JP2010009185A - Information processor, information processing system, program, and recording medium - Google Patents
Information processor, information processing system, program, and recording medium Download PDFInfo
- Publication number
- JP2010009185A JP2010009185A JP2008165746A JP2008165746A JP2010009185A JP 2010009185 A JP2010009185 A JP 2010009185A JP 2008165746 A JP2008165746 A JP 2008165746A JP 2008165746 A JP2008165746 A JP 2008165746A JP 2010009185 A JP2010009185 A JP 2010009185A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- identification information
- communication history
- port number
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、通信に係る情報を処理する情報処理装置および情報処理システムに関する。また、本発明は、情報処理装置としてコンピュータを機能させるためのプログラム、およびそのプログラムを記録した記録媒体にも関する。 The present invention relates to an information processing apparatus and an information processing system for processing information related to communication. The present invention also relates to a program for causing a computer to function as an information processing apparatus, and a recording medium on which the program is recorded.
近年、ウィルスに感染したコンピュータに悪質な動作を実行させる、ボットと呼ばれるウィルスによる被害が拡大している。ボットは、外部の指令サーバに通信セッションを確立して新たなコードをダウンロードする機能や、攻撃のための指令を受ける機能、指令に従って攻撃する機能などを持つ悪意のコードで構成されている。ボットに感染して加害者として攻撃を行うことになった加害者装置や上記の指令サーバを撲滅することは重要であり、被害者装置から通信経路を辿って攻撃元を追跡するIPトレースバック技術が注目されている。 In recent years, damage caused by viruses called bots that cause a computer infected with a virus to perform malicious operations has been increasing. The bot is composed of malicious code having a function of establishing a communication session with an external command server and downloading a new code, a function of receiving a command for an attack, and a function of attacking according to the command. It is important to eradicate the perpetrator device that was infected by the bot and attacked as the perpetrator, and the command server mentioned above, and the IP traceback technology that traces the attack source by tracing the communication path from the victim device Is attracting attention.
IPトレースバックとは、送信元のIPアドレスを詐称して行う攻撃を、パケット中のIPレイヤの情報を用いて追跡する手法である。IPトレースバックの代表的な方式として、通過するパケットのハッシュ値を通信経路上の専用の装置で保存しておき、被害者側に届いた攻撃パケットのハッシュ値を、装置に残された情報から追跡するハッシュ方式がある(非特許文献1,2参照)。 IP traceback is a technique for tracking an attack performed by spoofing a source IP address using information of an IP layer in a packet. As a typical method of IP traceback, the hash value of the passing packet is stored in a dedicated device on the communication path, and the hash value of the attack packet that reaches the victim is determined from the information left in the device. There is a hash method for tracking (see Non-Patent Documents 1 and 2).
この他、ルータを通過するパケットをサンプリングして、パケット情報とルータ情報をICMPパケットに載せて、Destination IP(被害者のIPアドレス)へ送付するICMP方式がある(非特許文献3参照)。また、通過するパケットをサンプリングして、ルーティングに影響のないヘッダ領域にルータ情報を書き込むパケットマーキング方式もあり、被害者側でマーキング情報を組み立てることで、通信経路を追跡することができる(非特許文献4参照)。
図5は、ボットによる通信のモデルを示している。ボットによる通信には、攻撃を行う加害者PC(Personal Computer)500,501と、攻撃を受ける被害者PC510,511,512,513と、攻撃コード(実行ファイル)の配信や攻撃指示を行う指令サーバ520,521とが関係している。外部の加害者PC500は、ボットをダウンロードする初期コードを加害者PC501に埋め込む。加害者PC501は、この初期コードに従って指令サーバ520から新たなコードを受信する。さらに、加害者PC501は、指令サーバ521から指令を受け取り、被害者PCに対して各種攻撃を行う。
FIG. 5 shows a model of communication by the bot. In the communication by the bot, an attacker computer (Personal Computer) 500, 501 performing an attack, a victim PC 510, 511, 512, 513 subjected to an attack, and a command server for delivering an attack code (execution file) and an attack instruction 520,521. The external perpetrator PC 500 embeds an initial code for downloading the bot in the perpetrator PC 501. The perpetrator PC 501 receives a new code from the
本発明者らは、通信プロセスと通信の宛先をモニタするツールを実装し、加害者PCの通信挙動をモニタした。図6はこの様子を示している。加害者PCは初期のコード“^21.tmp.exe”を起動すると、新たにコード“nbin.exe”を取得した(時刻14:06:51)。この53秒後、加害者PCはコード“nbin.exe”により外部サーバとの通信を開始してコード“EventLogger.exe”を取得した(時刻14:07:44)。また、90秒後には加害者PCはコード“EventLogger.exe”により新たな通信を開始した(時刻14:08:21)。上記の3種類のコードによる通信が指令サーバとの通信である。 The inventors implemented a tool for monitoring a communication process and a communication destination, and monitored the communication behavior of the perpetrator PC. FIG. 6 shows this state. When the perpetrator PC starts the initial code “^ 21.tmp.exe”, the code “nbin.exe” is newly acquired (time 14:06:51). After 53 seconds, the perpetrator PC started communication with the external server using the code “nbin.exe” and acquired the code “EventLogger.exe” (time 14:07:44). After 90 seconds, the perpetrator PC started a new communication with the code “EventLogger.exe” (time 14:08:21). Communication with the above three types of codes is communication with the command server.
上記のようにボットに感染した加害者PCが指令サーバと行う通信と、加害者PCが被害者PCと行う攻撃のための通信は別個の通信であり、通信に使用するパケットも異なる。このため、従来のIPトレースバック方式では、被害者PCに到着したパケットの情報に基づいて被害者PCから加害者PCまでの通信を追跡することはできるが、被害者PCに到着したパケットとは異なるパケットを用いている指令サーバまでの通信を追跡することはできなかった。 As described above, the communication performed by the perpetrator PC infected with the bot with the command server and the communication for the attack performed by the perpetrator PC with the victim PC are separate communications, and the packets used for the communication are also different. For this reason, with the conventional IP traceback method, communication from the victim PC to the victim PC can be traced based on the information of the packet that arrived at the victim PC. Communication to the command server using different packets could not be traced.
本発明は、上述した課題に鑑みてなされたものであって、ボットに感染した装置が指令サーバと行う通信を検出することができる情報処理装置、情報処理システム、プログラム、および記録媒体を提供することを目的とする。 The present invention has been made in view of the above-described problems, and provides an information processing apparatus, an information processing system, a program, and a recording medium that can detect communication performed by a device infected with a bot with a command server. For the purpose.
本発明は、上記の課題を解決するためになされたもので、既知の正常な通信の宛先の識別情報と、攻撃パケットの送信に利用されるポート番号とを記憶する既知情報記憶手段と、監視対象となった通信の宛先の識別情報と、当該通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、前記通信履歴に含まれる識別情報が、前記既知情報記憶手段が記憶する識別情報と一致するか否かを判定する識別情報判定手段と、前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、前記通信履歴の中から、前記識別情報判定手段による判定の結果、前記既知情報記憶手段が記憶する識別情報と一致しないと判定された識別情報を含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する抽出手段とを備えたことを特徴とする情報処理装置である。 The present invention has been made in order to solve the above-described problems, and includes known information storage means for storing identification information of known normal communication destinations and port numbers used for transmission of attack packets, and monitoring. Communication history storage means for storing a communication history including the identification information of the destination of the target communication and the port number used by the communication, and the identification information included in the communication history is stored in the known information storage means. Identification information determining means for determining whether or not the identification information matches the port number stored in the known information storage means and the port number included in the communication history. And identification information that is determined to be inconsistent with the identification information stored in the known information storage unit as a result of determination by the identification information determination unit from the communication history, and An information processing apparatus comprising: an extraction unit that extracts the communication history including a port number determined not to match a port number stored in the known information storage unit as a result of determination by the number determination unit is there.
既知の正常な通信とは、ボットに感染していないことが保証されている装置が行う通信である。通信履歴に含まれる識別情報が、既知の正常な通信の宛先の識別情報と一致した場合、当該識別情報を宛先とする通信は正常な通信であると判定することができる。これに対して、通信履歴に含まれる識別情報が、既知の正常な通信の宛先の識別情報と一致しなかった場合、当該識別情報を宛先とする通信は指令サーバとの通信である可能性がある。 Known normal communication is communication performed by a device that is guaranteed not to be infected with a bot. When the identification information included in the communication history matches the identification information of a known normal communication destination, it is possible to determine that the communication having the identification information as the destination is normal communication. On the other hand, when the identification information included in the communication history does not match the identification information of the known normal communication destination, the communication having the identification information as the destination may be communication with the command server. is there.
しかし、当該通信の中には、被害者の装置を宛先とし、攻撃パケットの送信に利用した通信が含まれている可能性がある。そこで、攻撃パケットの送信に利用されることが既知であるポート番号を用いた判定を行うことにより、被害者の装置を宛先とする通信を除外することが可能となる。すなわち、通信履歴に含まれるポート番号が、攻撃パケットの送信に利用されるポート番号と一致した場合、当該ポート番号を利用した通信は、攻撃パケットの送信に利用した通信であると判定することができる。また、通信履歴に含まれるポート番号が、攻撃パケットの送信に利用されるポート番号と一致しなかった場合、当該ポート番号を利用した通信は指令サーバとの通信である可能性がある。 However, there is a possibility that the communication includes communication used for sending attack packets with the victim's device as the destination. Therefore, by making a determination using a port number that is known to be used for transmission of attack packets, it is possible to exclude communication destined for the victim's device. That is, when the port number included in the communication history matches the port number used for sending the attack packet, it is possible to determine that the communication using the port number is the communication used for sending the attack packet. it can. Further, when the port number included in the communication history does not match the port number used for transmission of the attack packet, there is a possibility that the communication using the port number is communication with the command server.
したがって、通信の宛先の識別情報に関する判定と、通信に利用したポート番号に関する判定とを組み合わせることによって、既知の正常な通信と、攻撃パケットの送信に利用した通信とを除外し、指令サーバとの通信を検出することができる。 Therefore, by combining the determination regarding the identification information of the communication destination and the determination regarding the port number used for communication, the known normal communication and the communication used for transmitting the attack packet are excluded, and the command server Communication can be detected.
また、本発明の情報処理装置は、攻撃パケットを受信した装置の識別情報を含むメッセージを他の装置から受信する受信手段をさらに備え、前記識別情報判定手段はさらに、前記通信履歴記憶手段が記憶する前記通信履歴に含まれる識別情報が、前記メッセージに含まれる識別情報と一致するか否かを判定し、前記抽出手段は、前記識別情報判定手段による判定の結果、前記メッセージに含まれる識別情報と一致する識別情報が前記通信履歴に含まれる場合に前記通信履歴の抽出を行うことを特徴とする。 The information processing apparatus according to the present invention further includes a receiving unit that receives a message including identification information of the device that has received the attack packet from another device, and the identification information determining unit is further stored in the communication history storage unit. Determining whether or not the identification information included in the communication history matches the identification information included in the message, and the extracting means determines the identification information included in the message as a result of the determination by the identification information determining means. The communication history is extracted when identification information that matches is included in the communication history.
本発明では、指令サーバから指令を受けて被害者の装置へ攻撃パケットを送信した加害者の装置の通信履歴を処理対象とすることが特に効果的である。加害者の装置の通信履歴には、被害者の装置へ攻撃パケットを送信した通信に係る通信履歴が含まれている。したがって、攻撃パケットを受信した装置の識別情報と一致する識別情報が通信履歴に含まれる場合に通信履歴の抽出を行うことによって、指令サーバとの通信の検出精度を向上することができる。 In the present invention, it is particularly effective to set the communication history of the perpetrator device that has received the command from the command server and transmitted the attack packet to the victim device as a processing target. The communication history of the perpetrator device includes a communication history related to communication in which an attack packet is transmitted to the victim device. Therefore, when the communication history includes identification information that matches the identification information of the device that received the attack packet, the detection accuracy of communication with the command server can be improved by extracting the communication history.
また、本発明は、上記の情報処理装置としてコンピュータを機能させるためのプログラムである。 The present invention is also a program for causing a computer to function as the information processing apparatus.
また、本発明は、上記のプログラムを格納したコンピュータ読み取り可能な記録媒体である。 Further, the present invention is a computer-readable recording medium storing the above program.
また、本発明は、第1の情報処理装置および第2の情報処理装置を備えた情報処理システムであって、前記第1の情報処理装置は、既知の正常な通信の宛先の識別情報と、攻撃パケットの送信に利用されるポート番号とを記憶する既知情報記憶手段と、監視対象となった通信の宛先の識別情報と、当該通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、前記通信履歴に含まれる識別情報が、前記既知情報記憶手段が記憶する識別情報と一致するか否かを判定する識別情報判定手段と、前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、前記通信履歴の中から、前記識別情報判定手段による判定の結果、前記既知情報記憶手段が記憶する識別情報と一致しないと判定された識別情報を含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する第1の抽出手段と、前記第1の抽出手段が抽出した前記通信履歴を前記第2の情報処理装置へ送信する送信手段とを備え、前記第2の情報処理装置は、複数の前記第1の情報処理装置から前記通信履歴を受信する受信手段と、前記受信手段が受信した前記通信履歴の中から、共通の識別情報を有する前記通信履歴を抽出する第2の抽出手段とを備えたことを特徴とする情報処理システムである。 The present invention is an information processing system including a first information processing apparatus and a second information processing apparatus, wherein the first information processing apparatus includes identification information of known normal communication destinations, A communication history that stores a communication history including a known information storage unit that stores a port number used for transmission of an attack packet, identification information of a destination of a monitored communication, and a port number used by the communication Storage means, identification information determination means for determining whether or not the identification information included in the communication history matches the identification information stored in the known information storage means, and a port number included in the communication history As a result of determination by the identification information determination means from the communication history, the known information storage means records the port number determination means for determining whether or not it matches the port number stored in the known information storage means. The communication history includes identification information that is determined not to match the identification information to be performed, and includes a port number that is determined not to match the port number stored in the known information storage unit as a result of determination by the port number determination unit And a transmission means for transmitting the communication history extracted by the first extraction means to the second information processing apparatus, wherein the second information processing apparatus comprises a plurality of Receiving means for receiving the communication history from the first information processing apparatus; and second extracting means for extracting the communication history having common identification information from the communication history received by the receiving means. An information processing system characterized by comprising the information processing system.
ボットでは、加害者として機能する複数の装置が同一の指令サーバと通信を行う特徴がある。この特徴を利用して、複数の第1の通信装置で抽出した通信履歴の中から共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信の検出精度を向上することができる。 The bot is characterized in that a plurality of devices functioning as perpetrators communicate with the same command server. By using this feature to extract a communication history having common identification information from communication histories extracted by a plurality of first communication devices, it is possible to improve the detection accuracy of communication with the command server. .
本発明によれば、ボットに感染した装置が指令サーバと行う通信を検出することができるという効果が得られる。 According to the present invention, it is possible to obtain an effect that a device infected with a bot can detect communication performed with a command server.
以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態による情報処理システムの構成を示している。本情報処理システムは、ボットによる被害者または加害者となる端末装置1(例えばPC)と、端末装置1から受信する通信履歴に基づいて通信の解析を行うサーバ2とを備えている。本情報処理システムでは複数台の端末装置1が存在しているが、図1では1台のみを図示し、他の端末装置1の図示を省略している。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 shows the configuration of an information processing system according to an embodiment of the present invention. The information processing system includes a terminal device 1 (for example, a PC) that is a victim or a perpetrator of a bot, and a server 2 that analyzes communication based on a communication history received from the terminal device 1. In this information processing system, a plurality of terminal devices 1 exist, but only one device is illustrated in FIG. 1 and the other terminal devices 1 are not shown.
以下、端末装置1が備える構成およびその動作を説明する。端末装置1は、既知情報記憶部100、通信監視部101、通信履歴記憶部102、被害報告部103、被害情報受信部104、被害情報記憶部105、加害者判定部106、通信解析部107、および通信履歴報告部108を備えている。端末装置1は被害者にも加害者にもなり得ることから、端末装置1は、被害者としての処理構成(被害報告部103)と、加害者としての処理構成(既知情報記憶部100、通信解析部107、通信履歴報告部108)との両方を備えている。既知情報記憶部100、通信履歴記憶部102、および被害情報記憶部105は、異なる記録媒体で構成されていてもよいし、同一の記録媒体上の異なる記憶領域で構成されていてもよい。
Hereinafter, the configuration and operation of the terminal device 1 will be described. The terminal device 1 includes a known
既知情報記憶部100は、予め得られている既知情報を記憶する。サーバ2などの他の装置から既知情報を受信することによって端末装置1が既知情報を取得してもよいし、既知情報が格納された記録媒体から既知情報を読み出すことによって端末装置1が既知情報を取得してもよい。既知情報の詳細については後述する。
The known
通信監視部101は、端末装置1が他の装置と行う通信を監視し、通信結果を通信履歴として通信履歴記憶部102に格納する。通信監視部101の機能は、例えばMicrosoft(登録商標)社から提供されているPort Reporterというツールにより実現することが可能である。あるいは、Windows(登録商標) XP標準のIPHLPAPI.DLLで、TCPについてはAllocateAndGetTcpExTableFromStack()、UDPについてはUDP:AllocateAndGetUdpExTableFromStack()というAPIを100msec程度の周期で呼び出すことによっても、通信監視部101の機能を実現することが可能である。
The
通信履歴記憶部102は通信履歴を記憶する。この通信履歴には、監視対象となった通信の宛先を識別する識別情報と、監視対象となった通信が利用したポート番号と、監視対象となった通信を行った時刻(通信時刻)とが含まれる。識別情報は、IPアドレスまたはドメイン名、もしくはその両方であり、ドメイン名はFQDN(Fully Qualified Domain Name)であってもよい。以下に登場する他の識別情報についても同様である。識別情報を構成するIPアドレスとドメイン名とを関連付けるには、通信時にDNSサーバに名前解決を依頼した後、DNSサーバから返信されるパケットにIPアドレスとドメイン名の両者が含まれていることを利用すればよい。また、監視対象となった通信を実行したときに起動した通信プロセスの名称(通信プロセス名)が通信履歴に含まれていてもよい。
The communication
被害報告部103は、端末装置1がボットによる攻撃パケットを受信し被害者となった場合に、攻撃パケットの受信に係る通信履歴を含むメッセージをサーバ2へ送信することによって、サーバ2に被害を報告する。サーバ2へ送信する通信履歴には、端末装置1の識別情報と攻撃パケットの受信時刻(攻撃時刻とする)が含まれる。この通信履歴を含むメッセージの送信は、例えば攻撃を受けたことを認識したユーザが端末装置1に入力した指示に基づいて行われる。
When the terminal device 1 receives an attack packet by the bot and becomes a victim, the
ボットによる攻撃に関する通信履歴を各端末装置1から受信したサーバ2は、各端末装置1の通信履歴を統合した被害情報を生成し、被害情報を含むメッセージを端末装置1へ送信する。この被害情報には、攻撃パケットを受信した端末装置1の識別情報と攻撃時刻(あるいは攻撃時刻を含む時間範囲でもよい)が含まれている。被害情報受信部104は、被害情報を含むサーバ2からのメッセージを受信し、メッセージに含まれる被害情報を被害情報記憶部105に格納する。被害情報記憶部105は被害情報を記憶する。
The server 2 that has received the communication history regarding the attack by the bot from each terminal device 1 generates damage information that integrates the communication history of each terminal device 1, and transmits a message including the damage information to the terminal device 1. The damage information includes identification information of the terminal device 1 that has received the attack packet and an attack time (or a time range including the attack time). The damage
加害者判定部106は、端末装置1が加害者であるか否かを判定する。この判定には、被害情報記憶部105が記憶する被害情報に含まれる識別情報および攻撃時刻と、通信履歴記憶部102が記憶する通信履歴に含まれる識別情報および通信時刻とが用いられる。具体的には、加害者判定部106は、まず被害情報記憶部105から被害情報を読み出すと共に、通信履歴記憶部102から通信履歴を読み出す。続いて、加害者判定部106は、被害情報に含まれる攻撃時刻と、通信履歴に含まれる通信時刻とを比較し、攻撃時刻を基準とする前後の所定時間以内の通信時刻を含む通信履歴を以降の処理対象とする。
The
続いて、加害者判定部106は、被害情報に含まれる識別情報(攻撃パケットを受信した端末装置1の識別情報)と、通信履歴に含まれる識別情報(通信の宛先の装置の識別情報)とが一致するか否かを判定する。被害情報に含まれる識別情報が、通信履歴に含まれるいずれかの識別情報と一致した場合、自身の端末装置1が加害者であると判断することが可能である。また、被害情報に含まれる識別情報が、通信履歴に含まれるどの識別情報とも一致しなかった場合、自身の端末装置1が加害者ではないと判断することが可能である。
Subsequently, the
続いて、加害者判定部106は判定結果を通信解析部107に通知する。本実施形態では、端末装置1が加害者であると判断された場合に通信解析部107は以降の処理を行い、端末装置1が加害者ではないと判断された場合に通信解析部107は以降の処理を行わない。
Subsequently, the
通信解析部107は、既知情報記憶部100が記憶する既知情報と、通信履歴記憶部102が記憶する通信履歴とに基づいて、端末装置1が行った通信を解析し、指令サーバとの通信に係る通信履歴を抽出する。通信解析部107のより具体的な動作については後述する。通信履歴報告部108は、通信解析部107が抽出した通信履歴を含むメッセージをサーバ2へ送信する。
The
次に、サーバ2が備える構成およびその動作を説明する。サーバ2は、被害情報受信部200、被害情報記憶部201、被害情報配信部202、通信履歴受信部203、通信履歴記憶部204、および通信解析部205を備えている。被害情報記憶部201と通信履歴記憶部204は、異なる記録媒体で構成されていてもよいし、同一の記録媒体上の異なる記憶領域で構成されていてもよい。
Next, the configuration and operation of the server 2 will be described. The server 2 includes a damage
被害情報受信部200は、各端末装置1から送信された、被害情報を含むメッセージを受信し、メッセージに含まれる各被害情報を統合して被害情報記憶部201に格納する。被害情報記憶部201は被害情報を記憶する。被害情報配信部202は、被害情報記憶部201から被害情報を読み出し、被害情報を含むメッセージを端末装置1へ送信することによって、被害情報を各端末装置1に配信する。
The damage
通信履歴受信部203は、端末装置1から送信された、通信履歴を含むメッセージを受信し、メッセージに含まれる通信履歴を通信履歴記憶部204に格納する。通信履歴記憶部204は通信履歴を記憶する。通信解析部205は、通信履歴記憶部204が記憶する通信履歴に基づいて、各端末装置1が行った通信を解析する。通信解析部205のより具体的な動作については後述する。
The communication
次に、端末装置1が備える通信解析部107のより具体的な構成および動作を説明する。図2は通信解析部107の構成を示している。通信解析部107は、識別情報判定部107a、ポート番号判定部107b、および通信履歴抽出部107cを備えている。通信解析部107による通信の解析には、既知情報記憶部100に格納されている既知情報と、通信履歴記憶部102に格納されている通信履歴とが用いられる。
Next, a more specific configuration and operation of the
既知情報記憶部100は、通信解析部107が参照する既知情報として、ホワイトリストおよびポート番号リストを記憶する。ホワイトリストは、ボットに感染していないことが保証されている装置の通信結果から得られた、既知の正常な通信の宛先を識別する識別情報をリスト化したものである。また、ポート番号リストは、攻撃パケットの送信に利用されるポート番号をリスト化したものである。ポート番号リストには、攻撃に頻繁に利用されるTCP-Port 25,TCP-Port 135-139,UDP-Port 53が含まれる。
The known
識別情報判定部107aは、通信履歴記憶部102から通信履歴を読み出すと共に、既知情報記憶部100からホワイトリストを読み出す。続いて、識別情報判定部107aは、通信履歴に含まれる識別情報がホワイトリスト内の識別情報と一致するか否かを判定する。通信履歴に含まれる識別情報がホワイトリスト内のいずれかの識別情報と一致した場合、この識別情報を宛先とする通信は正常な通信であると判定することができる。これに対して、通信履歴に含まれる識別情報がホワイトリスト内のどの識別情報とも一致しなかった場合、この識別情報を宛先とする通信は指令サーバとの通信である可能性がある。したがって、識別情報判定部107aによる判定の結果から、指令サーバとの通信に係る通信履歴の候補を特定することが可能である。
The identification
識別情報判定部107aは、ホワイトリスト内のどの識別情報とも一致しなかった識別情報を判定結果として通信履歴抽出部107cに通知する。この識別情報を含む通信履歴は、指令サーバとの通信に係る通信履歴の候補であるが、ボットは指令サーバとの通信以外に被害者への攻撃も行うため、上記の通信履歴の候補から、被害者への攻撃に係る通信履歴を除外する必要がある。ポート番号判定部107bは、このための判定を行う。
The identification
ポート番号判定部107bは、既知情報記憶部100からポート番号リストを読み出すと共に、通信履歴記憶部102から通信履歴を読み出す。続いて、ポート番号判定部107bは、通信履歴に含まれるポート番号がポート番号リスト内のポート番号と一致するか否かを判定する。通信履歴に含まれるポート番号がポート番号リスト内のいずれかのポート番号と一致した場合、このポート番号を利用した通信は、攻撃パケットの送信に利用した通信であると判定することができる。また、通信履歴に含まれるポート番号がポート番号リスト内のどのポート番号とも一致しなかった場合、このポート番号を利用した通信は指令サーバとの通信である可能性がある。したがって、ポート番号判定部107bによる判定の結果から、被害者を宛先とする通信を除外し、指令サーバとの通信に係る通信履歴の候補を特定することが可能である。ポート番号判定部107bは、ポート番号リスト内のどのポート番号とも一致しなかったポート番号を判定結果として通信履歴抽出部107cに通知する。
The port
通信履歴抽出部107cは、通信履歴記憶部102から通信履歴を読み出し、識別情報判定部107aによる判定の結果と、ポート番号判定部107bによる判定の結果とに基づいて、指令サーバとの通信に係る通信履歴を抽出する。具体的には、通信履歴抽出部107cは、識別情報判定部107aによる判定の結果、ホワイトリスト内のどの識別情報とも一致しないと判定された識別情報を含み、かつポート番号判定部107bによる判定の結果、ポート番号リスト内のどのポート番号とも一致しないと判定されたポート番号を含む通信履歴を抽出する。上記のようにして抽出された通信履歴が、指令サーバとの通信に係る通信履歴として特定されたものである。また、抽出された通信履歴に含まれる識別情報が指令サーバの識別情報となる。上記の通信履歴の抽出の際に、被害情報に含まれる攻撃時刻を基準とした前後の所定時間以内の通信時刻を含む通信履歴を処理対象としてもよい。
The communication
次に、既知情報記憶部100が記憶するホワイトリストの作成方法を説明する。図3は、ホワイトリストの作成に係る端末装置の構成を示している。この端末装置は、ボットなどのウィルスに感染していないことが保証されているものとする。通信監視部300は、端末装置が他の装置と行う通信を長期間(例えば1週間程度)監視し、通信の宛先を識別する識別情報をホワイトリストとしてホワイトリスト記憶部301に格納する。
Next, a method for creating a white list stored in the known
ホワイトリスト記憶部301はホワイトリストを記憶する。ホワイトリスト記憶部301に格納されるホワイトリストは、各種通信の宛先の識別情報をリスト化したものである。この各種通信として、アプリケーションや各種ファイルの更新に係る通信や、LANおよびDNSのアドレスの通知に係る通信、Ajaxと呼ばれるWebアプリケーションがWebブラウザの起動などのユーザ操作と並行してWebサーバと行う通信などがある。
The white
次に、サーバ2が備える通信解析部205のより具体的な動作を説明する。サーバ2の通信履歴記憶部204には、指令サーバとの通信に係る通信履歴として各端末装置1で抽出された通信履歴が格納されている。各通信履歴は、端末装置1毎に区別できるようになっている。通信解析部205は、通信履歴記憶部204から複数の端末装置1についての通信履歴を読み出し、それらに共通する識別情報があるか否かを判定する。
Next, a more specific operation of the
より具体的には、通信解析部205はまず、1つの端末装置1についての通信履歴から、互いに異なる1または複数の識別情報を抽出し、各識別情報と出現頻度のペアを記憶装置に格納する。ここで、「互いに異なる」と記載したのは、1つの端末装置1についての通信履歴が複数のレコードからなり、同一の識別情報が複数レコードに記録されている場合に、同一の識別情報を1回だけ抽出する(その結果、抽出された識別情報は全て異なる)ことを明示するためである。最初の端末装置1についての通信履歴を処理したときには各識別情報の出現頻度は1にセットされる。
More specifically, the
続いて、通信解析部205は、他の1つの端末装置1についての通信履歴から、互いに異なる1または複数の識別情報を抽出し、記憶装置に格納されている各識別情報と比較する。通信履歴から抽出した識別情報が、記憶装置に格納されているいずれかの識別情報と一致した場合、その識別情報の出現頻度に1が加算される。また、通信履歴から抽出した識別情報が、記憶装置に格納されているどの識別情報とも一致しなかった場合、新たな識別情報と出現頻度(値は1)のペアが記憶装置に格納される。通信解析部205は、全ての端末装置1についての通信履歴を処理するまで上記の処理を繰り返す。上記の処理が終了したら、通信解析部205は記憶装置から出現頻度を読み出し、その出現頻度が所定値N(Nは2以上)以上である場合に、その出現頻度とペアになっている識別情報を記憶装置から読み出す。この識別情報は、指令サーバの識別情報として信頼度が高いものとなる。
Subsequently, the
ボットでは、加害者として機能する複数の端末装置1が同一の指令サーバと通信を行う特徴がある。したがって、複数の端末装置1で抽出した通信履歴の中から、共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信に係る通信履歴の抽出精度を高めることができる。 The bot is characterized in that a plurality of terminal devices 1 functioning as perpetrators communicate with the same command server. Therefore, by extracting the communication history having common identification information from the communication histories extracted by the plurality of terminal devices 1, it is possible to improve the accuracy of extracting the communication history related to the communication with the command server.
図4は、共通の識別情報を有する通信履歴が抽出される様子を示している。加害者となった端末装置1a,1b,1c,1dから通信履歴がサーバ2に報告される。4つの端末装置の通信履歴のうち、端末装置1b,1cからの通信履歴が、共通する識別情報を有している。この識別情報は、指令サーバの識別情報として、より信頼度が高いものとなる。通信プロセス名(図4の「nbin.exe」)も取得されている場合には、共通する通信プロセス名を有する通信履歴を抽出することによって、指令サーバとの通信に係る通信履歴の抽出精度をより高めることができる。
FIG. 4 shows how a communication history having common identification information is extracted. The communication history is reported to the server 2 from the
上述したように、本実施形態によれば、通信の宛先の識別情報に関する判定と、通信に利用したポート番号に関する判定とを組み合わせることによって、既知の正常な通信と、攻撃パケットの送信に利用した通信とを除外し、指令サーバとの通信を検出することができる。 As described above, according to the present embodiment, a combination of the determination regarding the identification information of the communication destination and the determination regarding the port number used for communication is used for transmission of known normal communication and attack packets. Communication with the command server can be detected by excluding communication.
また、加害者判定部106による判定の結果、端末装置1が加害者であると判断された場合に通信履歴の抽出を行うことによって、指令サーバとの通信の検出精度を向上することができる。さらに、加害者であると判断された端末装置1が、指令サーバ2との通信に係る通信履歴のみをサーバ2に報告することによって、端末装置1の正常な通信履歴の漏洩を防止することができる。
Also, as a result of determination by the
また、複数の端末装置1で抽出した通信履歴の中から、共通の識別情報を有する通信履歴を抽出することによって、指令サーバとの通信の検出精度を向上することができる。 Further, by extracting a communication history having common identification information from the communication histories extracted by the plurality of terminal devices 1, it is possible to improve the detection accuracy of communication with the command server.
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態による端末装置1の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。 As described above, the embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the above-described embodiments, and includes design changes and the like without departing from the gist of the present invention. . For example, a program for realizing the operation and function of the terminal device 1 according to the above-described embodiment may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read and executed by the computer. Good.
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。 Here, the “computer” includes a homepage providing environment (or display environment) if the WWW system is used. The “computer-readable recording medium” refers to a storage device such as a portable medium such as a flexible disk, a magneto-optical disk, a ROM, and a CD-ROM, and a hard disk built in the computer. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 The program described above may be transmitted from a computer storing the program in a storage device or the like to another computer via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting a program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the above-described program may be for realizing a part of the above-described function. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer, what is called a difference file (difference program) may be sufficient.
1・・・端末装置(第1の情報処理装置)、2・・・サーバ(第2の情報処理装置)、100・・・既知情報記憶部(既知情報記憶手段)、101・・・通信監視部、102,204・・・通信履歴記憶部(通信履歴記憶手段)、103・・・被害報告部(送信手段)、104,200・・・被害情報受信部(受信手段)、105,201・・・被害情報記憶部、106・・・加害者判定部、107,205・・・通信解析部(第1の抽出手段、第2の抽出手段)、107a・・・識別情報判定部(識別情報判定手段)、107b・・・ポート番号判定部(ポート番号判定手段)、107c・・・通信履歴抽出部(抽出手段)、108・・・通信履歴報告部、202・・・被害情報配信部、203・・・通信履歴受信部(受信手段)
DESCRIPTION OF SYMBOLS 1 ... Terminal device (1st information processing apparatus), 2 ... Server (2nd information processing apparatus), 100 ... Known information storage part (known information storage means), 101 ... Communication monitoring , 102, 204 ... communication history storage (communication history storage means), 103 ... damage report part (transmission means), 104, 200 ... damage information reception part (reception means), 105, 201 ..Damage
Claims (5)
監視対象となった通信の宛先の識別情報と、当該通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、
前記通信履歴に含まれる識別情報が、前記既知情報記憶手段が記憶する識別情報と一致するか否かを判定する識別情報判定手段と、
前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、
前記通信履歴の中から、前記識別情報判定手段による判定の結果、前記既知情報記憶手段が記憶する識別情報と一致しないと判定された識別情報を含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する抽出手段と、
を備えたことを特徴とする情報処理装置。 Known information storage means for storing identification information of a known normal communication destination and a port number used for transmission of an attack packet;
A communication history storage means for storing a communication history including the identification information of the destination of the communication to be monitored and the port number used by the communication;
Identification information determination means for determining whether or not the identification information included in the communication history matches the identification information stored in the known information storage means;
Port number determination means for determining whether a port number included in the communication history matches a port number stored in the known information storage means;
From the communication history, as a result of the determination by the identification information determination unit, the identification information determined to not match the identification information stored in the known information storage unit, and the determination result by the port number determination unit, Extraction means for extracting the communication history including the port number determined not to match the port number stored in the known information storage means;
An information processing apparatus comprising:
前記識別情報判定手段はさらに、前記通信履歴記憶手段が記憶する前記通信履歴に含まれる識別情報が、前記メッセージに含まれる識別情報と一致するか否かを判定し、
前記抽出手段は、前記識別情報判定手段による判定の結果、前記メッセージに含まれる識別情報と一致する識別情報が前記通信履歴に含まれる場合に前記通信履歴の抽出を行う
ことを特徴とする請求項1に記載の情報処理装置。 Receiving means for receiving a message including the identification information of the device that received the attack packet from another device;
The identification information determination means further determines whether or not the identification information included in the communication history stored in the communication history storage means matches the identification information included in the message,
The extraction means extracts the communication history when the identification information matching the identification information included in the message is included in the communication history as a result of the determination by the identification information determination means. The information processing apparatus according to 1.
前記第1の情報処理装置は、
既知の正常な通信の宛先の識別情報と、攻撃パケットの送信に利用されるポート番号とを記憶する既知情報記憶手段と、
監視対象となった通信の宛先の識別情報と、当該通信が利用したポート番号とを含む通信履歴を記憶する通信履歴記憶手段と、
前記通信履歴に含まれる識別情報が、前記既知情報記憶手段が記憶する識別情報と一致するか否かを判定する識別情報判定手段と、
前記通信履歴に含まれるポート番号が、前記既知情報記憶手段が記憶するポート番号と一致するか否かを判定するポート番号判定手段と、
前記通信履歴の中から、前記識別情報判定手段による判定の結果、前記既知情報記憶手段が記憶する識別情報と一致しないと判定された識別情報を含み、かつ前記ポート番号判定手段による判定の結果、前記既知情報記憶手段が記憶するポート番号と一致しないと判定されたポート番号を含む前記通信履歴を抽出する第1の抽出手段と、
前記第1の抽出手段が抽出した前記通信履歴を前記第2の情報処理装置へ送信する送信手段とを備え、
前記第2の情報処理装置は、
複数の前記第1の情報処理装置から前記通信履歴を受信する受信手段と、
前記受信手段が受信した前記通信履歴の中から、共通の識別情報を有する前記通信履歴を抽出する第2の抽出手段とを備えた
ことを特徴とする情報処理システム。 An information processing system comprising a first information processing device and a second information processing device,
The first information processing apparatus includes:
Known information storage means for storing identification information of a known normal communication destination and a port number used for transmission of an attack packet;
A communication history storage means for storing a communication history including the identification information of the destination of the communication to be monitored and the port number used by the communication;
Identification information determination means for determining whether or not the identification information included in the communication history matches the identification information stored in the known information storage means;
Port number determination means for determining whether a port number included in the communication history matches a port number stored in the known information storage means;
From the communication history, as a result of the determination by the identification information determination unit, the identification information determined to not match the identification information stored in the known information storage unit, and the determination result by the port number determination unit, First extraction means for extracting the communication history including a port number determined not to match the port number stored in the known information storage means;
Transmission means for transmitting the communication history extracted by the first extraction means to the second information processing apparatus,
The second information processing apparatus
Receiving means for receiving the communication history from a plurality of the first information processing devices;
An information processing system comprising: a second extraction unit that extracts the communication history having common identification information from the communication history received by the reception unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008165746A JP5116577B2 (en) | 2008-06-25 | 2008-06-25 | Information processing apparatus, information processing system, program, and recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008165746A JP5116577B2 (en) | 2008-06-25 | 2008-06-25 | Information processing apparatus, information processing system, program, and recording medium |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010009185A true JP2010009185A (en) | 2010-01-14 |
JP5116577B2 JP5116577B2 (en) | 2013-01-09 |
Family
ID=41589630
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008165746A Expired - Fee Related JP5116577B2 (en) | 2008-06-25 | 2008-06-25 | Information processing apparatus, information processing system, program, and recording medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5116577B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10171252B2 (en) | 2015-01-16 | 2019-01-01 | Mitsubishi Electric Corporation | Data determination apparatus, data determination method, and computer readable medium |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006350561A (en) * | 2005-06-14 | 2006-12-28 | Matsushita Electric Ind Co Ltd | Attack detection device |
JP2007124482A (en) * | 2005-10-31 | 2007-05-17 | Ntt Data Corp | Device and program for managing spyware communication |
JP2007323428A (en) * | 2006-06-01 | 2007-12-13 | Hitachi Ltd | Bot detection apparatus, bot detection method and program |
-
2008
- 2008-06-25 JP JP2008165746A patent/JP5116577B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006350561A (en) * | 2005-06-14 | 2006-12-28 | Matsushita Electric Ind Co Ltd | Attack detection device |
JP2007124482A (en) * | 2005-10-31 | 2007-05-17 | Ntt Data Corp | Device and program for managing spyware communication |
JP2007323428A (en) * | 2006-06-01 | 2007-12-13 | Hitachi Ltd | Bot detection apparatus, bot detection method and program |
Non-Patent Citations (1)
Title |
---|
竹森 敬祐: "セキュリティインシデントをトリガとしたボット検知方式:宛先IPとドメインに注目した不正検知", コンピュータセキュリティシンポジウム2007, vol. 第2007巻 第10号, JPN6012049473, 31 October 2007 (2007-10-31), JP, pages 253 - 258, ISSN: 0002335859 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10171252B2 (en) | 2015-01-16 | 2019-01-01 | Mitsubishi Electric Corporation | Data determination apparatus, data determination method, and computer readable medium |
Also Published As
Publication number | Publication date |
---|---|
JP5116577B2 (en) | 2013-01-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5119059B2 (en) | Information processing apparatus, information processing system, program, and recording medium | |
Pa et al. | IoTPOT: A novel honeypot for revealing current IoT threats | |
Goebel et al. | Rishi: Identify Bot Contaminated Hosts by IRC Nickname Evaluation. | |
Wagner et al. | Experiences with worm propagation simulations | |
US8561188B1 (en) | Command and control channel detection with query string signature | |
US8566946B1 (en) | Malware containment on connection | |
US7873998B1 (en) | Rapidly propagating threat detection | |
JP5713445B2 (en) | Communication monitoring system and method, communication monitoring device, virtual host device, and communication monitoring program | |
US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
Gadge et al. | Port scan detection | |
Sieklik et al. | Evaluation of TFTP DDoS amplification attack | |
CN110166480B (en) | Data packet analysis method and device | |
JPWO2008084729A1 (en) | Application chain virus and DNS attack source detection device, method and program thereof | |
CN107682470B (en) | Method and device for detecting public network IP availability in NAT address pool | |
JP5116578B2 (en) | Information processing apparatus, information processing system, program, and recording medium | |
JP2011154727A (en) | Analysis system, analysis method, and analysis program | |
WO2011000297A1 (en) | Method and device for detecting botnets | |
KR101072981B1 (en) | Protection system against DDoS | |
JP6053561B2 (en) | System and method for creating a network traffic profile based on BGP routes for the purpose of detecting forged traffic | |
KR100439170B1 (en) | Attacker traceback method by using edge router's log information in the internet | |
CN112751861A (en) | Malicious mail detection method and system based on dense network and network big data | |
JP5116577B2 (en) | Information processing apparatus, information processing system, program, and recording medium | |
TW201132055A (en) | Routing device and related packet processing circuit | |
US20050147037A1 (en) | Scan detection | |
JP4999787B2 (en) | Traceback device, traceback system, DNS server, program, and recording medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110131 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110201 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120912 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120925 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121016 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5116577 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151026 Year of fee payment: 3 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |