関連付けられたドメイン名を検索する。ある一定数(例えば、100)以上のドメイン名に関連付けられており、かつその生存期間の平均が一定時間以下である場合、悪性と判定する。なお、DB12における情報の格納形式は、例えば、次の表のようにすることができる。
【0035】
【表3】
【0036】
図5は、悪性ホスト判定装置13の具体的な動作を示すフローチャートである。まず、検索キーとなるIPアドレスが指定されると(ステップR1)、DBを検索する(ステップR2)。次に、ドメイン数を抽出し(ステップR3)、ドメイン数と閾値(第3の閾値)とを比較する(ステップR4)。この閾値は、例えば、100とすることができる。この比較の結果、ドメイン数が閾値よりも小さかった場合は、良性判定を行なう(ステップR5)。一方、ステップR4において、ドメイン数が閾値よりも大きかった場合は、そのドメイン名の平均生存時間を算出する(ステップR6)。そして、平均生存時間と閾値(第4の閾値)とを比較する(ステップR7)。この閾値は、例えば、1か月とすることができる。平均生存時間が閾値よりも大きかった場合は、良性判定を行なう(ステップR5)。一方、ステップR7において、平均生存時間が閾値よりも小さかった場合は、悪性判定を行なう(ステップR8)。
【0037】
なお、ドメイン名の類似性を判定基準に用いることもできる。一般的に、同じIPアドレスに関連付けられているドメイン名は、上位のドメイン名は変わらず、サブドメイン名のみ異なるものが多い。例えば、3つのドメイン名が次のようになっていれば、類似性は大きく、悪性度も小さいと考えられる。
aaa.xxx.com
bbb.aaa.xxx.com
ccc.xxx.com
【0038】
一方、3つのドメイン名が次のようになっていれば、類似性は小さく、悪性度は大きいと考えられる。
aaa.xxx.com
aaa.yyy.net
ddd.zzz.co.jp
【0039】
図6Aは、IPアドレスについて、グループ化した例を示す図であり、図6Bは、ドメイン名について、グループ化した例を示す図である。上記の類似度は、例えば、次のように算出することができる。すなわち、ホスト識別子(IPアドレスなど)、ホスト名が階層的な構成をとる場合、その末端部を除いた部分が同じものを、同じグループとして分類する。要素数の多い上位n個のグループについて、その要素数の合計がm以上の場合、類似度が高いと判定する。nは全構成要素数のxパーセント(小数点以下は切り上げ)とする。mは全構成要素数のyパーセントとする。xおよびyは変更可能とする。なお、誤検知を防ぐために、ホワイトリストを持たせることも可能である。
【符号の説明】
【0040】
10 悪性ホスト判定システム(通信ネットワーク監視システム)
11 DNS情報収集装置
11a 受信部
11b 格納部
13 悪性ホスト判定装置
13a 判定部
13b 受信部
13c 送信部
20 トラヒック分岐装置
30 DNSサーバ
40 ネットワーク
50 インターネット
50a−50c 端末装置
【技術分野】
【0001】
本発明は、通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムに関する。
【背景技術】
【0002】
近時、Web(World wide web)を経由したマルウェア(malware)の感染が拡大しており、大きな社会問題となっている。このマルウェアとは、コンピューターウイルスをはじめとする有害なソフトウェアの総称のことである。例えば、悪意を持って作られたソフトウェア、ワーム、スパイウェアなどに加え、初めから犯罪目的で作られたクライムウェアなども含まれる。この問題の対策として、マルウェアの配布などを行なう悪性のWebサイトをリスト化し、ユーザが誤ってその悪性のWebサイトにアクセスしないように制限を設ける対策が有望視されている。
【0003】
マルウェアの配布などを行なう悪性ホストを検出する技術として、次のようなものが存在する。まず、パターンマッチングによりマルウェアを検出する技術がある。この技術では、Webサイトからダウンロードされたコンテンツについて、パターンマッチングを行ない、マルウェアの検出を行なう。そして、マルウェアが検出されたホストを悪性ホストと判定する。次に、挙動解析によりマルウェアを検出する技術がある。この技術では、Webサイトからダウンロードされるコンテンツについて、検証用に設置されたシステムでその挙動を監視し、不正なファイルやプロセス、レジストリ情報などの作成、変更などを検出することによって、対象となるホストを判定する。さらに、Webサイトを巡回する手法がある。この手法では、Webサイトを自動的に巡回し、コンテンツを収集し、上記のいずれかの手法を用いて悪性ホストの判定を行なうものである。また、例えば、特許文献1には、DNS(Domain Name System)の偽装をするトロイの木馬プログラムを検出するシステムが開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特表2008−532133号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、最近のマルウェアは短期間に大量に亜種が作られるため、パターンの作成が追いつかないことが多い。このため、パターンマッチングによりマルウェアを検出する手法では限界がある。挙動解析によりマルウェアを検出する手法では、OS(Operating System)やソフトウェアの環境によっては検出できないマルウェアが多く、この手法にも限界がある。Webサイトを巡回する手法では、大量のリソースを使うと共に、多くの時間を要するため、すべてのWebサイトを網羅することは困難である。また、悪性のWebサイトの中には、ある端末装置から一度アクセスされると、それ以降は、同じ端末装置からアクセスがあっても、無害なコンテンツを返すようなアクセス制限機能を具備したものもあるため、正しく悪性判定を行なうことが困難となっている。
【0006】
本発明は、このような事情に鑑みてなされたものであり、簡易な手法で悪性ホストを検出することができる通信ネットワーク監視システムを提供することを目的とする。
【課題を解決するための手段】
【0007】
(1)上記の目的を達成するために、本発明は、以下のような手段を講じた。すなわち、本発明の通信ネットワーク監視システムは、通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムであって、DNS(Domain Name System)サーバから、端末装置を特定する第1の情報および第2の情報を受信する受信部と、前記受信した第1の情報および第2の情報をデータベースに格納する格納部と、前記第1の情報に対応する前記第2の情報の数を算出し、前記第2の情報の数を予め定められた第1の閾値と比較し、前記第2の情報の数が前記第1の閾値よりも大きいときは、前記第2の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第2の閾値と比較する判定部と、前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、前記判定部は、前記平均生存期間が前記第2の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定することを特徴とする。
【0008】
このように、第1の情報に対応する第2の情報の数を算出し、第2の情報の数を予め定められた第1の閾値と比較し、第2の情報の数が第1の閾値よりも大きいときは、第2の情報の平均生存期間を算定し、平均生存期間を予め定められた第2の閾値と比較し、平均生存期間が第2の閾値よりも小さい場合は、第1の情報および第2の情報で特定されるホストを悪性と判定するので、簡易な手法で悪性ホストを検出することができる。
【0009】
(2)また、本発明の通信ネットワーク監視システムは、通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムであって、DNS(Domain Name System)サーバから、端末装置を特定する第1の情報および第2の情報を受信する受信部と、前記受信した第1の情報および第2の情報をデータベースに格納する格納部と、前記第2の情報に対応する前記第1の情報の数を算出し、前記第1の情報の数を予め定められた第3の閾値と比較し、前記第1の情報の数が前記第3の閾値よりも大きいときは、前記第1の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第4の閾値と比較する判定部と、前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、前記判定部は、前記平均生存期間が前記第4の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定することを特徴とする。
【0010】
このように、第2の情報に対応する第1の情報の数を算出し、第1の情報の数を予め定められた第3の閾値と比較し、第1の情報の数が第3の閾値よりも大きいときは、第1の情報の平均生存期間を算定し、平均生存期間を予め定められた第4の閾値と比較し、平均生存期間が第4の閾値よりも小さい場合は、第1の情報および第2の情報で特定されるホストを悪性と判定するので、簡易な手法で悪性ホストを検出することができる。
【0011】
(3)また、本発明の通信ネットワーク監視システムにおいて、前記判定部は、前記第1の情報に対応する前記第2の情報のばらつき、または前記第2の情報に対応する第1の情報のばらつきに基づいて、前記判定を行なうことを特徴とする。
【0012】
このように、第1の情報に対応する第2の情報のばらつき、または第2の情報に対応する第1の情報のばらつきに基づいて、判定を行なうので、簡易な手法で悪性ホストを検出することができる。例えば、一般的に、同じドメイン名に関連付けられているIPアドレスは、アドレス空間が近くにあるため、ばらつきは小さい傾向にあるため、ばらつきが大きい場合は、悪性度が高いと判定することが可能となる。
【0013】
(4)また、本発明の通信ネットワーク監視システムにおいて、前記閾値は、可変であることを特徴とする。
【0014】
このように、閾値が可変であるため、システムの運用状況に応じた閾値の設定をすることが可能となる。すなわち、同一ドメイン名と関連付けられたIPアドレス数(例えば、100個)と、そのIPアドレスの生存期間(例えば、1か月)、同一IPアドレスと関連付けられたドメイン数(例えば、50個)と、そのドメインの生存期間(例えば、1か月)としたときに、これらの閾値を運用状況に応じて調整可能となる。
【0015】
(5)また、本発明の通信ネットワーク監視システムにおいて、前記第1の情報はドメイン名であり、前記第2の情報はIPアドレスであることを特徴とする。
【0016】
このように、第1の情報はドメイン名であり、前記第2の情報はIPアドレスであるので、簡易な手法で悪性ホストを検出することができる。
【発明の効果】
【0017】
本発明によれば、第1の情報に対応する第2の情報の数を算出し、第2の情報の数を予め定められた第1の閾値と比較し、第2の情報の数が第1の閾値よりも大きいときは、第2の情報の平均生存期間を算定し、平均生存期間を予め定められた第2の閾値と比較し、平均生存期間が第2の閾値よりも小さい場合は、第1の情報および第2の情報で特定されるホストを悪性と判定するので、簡易な手法で悪性ホストを検出することができる。
【図面の簡単な説明】
【0018】
【図1】本実施形態に係る悪性ホスト判定システム(通信ネットワーク監視システム)の概要を示す図である。
【図2】本実施形態に係る悪性ホスト判定システム(通信ネットワーク監視システム)の動作の概念を示す図である。
【図3】DNS情報収集装置11の具体的な動作を示すフローチャートである。
【図4】悪性ホスト判定装置13の具体的な動作を示すフローチャートである。
【図5】悪性ホスト判定装置13の具体的な動作を示すフローチャートである。
【図6A】IPアドレスについて、グループ化した例を示す図である。
【図6B】ドメイン名について、グループ化した例を示す図である。
【発明を実施するための形態】
【0019】
本発明者らは、Webにおける調査および検証を繰り返し、マルウェアの配布などを行なう悪性ホストには、同じドメイン名に対し、複数のIPアドレスを設定し、これらを頻繁に変更したり、複数のドメイン名を単一のIPアドレスに設定し、これらを頻繁に変更したりする傾向があることに着目し、ドメイン名をキーとして関連付けられたIPアドレスを検索し、ある一定数以上のIPアドレスに関連付けられ、その生存期間の平均が一定時間以下である場合に悪性であると判定できることを見出し、本発明をするに至った。
【0020】
すなわち、本発明は、通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムであって、DNS(Domain Name System)サーバから、端末装置を特定する第1の情報および第2の情報を受信する受信部と、前記受信した第1の情報および第2の情報をデータベースに格納する格納部と、前記第1の情報に対応する前記第2の情報の数を算出し、前記第2の情報の数を予め定められた第1の閾値と比較し、前記第2の情報の数が前記第1の閾値よりも大きいときは、前記第2の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第2の閾値と比較する判定部と、前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、前記判定部は、前記平均生存期間が前記第2の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定することを特徴とする。
【0021】
これにより、本発明者らは、簡易な手法で悪性ホストを検出することを可能とした。以下、本発明の実施形態について、図面を参照しながら説明する。
【0022】
図1は、本実施形態に係る悪性ホスト判定システム(通信ネットワーク監視システム)の概要を示す図である。この通信ネットワーク監視システム10は、トラヒック分岐装置20と接続しており、DNSサーバ30が管理するDNS情報を受信する。DNSサーバ30は、トラヒック分岐装置20を介して、ネットワーク40およびインターネット50に接続されている端末装置50a〜50cと情報の授受を行なう。
【0023】
通信ネットワーク監視システムとしての悪性ホスト判定システム10は、DNS情報収集装置11、DB12および悪性ホスト判定装置13から構成されている。DNS情報収集装置11において、トラヒック分岐装置20からDNSサーバ30が有するDNS情報、すなわち、ドメイン名とIPアドレスを取得する。DB12は、DNS情報収集装置11が収集したDNS情報を格納する。悪性ホスト判定装置13は、端末装置50cからのリクエストに応じて、DB12に格納されているドメイン名とIPアドレスの組み合わせに基づいて、悪性ホストであるかどうかの判定を行なう。
【0024】
以上のように構成された通信ネットワーク監視システムは、ドメイン名とIPアドレスの関連付けを、その生存期間と共に管理する。そして、過去に遡ってその関連付けを検証する。本実施形態に係る通信ネットワーク監視システムは、ある一定規模(例えば、ユーザ数が1万人以上)のネットワークを対象とし、そのネットワークのDNSへの問い合わせ通信の内容に基づいて、情報を抽出する。これにより、既存のDNSサーバに改変を加えることなく、本発明を実施することが可能となる。なお、DB12における情報の格納形式は、例えば、次の表のようにすることができる。
【0025】
【表1】
【0026】
図2は、本実施形態に係る通信ネットワーク監視システムの動作の概念を示す図である。トラヒック分岐装置20は、DNSサーバ30に対するDNS問い合わせ要求および、DNSサーバ30からのDNS問い合わせ返答をDNS情報収集装置に出力する。受信部11aは、DNS要求としてのホスト名および、DNS返答としてのIPアドレスを受信すると、格納部11bは、DB12にそのホスト名、IPアドレスおよび、受信時の時間情報を格納する。また、DNS情報収集装置11は、DB12に対して、新規レコードを作成したり、既存のレコードを更新したりする。また、悪性ホスト判定装置13は、受信部13bで端末装置50cからの判定要求(リクエスト)を受信し、判定部13aがDB12で検索を行ない、送信部13cが判定結果を端末装置50cに送信する。
【0027】
次に、DNS情報収集装置11が、DNS情報を収集・管理する動作について説明する。DNS情報収集装置11は、一定規模以上のネットワーク、例えば、1万人以上のユーザに利用されているDNSサーバを対象とする。DNSサーバへの問い合わせ通信内容を解析し、ドメイン名と、関連付けられているIPアドレス、および問い合わせのあった時間を収集する。DNS情報収集装置11が管理する情報としては、ドメイン名、IPアドレス、初問い合わせ時間、最終問い合わせ時間の4項目とする。なお、ドメイン名とIPアドレスの組み合わせが初めて出現した場合、最終問い合わせ時間を初問い合わせ時間とする。また、ドメイン名とIPアドレスの組み合わせが既に存在する場合、ここで観測した時間を最終問い合わせ時間として更新する。なお、DB12における情報の格納形式は、例えば、次の表のようにすることができる。
【0028】
【表2】
【0029】
図3は、DNS情報収集装置11の具体的な動作を示すフローチャートである。まず、DNS問い合わせ通信を検出すると(ステップS1)、ドメイン名および時間情報を取得する(ステップS2)。次に、DNS応答通信を検出すると(ステップS3)、IPアドレスを取得する(ステップS4)。そして、上記のように取得したドメイン名およびIPアドレスに基づいて、DBを検索する(ステップS5)。DBにドメイン名およびIPアドレスの組み合わせが存在するかどうかを判断し(ステップS6)、ドメイン名およびIPアドレスの組み合わせが存在する場合は、対象レコードの最終時間を更新し(ステップS7)、ステップS1へ遷移する。一方、ステップS7において、ドメイン名およびIPアドレスの組み合わせが存在しない場合は、新規レコードを作成し(ステップS8)、取得したドメイン名、IPアドレスおよび時間情報をDBに登録する(ステップS9)。最終時間もここでの取得時間に設定し、ステップS1へ遷移する。
【0030】
次に、悪性ホスト判定装置13が、悪性ホストを判定する動作について説明する。ここでは、頻繁に更新される複数のIPアドレスを持つ悪性ホスト(悪性ドメイン)の検出について説明する。悪性ホスト判定装置13は、ドメイン名をキーとして、関連付けられたIPアドレスを検索する。ここでは、ある一定数(例えば、50)以上のIPアドレスに関連付けられており、かつその生存期間の平均が一定時間以下の場合、悪性と判定するものとする。
【0031】
図4は、悪性ホスト判定装置13の具体的な動作を示すフローチャートである。まず、検索キーとなるドメイン名が指定されると(ステップT1)、DBを検索する(ステップT2)。次に、IPアドレス数を抽出し(ステップT3)、IPアドレス数と閾値(第1の閾値)とを比較する(ステップT4)。この閾値は、例えば、50に設定することができる。この比較の結果、IPアドレス数が閾値よりも小さかった場合は、良性判定を行なう(ステップT5)。一方、ステップT4において、IPアドレス数が閾値よりも大きかった場合は、そのIPアドレスの平均生存時間を算出する(ステップT6)。そして、平均生存時間と閾値(第2の閾値)とを比較する(ステップT7)。この閾値は、例えば、1か月とすることができる。平均生存時間が閾値よりも大きかった場合は、良性判定を行なう(ステップT5)。一方、ステップT7において、平均生存時間が閾値よりも小さかった場合は、悪性判定を行なう(ステップT8)。
【0032】
なお、IPアドレスのばらつきを判定基準に用いることもできる。一般的に、同じドメイン名に関連付けられているIPアドレスは、アドレス空間が近くにあるため、ばらつきは小さい傾向にある。例えば、3つのIPアドレスが次のようになっていれば、ばらつきは小さく、悪性度も小さいと考えられる。
aaa.bbb.ccc.200
aaa.bbb.ccc.202
aaa.bbb.ccc.205
【0033】
一方、3つのIPアドレスが次のようになっていれば、ばらつきは大きく、悪性度は大きいと考えられる。
aaa.bbb.ccc.200
ddd.eee.fff.1
ggg.hhh.iii.90
また、誤検知を防ぐために、ホワイトリストを持たせることも可能である。
【0034】
次に、悪性ホスト判定装置13が、悪性ホストを判定する動作について説明する。ここでは、頻繁に更新される複数のドメインを持つIPアドレスの検出について説明する。悪性ホスト判定装置13は、IPアドレスをキーとして、関連付けられたドメイン名を検索する。ある一定数(例えば、100)以上のドメイン名に関連付けられており、かつその生存期間の平均が一定時間以下である場合、悪性と判定する。なお、DB12における情報の格納形式は、例えば、次の表のようにすることができる。
【0035】
【表3】
【0036】
図5は、悪性ホスト判定装置13の具体的な動作を示すフローチャートである。まず、検索キーとなるIPアドレスが指定されると(ステップR1)、DBを検索する(ステップR2)。次に、ドメイン数を抽出し(ステップR3)、ドメイン数と閾値(第3の閾値)とを比較する(ステップR4)。この閾値は、例えば、100とすることができる。この比較の結果、ドメイン数が閾値よりも小さかった場合は、良性判定を行なう(ステップR5)。一方、ステップR4において、ドメイン数が閾値よりも大きかった場合は、そのドメイン名の平均生存時間を算出する(ステップR6)。そして、平均生存時間と閾値(第4の閾値)とを比較する(ステップR7)。この閾値は、例えば、1か月とすることができる。平均生存時間が閾値よりも大きかった場合は、良性判定を行なう(ステップR5)。一方、ステップR7において、平均生存時間が閾値よりも小さかった場合は、悪性判定を行なう(ステップR8)。
【0037】
なお、ドメイン名の類似性を判定基準に用いることもできる。一般的に、同じIPアドレスに関連付けられているドメイン名は、上位のドメイン名は変わらず、サブドメイン名のみ異なるものが多い。例えば、3つのドメイン名が次のようになっていれば、類似性は大きく、悪性度も小さいと考えられる。
aaa.xxx.com
bbb.aaa.xxx.com
ccc.xxx.com
【0038】
一方、3つのドメイン名が次のようになっていれば、類似性は小さく、悪性度は大きいと考えられる。
aaa.xxx.com
aaa.yyy.net
ddd.zzz.co.jp
【0039】
図6Aは、IPアドレスについて、グループ化した例を示す図であり、図6Bは、ドメイン名について、グループ化した例を示す図である。上記の類似度は、例えば、次のように算出することができる。すなわち、ホスト識別子(IPアドレスなど)、ホスト名が階層的な構成をとる場合、その末端部を除いた部分が同じものを、同じグループとして分類する。要素数の多い上位n個のグループについて、その要素数の合計がm以上の場合、類似度が高いと判定する。nは全構成要素数のxパーセント(小数点以下は切り上げ)とする。mは全構成要素数のyパーセントとする。xおよびyは変更可能とする。なお、誤検知を防ぐために、ホワイトリストを持たせることも可能である。
【符号の説明】
【0040】
10 悪性ホスト判定システム(通信ネットワーク監視システム)
11 DNS情報収集装置
11a 受信部
11b 格納部
13 悪性ホスト判定装置
13a 判定部
13b 受信部
13c 送信部
20 トラヒック分岐装置
30 DNSサーバ
40 ネットワーク
50 インターネット
50a−50c 端末装置
【特許請求の範囲】
【請求項1】
通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムであって、
DNS(Domain Name System)サーバから、端末装置を特定する第1の情報および第2の情報を受信する受信部と、
前記受信した第1の情報および第2の情報をデータベースに格納する格納部と、
前記第1の情報に対応する前記第2の情報の数を算出し、前記第2の情報の数を予め定められた第1の閾値と比較し、前記第2の情報の数が前記第1の閾値よりも大きいときは、前記第2の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第2の閾値と比較する判定部と、
前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、
前記判定部は、前記平均生存期間が前記第2の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定することを特徴とする通信ネットワーク監視システム。
【請求項2】
通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムであって、
DNS(Domain Name System)サーバから、端末装置を特定する第1の情報および第2の情報を受信する受信部と、
前記受信した第1の情報および第2の情報をデータベースに格納する格納部と、
前記第2の情報に対応する前記第1の情報の数を算出し、前記第1の情報の数を予め定められた第3の閾値と比較し、前記第1の情報の数が前記第3の閾値よりも大きいときは、前記第1の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第4の閾値と比較する判定部と、
前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、
前記判定部は、前記平均生存期間が前記第4の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定することを特徴とする通信ネットワーク監視システム。
【請求項3】
前記判定部は、前記第1の情報に対応する前記第2の情報のばらつき、または前記第2の情報に対応する第1の情報のばらつきに基づいて、前記判定を行なうことを特徴とする請求項1または請求項2記載の通信ネットワーク監視システム。
【請求項4】
前記閾値は、可変であることを特徴とする請求項1から請求項3のいずれかに記載の通信ネットワーク監視システム。
【請求項5】
前記第1の情報はドメイン名であり、前記第2の情報はIPアドレスであることを特徴とする請求項1から請求項4のいずれかに記載の通信ネットワーク監視システム。
【請求項1】
通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムであって、
DNS(Domain Name System)サーバから、端末装置を特定する第1の情報および第2の情報を受信する受信部と、
前記受信した第1の情報および第2の情報をデータベースに格納する格納部と、
前記第1の情報に対応する前記第2の情報の数を算出し、前記第2の情報の数を予め定められた第1の閾値と比較し、前記第2の情報の数が前記第1の閾値よりも大きいときは、前記第2の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第2の閾値と比較する判定部と、
前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、
前記判定部は、前記平均生存期間が前記第2の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定することを特徴とする通信ネットワーク監視システム。
【請求項2】
通信ネットワークに接続された端末装置に対して、マルウェアを含む反社会的なプログラムを提供する悪性ホストを検出する通信ネットワーク監視システムであって、
DNS(Domain Name System)サーバから、端末装置を特定する第1の情報および第2の情報を受信する受信部と、
前記受信した第1の情報および第2の情報をデータベースに格納する格納部と、
前記第2の情報に対応する前記第1の情報の数を算出し、前記第1の情報の数を予め定められた第3の閾値と比較し、前記第1の情報の数が前記第3の閾値よりも大きいときは、前記第1の情報の平均生存期間を算定し、前記平均生存期間を予め定められた第4の閾値と比較する判定部と、
前記判定結果を、判定要求を行なった端末装置を送信する送信部と、を備え、
前記判定部は、前記平均生存期間が前記第4の閾値よりも小さい場合は、前記第1の情報および前記第2の情報で特定されるホストを悪性と判定することを特徴とする通信ネットワーク監視システム。
【請求項3】
前記判定部は、前記第1の情報に対応する前記第2の情報のばらつき、または前記第2の情報に対応する第1の情報のばらつきに基づいて、前記判定を行なうことを特徴とする請求項1または請求項2記載の通信ネットワーク監視システム。
【請求項4】
前記閾値は、可変であることを特徴とする請求項1から請求項3のいずれかに記載の通信ネットワーク監視システム。
【請求項5】
前記第1の情報はドメイン名であり、前記第2の情報はIPアドレスであることを特徴とする請求項1から請求項4のいずれかに記載の通信ネットワーク監視システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6A】
【図6B】
【図2】
【図3】
【図4】
【図5】
【図6A】
【図6B】
【公開番号】特開2011−193343(P2011−193343A)
【公開日】平成23年9月29日(2011.9.29)
【国際特許分類】
【出願番号】特願2010−59274(P2010−59274)
【出願日】平成22年3月16日(2010.3.16)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成21年度、独立行政法人情報通信研究機構「高度通信・放送研究開発委託研究/マルウェア対策ユーザサポートシステムの研究開発」、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成23年9月29日(2011.9.29)
【国際特許分類】
【出願日】平成22年3月16日(2010.3.16)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成21年度、独立行政法人情報通信研究機構「高度通信・放送研究開発委託研究/マルウェア対策ユーザサポートシステムの研究開発」、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]