JP5639535B2 - 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム - Google Patents

良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム Download PDF

Info

Publication number
JP5639535B2
JP5639535B2 JP2011130502A JP2011130502A JP5639535B2 JP 5639535 B2 JP5639535 B2 JP 5639535B2 JP 2011130502 A JP2011130502 A JP 2011130502A JP 2011130502 A JP2011130502 A JP 2011130502A JP 5639535 B2 JP5639535 B2 JP 5639535B2
Authority
JP
Japan
Prior art keywords
domain name
domain
score
benign
malignant
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011130502A
Other languages
English (en)
Other versions
JP2013003595A (ja
Inventor
一道 佐藤
一道 佐藤
石橋 圭介
圭介 石橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2011130502A priority Critical patent/JP5639535B2/ja
Publication of JP2013003595A publication Critical patent/JP2013003595A/ja
Application granted granted Critical
Publication of JP5639535B2 publication Critical patent/JP5639535B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Description

本発明は、ボット感染端末を検出する技術に関連するものであり、特に、ボット感染端末を特定するための悪性ドメインリストに含まれる良性ドメイン名を除外するための技術に関連するものである。
悪意あるプログラムであるボットに感染している端末を検出する手法として、DNSトラフィックを監視する手法が提案されている。この手法は、ボット特有の通信相手のドメイン名(悪性ドメイン名)をDNSサーバに問い合わせたユーザ(ユーザ端末)をボット感染ユーザ端末と判定するものである。また、悪性ドメイン名を取得するために、ハニーポットを用いる方法が提案されている。ハニーポットはOSの脆弱性を模擬した端末であり、それに感染活動を行うボットを捕え、ボットの挙動を分析し、悪性ドメイン名を抽出する機能を有するものである。
ハニーポットは効率的にボットを捕え、悪性ドメインリストを収集することができる。しかしながら、ボットはネットワークの接続性を確認するために、ボット特有の通信相手以外の、良性ドメイン名へのアクセスを試みることがある。ボットが良性ドメイン名へアクセスする際もDNSを用いるため、ハニーポットで収集した悪性ドメインリストの中には良性ドメイン名が含まれてしまう。この悪性ドメインリストをそのまま利用すると、良性ドメイン名をDNSサーバへ問い合わせた端末もボット感染者としてしまい、検出精度が低下してしまう問題がある。
検出精度の低下を防ぐために、目視等により手動でリストに含まれるドメイン名が良性かどうかを判断し、除外する必要があるが、リストの大きさによっては全ての良性ドメイン名を除外しきれず、見逃してしまう等といった問題が発生する。
なお、本願の先行技術文献として非特許文献1がある。この文献は、ユーザの送出するDNSクエリの共起関係をもとに、未知の悪性ドメインを発見して既存の悪性ドメインリストを拡張する手法を開示している。
また、他の先行技術文献として非特許文献2がある。この文献は、悪性ドメインリストから良性ドメイン名を検出する技術を開示しており、この技術では、グラフカーネル(非特許文献3)を用いてドメイン名のスコア付を行っている。
また、他の先行技術文献として非特許文献4がある。この文献は、既存の悪性ドメイン名及びその登録者の情報を利用して未知の悪性ドメイン名を発見する技術を開示している。この技術は、悪意ある登録者が既存の悪性ドメイン名以外のドメイン名を登録している場合、そのドメイン名も悪性である可能性が高いというアイデアをもとにした技術である。
K. Sato, K. Ishibashi, T. Toyono, and N. Miyake, "Extending Black Domain Name List by Using Co-occurrence Relation between DNS Queries," Proceedings of the 3rd USENIX Workshop on Large-Scale Exploits and Emergent Threats, 2010 石橋圭介, 豊野剛, 佐藤一道, 岩村誠, "DNSクエリグラフを用いた悪性ドメイン名リスト評価," インターネットアーキテクチャ研究会, 2009 R. L. Kondor, "Diffusion Kernels on Graphs and Other Discrete Input Spaces," Proceedings of the 19th International Conference on Machine Learning, 2002 M. Felegyhazi, C. Kreibich, and V. Paxon, "On the Potential of Proactive Domain Blacklisting," Proceedings of the 3rd USENIX Workshop on Large-Scale Exploits and Emergent Threats, 2010
本発明は上記の問題点に鑑みてなされたものであり、悪性ドメインリストに含まれる良性ドメイン名を抽出、除外し、悪性ドメインリストの精度を高めてボット感染端末の検出の精度を高めることを可能とした技術を提供することを目的とする。
上記の課題を解決するために、本発明は、悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置であって、
悪性ドメインリストを格納した悪性ドメインリスト格納手段と、
前記悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出手段と、
前記スコア算出手段により算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当するか否かを判定する判定手段と、
前記判定手段により良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成手段とを備える良性ドメイン名除外装置であり、
前記良性ドメイン名除外装置は、ユーザ端末からDNSサーバへの問い合わせに係るトラフィック情報を格納するトラフィック情報格納手段を更に備え、
前記スコア算出手段は、前記悪性ドメインリストに含まれるあるドメイン名と他のドメイン名に関しての、前記トラフィック情報における共起頻度を算出し、当該共起頻度が大きいほど、良性ドメイン名に該当すると判定され易い大きさになるように前記あるドメイン名のスコアを算出する第1のスコア算出手段を備えることを特徴とする良性ドメイン名除外装置として構成される
また、本発明は、悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置であって、
悪性ドメインリストを格納した悪性ドメインリスト格納手段と、
前記悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出手段と、
前記スコア算出手段により算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当するか否かを判定する判定手段と、
前記判定手段により良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成手段とを備える良性ドメイン名除外装置であり、
前記良性ドメイン名除外装置は、DNSサーバが登録しているドメイン名の情報を格納したDNSサーバ情報格納手段を更に備え、
前記スコア算出手段は、前記悪性ドメインリストに含まれるあるドメイン名を登録しているDNSサーバが、他に所有しているドメイン名を前記DNSサーバ情報格納手段から取得し、当該ドメイン名の組織名を表すラベルのばらつきを示す値を算出し、当該ばらつきを示す値が小さいほど、良性ドメイン名に該当すると判定され易い大きさになるように前記あるドメイン名のスコアを算出する第2のスコア算出手段を備えることを特徴とする良性ドメイン名除外装置として構成してもよい
また、本発明は、悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置であって、
悪性ドメインリストを格納した悪性ドメインリスト格納手段と、
前記悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出手段と、
前記スコア算出手段により算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当するか否かを判定する判定手段と、
前記判定手段により良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成手段とを備える良性ドメイン名除外装置であり、
前記良性ドメイン名除外装置は、ユーザ端末からDNSサーバへの問い合わせに係るトラフィック情報を格納するトラフィック情報格納手段と、DNSサーバが登録しているドメイン名の情報を格納したDNSサーバ情報格納手段とを更に備え、
前記スコア算出手段は、
前記悪性ドメインリストに含まれるあるドメイン名と他のドメイン名に関しての、前記トラフィック情報における共起頻度を算出し、当該共起頻度が大きいほど、スコアが小さくなるように前記あるドメイン名のスコアを算出する第1のスコア算出手段と、
前記悪性ドメインリストに含まれるあるドメイン名を登録しているDNSサーバが、他に所有しているドメイン名を前記DNSサーバ情報格納手段から取得し、当該ドメイン名の組織名を表すラベルのばらつきを示す値を算出し、当該ばらつきを示す値が小さいほど、スコアが小さくなるように前記あるドメイン名のスコアを算出する第2のスコア算出手段と、を備えることを特徴とする良性ドメイン名除外装置として構成してもよい
上記の良性ドメイン名除外装置において、前記判定手段は、悪性ドメインリストに含まれるあるドメイン名のスコアとして、前記第1のスコア算出手段で算出されたスコアと、前記第2のスコア算出手段で算出されたスコアを組み合わせたスコアを算出することとしてもよい。更に、前記判定手段は、前記第1のスコア算出手段で算出されたスコアと前記第2のスコア算出手段で算出されたスコアを組み合わせた前記スコアが予め定めた値よりも小さいドメイン名を、良性ドメイン名に該当すると判定するようにしてもよい。
また、本発明は、コンピュータを、上記各良性ドメイン名除外装置の各手段として機能させるためのプログラムとして構成することもできる。
また、本発明は、悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置が実行する良性ドメイン名除外方法であって、
悪性ドメインリストを格納した悪性ドメインリスト格納手段に格納されている悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出ステップと、
前記スコア算出ステップにより算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当するか否かを判定する判定ステップと、
前記判定ステップにより良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成ステップとを備える良性ドメイン名除外方法であり、
前記良性ドメイン名除外装置は、ユーザ端末からDNSサーバへの問い合わせに係るトラフィック情報を格納するトラフィック情報格納手段を備え、
前記スコア算出ステップは、前記悪性ドメインリストに含まれるあるドメイン名と他のドメイン名に関しての、前記トラフィック情報における共起頻度を算出し、当該共起頻度が大きいほど、良性ドメイン名に該当すると判定され易い大きさになるように前記あるドメイン名のスコアを算出する第1のスコア算出ステップを備えることを特徴とする良性ドメイン名除外方法として構成することもできる。
また、本発明は、悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置が実行する良性ドメイン名除外方法であって、
悪性ドメインリストを格納した悪性ドメインリスト格納手段に格納されている悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出ステップと、
前記スコア算出ステップにより算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当するか否かを判定する判定ステップと、
前記判定ステップにより良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成ステップとを備える良性ドメイン名除外方法であり、
前記良性ドメイン名除外装置は、DNSサーバが登録しているドメイン名の情報を格納したDNSサーバ情報格納手段を備え、
前記スコア算出ステップは、前記悪性ドメインリストに含まれるあるドメイン名を登録しているDNSサーバが、他に所有しているドメイン名を前記DNSサーバ情報格納手段から取得し、当該ドメイン名の組織名を表すラベルのばらつきを示す値を算出し、当該ばらつきを示す値が小さいほど、良性ドメイン名に該当すると判定され易い大きさになるように前記あるドメイン名のスコアを算出する第2のスコア算出ステップを備えることを特徴とする良性ドメイン名除外方法として構成することもできる。

本発明によれば、悪性ドメインリストに含まれるドメイン名の中から良性ドメイン名を判定し、それを悪性ドメインリストから除外し、リストの精度を高めてボット感染端末の検出の精度を高めることが可能となる。
DNS及びボットの挙動の概要を説明するための図である。 DNSサーバに登録されるドメイン名の組織部のばらつきが大きい場合の例を示す図である。 DNSサーバに登録されるドメイン名の組織部のばらつきが小さい場合の例を示す図である。 本発明の実施の形態に係る良性ドメイン名除外装置10の機能構成図である。 良性ドメイン名除外装置10の処理動作を示すフローチャートである。 悪性ドメインリストに含まれるメジャーサイトのドメイン名を除外するためのスコア算出を示す説明図である。 悪性ドメインリストに含まれる企業や大学等のドメイン名を除外するためのスコア算出を示す説明図である。
以下、図面を参照しながら本発明の実施の形態を説明するが、本発明は下記の実施の形態に限定されるものではない。
(実施の形態の概要、前提事項等)
実施の形態に係る装置及び処理内容を詳細に説明する前に、まず、実施の形態の概要や前提としている事項等について説明する。
<概要>
ボットは他者への攻撃を行う際、攻撃指令を受けとるためにそのボット特有のサーバとの通信を行う。ボット(ボット感染端末)が通信を行うためには、当該サーバのIPアドレスを知る必要があるが、そのためにボットはDNSを用いることが知られている。DNSはドメイン名とIPアドレスのマッピングサービスであり、DNSサーバはドメイン名の問い合わせをユーザから受けると、それに対応するIPアドレスを返す。
DNS及びボットの挙動例の概要を図1に示す。図1に示すように、ボット感染端末がボットコントロールサーバ(evil.com)にアクセスしようとするために、まず、DNSサーバに対してevil.comのIPアドレスを問い合わせる(ステップ1)。ボット感染端末は、DNSサーバからボットコントロールサーバのIPアドレスを取得し(ステップ2)、当該IPアドレスを用いてボットコントロールサーバにアクセスし(ステップ3)、ボットコントロールサーバから攻撃命令を受信する(ステップ4)。
ボット特有の通信相手の情報(悪性ドメイン名)を収集し、その相手とのアクセスを試みるユーザ(ユーザ端末)を監視することで、ボット感染端末を特定することができる。悪性ドメインリストはハニーポットと呼ばれる端末を用いて生成することができるが、生成されたリストの中には良性ドメインが含まれているため、これを除外する必要がある。
本実施の形態では、ユーザ端末とドメイン名、ドメイン名とDNS権威サーバの対応関係に注目し、悪性ドメインリストから良性ドメイン名を抽出する。ここで、本実施の形態では、ユーザ端末、ドメイン名、DNS権威サーバの情報、及び悪性ドメインリストはあらかじめ収集されているものとする。
<ドメイン名に含まれる組織名>
ドメイン名の文字列に注目すると、その中には組織名等を表す文字列が含まれていることがある。例えば、"www.ntt.co.jp"というドメイン名であればnttという組織名が含まれている。これらは"co.jp"や"com"といったドメインの1つ左側に出現することが多い。comやco.jpのようなドメインはpublic suffix(例えば、http://publicsuffix.org/を参照)と呼ばれ、そのリストが公開されている。本実施の形態では、ドメイン名の組織部を、public suffixの1つ左側部分とする。
<悪性ドメイン名の特徴>
悪性ドメイン名の特徴として、悪性ドメインリストによるボットとそのボットをコントロールするサーバとの通信のブロックを防ぐために、頻繁にドメイン名を変更するという特徴がある(例えば、非特許文献4参照)。そのため、ボット製作者は安価なドメイン名登録サービスを利用することが多い。そのようなサービスを提供するDNSサーバには様々なドメイン名が登録されており、それらのドメイン名の組織部も様々であり、ばらつきが大きい。このような例を図2に示す。
<良性ドメイン名の特徴>
代表的な良性ドメイン名として企業や大学のサーバのドメイン名が挙げられる。それらの企業や大学では自組織でDNSサーバを運用し、ドメイン名を登録しているケースが多い。その場合、そのDNSサーバに登録されているドメイン名は自組織のみのものであり、それらのドメイン名の組織部のばらつきは少ない。このような例を図3に示す。この例では、ある組織xxxのDNSサーバが所有するドメイン名がwww.xxx.jp、mail.xxx.jp、smtp.xxx.jp、dhcp.xxx.jpというように、それらのドメイン名の組織部は同じものとなっている。
<悪性ドメインリストに含まれる良性ドメイン>
本実施の形態においては、悪性ドメインリストに含まれる除外すべき良性ドメインを以下のタイプのものとしている。
(1)メジャーサイトのドメイン名
前述の通り、ボットはインターネットとの接続性の確認のためボット特有の通信相手以外の端末との通信を行うことがある。接続性を効率良く確認するためには、常に稼動していると思われるサーバとの疎通性を確認すればよい。そのため、ボットは***(登録商標)やmicrosoft(登録商標)といった有名なwebサイトにアクセスする。これによって、ハニーポットで生成した悪性ドメインリストにはこれらのドメイン名が含まれている。このようなドメイン名には、ボットに感染していない多くのユーザも頻繁にアクセスするため、悪性ドメインリストから取り除く必要がある。
(2)企業、大学等のドメイン名
ボット製作者は安価なドメイン名登録サービスを利用してコントロールサーバを立てることの他に、脆弱性を持つ既設のサーバを乗っ取り、コントロールサーバを立てることがある。そのようなサーバの中には、企業や大学の持つサーバが含まれている。これらは悪性ドメイン名であるが、ボット特有の通信相手ではなくボットに感染していない一般ユーザもアクセスするため、悪性ドメインリストから取り除く必要がある。
本実施の形態では、上記の2つのタイプの良性ドメイン名を悪性ドメインリストから取り除くこととしている。
(装置構成)
図4に、本実施の形態に係る良性ドメイン名除外装置10の機能構成図を示す。図4に示すように、本実施の形態に係る良性ドメイン名除外装置10は、スコア算出部11、良性ドメイン名判定部12、新悪性ドメインリスト生成部13、DNSトラフィック情報格納部14、DNS権威サーバ情報格納部15、悪性ドメインリスト格納部16、新悪性ドメインリスト格納部17を有する。
スコア算出部11は、第1スコア算出部111と第2スコア算出部112を含む。第1スコア算出部111は、悪性ドメイン名の共起関係からスコアを算出する機能部であり、第2スコア算出部112は、ドメイン名とDNS権威サーバの対応関係からスコアを算出する機能部である。なお、スコア算出の詳細例については後述する。
良性ドメイン名判定部12は、スコア算出部11により算出されたスコアに基づき、悪性ドメインリストにおける各ドメイン名について、それが良性ドメイン名か否かを判定する機能部である。新悪性ドメインリスト生成部13は、良性ドメイン名判定部12により良性と判定されたドメイン名を悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する機能部である。
DNSトラフィック情報格納部14には、多くのユーザ端末が接続されたIPネットワーク(インターネット)におけるトラフィックの監視により収集されたDNSトラフィック情報が格納されている。例えば、DNSトラフィック情報格納部14には、ユーザ端末の識別情報(IPアドレス等)、当該ユーザ端末が問い合わせた(アクセスしようとした)ドメイン名、問い合わせ先のDNS権威サーバの識別情報等が対応付けて格納されている。
なお、本実施の形態において、DNSトラフィックの収集方法は特定の方法に限定されない。本実施の形態で説明するスコアを算出するために必要な情報を収集できるのであればどのような方法で収集してもよい。また、DNSトラフィックの収集は、良性ドメイン名除外装置10が行うようにしてもよいし、良性ドメイン名除外装置10の外部にあるネットワーク監視装置が収集し、収集された情報をDNSトラフィック情報格納部14に格納することとしてもよい。
DNS権威サーバ情報格納部15には、例えば、DNS権威サーバの識別情報、当該DNS権威サーバが管理するドメイン名のリストが対応付けて格納される。DNS権威サーバ情報格納部15に格納されるDNS権威サーバ情報は、DNSトラフィック情報から抽出された情報であってもよいし、その他の方法で取得された情報でもよく、本実施の形態ではその収集方法は特定の方法に限定されない。本実施の形態で説明するスコアを算出するために必要な情報を収集できるのであればどのような方法で収集してもよい。
悪性ドメインリスト格納部16には、前述したハニーポット等を用いて収集された悪性ドメインリスト(ドメイン名のリスト)が格納される。新悪性ドメインリスト格納部17には、本実施の形態の手法により、上記悪性ドメインリストから良性ドメイン名が除外された新たな悪性ドメインリストが格納される。なお、新悪性ドメインリスト格納部17を備えずに、悪性ドメインリスト格納部16に最初に格納された悪性ドメインリストから、良性ドメイン名を削除することにより、新悪性ドメインリストとしてもよい。
本実施の形態に係る良性ドメイン名除外装置10は、CPU、記憶装置等からなるコンピュータ(コンピュータの機能を備える通信装置等を含む)に、良性ドメイン名除外装置10の各機能部の機能を実現するためのプログラムを実行させることにより実現できる。当該プログラムは可搬メモリ等の記録媒体からコンピュータにインストールすることとしてもよいし、ネットワーク上のサーバからダウンロードすることとしてもよい。また、良性ドメイン名除外装置10のスコア算出部11、良性ドメイン名判定部12、新悪性ドメインリスト生成部13をハードウェア回路として構成し、他の装置に組み込むような実施形態も可能である。
なお、良性ドメイン名除外装置10において、第1スコア算出部111が算出するスコアのみで良性ドメイン名を判定しても、適切に良性ドメイン名を判定することができる場合など、第2スコア算出部112、及びDNS権威サーバ情報格納部15を備えなくてよい場合がある。このような場合としては、例えば、オリジナルの悪性ドメインリストの中に、企業、大学等のドメイン名が含まれないことが想定される場合等が考えられる。
また、良性ドメイン名除外装置10において、第2スコア算出部112が算出するスコアのみで良性ドメイン名を判定しても、適切に良性ドメイン名を判定することができる場合など、第1スコア算出部111、及びDNSトラフィック情報格納部14を備えなくてよい場合がある。このような場合としては、例えば、オリジナルの悪性ドメインリストの中に、企業、大学等のドメイン名が含まれているが、メジャーサイトのドメイン名が含まれないことが想定される場合等が考えられる。
ただし、本実施の形態では、第1スコア算出部111と第2スコア算出部112の両方を含む。
(装置の動作)
次に、図5に示すフローチャートの手順に沿って、良性ドメイン名除外装置10が実行する良性ドメイン名除外処理について説明する。処理の概要は以下のとおりである。
ステップ11)第1スコア算出部111が、DNSトラフィック情報格納部14及び悪性ドメインリスト格納部16に格納された情報を用いることにより、既存の悪性ドメインリストに含まれるドメイン名にアクセスを試みたユーザ端末を抽出し、悪性ドメイン名の共起関係からスコアを計算する (メジャーサイトのドメイン名の除去)。
ステップ12)第2スコア算出部112が、DNS権威サーバ情報格納部15及び悪性ドメインリスト格納部16に格納された情報を用いることにより、ドメイン名とDNS権威サーバの対応関係をもとに、ある悪性ドメイン名が登録されているDNS権威サーバが他に持つドメイン名を抽出する。それらのドメイン名に含まれる組織情報からスコアを計算する (企業、大学等のサーバのドメイン名の除去)。
ステップ13)良性ドメイン名判定部12が、ステップ11及び12で計算した2つのスコアを組み合わせたスコアを計算し、スコアが低いドメイン名を良性ドメイン名であると判定し、新悪性ドメインリスト生成部13が、良性ドメイン名を悪性ドメインリストから除外することにより新悪性ドメインリストを生成する。
以下、各ステップの処理を詳細に説明する。
<ステップ11の詳細>
ステップ11では、DNSトラフィック情報格納部14及び悪性ドメインリスト格納部16に格納されているユーザ端末、ドメイン名、悪性ドメインリストの情報をもとに、悪性ドメインリストに含まれる悪性ドメイン名にアクセスを試みたユーザ端末を抽出する。以後、これら抽出したユーザ端末を感染ユーザ端末と呼ぶこととする。
次に、感染ユーザ端末がアクセスを試みた悪性ドメイン名の共起関係に注目し、悪性ドメイン名のスコアを計算する。本スコア計算の目的は、悪性ドメインリストに含まれるメジャーサイトのドメイン名を除外することである。
まず、スコアを計算するために利用するドメイン名の共起関係について以下のように定義する。
ドメイン名の共起関係:あるユーザ端末が2つのドメイン名へのアクセスを試みたとき、それらのドメイン名の関係を共起関係と呼ぶ。
例として、あるユーザ端末が"www.ntt.co.jp"、"www.goo.co.jp"、"www.ntt-east.co.jp"の3つのドメイン名へのアクセスを行ったとき、www.ntt.co.jpとwww.goo.co.jpは共起関係にあり、www.goo.co.jpはwww.ntt.co.jpと共起している(逆も同様)、と呼ぶ。
ステップ11では、上記の共起関係を用いて、悪性ドメインリストに含まれるドメイン名dのスコア付の一例として、以下の式1によりスコアC(d)を算出する。
Figure 0005639535
 式1において、DBは悪性ドメインリスト、Hd∩dmはドメイン名dとdm(悪性ドメインリストの要素)の両方にアクセスしたユーザ端末の集合とする。式1の右辺分母はドメイン名dと悪性ドメインリストに含まれる他のドメイン名との総共起回数を表現するものである。
前述の通り、メジャーサイトのドメイン名は多数のユーザがアクセスするものであり、大部分の感染ユーザ端末がアクセスすると考えることができる。そのため、上記の式1においてdがメジャーサイトのドメイン名である場合は他のドメイン名との共起回数が大きくなる。これによって右辺の分母部が大きくなり、そのスコアは小さくなる。一方で、真に悪性のドメイン名はボット特有の通信相手であることから、ある悪性ドメイン名へのアクセスを試みるのは、特定のボットに感染しているユーザ端末のみである。このことから、真に悪性のドメイン名は他のドメイン名との共起回数は少なくなり、そのスコアは大きくなる。
このスコア計算の概要説明図を図6に示す。図6に示すとおり、例えば、悪性ドメインリストに含まれるblack.comというドメイン名に関しては、特定のユーザ端末(図6でのユーザ端末A)のみが問い合わせを行うため、他のドメイン名との共起頻度は、図6の場合、2回と少なく、スコアが高くなる。一方、例えば、悪性ドメインリストに含まれる***.comに関しては、多くのユーザ端末がアクセスするので、他のドメイン名との共起頻度が高くなり(図6では9回)、スコアは低くなる。
なお、本例では、スコアが小さいほど良性ドメイン名に該当すると判定され易い大きさとなるようなスコアを算出しているが、上記スコアが小さい状況のときに、値が大きくなるようなスコアの算出方法を採用してもよい。
<ステップ12の詳細>
前述したように、悪性ドメインリストから除外すべき良性ドメイン名として企業や大学等のドメイン名もある。これらのドメイン名はポピュラーでないドメイン名もあることから、ステップ11のスコア計算方法だけでは除外対象として抽出できない可能性がある。
そこで、ステップ12では、これらの良性ドメイン名を悪性ドメインリストから除外するために、ドメイン名とDNS権威サーバの対応関係に注目してスコア計算を行う。
悪性、良性ドメイン名の特徴で述べたように、悪性ドメイン名が登録されているDNS権威サーバが所有する他のドメイン名(DNS権威サーバ情報格納部15から取得)の組織部(ラベル)はばらつきが大きく、良性の場合はばらつきが小さい。このことに注目し、あるドメイン名dのスコア付の一例として、以下の式2によりスコアI(d)を算出する。
Figure 0005639535
 式2において、Ddはdの情報を持つDNS権威サーバが他に所有するドメイン名の集合、Dorgを同じ組織部を持つドメイン名の集合とする。式2の右辺は組織部の情報量を表しており、ドメイン名dが登録されているDNS権威サーバが、多くの組織のドメイン名を持つとき値が大きくなる。すなわち、企業や大学等の自組織でDNS権威サーバを運用している場合はそのドメイン名のスコアは小さくなり、真に悪性のドメイン名の場合はスコアが大きくなる。
このスコア計算の概要説明図を図7(a)、(b)に示す。図7(a)に示すとおり、安価にドメイン名を登録できるサービスを提供するDNSサーバには、様々なドメイン名が登録されているため、ドメイン名の組織名のばらつきが大きい。従って、ステップ12で算出するスコアが大きくなる。
一方、図7(b)に示すとおり、企業や大学等が自組織で用意したDNSサーバでは、その組織のドメイン名のみを登録しているケースが多く、ドメイン名の組織名のばらつきが小さい。従って、従って、ステップ12で算出するスコアは小さくなる。
なお、本例では、スコアが小さいほど良性ドメイン名に該当すると判定され易い大きさとなるようなスコアを算出しているが、上記スコアが小さい状況のときに、大きくなるようなスコアの算出方法を採用してもよい。
<ステップ13の詳細>
ステップ13では、ステップ11及び12で算出したスコアをもとに、ドメイン名dの最終的なスコア付の一例として、以下の式3によりスコアS(d)を算出する。
S(d)=C(d)×I(d) (式3)
式3において、dは悪性ドメインリストに含まれているドメイン名である。このスコアが、予め定めた値よりも小さいドメイン名をもとの悪性ドメインリストから除外し、新たな悪性ドメインリストを生成する。もちろん、良性ドメイン名に該当する状況のときに、スコアが大きくなるようなスコアの算出方法を採用したときには、スコアが予め定めた値よりも大きいドメイン名をもとの悪性ドメインリストから除外する。生成した悪性ドメインリストは、新悪性ドメインリスト格納部17に出力してもよいし、良性ドメイン名除外装置10の外部(ネットワーク接続された他の装置等)へ出力することとしてもよい。
なお、悪性ドメインリストに含まれるドメイン名の1つ1つに対してステップ11〜13の処理を順番に行うこととしてもよいし、ステップ11を悪性ドメインリストに含まれる全てのドメイン名に対して行い、次に、ステップ12を悪性ドメインリストに含まれる全てのドメイン名に対して行い、最後に、ステップ13を悪性ドメインリストに含まれる全てのドメイン名に対して行う、といった処理の順番でもよい。また、これ以外の処理の順番でもよい。結果として、悪性ドメインリストに含まれる各ドメイン名に対して良性ドメイン名の判定を行い、良性であれば除外し、新悪性ドメインリストが生成されるのであれば、処理の順番はどのようなものでもよい。
(実施の形態の効果)
以上説明したように、本実施の形態に係る技術によれば、悪性ドメインリストの精度が向上し、ボット感染端末を正しく検出することができる。また、これまで手動により行っていた良性ドメイン名の除外を自動化できること、および手動では見逃していた良性ドメイン名の検出が可能となる。
なお、前述したように、非特許文献1は、ユーザの送出するDNSクエリの共起関係をもとに、未知の悪性ドメインを発見して既存の悪性ドメインリストを拡張する手法を開示するが、本実施の形態は既存の悪性ドメインリストから良性ドメイン名を取り除くものであり、少なくとも、リストの拡張ではなく縮小である点で非特許文献1の技術と異なる。
また、非特許文献2は、悪性ドメインリストから良性ドメイン名を検出する技術を開示するが、グラフカーネルを用いてドメイン名のスコア付を行っている。少なくともこの点で、ユーザの問い合わせドメイン名の共起関係及びドメイン名の登録情報をもとにしてスコア計算をする本実施の形態の技術とは異なる。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
10 良性ドメイン名除外装置
11 スコア算出部
111 第1スコア算出部
112 第2スコア算出部
12 良性ドメイン名判定部
13 新悪性ドメインリスト生成部
14 DNSトラフィック情報格納部
15 DNS権威サーバ情報格納部
16 悪性ドメインリスト格納部
17 新悪性ドメインリスト格納部

Claims (8)

  1. 悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置であって、
    悪性ドメインリストを格納した悪性ドメインリスト格納手段と、
    前記悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出手段と、
    前記スコア算出手段により算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当するか否かを判定する判定手段と、
    前記判定手段により良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成手段とを備える良性ドメイン名除外装置であり、
    前記良性ドメイン名除外装置は、ユーザ端末からDNSサーバへの問い合わせに係るトラフィック情報を格納するトラフィック情報格納手段を更に備え、
    前記スコア算出手段は、前記悪性ドメインリストに含まれるあるドメイン名と他のドメイン名に関しての、前記トラフィック情報における共起頻度を算出し、当該共起頻度が大きいほど、良性ドメイン名に該当すると判定され易い大きさになるように前記あるドメイン名のスコアを算出する第1のスコア算出手段を備える
    ことを特徴とする良性ドメイン名除外装置。
  2. 悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置であって、
    悪性ドメインリストを格納した悪性ドメインリスト格納手段と、
    前記悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出手段と、
    前記スコア算出手段により算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当するか否かを判定する判定手段と、
    前記判定手段により良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成手段とを備える良性ドメイン名除外装置であり、
    前記良性ドメイン名除外装置は、DNSサーバが登録しているドメイン名の情報を格納したDNSサーバ情報格納手段を更に備え、
    前記スコア算出手段は、前記悪性ドメインリストに含まれるあるドメイン名を登録しているDNSサーバが、他に所有しているドメイン名を前記DNSサーバ情報格納手段から取得し、当該ドメイン名の組織名を表すラベルのばらつきを示す値を算出し、当該ばらつきを示す値が小さいほど、良性ドメイン名に該当すると判定され易い大きさになるように前記あるドメイン名のスコアを算出する第2のスコア算出手段を備える
    ことを特徴とする良性ドメイン名除外装置。
  3. 悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置であって、
    悪性ドメインリストを格納した悪性ドメインリスト格納手段と、
    前記悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出手段と、
    前記スコア算出手段により算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当するか否かを判定する判定手段と、
    前記判定手段により良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成手段とを備える良性ドメイン名除外装置であり、
    前記良性ドメイン名除外装置は、ユーザ端末からDNSサーバへの問い合わせに係るトラフィック情報を格納するトラフィック情報格納手段と、DNSサーバが登録しているドメイン名の情報を格納したDNSサーバ情報格納手段とを更に備え、
    前記スコア算出手段は、
    前記悪性ドメインリストに含まれるあるドメイン名と他のドメイン名に関しての、前記トラフィック情報における共起頻度を算出し、当該共起頻度が大きいほど、スコアが小さくなるように前記あるドメイン名のスコアを算出する第1のスコア算出手段と、
    前記悪性ドメインリストに含まれるあるドメイン名を登録しているDNSサーバが、他に所有しているドメイン名を前記DNSサーバ情報格納手段から取得し、当該ドメイン名の組織名を表すラベルのばらつきを示す値を算出し、当該ばらつきを示す値が小さいほど、スコアが小さくなるように前記あるドメイン名のスコアを算出する第2のスコア算出手段と、を備える
    ことを特徴とする良性ドメイン名除外装置。
  4. 前記判定手段は、悪性ドメインリストに含まれるあるドメイン名のスコアとして、前記第1のスコア算出手段で算出されたスコアと、前記第2のスコア算出手段で算出されたスコアを組み合わせたスコアを算出する
    ことを特徴とする請求項に記載の良性ドメイン名除外装置。
  5. 前記判定手段は、前記第1のスコア算出手段で算出されたスコアと前記第2のスコア算出手段で算出されたスコアを組み合わせた前記スコアが予め定めた値よりも小さいドメイン名を、良性ドメイン名に該当すると判定する
    ことを特徴とする請求項に記載の良性ドメイン名除外装置。
  6. コンピュータを、請求項1ないしのうちいずれか1項に記載の良性ドメイン名除外装置における各手段として機能させるためのプログラム。
  7. 悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置が実行する良性ドメイン名除外方法であって、
    悪性ドメインリストを格納した悪性ドメインリスト格納手段に格納されている悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出ステップと、
    前記スコア算出ステップにより算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当するか否かを判定する判定ステップと、
    前記判定ステップにより良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成ステップとを備える良性ドメイン名除外方法であり、
    前記良性ドメイン名除外装置は、ユーザ端末からDNSサーバへの問い合わせに係るトラフィック情報を格納するトラフィック情報格納手段を備え、
    前記スコア算出ステップは、前記悪性ドメインリストに含まれるあるドメイン名と他のドメイン名に関しての、前記トラフィック情報における共起頻度を算出し、当該共起頻度が大きいほど、良性ドメイン名に該当すると判定され易い大きさになるように前記あるドメイン名のスコアを算出する第1のスコア算出ステップを備える
    ことを特徴とする良性ドメイン名除外方法。
  8. 悪性ドメインリストから良性ドメイン名を除外する良性ドメイン名除外装置が実行する良性ドメイン名除外方法であって、
    悪性ドメインリストを格納した悪性ドメインリスト格納手段に格納されている悪性ドメインリストに含まれるドメイン名に対し、当該ドメイン名が良性ドメイン名に該当するか否かを判定するためのスコアを算出するスコア算出ステップと、
    前記スコア算出ステップにより算出されたスコアに基づき、当該スコアのドメイン名が良性ドメイン名に該当するか否かを判定する判定ステップと、
    前記判定ステップにより良性ドメイン名に該当すると判定されたドメイン名を前記悪性ドメインリストから除外することにより、新悪性ドメインリストを生成する新悪性ドメインリスト生成ステップとを備える良性ドメイン名除外方法であり、
    前記良性ドメイン名除外装置は、DNSサーバが登録しているドメイン名の情報を格納したDNSサーバ情報格納手段を備え、
    前記スコア算出ステップは、前記悪性ドメインリストに含まれるあるドメイン名を登録しているDNSサーバが、他に所有しているドメイン名を前記DNSサーバ情報格納手段から取得し、当該ドメイン名の組織名を表すラベルのばらつきを示す値を算出し、当該ばらつきを示す値が小さいほど、良性ドメイン名に該当すると判定され易い大きさになるように前記あるドメイン名のスコアを算出する第2のスコア算出ステップを備える
    ことを特徴とする良性ドメイン名除外方法。
JP2011130502A 2011-06-10 2011-06-10 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム Active JP5639535B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011130502A JP5639535B2 (ja) 2011-06-10 2011-06-10 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011130502A JP5639535B2 (ja) 2011-06-10 2011-06-10 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2013003595A JP2013003595A (ja) 2013-01-07
JP5639535B2 true JP5639535B2 (ja) 2014-12-10

Family

ID=47672159

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011130502A Active JP5639535B2 (ja) 2011-06-10 2011-06-10 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP5639535B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107071084B (zh) * 2017-04-01 2019-07-26 北京神州绿盟信息安全科技股份有限公司 一种dns的评价方法和装置
JP6760884B2 (ja) * 2017-06-13 2020-09-23 日本電信電話株式会社 生成システム、生成方法及び生成プログラム
JP7468298B2 (ja) 2020-10-28 2024-04-16 富士通株式会社 情報処理プログラム、情報処理方法、および情報処理装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5345492B2 (ja) * 2009-09-29 2013-11-20 日本電信電話株式会社 Dnsトラフィックデータを利用したボット感染者検知方法

Also Published As

Publication number Publication date
JP2013003595A (ja) 2013-01-07

Similar Documents

Publication Publication Date Title
Beverly et al. Forensic carving of network packets and associated data structures
US8260914B1 (en) Detecting DNS fast-flux anomalies
JP6196008B2 (ja) 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム
US20060176822A1 (en) Method, system, service, and computer program product for identifying incorrect domain name to internet protocol (IP) address mappings
US20100138921A1 (en) Countering Against Distributed Denial-Of-Service (DDOS) Attack Using Content Delivery Network
JP6030272B2 (ja) ウェブサイト情報抽出装置、システム、ウェブサイト情報抽出方法、および、ウェブサイト情報抽出プログラム
US20170318041A1 (en) Method and system for detecting malicious behavior, apparatus and computer storage medium
CN105430011A (zh) 一种检测分布式拒绝服务攻击的方法和装置
CN104169937A (zh) 机会***扫描
JP6674036B2 (ja) 分類装置、分類方法及び分類プログラム
WO2018163464A1 (ja) 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム
CN109889511B (zh) 进程dns活动监控方法、设备及介质
EP3913888A1 (en) Detection method for malicious domain name in domain name system and detection device
JP2011076188A (ja) Dnsトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム
CN109450690B (zh) 快速锁定组网内失陷主机的方法和装置
JP5639535B2 (ja) 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム
CN112583827B (zh) 一种数据泄露检测方法及装置
JP6053421B2 (ja) スパムメール検知装置、方法及びプログラム
JP5580261B2 (ja) セキュリティ評価支援装置、およびセキュリティ評価支援方法
Zhang et al. Detecting and measuring security risks of hosting-based dangling domains
CN116455620A (zh) 一种恶意域名访问分析及确定方法
CN113965392B (zh) 恶意服务器检测方法、***、可读介质及电子设备
Kuyama et al. Method for detecting a malicious domain by using only well-known information
CN111371917B (zh) 一种域名检测方法及***
JP2011199507A (ja) 攻撃検出装置、攻撃検出方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130806

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20131004

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140306

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140318

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140515

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141021

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141024

R150 Certificate of patent or registration of utility model

Ref document number: 5639535

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150