JP7363503B2 - Information processing device, information processing method, and information processing system - Google Patents
Information processing device, information processing method, and information processing system Download PDFInfo
- Publication number
- JP7363503B2 JP7363503B2 JP2020005384A JP2020005384A JP7363503B2 JP 7363503 B2 JP7363503 B2 JP 7363503B2 JP 2020005384 A JP2020005384 A JP 2020005384A JP 2020005384 A JP2020005384 A JP 2020005384A JP 7363503 B2 JP7363503 B2 JP 7363503B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- information processing
- infected
- decoy
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、情報処理装置、情報処理方法、および情報処理システムに係わる。 The present invention relates to an information processing device, an information processing method, and an information processing system.
ネットワークには、様々な種類の端末が接続されることが多く、セキュリティ対策が十分でない端末が残っていることがある。たとえば、工場内ネットワークには、脆弱性の残るOSを使用する端末が接続されていることがある。そして、このような端末にマルウェアが侵入すると、ネットワークに接続される他の端末にも感染が及ぶことがある。特に、「ワーム」と呼ばれるマルウェアは、自分自身を複製して他の端末に感染を拡大させる。このため、ネットワーク内にワームが侵入したときには、短い時間内に感染が拡大するおそれがある。 Various types of terminals are often connected to a network, and some terminals may not have sufficient security measures. For example, a factory network may be connected to a terminal that uses a vulnerable OS. When malware infiltrates such a terminal, other terminals connected to the network may also be infected. In particular, malware called ``worms'' replicates itself and spreads infection to other devices. Therefore, when a worm invades a network, the infection may spread within a short period of time.
ワームの侵入が検知されたときには、感染の拡大を遅らせることが重要である。このため、感染が拡大する速度を低下させる方法が提案されている。例えば、攻撃対象サイトと異なる所在へ通信を導き、この攻撃対象サイトへの攻撃を回避させるおとりサイトを設ける方法が提案されている(例えば、特許文献1)。悪性サイトを検知するために、ハニークライアントと呼ばれるおとりのシステムを設ける方法が提案されている(例えば、特許文献2)。おとりシステムを用いて真のサーバが攻撃されるまでの時間を稼ぐ方法が提案されている(例えば、特許文献3)。 When a worm intrusion is detected, it is important to slow the spread of infection. For this reason, methods have been proposed to slow down the rate at which the infection spreads. For example, a method has been proposed in which a decoy site is provided to guide communications to a location different from the attack target site and avoid attacks on the attack target site (for example, Patent Document 1). In order to detect malicious sites, a method of providing a decoy system called a honey client has been proposed (for example, Patent Document 2). A method has been proposed that uses a decoy system to buy time until the real server is attacked (for example, Patent Document 3).
上述のように、おとりシステムを用いて感染拡大の速度を抑制する方法が提案されている。ただし、従来技術では、おとりシステムを用いても、感染拡大の速度を十分に抑制できていない。ここで、この問題は、おとりシステムの数を増加させれば解決または緩和され得る。ところが、おとりシステムの数を増加させると、ネットワーク全体として効率が悪くなり、可用性が低下するおそれがある。特に、工場内ネットワークは可用性が重要視されるので、おとりシステムの数を増加させる構成は好ましくない。 As mentioned above, methods have been proposed to suppress the speed of infection spread using decoy systems. However, with conventional technology, even with the use of decoy systems, the speed of infection spread cannot be sufficiently suppressed. Here, this problem can be solved or alleviated by increasing the number of decoy systems. However, increasing the number of decoy systems may reduce the efficiency and availability of the network as a whole. In particular, since availability is important in a factory network, a configuration that increases the number of decoy systems is not preferable.
本発明の1つの側面に係わる目的は、マルウェアの感染拡大を遅延させることである。 An objective of one aspect of the present invention is to delay the spread of malware infection.
本発明の1つの態様の情報処理装置は、複数の情報処理装置が接続されたネットワークシステムにおいて使用される。この情報処理装置は、マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出する検出部と、前記検出部により検出された再送パターンを、前記複数の情報処理装置のうちの少なくとも1つの他の情報処理装置に通知する通信部と、を備える。 An information processing device according to one aspect of the present invention is used in a network system in which a plurality of information processing devices are connected. The information processing device includes a detection unit that detects a retransmission pattern of the malware or the infected terminal based on packets and retransmission packets received from an infected terminal infected with malware, and a detection unit that detects a retransmission pattern detected by the detection unit, and a communication unit that notifies at least one other information processing device among the plurality of information processing devices.
上述の態様によれば、マルウェアの感染拡大を遅延させることができる。 According to the above aspect, the spread of malware infection can be delayed.
図1は、本発明の実施形態に係わるネットワークシステムの一例を示す。本発明の実施形態に係わるネットワークシステム100は、ネットワークを介して相互に接続された複数の端末1を備える。ネットワークシステム100は、特に限定されるものではないが、例えば、工場内に構築される工場内ネットワークである。
FIG. 1 shows an example of a network system according to an embodiment of the present invention. A
上記構成のネットワークシステム100において、ある端末1がマルウェアに感染したものとする。マルウェアは、特に限定されるものではないが、例えば、ワームである。ワームは、自分自身を複製して他の端末に感染を拡大させることが可能である。なお、以下の記載では、マルウェアに感染した端末を「感染端末1M」と呼ぶことがある。
Assume that in the
ネットワークシステム100は、マルウェアの感染拡大を遅延させるために、複数の囮端末2(2a~2c)を備える。各囮端末2は、この実施例では、サーバコンピュータ3上に実装される仮想マシンにより実現される。この場合、サーバコンピュータ3は、ネットワークに接続される。ただし、本発明はこの構成に限定されるものではない。例えば、各囮端末2は、互いに物理的に独立したコンピュータであってもよい。
The
各囮端末2は、サーバコンピュータ3のプロセッサ資源およびメモリ資源を利用して実現されるが、独立した情報処理装置として動作できる。また、各囮端末2には、IPアドレス等の識別情報が付与されている。よって、各端末1は、囮端末2あてにパケットを送信することができる。
Each
図2は、囮端末による遅延処理の例を示す。この例では、感染端末1Mから囮端末2に対してマルウェアによる感染試行が行われるものとする。感染試行は、この実施例では、対象端末(図2では、囮端末2)にワームを送り込んで、その対象端末を感染状態にする処理を表す。
FIG. 2 shows an example of delay processing by a decoy terminal. In this example, it is assumed that an infected
図2(a)に示す例では、感染端末1Mは、囮端末2にSYNパケットを送信する。この後、感染端末1Mは、SYNパケットの送信時刻から所定のタイムアウト時間T0が経過するまで、囮端末2から送信される応答パケットを待ち受ける。
In the example shown in FIG. 2(a), the infected
この例では、囮端末2は、応答パケットを感染端末1Mに送信する。そして、感染端末1Mは、タイムアウト時間が経過する前に、その応答パケットを受信する。そうすると、感染端末1Mに実装されているマルウェアは、感染試行を実行する。この結果、囮端末2は、マルウェアに感染する。
In this example, the
このように、囮端末2が感染端末1Mからの攻撃を受けると、その分だけ他の端末1への感染の拡大が遅延する。ここで、囮端末2が感染端末1MからSYNパケットを受信したときから、囮端末2が感染端末1Mに応答パケットを送信するまでの時間を「R」とする。また、マルウェアによる感染試行の実行時間を「M」とする。この場合、囮端末2を設けたことにより、時間「R+M」だけ他の端末1への感染拡大が遅延することになる。
In this way, when the
図2(b)に示す例でも、感染端末1Mは、囮端末2にSYNパケットを送信する。ここで、囮端末2が感染端末1Mに応答パケットを送信しないものとする。そして、感染端末1Mは、SYNパケットの送信時刻からタイムアウト時間T0が経過するまでの間に、囮端末2から応答パケットを受信しないものとする。この場合、感染端末1Mは、再送手順を実行する。すなわち、感染端末1Mは、SYNパケットの再送を実行する。
Also in the example shown in FIG. 2(b), the infected
再送パターンは、例えば、パケットの送信元端末(図2(b)に示す例では、感染端末1M)のOSに設定されている。或いは、再送パターンは、パケットの送信元端末において動作するアプリケーション(図2(b)に示す例では、マルウェア)に設定されていることもある。ここでは、下記の再送パターンが設定されているものとする。
(1)再送回数は、2回である。
(2)1回目の再送に対するタイムアウト時間はT1である。
(3)2回目の再送に対するタイムアウト時間はT2である。
The retransmission pattern is set, for example, in the OS of the packet transmission source terminal (in the example shown in FIG. 2B, the infected
(1) The number of retransmissions is two.
(2) The timeout period for the first retransmission is T1.
(3) The timeout period for the second retransmission is T2.
このような状況において、囮端末2は、他の端末1への感染の拡大を遅らせるために、応答パケットの送信タイミングを遅らせる。ここで、他の端末1への感染の拡大を出来るだけ遅らせるためには、感染端末1Mによる最後の再送に対するタイムアウト時間が満了する直前に、囮端末2から感染端末1Mに応答パケットが送信されることが好ましい。具体的には、囮端末2は、最初のSYNパケットを受信した時刻から「T0+T1+T2」が経過する直前に、感染端末1Mに応答パケットを送信することが好ましい。図2(b)では、囮端末2は、最初のSYNパケットを受信した時刻から待ち時間R2が経過したタイミングで、感染端末1Mに応答パケットを送信している。この場合、囮端末2を設けたことにより、時間「R2+M」だけ他の端末1への感染拡大が遅延することになる。
In such a situation, the
このように、再送パターンが既知であれば、各囮端末2において、他の端末1への感染拡大を大きく遅延させることが可能である。ところが、再送パターンは、パケットの送信元端末のOSに設定されることがある。すなわち、再送パターンは、送信元端末のOSに依存するので、必ずしも既知ではない。また、マルウェアが再送手順を実行するケースでは、囮端末2は、事前に再送パターンを認識することは困難である。そして、再送パターンを認識していない状況では、囮端末2は、他の端末1への感染拡大を十分に遅延させることは困難である。
In this way, if the retransmission pattern is known, it is possible for each
例えば、図2(b)において、待ち時間R2が「T0+T1+T2」より長いときは、感染端末1Mは、感染試行手順を実行することなく、他の端末1への攻撃を実行する。この場合、図2(b)に示すケースと比較して、マルウェアによる感染試行手順の実行時間Mの分だけ遅延時間が短くなる。一方、感染端末1Mに感染試行手順を確実に実行させるためには、囮端末2は、待ち時間R2として、様々な再送パターンの中で最も短いと考えられるタイムアウト時間より短い値を使用することになる。しかし、この場合は、最初のSYNパケットが送信された時刻から感染試行手順が開始されるまでの時間が短くなるので、結局、他の端末1への感染拡大が早まってしまう。
For example, in FIG. 2(b), when the waiting time R2 is longer than "T0+T1+T2", the
そこで、本発明の実施形態に係わる情報処理方法では、複数の囮端末が連携して、他の端末1への感染拡大を遅延させる。具体的には、複数の囮端末のうちの1つの囮端末が、マルウェアまたはマルウェアに感染した感染端末の再送パターンを検出する。再送パターンは、タイムアウト時間および再送回数を表す。そして、この囮端末は、検出した再送パターンを他の1または複数の囮端末に通知する。そうすると、他の1または複数の囮端末は、通知された再送パターンに基づいて、他の端末1への感染拡大を遅延させる処理を実行する。具体的には、再送パターンが知らされた各囮端末は、感染端末1Mからアクセスを受けたときに、図2(b)に示す手順を実行する。この結果、感染拡大の遅延が大きくなる。
Therefore, in the information processing method according to the embodiment of the present invention, a plurality of decoy terminals cooperate to delay the spread of infection to
図3は、本発明の実施形態に係わる情報処理システムの一例を示す。本発明の実施形態に係わる情報処理システム200は、複数の囮端末2および管理部30を備える。図3に示す囮端末2は、図1に示す囮端末2に相当する。図3においては、2台の囮端末2(2a、2b)が描かれているが、情報処理システム200は、3台以上の囮端末2を備えてもよい。また、情報処理システム200は、図1に示す例では、サーバコンピュータ3により実現される。すなわち、この実施例でも、各囮端末2は、サーバコンピュータ3上に実装される仮想マシンにより実現される。なお、情報処理システム200は、図3に示していない他の装置または機能を備えてもよい。
FIG. 3 shows an example of an information processing system according to an embodiment of the present invention. An
囮端末2は、ネットワークIF21、検出部22、通信部23を備える。また、囮端末2は、ステート情報および応答時間設定値を保存するためのメモリを備える。なお、囮端末2は、図3に示していない他の機能を備えてもよい。
The
ネットワークIF21は、ネットワークとのインタフェースを提供する。すなわち、ネットワークIF21は、図1に示す端末1(感染端末1Mを含む)から送信されるパケットを受信することができる。各パケットは、送信元アドレスおよび宛先アドレスを含む。そして、ネットワークIF21は、受信パケットの宛先アドレスに基づいて、そのパケットを取り込むか廃棄するかを判定する。また、ネットワークIF21は、受信パケットの送信元アドレスに基づいて、そのパケットが感染端末1Mから送信されたか否かを判定してもよい。
The network IF 21 provides an interface with the network. That is, the network IF 21 can receive packets transmitted from the terminal 1 (including the infected terminal 1M) shown in FIG. Each packet includes a source address and a destination address. Then, the network IF 21 determines whether to capture or discard the received packet based on the destination address of the received packet. Further, the network IF 21 may determine whether the packet was transmitted from the
ただし、囮端末2は、マルウェアの感染拡大を抑制するために設けられた情報処理装置であり、ネットワークシステム100の本来の処理を実行するための端末ではない。よって、ブロードキャストパケットを除けば、ネットワークシステム100の本来の処理に係わるパケットは、囮端末2に到着しないはずである。換言すれば、ブロードキャストパケットを除けば、囮端末2に到着するパケットは、マルウェアの感染が疑わしい端末から送信されたパケットであると考えられる。そこで、囮端末2は、宛先アドレスが当該囮端末2であるパケットを受信したとき、そのパケットの送信元の端末を「疑わしい端末」と推定する。以下では、このような疑わしい端末を、ワームに感染した可能性がある「感染端末(または、感染端末1M)」と呼ぶことにする。
However, the
そして、ネットワークIF21は、感染端末1Mからパケットを受信したときは、アクセス情報を生成する。アクセス情報は、感染端末1Mから当該囮端末2にパケットが到着したこと、およびその受信時刻を表す。
Then, when the network IF 21 receives a packet from the
また、ネットワークIF21は、受信パケットに対して応答パケットを返送する機能を有する。但し、感染端末1Mからパケットを受信したときは、ネットワークIF21は、検出部22から与えられる応答指示に基づいて応答処理を行う。
Further, the network IF 21 has a function of returning a response packet to a received packet. However, when receiving a packet from the
検出部22は、ネットワークIF21から与えられるアクセス情報に基づいて、感染端末1Mまたは感染端末1Mに侵入したマルウェアの再送パターンを検出する。また、検出部22は、他の囮端末から受信するアクセス情報を利用して再送パターンを検出することもある。そして、ネットワークIF21から与えられるアクセス情報および検出部22において検出された再送パターンは、通信部23を介して管理部30に通知される。通信部23は、検出部22と管理部30との間のインタフェースを提供する。なお、再送パターンを検出する方法は、後で詳しく説明する。
The
ステート情報は、囮端末2の動作状態を表す。ここで、囮端末2は、初期状態または応答制限状態のいずれか一方で動作する。初期状態においては、囮端末2は、感染端末1Mからのアクセスに対して応答パケットを返送しない。すなわち、囮端末2は、感染端末1Mに再送手順を実行させる。そして、囮端末2は、マルウェアまたは感染端末1Mの再送パターンを検出する。この場合、囮端末2は、検出した再送パターンを、管理部30を介して他の囮端末に通知する。また、応答制限状態においては、囮端末2は、他の囮端末から通知される再送パターンに基づいて、感染端末1Mから受信するパケットに対する応答を制限する。
The state information represents the operating state of the
応答時間設定値は、感染端末1Mから受信するパケットに対する応答時間を表す。具体的には、応答時間設定値は、囮端末2が応答制限状態で動作するときに、感染端末1MからSYNパケットを受信した時刻から応答パケットを返送するタイミングまでの待ち時間を表す。なお、応答時間設定値は、後で説明するが、マルウェアまたは感染端末1Mの再送パターンに基づいて算出される。
The response time setting value represents the response time to a packet received from the
次に、図3を参照して情報処理システム200の動作を説明する。なお、特に限定されるものではないが、各囮端末2は、感染端末1Mから攻撃を受けやすいように構成されていてもよい。例えば、囮端末2は、脆弱性の残るOSを使用しているように見せかけてもよい。この場合、囮端末2は、例えば、ログインメッセージを書き換えることで、実際とは異なるOSを使用している状態を他の端末に認識させてもよい。
Next, the operation of the
この実施例では、感染端末1Mが、まず、囮端末2aにアクセスするものとする。すなわち、感染端末1Mから送信されるSYNパケットが囮端末2aに到着する。このとき、各囮端末2(2a、2b)は、初期状態で動作しているものとする。
In this embodiment, it is assumed that the
囮端末2aは、感染端末1Mから送信されるSYNパケットを受信する。そして、囮端末2aは、このSYNパケットの送信元アドレスを解析することにより、受信パケットの送信元(すなわち、感染端末1M)が疑わしい端末であると判定するものとする。このとき、囮端末2aは、初期状態で動作している。この場合、囮端末2aは、SYNパケットに応答することなく、感染端末1Mの再送パターンを検出する手順を実行する。なお、再送パターンを検出する方法は、後で詳しく説明する。
The
なお、再送パターンは、上述したように、例えば、感染端末1MのOSまたは感染端末1Mに進入したマルウェアに依存する。ただし、以下の記載では、「感染端末1Mの再送パターン」は、感染端末1Mに進入したマルウェアの再送パターンを含むものとする。
Note that, as described above, the retransmission pattern depends on, for example, the OS of the
囮端末2aは、感染端末1Mの再送パターンを検出すると、その検出結果を管理部30に通知する。再送パターンは、タイムアウト時間および再送回数を含む。タイムアウト時間は、感染端末1Mがあるパケットを送信したときからそのパケットに対応する再送パケットを送信するまでの期間を表す。再送回数は、感染端末1Mが再送パケットを送信する回数の最大値を表す。なお、この例では、各再送に対するタイムアウト時間は、最初のSYNパケット(即ち、再送前のSYNパケット)に対するタイムアウト時間T0に基づいて決まるものとする。例えば、1回目の再送に対するタイムアウト時間T1は「T0×2」で表される。2回目の再送に対するタイムアウト時間T2は「T0×2×2」で表される。すなわち、i回目の再送に対するタイムアウト時間Tiは、「T0×2i」で表される。したがって、この場合、再送パターンは、最初のSYNパケットに対する再送のタイムアウト時間T0および再送回数nで表される。
When the
管理部30は、囮端末2aから再送パターンを表す情報を受信すると、他の1以上の囮端末にその再送パターンを通知する。このとき、管理部30は、すべての囮端末に再送パターンを通知してもよい。図3に示す例では、囮端末2aにより検出された再送パターンが、管理部30を介して、囮端末2bに通知される。すなわち、再送パターンを検出した囮端末2aは、実質的に、その再送パターンを他の各囮端末2(図3では、囮端末2b)に通知する。
Upon receiving the information representing the retransmission pattern from the
囮端末2bは、囮端末2aから管理部30を介して再送パターンが通知されると、応答時間設定値RTを計算する。応答時間設定値RTは、例えば、タイムアウト時間T0および再送回数nに基づいて(1)式で計算される。
そして、計算された応答時間設定値RTは、囮端末2bが備えるメモリに保存される。なお、この実施例では、再送パターンが通知された囮端末2bがその再送パターンに基づいて応答時間設定値RTを計算するが、本発明はこの方法に限定されるものではない。例えば、再送パターンを検出した囮端末2aが応答時間設定値RTを計算し、囮端末2aから囮端末2bに応答時間設定値RTが通知されるようにしてもよい。或いは、管理部30が再送パターンに基づいて応答時間設定値RTを計算し、管理部30から囮端末2bに応答時間設定値RTが通知されるようにしてもよい。
Then, the calculated response time setting value RT is stored in the memory included in the
加えて、囮端末2bは、囮端末2aから管理部30を介して再送パターンが通知されると、囮端末2bのステート情報を初期状態から応答制限状態に更新する。なお、この実施例では、囮端末2bが再送パターンの受信を契機としてステート情報を更新するが、本発明はこの方法に限定されるものではない。例えば、管理部30が囮端末2bのステート情報を更新してもよい。
In addition, when the
この後、感染端末1Mが、囮端末2bにアクセスするものとする。すなわち、感染端末1Mから送信されるSYNパケットが囮端末2bに到着するものとする。このとき、囮端末2bは、応答制限状態で動作している。この場合、囮端末2bは、メモリに保存されている応答時間設定値RTに基づいて、SYNパケットに対して応答パケットを返送する。具体的には、囮端末2bは、感染端末1Mから送信されるSYNパケットまたは再送パケットを受信しても、即座には応答パケットを返送しない。そして、囮端末2bは、感染端末1Mから送信されるSYNパケットを受信した時刻から応答時間設定値RTが経過したタイミングで、感染パケット1Mに応答パケットを送信する。
After this, it is assumed that the
なお、感染端末1Mは、囮端末2bから応答パケットを受信すると、感染試行手順を実行する。この結果、囮端末2bは、マルウェアに感染することになる。
Note that when the
図4は、囮端末2の動作を示すシーケンス図である。この例では、感染端末1M(または、感染端末1Mに侵入したマルウェア)の最初の再送タイムアウト時間は「T0」であり、再送回数は「2回」である。すなわち、感染端末1Mは、ターゲット端末にSYNパケットを送信したときからタイムアウト時間T0が経過するまでに応答パケットを受信しないと、1回目の再送を行う。また、感染端末1Mは、ターゲット端末に1回目の再送SYNパケットを送信したときからタイムアウト時間T1が経過するまでに応答パケットを受信しないと、2回目の再送を行う。そして、感染端末1Mは、ターゲット端末に2回目の再送SYNパケットを送信したときからタイムアウト時間T2が経過するまでに応答パケットを受信しないと、そのターゲット端末へのアクセスを終了し、他のターゲット端末へのアクセスを実行する。
FIG. 4 is a sequence diagram showing the operation of the
図4(a)は、感染端末1Mから初期状態の囮端末2aにアクセスが行われたときのシーケンスを示す。すなわち、感染端末1Mは、SYNパケットを囮端末2aに送信する。
FIG. 4A shows a sequence when the
この場合、囮端末2aは、SYNパケットの受信時刻を記録する。ただし、囮端末2aは、初期状態で動作しているので、受信したSYNパケットに対して応答パケットを返送しない。そうすると、感染端末1Mは、最初のSYNパケットの送信時刻からタイムアウト時間T0内に応答パケットを受信できないので、再送手順を実行する。すなわち、感染端末1Mは、最初のSYNパケットの送信時刻からタイムアウト時間T0が経過したタイミングで、再送SYNパケットを送信する。
In this case, the
囮端末2aは、1回目の再送SYNパケットを受信する。そして、囮端末2aは、最初のSYNパケットの受信時刻および1回目の再送SYNパケットの受信時刻からタイムアウト時間T0を計算する。ただし、囮端末2aは、再送SYNパケットに対しても応答パケットを返送しない。そうすると、感染端末1Mは、1回目の再送SYNパケットの送信時刻からタイムアウト時間T1内に応答パケットを受信できないので、再送手順を繰り返す。すなわち、感染端末1Mは、1回目の再送SYNパケットの送信時刻からタイムアウト時間T1が経過したタイミングで、2回目の再送SYNパケットを送信する。
The
囮端末2aは、2回目の再送SYNパケットを受信する。ところが、囮端末2aは、2回目の再送SYNパケットに対しても応答パケットを返送しない。そうすると、感染端末1Mは、2回目の再送SYNパケットの送信時刻からタイムアウト時間T2内に応答パケットを受信できないので、囮端末2aへのアクセスを終了する。この場合、感染端末1Mは、他の端末へアクセスを行う。
The
囮端末2aは、2回目の再送SYNパケットの受信時刻から所定時間が経過するまでに3回目の再送SYNパケットを受信しない。この場合、囮端末2aは、感染端末1M(或いは、感染端末1Mに侵入したマルウェア)の再送パターンを検出する。この例では、再送パターンとして、「タイムアウト時間:T0」および「再送回数:2回」が得られる。
The
囮端末2aは、検出した再送パターンを管理部30に通知する。このとき、囮端末2aは、アクセス情報として、検出した再送パターンに係わる送信元端末(すなわち、感染端末1M)を識別する情報も管理部30に通知する。そうすると、管理部30は、この再送パターンおよびアクセス情報を各囮端末2に通知する。すなわち、囮端末2aにおいて検出された再送パターンおよび感染端末1Mを識別するアクセス情報は、囮端末2aから管理部30を介して囮端末2bに通知される。なお、囮端末2bは、再送パターンの通知を受けると、その動作状態が初期状態から応答制限状態に更新される。
The
図4(b)は、感染端末1Mから応答制限状態の囮端末2bにアクセスが行われたときのシーケンスを示す。すなわち、感染端末1Mは、SYNパケットを囮端末2bに送信する。
FIG. 4(b) shows a sequence when the
なお、囮端末2bのメモリには、感染端末1Mに対応づけて、囮端末2aにおいて検出された再送パターンに対応する応答時間設定値RTが設定される。この応答時間設定値RTは、図4(a)に示す手順で再送パターンが検出された場合、「T0+T1+T2」より僅かに小さい値である。
Note that a response time setting value RT corresponding to the retransmission pattern detected in the
囮端末2bは、感染端末1Mから送信されるSYNパケットを受信すると、その受信時刻を記録する。ここで、囮端末2bは、応答制限状態で動作しているので、受信したSYNパケットに対して即座には応答パケットを返送しない。具体的には、囮端末2bは、SYNパケットの受信時刻から応答時間設定値RTが経過するまでの期間、応答パケットの送信を行わない。
Upon receiving the SYN packet transmitted from the
そうすると、感染端末1Mは、最初のSYNパケットの送信時刻からタイムアウト時間T0内に応答パケットを受信できないので、囮端末2bに1回目の再送SYNパケットを送信する。また、感染端末1Mは、1回目の再送SYNパケットの送信時刻からタイムアウト時間T1内に応答パケットを受信できないので、囮端末2bに2回目の再送SYNパケットを送信する。
Then, since the
囮端末2bは、1回目の再送SYNパケットおよび2回目の再送SYNパケットに対して応答しないが、最初のSYNパケットの受信時刻から応答時間設定値RTが経過したタイミングで、感染端末1Mに応答パケットを送信する。ここで、応答時間設定値RTは、上述した(1)式で計算される値より僅かに小さい値である。よって、囮端末2bが感染端末1Mに応答パケットを送信するタイミングは、2回目の再送に対するタイムアウト時間T2が終了する時刻より前である。すなわち、感染端末1Mは、2回目の再送に対するタイムアウトが発生する前に、応答パケットを受信する。したがって、感染端末1Mは、感染試行手順を実行する。この結果、囮端末2bは、感染端末1Mに侵入したマルウェアに感染することになる。なお、図4(b)に示す「M」は、感染端末1Mに侵入したマルウェアにより囮端末2bが感染するまでに要する時間を表す。
The
このように、図4に示す例では、初期状態で動作する囮端末2aにおいて、マルウェアの感染拡大を「T0+T1+T2」だけ遅延させることができる。また、応答制限状態で動作する囮端末2bにおいて、マルウェアの感染拡大を「RT+M」だけ遅延させることができる。ここで、応答時間設定値RTは「T0+T1+T2」とほぼ同じである。よって、囮端末2bにおいて、マルウェアの感染拡大がほぼ「T0+T1+T2+M」だけ遅延する。
In this way, in the example shown in FIG. 4, the spread of malware infection can be delayed by "T0+T1+T2" in the
一例として、タイムアウト時間T0が3秒であるものとする。また、i回目の再送に対するタイムアウト時間Tiが「T0×2i」で表されるものとする。この場合、タイムアウト時間T1は6秒であり、タイムアウト時間T2は12秒である。さらに、マルウェアによる感染試行手順に要する時間Mが10秒であるものとする。この場合、初期状態で動作する囮端末2aにおいて、21(=3+6+12)秒の遅延が発生する。また、応答制限状態で動作する囮端末2bにおいて、約31(=3+6+12+10)秒の遅延が発生する。
As an example, assume that the timeout period T0 is 3 seconds. Further, it is assumed that the timeout time Ti for the i-th retransmission is expressed as "T0x2 i ". In this case, timeout time T1 is 6 seconds and timeout time T2 is 12 seconds. Furthermore, it is assumed that the time M required for the malware infection attempt procedure is 10 seconds. In this case, a delay of 21 (=3+6+12) seconds occurs in the
なお、図4に示す例では、感染端末1Mが応答パケットを受信しないときに再送手順が実行されるが、本発明はこのケースに限定されるものではない。すなわち、感染端末1Mは、SYNパケットの送信時刻からタイムアウト時間T0が経過するまでに応答パケットを受信できない場合、再送を行うことなく、他の端末へのアクセスを実行してもよい。
Note that in the example shown in FIG. 4, the retransmission procedure is executed when the
図5は、感染端末1Mが再送を行わないケースでの囮端末2の動作を示すシーケンス図である。この例では、感染端末1Mは、まず、囮端末2aにマルウェアを侵入させるために、囮端末2aにSYNパケットを送信する。この後、感染端末1Mは、SYNパケットの送信時刻からタイムアウト時間T0が経過するまでに囮端末2aから応答パケットを受信しないものとする。そうすると、感染端末1Mは、囮端末2aへのアクセスを終了し、囮端末2bにマルウェアを侵入させるために、囮端末2bにSYNパケットを送信する。
FIG. 5 is a sequence diagram showing the operation of the
囮端末2aは、時刻Xにおいて感染端末1MからSYNパケットを受信する。そうすると、囮端末2aは、感染端末1Mを識別する情報および受信時刻Xを含むアクセス情報を囮端末2bに通知する。
The
一方、囮端末2bは、時刻Yにおいて感染端末1MからSYNパケットを受信する。そうすると、囮端末2bは、感染端末1Mを識別する情報および受信時刻Yを含むアクセス情報を囮端末2aに通知する。
On the other hand, the
囮端末2aは、囮端末2aがSYNパケットを受信した時刻Xおよび囮端末2bがSYNパケットを受信した時刻Yに基づいて感染端末1Mまたは感染端末1Mに侵入したマルウェアの再送パターンを検出する。すなわち、このケースでは、囮端末2aが感染端末1MからSYNパケットを受信した後、感染端末1Mから囮端末2aへの再送パケットが送信されることなく、感染端末1Mから他の端末(ここでは、囮端末2b)へSYNパケットが送信されている。したがって、囮端末2aは、再送回数がゼロ回であると判定する。また、囮端末2aがSYNパケットを受信した時刻Xと囮端末2bがSYNパケットを受信した時刻Yとの差分を算出することでタイムアウト時間T0が検出される。
The
このように、図5に示す実施例では、感染端末1Mから送信されるSYNパケットが最初に到着した囮端末だけでなく、各囮端末が再送パターンを検出できる。この場合、各囮端末は、再送パターンを検出したときに、自分の動作状態を初期状態から応答制限状態に更新してもよい。そうすると、各囮端末(感染端末1Mから送信されるSYNパケットが最初に到着した囮端末を除く)において、タイムアウト時間T0および感染試行に要する時間Mの和の分だけ、感染拡大を遅延させることが可能になる。
In this way, in the embodiment shown in FIG. 5, not only the decoy terminal to which the SYN packet transmitted from the
図6~図7は、囮端末の処理の一例を示すフローチャートである。なお、この実施例では、マルウェアに感染した感染端末1Mが、ネットワークに接続する端末にアクセスするものとする。
FIGS. 6 and 7 are flowcharts showing an example of the processing of the decoy terminal. In this embodiment, it is assumed that an
S1において、囮端末2は、自分宛のSYNパケットを待ち受ける。そして、囮端末2にSYNパケットが到着すると、囮端末2は、S2において、そのパケットの受信時刻およびそのパケットの送信元を識別する情報をメモリに記録する。なお、送信元を識別する情報は、例えば、IPアドレスであってもよい。この場合、IPアドレスは、受信パケットのヘッダから抽出される。また、送信元を識別する情報は、IPアドレスおよびポート番号の組合せであってもよい。この場合、IPアドレスおよびポート番号は、受信パケットのヘッダから抽出される。
In S1, the
S3において、囮端末2は、アクセス情報を生成して管理部30に送信する。アクセス情報は、S2でメモリに記録した、SYNパケットの受信時刻およびそのSYNパケットの送信元を識別する情報を含む。なお、このアクセス情報は、管理部30から他の各囮端末に転送される。
In S3, the
S4において、囮端末2は、自分の動作状態が初期状態であるか否かを判定する。自分の動作状態は、ステート情報としてメモリに保存されている。そして、自分の動作状態が初期状態であるときは、囮端末2の処理はS5に進む。
In S4, the
S5~S6において、囮端末2は、S1で受信したSYNパケットの再送SYNパケットまたは他の囮端末にSYNパケットが到着したことを表すアクセス情報を待ち受ける。S5において待ち受ける再送SYNパケットは、S1で受信したSYNパケットに対応する再送SYNパケットであり、送信元およびシーケンス番号は互いに同じである。なお、S5で待ち受ける再送SYNパケットは、S1で受信したSYNパケットに対する最初の再送パケットである。また、S6で待ち受けるアクセス情報は、他の囮端末で図6に示すフローチャートが実行されるときに、S3において送信される。
In S5 and S6, the
S5において再送SYNパケットを受信したときは、囮端末2の処理はS7に進む。S7において、囮端末2は、タイムアウト時間T0を算出する。タイムアウト時間T0は、S1で検出されるSYNパケットの受信時刻とS5で検出される再送SYNパケットの受信時刻との差分を表す。S8において、囮端末2は、変数iを「1」に初期化する。変数iは、感染端末1Mまたは感染端末1Mに侵入したマルウェアによる再送回数をカウントする。
When the retransmission SYN packet is received in S5, the process of the
S9において、囮端末2は、i回目の再送に対するタイムアウト時間Tiを計算する。この実施例では、i回目の再送に対するタイムアウト時間Tiは、「T0×2i」で表される。そして、囮端末2は、タイムアウト時間Tiだけスリープモードで待機する。
In S9, the
S10において、囮端末2は、S9で設定したスリープモードが終了するまでに、S1で受信したSYNパケットの再送SYNパケットを受信したか否かを判定する。即ち、前回の再送SYNパケットの受信時刻からタイムアウト時間Tiが経過するまでに新たな再送SYNパケットを受信したか否かが判定される。そして、新たな再送SYNパケットを受信したときは、囮端末2は、S11において変数iを1だけインクリメントする。この後、囮端末2の処理はS9に戻る。すなわち、囮端末2は、S9~S11において、再送回数を表す変数iをインクリメントしながら新たな再送SYNパケットを待ち受ける。
In S10, the
新たな再送SYNパケットを受信しないときは、囮端末2は、S12において、感染端末1Mまたは感染端末1Mに侵入したマルウェアの再送パターンを検出する。この実施例では、再送パターンは、S7で算出されたタイムアウト時間T0およびS9~S11の処理が終了した時点での変数iの値で表される。このとき、囮端末2は、上述した(1)式を利用して応答時間設定値RTを計算してもよい。この場合、再送パターンは、応答時間設定値RTを含んでもよい。
When the new retransmission SYN packet is not received, the
S14において、囮端末2は、再送パターンを管理部30に送信する。この場合、管理部30は、この再送パターンを他の囮端末に通知する。即ち、S14において、囮端末2において検出された再送パターンが、管理部30を介して他の囮端末に通知される。
In S14, the
S6においてアクセス情報を受信したときは、囮端末2は、S13において、感染端末1Mまたは感染端末1Mに侵入したマルウェアの再送パターンを検出する。ここで、S6で受信するアクセス情報は、他の囮端末にSYNパケットが到着した時刻を表す情報を含むものとする。この場合、囮端末2は、S1で検出されるSYNパケットの受信時刻と他の囮端末にSYNパケットが到着した時刻との差分を計算することで、タイムアウト時間T0を得る。また、囮端末2は再送SYNパケットを受信しないので、再送回数がゼロ回であると判定する。そして、S13において再送パターンが検出された場合も、その再送パターンは、S14において管理部30を介して他の囮端末に通知される。
When the access information is received in S6, the
この後、管理部30は、マルウェアによる感染拡大の終了をモニタする。このとき、管理部30は、たとえば、各囮端末により生成されるアクセス情報に基づいて、感染端末1Mからいずれかの囮端末への最後のアクセス時刻からの経過時間が所定の閾値を越えていれば、マルウェアによる感染拡大が終了したと判定する。そして、管理部30は、マルウェアによる感染拡大が終了すると、その旨を各囮端末に通知する。そうすると、各囮端末は、S15においてマルウェアによる感染拡大の終了を表す通知を受け取るので、S16においてステート情報を「初期状態」に更新する。
Thereafter, the
囮端末2の動作状態が初期状態でないときは(S4:No)、囮端末2は、図7に示すS21~S23の処理を実行する。すなわち、S21において、囮端末2は、応答時間設定値RTを計算する。応答時間設定値RTは、例えば、他の囮端末において検出された再送パターンに基づいて、上述した(1)式を利用して計算される。なお、他の囮端末または管理部30から応答時間設定値RTが通知されるときには、囮端末2は、応答時間設定値RTを計算する必要はない。そして、囮端末2は、応答時間設定値RTにより指定される期間、スリープモードで待機する。
If the operating state of the
S21で設定したスリープモードが終了すると、囮端末2は、S22において、S1で受信したSYNパケットに対して応答パケットを返送する。この応答パケットは、感染端末1Mに送信される。そうすると、感染端末1Mは、感染試行手順を開始する。そして、囮端末2は、S23において、感染端末1Mからの感染試行により、マルウェアに感染する。
When the sleep mode set in S21 ends, the
ここで、図4に示す実施例を参照して図6~図7に示すフローチャートの処理を説明する。まず、図4(a)に示すように、感染端末1Mから囮端末2aにアクセスがあったときは、以下の手順が実行される。
Here, the processing of the flowcharts shown in FIGS. 6 to 7 will be explained with reference to the embodiment shown in FIG. First, as shown in FIG. 4(a), when the
最初のSYNパケットが囮端末2aに到着すると、S2において、受信時刻および送信元(即ち、感染端末1M)を識別する情報が記録される。1番目の再送SYNパケットが囮端末2aに到着すると、S7においてタイムアウト時間T0が算出され、S8において変数iに「1」が設定される。囮端末2aは、時間T1が経過するまでの期間、スリープモードで待機する。2番目の再送SYNパケットが囮端末2aに到着すると、S11において変数iが「2」に更新される。囮端末2aは、時間T2が経過するまでの期間、スリープモードで待機する。この後、囮端末2aは、再送SYNパケットを受信しないので、S12において再送パターンが検出される。このとき、変数iの値は「2」なので、再送パターンとして「タイムアウト時間:T0、再送回数:2回」が得られる。
When the first SYN packet arrives at the
図4(b)に示すように、感染端末1Mから囮端末2bにアクセスがあったときは、以下の手順が実行される。なお、囮端末2bは、図4(a)に示す囮端末2aにより検出された再送パターンを認識しているものとする。また、囮端末2bの動作状態は、応答制限状態であるものとする。
As shown in FIG. 4(b), when the
最初のSYNパケットが囮端末2bに到着すると、S2において、受信時刻および送信元(即ち、感染端末1M)を識別する情報が記録される。このとき、囮端末2bは、受信したSYNパケットに対して応答パケットを返送しない。また、囮端末2bの動作状態は応答制限状態なので、囮端末2bは、S21~S23の処理を実行する。すなわち、囮端末2bは、感染端末1Mから再送SYNパケットが到着しても、応答パケットを返送しない。そして、S1で検出したSYNパケットの受信時刻から応答時間設定値RTが経過したタイミングで、囮端末2bは、感染端末1Mに応答パケットを送信する。ここで、応答時間設定値RTは、T0+T1+T2より僅かに短い時間である。すなわち、感染端末1Mは、2回目の再送に対するタイムアウト時間が終了する前に応答パケットを受信する。よって、感染端末1Mに侵入しているマルウェアは、囮端末2bに対する感染試行手順を実行する。この結果、囮端末2bはマルウェアに感染する。
When the first SYN packet arrives at the
なお、図4に示す例において、タイムアウト時間T0が「3秒」であり、i回目の再送に対するタイムアウト時間Tiが「T0×2i」で表されるものとする。この場合は、図4(a)に示す囮端末2aにおいて、マルウェアの感染拡大を21(=3+6+12)秒遅らせることができる。また、マルウェアの感染試行手順の実行に要する時間が10秒であるものとする。この場合、図4(b)に示す囮端末2bにおいて、マルウェアの感染拡大を約31(=3+6+12+10)秒遅らせることができる。
In the example shown in FIG. 4, it is assumed that the timeout time T0 is "3 seconds" and the timeout time Ti for the i-th retransmission is expressed as "T0×2 i ". In this case, the spread of malware infection can be delayed by 21 (=3+6+12) seconds in the
このように、本発明の実施形態によれば、ある1つの囮端末において検出される感染端末またはマルウェアの再送パターンが他の囮端末に通知される。よって、再送パターンが通知された囮端末において、感染端末またはマルウェアによる再送手順に係わる時間を最大限消費させ、且つ、感染試行に係わる時間を消費させるので、マルウェアの感染拡大を大幅に遅らせることができる。 As described above, according to the embodiment of the present invention, the retransmission pattern of an infected terminal or malware detected in one decoy terminal is notified to other decoy terminals. Therefore, on the decoy terminal that has been notified of the retransmission pattern, the infected terminal or malware consumes the maximum amount of time involved in the retransmission procedure, and also the time involved in the infection attempt, which greatly slows down the spread of malware infection. can.
<バリエーション1>
ネットワークシステム100に複数のマルウェアが侵入した場合には、情報処理システム200は、マルウェア毎に図6~図7に示すフローチャートの処理を実行することで、各マルウェアの感染拡大をそれぞれ遅延させる。この場合、マルウェア毎に各囮端末の動作状態が管理され、マルウェア毎に再送パターンが検出される。
<
When a plurality of malware infiltrates the
図8は、各囮端末においてマルウェア毎に管理されるステート情報および応答時間設定値の一例を示す。この例では、各マルウェアは、IPアドレスおよびポート番号の組合せで識別される。IPアドレスおよびポート番号は、受信パケットのヘッダに設定されている送信元アドレスおよび送信先ポート番号に相当する。例えば、マルウェアが特定のサービスにアクセスするケースでは、そのマルウェアから送信されるパケットのヘッダに同じ送信先ポート番号が設定される可能性が高い。そして、各囮端末は、図8(a)に示すように、マルウェア毎に自分の動作状態を表すステート情報を管理する。また、ある囮端末において再送パターンが検出された後は、図8(b)に示すように、各囮端末においてマルウェア毎に再送パターン(ここでは、応答時間設定値)が管理される。 FIG. 8 shows an example of state information and response time setting values managed for each malware in each decoy terminal. In this example, each malware is identified by a combination of IP address and port number. The IP address and port number correspond to the source address and destination port number set in the header of the received packet. For example, in a case where malware accesses a specific service, there is a high possibility that the same destination port number will be set in the header of the packet sent from the malware. Each decoy terminal manages state information representing its own operating state for each malware, as shown in FIG. 8(a). Furthermore, after a retransmission pattern is detected at a certain decoy terminal, the retransmission pattern (here, response time setting value) is managed for each malware at each decoy terminal, as shown in FIG. 8(b).
囮端末は、感染端末からアクセスを受けた際に、受信パケットのヘッダに基づいてマルウェアを識別する。そして、囮端末2は、識別したマルウェアに対応するステート情報が応答制限状態であれば、対応する応答時間設定値に基づいて図7に示す手順を実行する。これにより、各囮端末において各マルウェアの感染拡大をそれぞれ大きく遅らせることができる。
When a decoy terminal receives access from an infected terminal, it identifies malware based on the header of the received packet. Then, if the state information corresponding to the identified malware is a response restriction state, the
<バリエーション2>
ネットワークシステム100において、ハンドシェイク手順の終了後にデータ通信が行われるケースでは、ハンドシェイク手順およびデータ通信の再送パターンが互いに異なることがある。たとえば、ハンドシェイク手順においてタイムアウト時間「3秒」および再送回数「2回」が設定され、データ通信においてタイムアウト時間「3秒」および再送回数「5回」が設定さる。このような場合には、ハンドシェイク手順の再送パターンおよびデータ通信の再送パターンをそれぞれ検出して各囮端末に通知することが好ましい。そして、通知を受けた囮端末は、感染端末との間のハンドシェイク時には、ハンドシェイク手順の再送パターンに基づいて図7に示す手順を実行し、感染端末との間のデータ通信時には、データ通信の再送パターンに基づいて図7に示す手順を実行する。
<
In the
<バリエーション3>
情報処理システム200が3以上の囮端末を備える場合、ある囮端末で検出された再送パターンは、管理部30から他の囮端末に順番に通知される。ところが、マルウェアの感染拡大の速度が速い場合、囮端末によっては、再送パターンの通知を受ける前にマルウェアからのアクセスを受けるかも知れない。この場合、この囮端末は、例えば、マルウェアからのアクセスに対して即座に応答パケットを返送するので、感染拡大の遅延効果が小さくなってしまう。
<
When the
そこで、管理部30は、情報処理システム200が3以上の囮端末を備える場合、各囮端末がマルウェアからアクセスされる順番を推定する。そして、管理部30は、マルウェアから早くアクセスされやすい囮端末から順番に再送パターンを通知する。
Therefore, when the
例えば、図9に示すように、情報処理システム200は、4個の囮端末2a~2dを備える。囮端末2a~2dには、昇順にIPアドレス(x.y.z.01~x.y.z.04)が割り当てられている。他方、マルウェアは、所定のポリシに従った順番でネットワークシステム100内の端末にアクセスしていく。一例として、マルウェアは、宛先IPアドレスの値をインクリメントまたはデクリメントしながら対応する端末にアクセスしていく。
For example, as shown in FIG. 9, the
ここで、マルウェアから囮端末2aにアクセスがあったものとする。そうすると、囮端末2aは、再送パターンを検出して管理部30に通知する。ここで、囮端末2aのIアドレス値は、囮端末2a~2dのIPアドレス値の中で最も小さい。したがって、管理部30は、マルウェアが宛先IPアドレスの値をインクリメントしながら対応する端末にアクセスしていると推定する。この場合、管理部30は、囮端末2b~2cのうちで、IPアドレスの値が小さい囮端末から順番に再送パターンを通知する。すなわち、図9に示すように、最初に囮端末2bに再送パターンが通知され、次に囮端末2cに再送パターンが通知され、最後に囮端末2dに再送パターンが通知される。
Here, it is assumed that the
このように、バリエーション3においては、マルウェアからアクセスされるタイミングが早いと推定される囮端末から順番に再送パターンが通知される。よって、囮端末が再送パターンの通知を受ける前にマルウェアからアクセスされる可能性が低くなる。したがって、各囮端末で図7に示す手順が実行されやすくなり、マルウェアの感染拡大を遅延させる効果が高くなる。
In this manner, in
<バリエーション4>
ネットワークシステム100に囮端末が接続されると、ネットワークの可用性が低下するおそれがある。そこで、バリエーション4においては、囮端末は、ネットワークに常時接続されるのではなく、マルウェアの感染の予兆が検知されたときにネットワークに接続される。すなわち、管理部30は、マルウェアの感染の予兆をモニタする。そして、管理部30は、マルウェアの感染の予兆を検知したときに、囮端末を起動してネットワークに接続させる。この結果、囮端末によるネットワークの可用性の低下が抑制される。
<Variation 4>
When a decoy terminal is connected to the
なお、バリエーション1~4は、矛盾のない範囲で、図3~図7に示す実施形態の中で採用される。或いは、バリエーション1~4は、矛盾のない範囲で、図3~図7に示す実施形態と組み合わせて実行される。
Note that
また、上述の実施例では、最初に送信されるSYNパケットに対するタイムアウト時間T0に基づいて再送に対するタイムアウト時間Ti(i=1、2、...)が算出されるが、本発明はこの構成に限定されるものではない。例えば、囮端末2は、再送に対するタイムアウト時間Ti(i=1、2、...)を個々に測定してもよい。
Furthermore, in the above-described embodiment, the timeout time Ti (i=1, 2,...) for retransmission is calculated based on the timeout time T0 for the first transmitted SYN packet, but the present invention applies to this configuration. It is not limited. For example, the
<ハードウェア構成>
図10は、情報処理システム200のハードウェア構成の一例を示す。情報処理システム200は、プロセッサ51、メモリ52、ネットワークIF53を備える。なお、情報処理システム200は、図1に示すネットワークシステム100においては、サーバコンピュータ3に相当する。また、情報処理システム200は、図10に示していない他のデバイスを備えてもよい。
<Hardware configuration>
FIG. 10 shows an example of the hardware configuration of the
プロセッサ51は、メモリ52に格納されている情報処理プログラムを実行することにより、囮端末2および管理部30の機能を提供する。なお、プロセッサ51は、複数のプロセッサエレメントを備えてもよい。メモリ52は、プロセッサ51の作業領域として使用される半導体メモリおよび情報処理プログラムを格納する記憶装置を含む。なお、囮端末2は、プロセッサ51およびメモリ52のリソースを仮想マシンに割り当てることで実現され得る。ネットワークIF53は、ネットワークシステム100に接続するためのインタフェースを提供する。
The
本発明の実施形態に係わる情報処理プログラムは、図6~図7に示すフローチャートの処理を記述したプログラムを含む。また、情報処理プログラムは、管理部30の処理を記述したプログラムを含む。なお、情報処理プログラムは、予めメモリ52にインストールされてもよいし、不図示の可搬型記録媒体からメモリ52に提供されてもよいし、不図示のプログラムサーバから情報処理システム200に提供されてもよい。
The information processing program according to the embodiment of the present invention includes a program that describes the processing of the flowcharts shown in FIGS. 6 to 7. Further, the information processing program includes a program that describes the processing of the
上述の実施例を含む実施形態に関し、さらに下記の付記を開示する。
(付記1)
複数の情報処理装置が接続されたネットワークシステムにおいて使用される情報処理装置であって、
マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出する検出部と、
前記検出部により検出された再送パターンを、前記複数の情報処理装置のうちの少なくとも1つの他の情報処理装置に通知する通信部と、
を備える情報処理装置。
(付記2)
ネットワークに接続するネットワークインタフェースをさらに備え、
前記ネットワークインタフェースは、前記感染端末から受信するパケットに対して応答パケットを返送しないことにより、前記感染端末から再送パケットを受信する
ことを特徴とする付記1に記載の情報処理装置。
(付記3)
前記再送パターンは、前記感染端末がパケットを送信したときからそのパケットに対応する再送パケットを送信するまでの期間を表すタイムアウト時間、及び、前記感染端末が再送パケットを送信する回数の最大値を表す再送回数を含む
ことを特徴とする付記1に記載の情報処理装置。
(付記4)
前記検出部は、前記感染端末から送信されるパケットおよびそのパケットに対応する再送パケットの受信時刻に基づいて前記タイムアウト時間を検出すると共に、前記感染端末から受信する再送パケットの個数に基づいて前記再送回数を検出する
ことを特徴とする付記3に記載の情報処理装置。
(付記5)
前記検出部は、前記タイムアウト時間および前記再送回数に基づいて、前記少なくとも1つの他の情報処理装置が前記感染端末からの受信パケットに対して応答パケットを返送するまでの待ち時間を表す応答時間を計算し、
前記通信部は、前記応答時間を前記少なくとも1つの他の情報処理装置に通知する
ことを特徴とする付記4に記載の情報処理装置。
(付記6)
ネットワークシステムに接続された複数の情報処理装置の中の1つの情報処理装置により使用される情報処理方法であって、
マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出し、
前記再送パターンを、前記複数の情報処理装置のうちの少なくとも1つの他の情報処理装置に通知する
ことを特徴とする情報処理方法。
(付記7)
ネットワークシステムに接続された複数の情報処理装置の中の1つの情報処理装置において、
マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出し、
前記再送パターンを、前記複数の情報処理装置のうちの少なくとも1つの他の情報処理装置に通知する
処理を前記1つの情報処理装置が備えるプロセッサに実行させる情報処理プログラム。
(付記8)
複数の情報処理装置と、
前記複数の情報処理装置を管理する管理部と、を備え、
前記複数の情報処理装置の中の第1の情報処理装置は、
マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出し、
前記再送パターンを前記管理部に通知し、
前記管理部は、前記再送パターンを前記複数の情報処理装置の中の第2の情報処理装置に通知し、
前記第2の情報処理装置は、前記感染端末からアクセスがあったときに、前記再送パターンに基づいて決まるタイミングで、前記感染端末に応答パケットを送信する
ことを特徴とする情報処理システム。
(付記9)
前記第1の情報処理装置は、マルウェア毎に再送パターンを検出し、
前記第2の情報処理装置は、あるマルウェアからアクセスがあったときに、そのマルウェアに対応する再送パターンに基づいて応答パケットを送信するタイミングを制御する
ことを特徴とする付記8に記載の情報処理システム。
(付記10)
前記第1の情報処理装置は、前記感染端末との間のハンドシェイク時に第1の再送パターンを検出すると共に、前記感染端末との間のデータ通信時に第2の再送パターンを検出し、
前記第2の情報処理装置は、前記感染端末との間のハンドシェイク時には前記第1の再送パターンに基づいて前記感染端末に応答パケットを送信するタイミングを制御すると共に、前記感染端末との間のデータ通信時には前記第2の再送パターンに基づいて前記感染端末に応答パケットを送信するタイミングを制御する
ことを特徴とする付記8に記載の情報処理システム。
(付記11)
前記管理部は、前記複数の情報処理装置についてマルウェアからアクセスされる順番を推定し、前記マルウェアから早くアクセスされると推定される情報処理装置から順番に前記再送パターンを通知する
ことを特徴とする付記8に記載の情報処理システム。
(付記12)
前記管理部は、マルウェアによる感染が検知されたときに、前記複数の情報処理装置をネットワークに接続する
ことを特徴とする付記8に記載の情報処理システム。
Regarding the embodiments including the above-mentioned examples, the following additional notes are further disclosed.
(Additional note 1)
An information processing device used in a network system in which a plurality of information processing devices are connected,
a detection unit that detects a retransmission pattern of the malware or the infected terminal based on packets and retransmitted packets received from the infected terminal infected with the malware;
a communication unit that notifies at least one other information processing device among the plurality of information processing devices of the retransmission pattern detected by the detection unit;
An information processing device comprising:
(Additional note 2)
It further includes a network interface to connect to the network,
The information processing device according to
(Additional note 3)
The retransmission pattern represents a timeout period representing a period from when the infected terminal transmits a packet until it transmits a retransmission packet corresponding to that packet, and a maximum value of the number of times the infected terminal transmits a retransmission packet. The information processing device according to
(Additional note 4)
The detection unit detects the timeout time based on the reception time of a packet transmitted from the infected terminal and a retransmission packet corresponding to the packet, and detects the retransmission time based on the number of retransmission packets received from the infected terminal. The information processing device according to
(Appendix 5)
The detection unit determines a response time representing a waiting time until the at least one other information processing device returns a response packet in response to a packet received from the infected terminal, based on the timeout period and the number of retransmissions. calculate,
The information processing device according to appendix 4, wherein the communication unit notifies the at least one other information processing device of the response time.
(Appendix 6)
An information processing method used by one information processing device among a plurality of information processing devices connected to a network system, the method comprising:
detecting a retransmission pattern of the malware or the infected terminal based on packets and retransmitted packets received from the infected terminal infected with the malware;
An information processing method, comprising: notifying at least one other information processing apparatus among the plurality of information processing apparatuses of the retransmission pattern.
(Appendix 7)
In one information processing device among a plurality of information processing devices connected to a network system,
detecting a retransmission pattern of the malware or the infected terminal based on packets and retransmitted packets received from the infected terminal infected with the malware;
An information processing program that causes a processor included in the one information processing apparatus to execute a process of notifying at least one other information processing apparatus among the plurality of information processing apparatuses of the retransmission pattern.
(Appendix 8)
multiple information processing devices;
a management unit that manages the plurality of information processing devices;
The first information processing device among the plurality of information processing devices is
detecting a retransmission pattern of the malware or the infected terminal based on packets and retransmitted packets received from the infected terminal infected with the malware;
Notifying the management unit of the retransmission pattern;
The management unit notifies a second information processing device among the plurality of information processing devices of the retransmission pattern,
The information processing system is characterized in that the second information processing device transmits a response packet to the infected terminal at a timing determined based on the retransmission pattern when there is an access from the infected terminal.
(Appendix 9)
The first information processing device detects a retransmission pattern for each malware,
The information processing according to appendix 8, wherein the second information processing device controls the timing of transmitting a response packet based on a retransmission pattern corresponding to the malware when there is an access from a certain malware. system.
(Appendix 10)
The first information processing device detects a first retransmission pattern during handshake with the infected terminal, and detects a second retransmission pattern during data communication with the infected terminal,
The second information processing device controls the timing of transmitting a response packet to the infected terminal based on the first retransmission pattern during a handshake with the infected terminal, and controls the timing of transmitting a response packet to the infected terminal based on the first retransmission pattern. The information processing system according to appendix 8, wherein during data communication, the timing of transmitting a response packet to the infected terminal is controlled based on the second retransmission pattern.
(Appendix 11)
The management unit estimates the order in which the plurality of information processing devices will be accessed by the malware, and notifies the retransmission pattern in the order of information processing devices that are estimated to be accessed by the malware first. The information processing system described in Appendix 8.
(Appendix 12)
The information processing system according to appendix 8, wherein the management unit connects the plurality of information processing devices to a network when infection by malware is detected.
1 端末
1M 感染端末
2(2a~2d) 囮端末
3 サーバコンピュータ
21 ネットワークIF
22 検出部
23 通信部
30 管理部
51 プロセッサ
52 メモリ
100 ネットワークシステム
200 情報処理システム
22
Claims (11)
前記複数の情報処理装置のうちの第1の情報処理装置は、マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出し、
前記再送パターンは、前記複数の情報処理装置のうちの第2の情報処理装置に通知され、
前記第2の情報処理装置は、前記感染端末からアクセスがあったときに、前記再送パターンに基づいて決まるタイミングで、前記感染端末に応答パケットを返送する
ことを特徴とする情報処理方法。 An information processing method used by a plurality of information processing devices connected to a network system, the method comprising:
A first information processing device among the plurality of information processing devices detects a retransmission pattern of the malware or the infected terminal based on a packet and a retransmission packet received from the infected terminal infected with the malware,
The retransmission pattern is notified to a second information processing device among the plurality of information processing devices,
The second information processing device, when accessed by the infected terminal, returns a response packet to the infected terminal at a timing determined based on the retransmission pattern.
An information processing method characterized by:
前記複数の端末のうちの第1の端末が、マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出し、
前記再送パターンを、前記複数の端末のうちの第2の端末に通知し、
前記第2の端末が、前記感染端末からアクセスがあったときに、前記再送パターンに基づいて決まるタイミングで、前記感染端末に応答パケットを返送する
処理を前記コンピュータに実行させる情報処理プログラム。 In a computer equipped with multiple terminals connected to a network system,
a first terminal among the plurality of terminals detects a retransmission pattern of the malware or the infected terminal based on packets and retransmission packets received from the infected terminal infected with the malware;
Notifying a second terminal of the plurality of terminals of the retransmission pattern ;
When the second terminal receives access from the infected terminal, the second terminal returns a response packet to the infected terminal at a timing determined based on the retransmission pattern.
An information processing program that causes the computer to execute processing.
前記複数の情報処理装置を管理する管理部と、を備え、
前記複数の情報処理装置の中の第1の情報処理装置は、
マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出し、
前記再送パターンを前記管理部に通知し、
前記管理部は、前記再送パターンを前記複数の情報処理装置の中の第2の情報処理装置に通知し、
前記第2の情報処理装置は、前記感染端末からアクセスがあったときに、前記再送パターンに基づいて決まるタイミングで、前記感染端末に応答パケットを送信する
ことを特徴とする情報処理システム。 multiple information processing devices;
a management unit that manages the plurality of information processing devices,
The first information processing device among the plurality of information processing devices is
detecting a retransmission pattern of the malware or the infected terminal based on packets and retransmitted packets received from the infected terminal infected with the malware;
Notifying the management unit of the retransmission pattern;
The management unit notifies a second information processing device among the plurality of information processing devices of the retransmission pattern,
The information processing system is characterized in that the second information processing device transmits a response packet to the infected terminal at a timing determined based on the retransmission pattern when there is an access from the infected terminal.
前記第2の情報処理装置は、あるマルウェアからアクセスがあったときに、そのマルウェアに対応する再送パターンに基づいて応答パケットを送信するタイミングを制御するThe second information processing device controls the timing of transmitting a response packet when there is an access from a certain malware based on a retransmission pattern corresponding to the malware.
ことを特徴とする請求項3に記載の情報処理システム。The information processing system according to claim 3, characterized in that:
前記第2の情報処理装置は、前記感染端末との間のハンドシェイク時には前記第1の再送パターンに基づいて前記感染端末に応答パケットを送信するタイミングを制御すると共に、前記感染端末との間のデータ通信時には前記第2の再送パターンに基づいて前記感染端末に応答パケットを送信するタイミングを制御するThe second information processing device controls the timing of transmitting a response packet to the infected terminal based on the first retransmission pattern during a handshake with the infected terminal, and controls the timing of transmitting a response packet to the infected terminal based on the first retransmission pattern. During data communication, the timing of transmitting a response packet to the infected terminal is controlled based on the second retransmission pattern.
ことを特徴とする請求項3に記載の情報処理システム。The information processing system according to claim 3, characterized in that:
ことを特徴とする請求項3に記載の情報処理システム。The information processing system according to claim 3, characterized in that:
ことを特徴とする請求項3に記載の情報処理システム。The information processing system according to claim 3, characterized in that:
ことを特徴とする請求項3に記載の情報処理システム。 The retransmission pattern represents a timeout period representing a period from when the infected terminal transmits a packet until it transmits a retransmission packet corresponding to that packet, and a maximum value of the number of times the infected terminal transmits a retransmission packet. The information processing system according to claim 3 , wherein the information processing system includes the number of retransmissions.
ことを特徴とする請求項8に記載の情報処理システム。 The first information processing device detects the timeout time based on the reception time of a packet transmitted from the infected terminal and a retransmitted packet corresponding to the packet, and detects the timeout time based on the number of retransmitted packets received from the infected terminal. The information processing system according to claim 8 , wherein the number of retransmissions is detected based on the number of retransmissions.
前記第1の情報処理装置は、前記応答時間を前記管理部に通知する
ことを特徴とする請求項9に記載の情報処理システム。 The first information processing device generates a response representing a waiting time until the second information processing device returns a response packet in response to the packet received from the infected terminal, based on the timeout period and the number of retransmissions. calculate the time,
The information processing system according to claim 9 , wherein the first information processing device notifies the management unit of the response time.
マルウェアに感染した感染端末から受信するパケットおよび再送パケットに基づいて、前記マルウェアまたは前記感染端末の再送パターンを検出する検出部と、a detection unit that detects a retransmission pattern of the malware or the infected terminal based on packets and retransmitted packets received from the infected terminal infected with the malware;
前記検出部により検出された再送パターンを、前記複数の情報処理装置のうちの少なくとも1つの他の情報処理装置に通知する通信部と、を備え、a communication unit that notifies at least one other information processing device among the plurality of information processing devices of the retransmission pattern detected by the detection unit;
前記複数の情報処理装置のうちの他のいずれかの情報処理装置において検出された再送パターンを受信した後に、前記感染端末からアクセスがあったときに、前記通信部は、前記他のいずれかの情報処理装置から受信した再送パターンに基づいて決まるタイミングで、前記感染端末に応答パケットを送信するWhen access is made from the infected terminal after receiving a retransmission pattern detected in any other information processing device among the plurality of information processing devices, the communication unit Send a response packet to the infected terminal at a timing determined based on the retransmission pattern received from the information processing device.
ことを特徴とする情報処理装置。An information processing device characterized by:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020005384A JP7363503B2 (en) | 2020-01-16 | 2020-01-16 | Information processing device, information processing method, and information processing system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020005384A JP7363503B2 (en) | 2020-01-16 | 2020-01-16 | Information processing device, information processing method, and information processing system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021114047A JP2021114047A (en) | 2021-08-05 |
| JP7363503B2 true JP7363503B2 (en) | 2023-10-18 |
Family
ID=77077611
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020005384A Active JP7363503B2 (en) | 2020-01-16 | 2020-01-16 | Information processing device, information processing method, and information processing system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7363503B2 (en) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007082242A (en) | 2006-09-28 | 2007-03-29 | Fujitsu Ltd | Communication interrupting apparatus, communication interrupting program, and communication interrupting method |
-
2020
- 2020-01-16 JP JP2020005384A patent/JP7363503B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007082242A (en) | 2006-09-28 | 2007-03-29 | Fujitsu Ltd | Communication interrupting apparatus, communication interrupting program, and communication interrupting method |
Non-Patent Citations (1)
| Title |
|---|
| 土性 文哉 ほか,攻撃元ホストの振る舞い分類を用いたダークネットトラフィックの分析,2014年 暗号と情報セキュリティシンポジウム概要集,2014年01月21日 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021114047A (en) | 2021-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6725378B1 (en) | Network protection for denial of service attacks | |
| US7990866B2 (en) | Server device, method for controlling a server device, and method for establishing a connection using the server device | |
| US7269850B2 (en) | Systems and methods for detecting and tracing denial of service attacks | |
| JP4517042B1 (en) | Method, apparatus and program for detecting port scans using fake source addresses | |
| US7266754B2 (en) | Detecting network denial of service attacks | |
| KR101010465B1 (en) | Network security elements using endpoint resources | |
| US9049220B2 (en) | Systems and methods for detecting and preventing flooding attacks in a network environment | |
| US7162740B2 (en) | Denial of service defense by proxy | |
| CN101202742B (en) | Method and system for preventing refusal service attack | |
| US7404210B2 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
| US20070143846A1 (en) | System and method for detecting network-based attacks on electronic devices | |
| KR101312905B1 (en) | Network amplification attack mitigation | |
| US9860181B2 (en) | System and method for inferring traffic legitimacy through selective impairment | |
| CN110266678B (en) | Security attack detection method and device, computer equipment and storage medium | |
| KR20120060655A (en) | Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof | |
| Chen et al. | {Off-Path}{TCP} Exploit: How Wireless Routers Can Jeopardize Your Secrets | |
| JP4503934B2 (en) | Server computer protection device, server computer protection method, server computer protection program, and server computer | |
| WO2019096104A1 (en) | Attack prevention | |
| JP7363503B2 (en) | Information processing device, information processing method, and information processing system | |
| CN110198298B (en) | Information processing method, device and storage medium | |
| US11683327B2 (en) | Demand management of sender of network traffic flow | |
| Nguyen et al. | Leveraging Man-in-the-middle DoS Attack with Internal TCP Retransmissions in Virtual Network | |
| Abbas | Securing the network against malicious programmable switches | |
| JP6101525B2 (en) | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, COMMUNICATION CONTROL PROGRAM | |
| JP5582499B2 (en) | Network monitoring method, system, apparatus and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220908 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230517 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230523 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230706 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230905 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230918 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7363503 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |