JP7468298B2 - 情報処理プログラム、情報処理方法、および情報処理装置 - Google Patents

情報処理プログラム、情報処理方法、および情報処理装置 Download PDF

Info

Publication number
JP7468298B2
JP7468298B2 JP2020180710A JP2020180710A JP7468298B2 JP 7468298 B2 JP7468298 B2 JP 7468298B2 JP 2020180710 A JP2020180710 A JP 2020180710A JP 2020180710 A JP2020180710 A JP 2020180710A JP 7468298 B2 JP7468298 B2 JP 7468298B2
Authority
JP
Japan
Prior art keywords
domain
behavior
malicious
information processing
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020180710A
Other languages
English (en)
Other versions
JP2022071645A (ja
Inventor
剛 谷口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2020180710A priority Critical patent/JP7468298B2/ja
Priority to US17/507,834 priority patent/US20220131884A1/en
Priority to GB2115361.4A priority patent/GB2604207A/en
Publication of JP2022071645A publication Critical patent/JP2022071645A/ja
Application granted granted Critical
Publication of JP7468298B2 publication Critical patent/JP7468298B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/3015Name registration, generation or assignment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、情報処理プログラム、情報処理方法、および情報処理装置に関する。
従来、サイバー攻撃に対策し易くなるよう、既に被害が発生したサイバー攻撃に関するプロファイル情報が、脅威情報として公開されている。例えば、サイバー攻撃に用いられる悪性ドメインは、正規ドメインに比べて、登録から経過した時間が短くなる傾向があることが、脅威情報として公開されている。
先行技術としては、例えば、ドメイン名に関する特徴情報に基づき、ドメイン名に対して予め指定されたカテゴリを特定し、特定したカテゴリに応じて、ドメイン名に対する攻撃対策を段階的に決定するものがある。また、例えば、悪性ドメインリストから良性ドメイン名を除外する技術がある。また、例えば、2以上のドメインに関する変数を含むマルチドメインの確率モデルを用いてドメインデータを分析し、確率モデルに関連する各ドメインの確率分布を判定し、ユーザの職務に関連するクラスタにユーザを割り当てる技術がある。
国際公開第2018/163464号 特開2013-3595号公報 特開2014-216009号公報
しかしながら、従来技術では、サイバー攻撃に対策することが難しい場合がある。例えば、膨大な脅威情報の中から、調査中のサイバー攻撃に該当する脅威情報を探し出すことになり、サイバー攻撃に対策する際にかかる作業負担の増大化を招く。
1つの側面では、本発明は、サイバー攻撃に対策する際にかかる作業負担の低減化を図ることを目的とする。
1つの実施態様によれば、複数のタイプそれぞれの攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを取得し、取得した前記悪性挙動データに基づいて、悪性ドメインの挙動に現れる複数の種類それぞれの特徴を、前記それぞれの攻撃に用いられる悪性ドメインの挙動を検知するにあたり利用する場合の、悪性ドメインの挙動を検知する確率を算出し、算出した前記確率に基づいて、前記それぞれの特徴の、前記それぞれの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析し、解析した結果に基づいて、対象ドメインの挙動が、前記複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定する情報処理プログラム、情報処理方法、および情報処理装置が提案される。
一態様によれば、サイバー攻撃に対策する際にかかる作業負担の低減化を図ることが可能になる。
図1は、実施の形態にかかる情報処理方法の一実施例を示す説明図である。 図2は、情報処理システム200の一例を示す説明図である。 図3は、情報処理装置100のハードウェア構成例を示すブロック図である。 図4は、情報処理装置100の機能的構成例を示すブロック図である。 図5は、情報処理装置100の具体的な機能的構成例を示すブロック図である。 図6は、基本データ管理テーブル521を生成する一例を示す説明図である。 図7は、レジストラ管理テーブル522を生成する一例を示す説明図である。 図8は、検知結果管理テーブル541を生成する一例を示す説明図である。 図9は、特徴「鮮度」の現れ方の一例を示す説明図である。 図10は、特徴「ネームサーバ」の現れ方の一例を示す説明図である。 図11は、特徴「レジストラ」の現れ方の一例を示す説明図である。 図12は、特徴「不自然な再登録」の現れ方の一例を示す説明図である。 図13は、特徴「正引き長期遅れ」の現れ方の一例を示す説明図である。 図14は、タイプ別特徴管理テーブル561を生成する一例を示す説明図である。 図15は、診断対象ドメインの挙動が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定する一例を示す説明図(その1)である。 図16は、診断対象ドメインの挙動が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定する一例を示す説明図(その2)である。 図17は、収集処理手順の一例を示すフローチャートである。 図18は、試験処理手順の一例を示すフローチャートである。 図19は、比較処理手順の一例を示すフローチャートである。 図20は、診断処理手順の一例を示すフローチャートである。
以下に、図面を参照して、本発明にかかる情報処理プログラム、情報処理方法、および情報処理装置の実施の形態を詳細に説明する。
(実施の形態にかかる情報処理方法の一実施例)
図1は、実施の形態にかかる情報処理方法の一実施例を示す説明図である。情報処理装置100は、悪性ドメインを用いたサイバー攻撃に対策し易くすることができるコンピュータである。悪性ドメインは、サイバー攻撃に用いられるドメインである。悪性ドメインは、例えば、個人情報を詐取しようとするウェブサイトに対応するドメインである。
従来、サイバー攻撃に対策し易くなるよう、既に被害が発生したサイバー攻撃に関するプロファイル情報が、脅威情報として公開されている。例えば、悪性ドメインは、正規ドメインに比べて、登録から経過した時間が短くなる傾向があることが、脅威情報として公開されている。脅威情報は、例えば、CTI(Cyber Threat Intelligence)である。
そして、セキュリティ担当者は、サイバー攻撃のアラートに応じて、脅威情報の中から、今回発生したサイバー攻撃に該当する脅威情報を探し出すことにより、サイバー攻撃に対策することがある。アラートは、サイバー攻撃のおそれが検知されたことを示す。セキュリティ担当者は、例えば、SOC(Security Operation Center)の人員である。
しかしながら、サイバー攻撃に対策することが難しい場合がある。例えば、脅威情報が膨大になると、セキュリティ担当者は、膨大な脅威情報の中から、今回発生したサイバー攻撃に該当する脅威情報を探し出すことが難しくなり、サイバー攻撃に対策する際にかかる作業負担および作業時間の増大化を招くという問題がある。また、セキュリティ担当者は、1日に多量のアラートを受けることがあり、1件1件のアラートにかかる作業時間を増加させることが難しいという状況がある。
また、セキュリティ担当者は、アラートが発生した原因、および、サイバー攻撃に対する対策などを、責任者に説明しなければならないことがある。責任者は、例えば、経営層である。ここで、例えば、セキュリティ担当者は、サイバー攻撃に対する対策として、サイバー攻撃を受けたネットワーク環境を停止することを提案することがある。この際、セキュリティ担当者は、運用上、または、経営上、本来であれば停止することが好ましくないネットワーク環境を停止しなければならない理由を、責任者に説明しなければならない。このため、セキュリティ担当者にかかる作業負担および作業時間の増大化を招くという問題がある。
これに対し、例えば、サイバー攻撃に用いられる悪性ドメインを検知する検知器を機械学習する手法が考えられる。具体的には、Passive DNS(Domain Name System)データに関する所定の特徴を利用して、検知器を機械学習する手法が考えられる。所定の特徴は、例えば、Time-Based Features、DNS Answer-Based Features、TTL Value-Based Features、Domain Name-Based Featuresなどである。この手法に関しては、例えば、下記参考文献1、および、下記参考文献2などを参考にすることができる。
参考文献1 : Bilge, Leyla, et al. “EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis.” Ndss. 2011.
参考文献2 : Weimer, Florian. “Passive DNS replication.” FIRST conference on computer security incident. 2005.
また、具体的には、WHOISデータに関する所定の特徴を利用して、サイバー攻撃に用いられる悪性ドメインを検知する検知器を機械学習する手法が考えられる。所定の特徴は、例えば、Domain profile features、Registration history features、batch correlation featuresなどのカテゴリに属する特徴である。この手法に関しては、例えば、下記参考文献3などを参考にすることができる。
参考文献3 : Hao, Shuang, et al. “PREDATOR: proactive recognition and elimination of domain abuse at time-of-registration.” Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security. 2016.
ただし、攻撃者は、上記特徴が利用されることを考慮して、サイバー攻撃に用いられる悪性ドメインが検知され辛くなるよう、回避行動を実施している。例えば、攻撃者は、特定の組織を狙った標的型攻撃を実施する場合、標的型攻撃に用いられる悪性ドメインが検知され辛くなるよう、悪性ドメインの運用状況を、正規ドメインの運用状況に近付ける回避行動を実施している。従って、上記各手法では、標的型攻撃に用いられる悪性ドメインを検知することが難しいという問題がある。
また、上記各手法では、悪性ドメインを検知することを目的としており、どのような観点から、悪性ドメインと判断されたのかまでは示されない傾向がある。また、上記各手法では、悪性ドメインを検知することを目的としており、悪性ドメインが、どのようなタイプのサイバー攻撃に用いられているのかまでは示されない傾向がある。このため、セキュリティ担当者にかかる作業負担および作業時間の低減化を図ることが難しいという問題がある。
そこで、本実施の形態では、悪性ドメインが、どのようなタイプのサイバー攻撃に用いられているのかを判定可能にし、悪性ドメインを用いたサイバー攻撃に対策し易くすることができる情報処理方法について説明する。以下の説明では、サイバー攻撃を、単に「攻撃」と表記する場合がある。
図1の例では、情報処理装置100は、攻撃を分類する複数のタイプが設定される。複数のタイプは、具体的には、標的型、および、広域型などである。標的型は、例えば、特定の個人、または、特定の組織を狙う攻撃のタイプである。このため、標的型の攻撃は、例えば、悪性ドメインが、攻撃対象に検知され辛くなるよう、悪性ドメインを、中長期に渡って運用する傾向がある。広域型は、例えば、不特定の個人、または、不特定の組織を狙う攻撃のタイプである。広域型は、具体的には、多数の個人を狙い、多数の個人のうち一部に対して攻撃が成功することを期待する。このため、広域型の攻撃は、例えば、悪性ドメインを使い捨てる傾向があり、悪性ドメインを、短期的に運用する傾向がある。図1の例では、情報処理装置100は、タイプA、および、タイプBが設定される。
図1の例では、情報処理装置100は、悪性ドメインの挙動に現れ得る複数の種類のそれぞれの種類の特徴が設定される。複数の種類の特徴は、例えば、ドメインが登録された時点からの経過時間が、閾値よりも短いという特徴を含む。複数の種類の特徴は、例えば、ドメインが登録された後、当該ドメインに関する名前解決の正引きが実施されるまでの所要時間が、閾値よりも長いという特徴を含む。図1の例では、情報処理装置100は、特徴α、および、特徴βが設定される。
(1-1)情報処理装置100は、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを取得する。情報処理装置100は、例えば、タイプAの攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを複数取得する。また、情報処理装置100は、例えば、タイプBの攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを複数取得する。
(1-2)情報処理装置100は、取得した悪性挙動データに基づいて、それぞれの種類の特徴を、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたり利用するとした場合の、悪性ドメインの挙動を検知する確率を算出する。情報処理装置100は、例えば、タイプAの攻撃に用いられる悪性ドメインの挙動を検知するにあたり特徴αを利用するとした場合に、悪性ドメインの挙動を検知可能である確率を算出する。また、情報処理装置100は、例えば、タイプAの攻撃に用いられる悪性ドメインの挙動を検知するにあたり特徴βを利用するとした場合に、悪性ドメインの挙動を検知可能である確率を算出する。
また、情報処理装置100は、例えば、タイプBの攻撃に用いられる悪性ドメインの挙動を検知するにあたり特徴αを利用するとした場合に、悪性ドメインの挙動を検知可能である確率を算出する。また、情報処理装置100は、例えば、タイプBの攻撃に用いられる悪性ドメインの挙動を検知するにあたり特徴βを利用するとした場合に、悪性ドメインの挙動を検知可能である確率を算出する。
(1-3)情報処理装置100は、算出した検知する確率に基づいて、それぞれの種類の特徴の、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析する。情報処理装置100は、例えば、特徴αが、タイプA、および、タイプBのうち、タイプAの攻撃に用いられる悪性ドメインの挙動を検知するにあたって、相対的に有用であると解析する。また、情報処理装置100は、例えば、特徴βが、タイプA、および、タイプBのうち、タイプBの攻撃に用いられる悪性ドメインの挙動を検知するにあたって、相対的に有用であると解析する。
(1-4)情報処理装置100は、解析した結果に基づいて、対象ドメインの挙動が、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定する。情報処理装置100は、例えば、解析した結果に基づいて、対象ドメインの挙動に現れる特徴αを利用して、対象ドメインの挙動が、タイプAの攻撃に用いられる悪性ドメインの挙動に該当するか否かを判定する。また、情報処理装置100は、例えば、解析した結果に基づいて、対象ドメインの挙動に現れる特徴βを利用して、対象ドメインの挙動が、タイプBの攻撃に用いられる悪性ドメインの挙動に該当するか否かを判定する。
(1-5)情報処理装置100は、判定した結果を、対象ドメインに対応付けて出力する。また、情報処理装置100は、それぞれの種類の特徴のうち、判定した結果に対応する特徴を、対象ドメインに対応付けて出力する。判定した結果に対応する特徴は、例えば、対象ドメインの挙動が、悪性ドメインの挙動に該当すると判定した際に利用した特徴である。このため、出力される特徴は、対象ドメインの挙動が、悪性ドメインの挙動に該当すると判定した根拠を示す。
これにより、情報処理装置100は、攻撃に対策し易くすることができ、攻撃に対策する際にかかる作業負担および作業時間の低減化を図ることができる。情報処理装置100は、例えば、対象ドメインの挙動が、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを、セキュリティ担当者が把握可能にすることができる。また、情報処理装置100は、例えば、対象ドメインの挙動が、悪性ドメインの挙動に該当すると判定した根拠となる特徴を、セキュリティ担当者が把握可能にすることができる。
このため、情報処理装置100は、セキュリティ担当者が、脅威情報を参照せずに済ませることができ、セキュリティ担当者にかかる作業負担および作業時間の低減化を図ることができる。また、情報処理装置100は、セキュリティ担当者が、1件1件のアラートにかける作業時間の低減化を図ることができる。また、情報処理装置100は、対象ドメインの挙動が、悪性ドメインの挙動に該当すると判定した根拠となる特徴を、セキュリティ担当者が責任者に説明し易くすることができる。
情報処理装置100は、それぞれの特徴について、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動を検知する効力の強さが、タイプ別に異なることに基づいて、それぞれの特徴の、悪性ドメインの挙動の検知にあたっての有用性を解析することができる。このため、情報処理装置100は、タイプ別に、当該タイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたって、いずれの特徴を利用することが適切であるのかを特定することができる。そして、情報処理装置100は、タイプ別に、適切と判断した特徴を利用して、対象ドメインの挙動が、悪性ドメインの挙動に該当するか否かを判定することができる。このため、情報処理装置100は、タイプ別に、対象ドメインの挙動が、悪性ドメインの挙動に該当するか否かを、精度よく判定することができる。
ここで、情報処理装置100が、さらに、悪性ドメインの挙動の他、正規ドメインの挙動にも基づいて、それぞれの種類の特徴の、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析する場合があってもよい。例えば、情報処理装置100は、正規ドメインの挙動に基づいて、それぞれの種類の特徴を、悪性ドメインの挙動を検知するにあたり利用するとした場合の、正規ドメインの挙動を、悪性ドメインの挙動と誤検知する確率を算出する。そして、情報処理装置100は、誤検知する確率に基づいて、それぞれの種類の特徴の、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析する。これにより、情報処理装置100は、タイプ別に、いずれの特徴が、悪性ドメインの挙動の検知に適しているかを、精度よく判定可能にすることができる。
ここでは、情報処理装置100が、解析した結果に基づいて、対象ドメインの挙動が、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定する場合について説明したが、これに限らない。例えば、情報処理装置100が、さらに、解析した結果に基づいて、対象ドメインの挙動が、正規ドメインの挙動に該当するのかを判定する場合があってもよい。具体的には、情報処理装置100は、解析した結果に基づいて、対象ドメインの挙動が、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動にも該当しなければ、正規ドメインの挙動に該当すると判定する。
このように、情報処理装置100は、対象ドメインの挙動が、正規ドメインの挙動に該当するのか、または、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定するシチュエーションに適用される。この場合、情報処理装置100は、正規挙動データと、悪性挙動データとの両方に基づいて、それぞれの特徴の有用性を解析することが好ましいと考えられる。
一方で、情報処理装置100は、対象ドメインが、悪性ドメインであると考えられており、対象ドメインの挙動が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定するシチュエーションに適用されてもよい。この場合、情報処理装置100は、悪性挙動データのみに基づいて、それぞれの特徴の有用性を解析してもよい。
(情報処理システム200の一例)
次に、図2を用いて、図1に示した情報処理装置100を適用した、情報処理システム200の一例について説明する。
図2は、情報処理システム200の一例を示す説明図である。図2において、情報処理システム200は、情報処理装置100と、クライアント装置201と、情報管理装置202とを含む。
情報処理システム200において、情報処理装置100とクライアント装置201とは、有線または無線のネットワーク210を介して接続される。ネットワーク210は、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、インターネットなどである。また、情報処理システム200において、情報処理装置100と情報管理装置202とは、有線または無線のネットワーク210を介して接続される。
情報処理装置100は、悪性挙動データを、情報管理装置202から収集する。情報処理装置100は、正規ドメインの挙動を示す正規挙動データを、情報管理装置202から収集する。情報処理装置100は、対象ドメインの挙動を示す対象挙動データを、クライアント装置201から受信する。情報処理装置100は、悪性挙動データと、正規挙動データとに基づいて、それぞれの種類の特徴の、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析する。
情報処理装置100は、対象挙動データを参照して、解析した結果に基づいて、対象ドメインの挙動が、悪性ドメインの挙動に該当するとすれば、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定する。この際、情報処理装置100は、対象ドメインの挙動が、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動にも該当しなければ、正規ドメインの挙動に該当すると判定する。
情報処理装置100は、判定した結果を、対象ドメインに対応付けて、対象挙動データの送信元となるクライアント装置201に送信する。情報処理装置100は、対象ドメインの挙動が、いずれかのタイプの攻撃に用いられる悪性ドメインの挙動に該当すると判定した場合、当該判定に利用された特徴を、対象ドメインに対応付けて、対象挙動データの送信元となるクライアント装置201に送信する。また、情報処理装置100は、例えば、サーバ、または、PC(Personal Computer)などである。
クライアント装置201は、セキュリティ担当者が利用するコンピュータである。クライアント装置201は、例えば、SOCの人員が利用するコンピュータである。クライアント装置201は、セキュリティ担当者の操作入力に基づいて、対象ドメインの挙動を示す対象挙動データを、情報処理装置100に送信する。
クライアント装置201は、送信した結果、対象ドメインの挙動が、複数のタイプのうち、いずれのタイプの悪性ドメインの挙動に該当するのかを判定した結果を、情報処理装置100から受信する。クライアント装置201は、送信した結果、対象ドメインの挙動が、正規ドメインの挙動に該当すると判定した結果を、情報処理装置100から受信してもよい。
クライアント装置201は、対象ドメインの挙動が、複数のタイプのうち、いずれのタイプの悪性ドメインの挙動に該当するのかを判定した結果を、セキュリティ担当者が参照可能に出力する。また、クライアント装置201は、対象ドメインの挙動が、正規ドメインの挙動に該当すると判定した結果を、セキュリティ担当者が参照可能に出力する。クライアント装置201は、例えば、サーバ、PC、タブレット端末、または、スマートフォンなどである。
情報管理装置202は、悪性挙動データ、および、正規挙動データを管理するコンピュータである。情報管理装置202は、悪性挙動データ、および、正規挙動データを、情報処理装置100に送信する。情報管理装置202は、例えば、サーバ、または、PCなどである。
情報処理システム200は、例えば、情報処理装置100と、SOCの人員が利用するクライアント装置201と、CTIを提供する組織が有する情報管理装置202とを含む。これにより、情報処理システム200は、SOCの人員が、攻撃に対策し易くすることができる。
ここでは、情報処理装置100が、クライアント装置201とは異なる装置である場合について説明したが、これに限らない。例えば、情報処理装置100が、クライアント装置201としての機能を有している場合があってもよい。この場合、情報処理システム200は、クライアント装置201を含まなくてもよい。
ここでは、情報処理装置100が、情報管理装置202とは異なる装置である場合について説明したが、これに限らない。例えば、情報処理装置100が、情報管理装置202としての機能を有している場合があってもよい。この場合、情報処理システム200は、情報管理装置202を含まなくてもよい。
(情報処理装置100のハードウェア構成例)
次に、図3を用いて、情報処理装置100のハードウェア構成例について説明する。
図3は、情報処理装置100のハードウェア構成例を示すブロック図である。図3において、情報処理装置100は、CPU(Central Processing Unit)301と、メモリ302と、ネットワークI/F(Interface)303と、記録媒体I/F304と、記録媒体305とを有する。また、各構成部は、バス300によってそれぞれ接続される。
ここで、CPU301は、情報処理装置100の全体の制御を司る。メモリ302は、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)およびフラッシュROMなどを有する。具体的には、例えば、フラッシュROMやROMが各種プログラムを記憶し、RAMがCPU301のワークエリアとして使用される。メモリ302に記憶されるプログラムは、CPU301にロードされることにより、コーディングされている処理をCPU301に実行させる。
ネットワークI/F303は、通信回線を通じてネットワーク210に接続され、ネットワーク210を介して他のコンピュータに接続される。そして、ネットワークI/F303は、ネットワーク210と内部のインターフェースを司り、他のコンピュータからのデータの入出力を制御する。ネットワークI/F303は、例えば、モデムやLANアダプタなどである。
記録媒体I/F304は、CPU301の制御に従って記録媒体305に対するデータのリード/ライトを制御する。記録媒体I/F304は、例えば、ディスクドライブ、SSD(Solid State Drive)、USB(Universal Serial Bus)ポートなどである。記録媒体305は、記録媒体I/F304の制御で書き込まれたデータを記憶する不揮発メモリである。記録媒体305は、例えば、ディスク、半導体メモリ、USBメモリなどである。記録媒体305は、情報処理装置100から着脱可能であってもよい。
情報処理装置100は、上述した構成部の他、例えば、キーボード、マウス、ディスプレイ、プリンタ、スキャナ、マイク、スピーカーなどを有してもよい。また、情報処理装置100は、記録媒体I/F304や記録媒体305を複数有していてもよい。また、情報処理装置100は、記録媒体I/F304や記録媒体305を有していなくてもよい。
(クライアント装置201のハードウェア構成例)
クライアント装置201のハードウェア構成例は、図3に示した、情報処理装置100のハードウェア構成例と同様であるため、説明を省略する。
(情報管理装置202のハードウェア構成例)
情報管理装置202のハードウェア構成例は、図3に示した、情報処理装置100のハードウェア構成例と同様であるため、説明を省略する。
(情報処理装置100の機能的構成例)
次に、図4を用いて、情報処理装置100の機能的構成例について説明する。
図4は、情報処理装置100の機能的構成例を示すブロック図である。情報処理装置100は、記憶部400と、取得部401と、判定部402と、算出部403と、解析部404と、出力部405とを含む。
記憶部400は、例えば、図3に示したメモリ302や記録媒体305などの記憶領域によって実現される。以下では、記憶部400が、情報処理装置100に含まれる場合について説明するが、これに限らない。例えば、記憶部400が、情報処理装置100とは異なる装置に含まれ、記憶部400の記憶内容が情報処理装置100から参照可能である場合があってもよい。
取得部401~出力部405は、制御部の一例として機能する。取得部401~出力部405は、具体的には、例えば、図3に示したメモリ302や記録媒体305などの記憶領域に記憶されたプログラムをCPU301に実行させることにより、または、ネットワークI/F303により、その機能を実現する。各機能部の処理結果は、例えば、図3に示したメモリ302や記録媒体305などの記憶領域に記憶される。
記憶部400は、各機能部の処理において参照され、または更新される各種情報を記憶する。記憶部400は、攻撃を分類する複数のタイプを記憶する。複数のタイプは、具体的には、標的型、および、広域型などである。標的型は、例えば、特定の個人、または、特定の組織を狙う攻撃のタイプである。広域型は、例えば、不特定の個人、または、不特定の組織を狙う攻撃のタイプである。
記憶部400は、悪性ドメインの挙動に現れ得る複数の種類のそれぞれの種類の特徴が設定される。複数の種類の特徴は、例えば、ドメインが登録された時点からの経過時間が、第1の閾値よりも短いという第1の特徴を含む。第1の閾値は、1年である。
ドメインが、正規ドメインであると、比較的長期に渡って運用される傾向があるため、ドメインが登録された時点からの経過時間が、比較的長くなる傾向がある。一方で、ドメインが、悪性ドメインであると、比較的短期に運用され、使い捨てられる傾向があるため、ドメインが登録された時点からの経過時間が、比較的短くなる傾向がある。従って、第1の特徴は、悪性ドメインの挙動に現れ得る特徴として利用可能と判断される。
複数の種類の特徴は、例えば、ドメインを運用する際に用いられるネームサーバが1回以上切り替えられた場合におけるネームサーバが運用された期間が、第2の閾値よりも短いという第2の特徴を含む。第2の閾値は、例えば、1年である。
ドメインが、正規ドメインであると、ドメインを運用する際に用いられるネームサーバを、比較的長期に渡って切り替えない傾向があるため、ネームサーバが運用される期間が、比較的長くなる傾向がある。このため、ドメインを運用する際にネームサーバが1回以上切り替えられたとしても、ネームサーバが運用された期間は比較的長くなる傾向がある。一方で、ドメインが、悪性ドメインであると、ドメインを運用する際に用いられるネームサーバを、頻繁に切り替える傾向があるため、ネームサーバが運用される期間が、非常に短くなる傾向がある。従って、第2の特徴は、悪性ドメインの挙動に現れ得る特徴として利用可能と判断される。
複数の種類の特徴は、例えば、ドメインが再登録される前に、当該ドメインを運用する際に用いられたレジストラにおける当該ドメインの残り期限が、第3の閾値よりも長いという第3の特徴を含む。第3の閾値は、例えば、1か月である。
ドメインが、正規ドメインであると、ドメインを運用する際に用いられるレジストラを、比較的長期に渡って切り替えない傾向があるため、ドメインが再登録されることは発生し辛い。また、ドメインが、正規ドメインであると、ドメインを運用する際に用いられるレジストラを切り替えるとしても、移管により切り替える傾向がある。例えば、移管により、レジストラにおける当該ドメインの残り期限がなくなったタイミングで、ドメインを運用する際に用いられるレジストラを、切り替える傾向がある。
一方で、ドメインが、悪性ドメインであると、ドメインが再登録されることがある。さらに、ドメインが、悪性ドメインであると、ドメインを運用する際に用いられるレジストラにおける当該ドメインの残り期限がなくなる前に、ドメインを運用する際に用いられるレジストラを、切り替えてしまうことがある。従って、第3の特徴は、悪性ドメインの挙動に現れ得る特徴として利用可能と判断される。
複数の種類の特徴は、例えば、ドメインが失効した後、当該ドメインが再登録されるまでの所要時間が、第4の閾値よりも長いという第4の特徴を含む。第4の閾値は、例えば、1年である。
ドメインが、正規ドメインであると、ドロップキャッチを防ぐため、ドメインが失効しないよう、注意してドメインを運用する傾向がある。一方で、ドメインが、悪性ドメインであると、ドメインを失効してしまうことがあり、ドメインが失効した後に、再登録されることがある。従って、第4の特徴は、悪性ドメインの挙動に現れ得る特徴として利用可能と判断される。
複数の種類の特徴は、例えば、ドメインが登録された後、当該ドメインに関する名前解決の正引きが実施されるまでの所要時間が、第5の閾値よりも長いという第5の特徴を含む。第5の閾値は、例えば、1年である。
ドメインが、正規ドメインであると、ドメインが登録された直後に、当該ドメインに関する名前解決の正引きが実施される傾向がある。直後は、例えば、数分、または、数時間などである。一方で、ドメインが、悪性ドメインであると、ドメインが登録された後、長時間経過してから、当該ドメインに関する名前解決の正引きが実施されることがある。従って、第5の特徴は、悪性ドメインの挙動に現れ得る特徴として利用可能と判断される。
記憶部400は、複数の種類のそれぞれの種類の特徴を利用して、あるドメインの挙動が、悪性ドメインの挙動に該当するか否かを判定する規則を記憶する。記憶部400は、第1の特徴と、第2の特徴と、第3の特徴と、第4の特徴と、第5の特徴とのそれぞれを利用して、あるドメインの挙動が、悪性ドメインの挙動に該当するか否かを、どのように判定するのかを示す規則を記憶する。
取得部401は、各機能部の処理に用いられる各種情報を取得する。取得部401は、取得した各種情報を、記憶部400に記憶し、または、各機能部に出力する。また、取得部401は、記憶部400に記憶しておいた各種情報を、各機能部に出力してもよい。取得部401は、例えば、利用者の操作入力に基づき、各種情報を取得する。取得部401は、例えば、情報処理装置100とは異なる装置から、各種情報を受信してもよい。
取得部401は、複数のタイプのそれぞれのタイプの攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを取得する。取得部401は、例えば、広域型の攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを複数取得する。また、取得部401は、例えば、標的型の攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを複数取得する。
取得部401は、具体的には、広域型の攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを、情報管理装置202から受信することにより取得する。取得部401は、具体的には、標的型の攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを、情報管理装置202から受信することにより取得する。
取得部401は、より具体的には、利用者による特定の操作入力があったタイミングで、広域型の攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを、情報管理装置202に問い合わせて、情報管理装置202から収集する。取得部401は、より具体的には、利用者による特定の操作入力があったタイミングで、標的型の攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを、情報管理装置202に問い合わせて、情報管理装置202から収集する。
取得部401は、より具体的には、所定のタイミングごとに、情報管理装置202が能動的に送信した、広域型の攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを受信してもよい。取得部401は、より具体的には、所定のタイミングごとに、情報管理装置202が能動的に送信した、標的型の攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを受信してもよい。これにより、取得部401は、それぞれの種類の特徴が、それぞれのタイプの悪性ドメインの検知にあたって、どの程度有用であるかを解析可能にする情報を得ることができる。
取得部401は、正規ドメインの挙動を示す正規挙動データを取得する。取得部401は、例えば、正規ドメインの挙動を示す正規挙動データを複数取得する。取得部401は、具体的には、正規挙動データを、情報管理装置202から受信することにより取得する。
取得部401は、より具体的には、利用者による特定の操作入力があったタイミングで、正規ドメインの挙動を示す正規挙動データを、情報管理装置202に問い合わせて、情報管理装置202から収集する。取得部401は、より具体的には、所定のタイミングごとに、情報管理装置202が能動的に送信した、正規ドメインの挙動を示す悪性挙動データを受信してもよい。これにより、取得部401は、それぞれの種類の特徴が、それぞれのタイプの悪性ドメインの検知にあたって、どの程度有用であるかを解析可能にする情報を得ることができる。
取得部401は、対象ドメインの挙動を示す対象挙動データを取得する。取得部401は、例えば、対象ドメインの挙動を示す対象挙動データを1以上取得する。取得部401は、具体的には、対象挙動データを、クライアント装置201から受信することにより取得する。これにより、取得部401は、いずれのタイプの悪性ドメインの挙動に該当するかを診断する対象となる、対象ドメインの挙動を示す対象挙動データを得ることができる。
取得部401は、いずれかの機能部の処理を開始する開始トリガーを受け付けてもよい。開始トリガーは、例えば、利用者による所定の操作入力があったことである。開始トリガーは、例えば、他のコンピュータから、所定の情報を受信したことであってもよい。開始トリガーは、例えば、いずれかの機能部が所定の情報を出力したことであってもよい。
取得部401は、例えば、悪性挙動データ、および、正規挙動データを取得したことを、算出部403、および、解析部404の処理を開始する開始トリガーとして受け付けてもよい。取得部401は、例えば、取得済みの悪性挙動データ、および、正規挙動データが一定量を超えたことを、算出部403、および、解析部404の処理を開始する開始トリガーとして受け付けてもよい。取得部401は、例えば、利用者による所定の操作入力があったことを、算出部403、および、解析部404の処理を開始する開始トリガーとして受け付けてもよい。
取得部401は、例えば、対象挙動データを取得したことを、判定部402の処理を開始する開始トリガーとして受け付けてもよい。取得部401は、例えば、取得済みの対象挙動データが一定量を超えたことを、判定部402の処理を開始する開始トリガーとして受け付けてもよい。取得部401は、例えば、利用者による所定の操作入力があったことを、判定部402の処理を開始する開始トリガーとして受け付けてもよい。
判定部402は、取得した悪性挙動データに基づいて、それぞれの種類の特徴を利用した場合に、悪性ドメインの挙動が、正しく悪性ドメインの挙動に該当すると判定されるか否かを検討する。判定部402は、例えば、広域型の攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データごとに、それぞれの種類の特徴を利用した場合に、当該悪性挙動データが示す悪性ドメインの挙動が正しく悪性ドメインの挙動に該当すると判定されるか否かを検討する。判定部402は、具体的には、記憶部400に記憶された規則に従い、それぞれの種類の特徴を利用した場合に、悪性挙動データが示す広域型の攻撃に用いられる悪性ドメインの挙動が、悪性ドメインの挙動に該当するか否かを判定する。
判定部402は、例えば、標的型の攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データごとに、それぞれの種類の特徴を利用した場合に、当該悪性挙動データが示す悪性ドメインの挙動が正しく悪性ドメインの挙動に該当すると判定されるか否かを検討する。判定部402は、具体的には、記憶部400に記憶された規則に従い、それぞれの種類の特徴を利用した場合に、悪性挙動データが示す標的型の攻撃に用いられる悪性ドメインの挙動が、悪性ドメインの挙動に該当するか否かを判定する。これにより、判定部402は、それぞれの種類の特徴が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたり、どの程度有用となるのかを解析可能にする情報を得ることができる。
判定部402は、取得した正規挙動データに基づいて、それぞれの種類の特徴を利用した場合に、正規ドメインの挙動が、誤って悪性ドメインの挙動に該当すると判定されるか否かを検討する。判定部402は、例えば、正規挙動データごとに、それぞれの種類の特徴を利用した場合に、当該正規挙動データが示す正規ドメインの挙動が、誤って悪性ドメインの挙動に該当すると判定されるか否かを検討する。
判定部402は、具体的には、記憶部400に記憶された規則に従い、それぞれの種類の特徴を利用した場合に、正規挙動データが示す正規ドメインの挙動が、正規ドメインの挙動に該当するか否かを判定する。これにより、判定部402は、それぞれの種類の特徴を利用して、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動を検知する場合に、誤検知を引き起こす確率の高さを評価可能にすることができる。このため、判定部402は、それぞれの種類の特徴が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたり、どの程度有用となるのかを解析可能にする情報を得ることができる。
算出部403は、それぞれの種類の特徴を、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたり利用するとした場合の、悪性ドメインの挙動を検知する確率を算出する。算出部403は、例えば、それぞれの種類の特徴を利用した場合に、それぞれ広域型の攻撃に用いられる悪性ドメインの挙動を示す複数の悪性挙動データのうち、正しく悪性ドメインの挙動に該当すると判定された悪性挙動データの割合を、確率として算出する。算出部403は、具体的には、判定部402の判定結果に基づいて、確率を算出する。
算出部403は、例えば、それぞれの種類の特徴を利用した場合に、それぞれ標的型の攻撃に用いられる悪性ドメインの挙動を示す複数の悪性挙動データのうち、正しく悪性ドメインの挙動に該当すると判定された悪性挙動データの割合を、確率として算出する。算出部403は、具体的には、判定部402の判定結果に基づいて、確率を算出する。これにより、算出部403は、それぞれの種類の特徴が、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたり、どの程度有用であるかを示す指標値を得ることができる。
算出部403は、それぞれの種類の特徴を、悪性ドメインの挙動を検知するにあたり利用するとした場合の、正規ドメインの挙動を、悪性ドメインの挙動と誤検知する確率を算出する。算出部403は、それぞれの種類の特徴を利用した場合に、正規ドメインの挙動を示す複数の正規挙動データのうち、誤って悪性ドメインの挙動に該当すると判定された正規挙動データの割合を、確率として算出する。算出部403は、具体的には、判定部402の判定結果に基づいて、確率を算出する。これにより、算出部403は、それぞれの種類の特徴が、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたり、どの程度有用であるかを示す指標値を得ることができる。
解析部404は、算出した検知する確率に基づいて、それぞれの種類の特徴の、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析する。解析部404は、例えば、算出した検知する確率に基づいて、それぞれの種類の特徴が、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたって有用であるのかを解析する。
解析部404は、具体的には、それぞれの種類の特徴について、複数のタイプのうち、算出した検知する確率が最も高くなる、いずれかのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたって、最も有用となると特定する。これにより、解析部404は、いずれの特徴を利用すれば、対象ドメインの挙動が、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定可能になるかを特定することができる。
解析部404は、算出した検知する確率、および、算出した誤検知する確率に基づいて、それぞれの種類の特徴の、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析してもよい。
解析部404は、例えば、算出した誤検知する確率に基づいて、それぞれの種類の特徴について、算出した誤検知する確率が、所定の確率以上であるか否かを判定する。そして、解析部404は、いずれかの特徴について、所定の確率以上であれば、当該特徴は、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたっても有用ではないと解析する。
一方で、解析部404は、いずれかの特徴について、所定の確率未満であれば、算出した検知する確率に基づいて、当該特徴が、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたって有用であるのかを解析する。これにより、解析部404は、いずれの特徴を利用した場合に、対象ドメインの挙動を、誤って悪性ドメインの挙動に該当すると判定してしまうことがあるのかを特定可能にすることができる。
判定部402は、解析した結果に基づいて、対象ドメインの挙動が、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定する。例えば、解析した結果、第1の特徴が、広域型の攻撃に用いられる悪性ドメインの挙動を検知するにあたって有用である場合が考えられる。この場合、判定部402は、例えば、第1の特徴を利用して、対象ドメインの挙動が、広域型の攻撃に用いられる悪性ドメインの挙動に該当するか否かを判定する。
例えば、解析した結果、第2の特徴が、広域型の攻撃に用いられる悪性ドメインの挙動を検知するにあたって有用である場合が考えられる。この場合、判定部402は、例えば、第2の特徴を利用して、対象ドメインの挙動が、広域型の攻撃に用いられる悪性ドメインの挙動に該当するか否かを判定する。
例えば、解析した結果、第3の特徴が、標的型の攻撃に用いられる悪性ドメインの挙動を検知するにあたって有用である場合が考えられる。この場合、判定部402は、例えば、第3の特徴を利用して、対象ドメインの挙動が、標的型の攻撃に用いられる悪性ドメインの挙動に該当するか否かを判定する。
例えば、解析した結果、第4の特徴が、標的型の攻撃に用いられる悪性ドメインの挙動を検知するにあたって有用である場合が考えられる。この場合、判定部402は、例えば、第4の特徴を利用して、対象ドメインの挙動が、標的型の攻撃に用いられる悪性ドメインの挙動に該当するか否かを判定する。
例えば、解析した結果、第5の特徴が、標的型の攻撃に用いられる悪性ドメインの挙動を検知するにあたって有用である場合が考えられる。この場合、判定部402は、例えば、第5の特徴を利用して、対象ドメインの挙動が、標的型の攻撃に用いられる悪性ドメインの挙動に該当するか否かを判定する。これにより、判定部402は、対象ドメインの挙動が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを、精度よく判定することができる。
判定部402は、解析した結果に基づいて、対象ドメインの挙動が、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動にも該当しなければ、正規ドメインの挙動に該当すると判定する。これにより、判定部402は、対象ドメインの挙動が、正規ドメインの挙動に該当することを、精度よく判定することができる。
判定部402は、解析した結果に基づいて、対象ドメインの挙動が、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動にも該当しない場合、正規ドメインの挙動に該当するとは判定せずに済ませてもよい。この場合、判定部402は、例えば、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動に該当する確度が低いものの、正規ドメインの挙動に該当する確度も高いとは限らないため、正規ドメインの挙動に該当するとは判定しなくてもよい。
出力部405は、少なくともいずれかの機能部の処理結果を出力する。出力形式は、例えば、ディスプレイへの表示、プリンタへの印刷出力、ネットワークI/F303による外部装置への送信、または、メモリ302や記録媒体305などの記憶領域への記憶である。これにより、出力部405は、少なくともいずれかの機能部の処理結果を利用者に通知可能にし、情報処理装置100の利便性の向上を図ることができる。
出力部405は、判定した結果を、対象ドメインに対応付けて出力する。出力部405は、例えば、対象ドメインの挙動が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを、対象ドメインと対応付けて、クライアント装置201に送信する。
これにより、出力部405は、対象ドメインの挙動が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを、セキュリティ担当者が容易に把握可能にすることができる。このため、出力部405は、セキュリティ担当者が、攻撃に対策し易くすることができ、または、攻撃について責任者に説明し易くすることができる。そして、出力部405は、セキュリティ担当者にかかる作業負担および作業時間の低減化を図ることができる。
出力部405は、それぞれの種類の特徴のうち、判定した結果に対応する特徴を、対象ドメインに対応付けて出力する。判定した結果に対応する特徴は、例えば、対象ドメインの挙動が該当すると判定された、いずれかのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたって有用であると判断された特徴である。このため、出力される特徴は、対象ドメインの挙動が、悪性ドメインの挙動に該当すると判定した根拠となり得る特徴を示す。出力部405は、例えば、判定した結果に対応する特徴を、対象ドメインと対応付けて、クライアント装置201に送信する。
これにより、出力部405は、対象ドメインの挙動が、悪性ドメインの挙動に該当すると判定した根拠となり得る特徴を、セキュリティ担当者が容易に把握可能にすることができる。このため、出力部405は、セキュリティ担当者が、攻撃に対策し易くすることができ、または、攻撃について責任者に説明し易くすることができる。そして、出力部405は、セキュリティ担当者にかかる作業負担および作業時間の低減化を図ることができる。
出力部405は、それぞれの種類の特徴のうち、判定した結果に対応する特徴を、悪性ドメインの挙動を検知するにあたり利用するとした場合の、悪性ドメインの挙動を検知する確率を、対象ドメインに対応付けて出力する。検知する確率は、例えば、対象ドメインの挙動が、悪性ドメインの挙動に該当すると判定した根拠としての尤もらしさを示す。出力部405は、例えば、判定した結果に対応する特徴を、悪性ドメインの挙動を検知するにあたり利用するとした場合の、悪性ドメインの挙動を検知する確率を、対象ドメインと対応付けて、クライアント装置201に送信する。
これにより、出力部405は、対象ドメインの挙動が、悪性ドメインの挙動に該当すると判定した根拠となり得る特徴が、どの程度重要な観点であるのかを、セキュリティ担当者が容易に把握可能にすることができる。このため、出力部405は、セキュリティ担当者が、攻撃に対策し易くすることができ、または、攻撃について責任者に説明し易くすることができる。そして、出力部405は、セキュリティ担当者にかかる作業負担および作業時間の低減化を図ることができる。
(情報処理装置100の具体的な機能的構成例)
次に、図5を用いて、情報処理装置100の具体的な機能的構成例について説明する。
図5は、情報処理装置100の具体的な機能的構成例を示すブロック図である。図5において、情報処理装置100は、データ収集部500を有する。データ収集部500は、例えば、図4に示した取得部401を実現する。
データ収集部500は、正規ドメインリスト511と、広域型悪性ドメインリスト512と、標的型悪性ドメインリスト513とを取得する。
正規ドメインリスト511は、正規の事業で運用されている正規ドメインを特定可能に示す。広域型悪性ドメインリスト512は、広域型の攻撃に用いられる悪性ドメインを特定可能に示す。広域型悪性ドメインリスト512は、例えば、脅威情報に基づいて生成される。広域型の攻撃は、例えば、ボットネット、または、スパムなどである。標的型悪性ドメインリスト513は、標的型の攻撃に用いられる悪性ドメインを特定可能に示す。標的型悪性ドメインリスト513は、例えば、脅威情報に基づいて生成される。
データ収集部500は、正規ドメインリスト511を参照して、Passive DNSデータのDB(DataBase)514から、正規ドメインに関するPassive DNSデータを収集し、基本データ管理テーブル521に格納する。Passive DNSデータは、例えば、名前解決のクエリがどのタイミングで発行されたのかを示す。
また、データ収集部500は、広域型悪性ドメインリスト512を参照して、Passive DNSデータのDB514から、広域型悪性ドメインに関するPassive DNSデータを収集し、基本データ管理テーブル521に格納する。
また、データ収集部500は、標的型悪性ドメインリスト513を参照して、Passive DNSデータのDB514から、標的型悪性ドメインに関するPassive DNSデータを収集し、基本データ管理テーブル521に格納する。
データ収集部500は、正規ドメインリスト511を参照して、WHOIS 履歴データのDB515から、正規ドメインに関するWHOIS 履歴データを収集し、基本データ管理テーブル521と、レジストラ管理テーブル522とに格納する。WHOIS 履歴データは、例えば、ドメインの登録がどのように変化したかを示す。
また、データ収集部500は、広域型悪性ドメインリスト512を参照して、WHOIS 履歴データのDB515から、広域型悪性ドメインに関するWHOIS 履歴データを収集する。データ収集部500は、収集した広域型悪性ドメインに関するWHOIS 履歴データを、基本データ管理テーブル521と、レジストラ管理テーブル522とに格納する。
また、データ収集部500は、標的型悪性ドメインリスト513を参照して、WHOIS 履歴データのDB515から、標的型悪性ドメインに関するWHOIS 履歴データを収集する。データ収集部500は、収集した標的型悪性ドメインに関するWHOIS 履歴データを、基本データ管理テーブル521と、レジストラ管理テーブル522とに格納する。
これにより、データ収集部500は、基本データ管理テーブルを生成する。基本データ管理テーブル521を生成する一例については、具体的には、図6を用いて後述する。また、基本データ管理テーブル521を生成する処理の流れについては、具体的には、図17を用いて後述する。
また、これにより、データ収集部500は、レジストラ管理テーブル522を生成する。レジストラ管理テーブル522を生成する一例については、具体的には、図7を用いて後述する。また、レジストラ管理テーブル522を生成する処理の流れについては、具体的には、図17を用いて後述する。
情報処理装置100は、悪性判定部530を有する。悪性判定部530は、例えば、図4に示した判定部402と、算出部403とを実現する。
悪性判定部530は、基本データ管理テーブル521と、レジストラ管理テーブル522とを取得する。また、悪性判定部530は、特徴リスト523を取得する。特徴リスト523は、あるドメインの挙動が、悪性ドメインの挙動に該当するかを判定する際に利用可能な、複数の種類の特徴を特定可能に示す。また、特徴リスト523は、複数の種類のそれぞれの種類の特徴を利用して、あるドメインの挙動が、悪性ドメインの挙動に該当するかを、どのように判定するのかを規定する規則を含む。
悪性判定部530は、特徴リスト523を参照して、基本データ管理テーブル521と、レジストラ管理テーブル522とに基づいて、それぞれの種類の特徴を、悪性ドメインの検知に利用するとした場合の、偽陽性率を算出する。偽陽性率は、例えば、正規ドメインの挙動を、誤って悪性ドメインの挙動と判定する確率である。悪性判定部530は、算出した偽陽性率を、検知結果管理テーブル541に格納する。
また、悪性判定部530は、特徴リスト523を参照して、基本データ管理テーブル521と、レジストラ管理テーブル522とに基づいて、それぞれの種類の特徴を、広域型悪性ドメインの検知に利用するとした場合の、検知率を算出する。検知率は、広域型悪性ドメインリスト512に登録された、複数の広域型悪性ドメインのそれぞれの広域型悪性ドメインの挙動のうち、正しく悪性ドメインの挙動に該当すると判定される割合である。悪性判定部530は、算出した検知率を、検知結果管理テーブル541に格納する。
また、悪性判定部530は、特徴リスト523を参照して、基本データ管理テーブル521と、レジストラ管理テーブル522とに基づいて、それぞれの種類の特徴を、標的型悪性ドメインの検知に利用するとした場合の、検知率を算出する。検知率は、標的型悪性ドメインリスト513に登録された、複数の標的型悪性ドメインのそれぞれの標的型悪性ドメインの挙動のうち、正しく悪性ドメインの挙動に該当すると判定される割合である。悪性判定部530は、算出した検知率を、検知結果管理テーブル541に格納する。
これにより、悪性判定部530は、検知結果管理テーブル541を生成する。検知結果管理テーブル541を生成する一例については、具体的には、図8を用いて後述する。また、検知結果管理テーブル541を生成する処理の流れについては、具体的には、図18を用いて後述する。
情報処理装置100は、タイプ別特徴判定部550を有する。タイプ別特徴判定部550は、例えば、図4に示した解析部404を実現する。
タイプ別特徴判定部550は、検知結果管理テーブル541を取得する。また、タイプ別特徴判定部550は、偽陽性閾値542を取得する。タイプ別特徴判定部550は、偽陽性閾値542を参照して、検知結果管理テーブル541に基づいて、それぞれの種類の特徴が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたって有用となるのかを解析する。
タイプ別特徴判定部550は、それぞれの種類の特徴について、算出された偽陽性率が、偽陽性閾値542以下であるか否かを判定する。タイプ別特徴判定部550は、いずれかの種類の特徴について、算出された偽陽性率が、偽陽性閾値542より大きければ、当該種類の特徴は、正規ドメインの挙動を、悪性ドメインの挙動と誤って判定する事態を招く種類の特徴であると判定する。このため、タイプ別特徴判定部550は、偽陽性率が、偽陽性閾値542より大きくなる、いずれかの種類の特徴は、いずれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたっても有用ではなく、利用しないことが好ましいと判定する。
一方で、タイプ別特徴判定部550は、いずれかの種類の特徴について、算出された偽陽性率が、偽陽性閾値542以下であれば、当該種類の特徴が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたって最も有用であるのかを解析する。タイプ別特徴判定部550は、例えば、偽陽性率が、偽陽性閾値542以下である、いずれかの種類の特徴について、算出された検知率が最も大きくなるタイプを特定する。そして、タイプ別特徴判定部550は、例えば、当該種類の特徴が、特定したタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたって最も有用であると解析する。
タイプ別特徴判定部550は、解析した結果を、タイプ別特徴管理テーブル561に格納する。タイプ別特徴判定部550は、例えば、解析した結果、それぞれの種類の特徴に対応付けて、当該種類の特徴が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたって最も有用となるのかを、タイプ別特徴管理テーブル561に格納する。
これにより、タイプ別特徴判定部550は、タイプ別特徴管理テーブル561を生成する。タイプ別特徴管理テーブル561を生成する一例については、具体的には、図14を用いて後述する。また、タイプ別特徴管理テーブル561を生成する処理の流れについては、具体的には、図19を用いて後述する。
情報処理装置100は、未識別ドメイン診断部570を有する。未識別ドメイン診断部570は、例えば、図4に示した判定部402を実現する。
未識別ドメイン診断部570は、タイプ別特徴管理テーブル561を取得する。未識別ドメイン診断部570は、診断対象ドメインリスト562を取得する。診断対象ドメインリスト562は、悪性ドメインであるか否かが不明な診断対象ドメインを特定可能に示す。診断対象ドメインは、当該診断対象ドメインの挙動が、悪性ドメインの挙動に該当するのか否かの診断対象である。
未識別ドメイン診断部570は、診断対象ドメインリスト562に基づいて、Passive DNSデータのDB514から、診断対象ドメインに関するPassive DNSデータを収集する。また、未識別ドメイン診断部570は、診断対象ドメインリスト562に基づいて、WHOIS 履歴データのDB515から、診断対象ドメインに関するWHOIS 履歴データを収集する。
未識別ドメイン診断部570は、それぞれの種類の特徴を利用して、診断対象ドメインの挙動が、タイプ別特徴管理テーブル561において当該種類の特徴に対応付けられた、いずれかのタイプの攻撃に用いられる悪性ドメインの挙動に該当するか否かを診断する。
未識別ドメイン診断部570は、診断結果571を出力する。診断結果571は、例えば、診断対象ドメインの挙動が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するかを含む。診断する一例については、具体的には、図15および図16を用いて後述する。診断する処理の流れについては、具体的には、図20を用いて後述する。
(情報処理装置100の動作例)
次に、図6~図16を用いて、情報処理装置100の動作例について説明する。具体的には、まず、図6を用いて、情報処理装置100が、Passive DNSデータ、および、WHOIS履歴データを収集し、基本データ管理テーブル521を生成する一例について説明する。
図6は、基本データ管理テーブル521を生成する一例を示す説明図である。基本データ管理テーブル521は、例えば、図3に示した情報処理装置100のメモリ302や記録媒体305などの記憶領域により実現される。
図6に示すように、基本データ管理テーブル521は、ドメインと、登録と、初見と、最終観察と、期限と、ネームサーバ設定数と、レジストラ数とのフィールドを有する。基本データ管理テーブル521は、ドメインごとに各フィールドに情報を設定することにより、基本データがレコード521-aとして記憶される。aは、任意の整数である。
ドメインのフィールドには、ドメインが設定される。登録のフィールドには、最初に上記ドメインを管理したレジストラにより、上記ドメインが登録された登録日時が設定される。初見のフィールドには、DNSの正引きで、上記ドメインに関する最古のA(Address)レコードが最初に観察された時点が設定される。最終観察のフィールドには、DNSの正引きで、上記ドメインに関する最新のAレコードが最後に観察された時点が設定される。Aレコードが1つである場合、当該Aレコードが最初に観察された時点が、初見のフィールドに設定され、当該Aレコードが最後に観察された時点が、最終観察のフィールドに設定される。期限のフィールドには、最近に上記ドメインを管理したレジストラによる、上記ドメインの登録期限が設定される。ネームサーバ設定数のフィールドには、過去に上記ドメインに設定されたネームサーバが切り替わった数が設定される。レジストラ数のフィールドには、過去に上記ドメインを管理したレジストラの数が設定される。
図6において、データ収集部500は、正規ドメインリスト511と、広域型悪性ドメインリスト512と、標的型悪性ドメインリスト513とを取得する。データ収集部500は、正規ドメインリスト511を参照して、正規ドメインを、基本データ管理テーブル521のドメインのフィールドに設定する。データ収集部500は、Passive DNSデータのDB514から、正規ドメインに関するPassive DNSデータを収集する。
データ収集部500は、正規ドメインに関するPassive DNSデータに基づいて、DNSの正引きで、上記ドメインに関する最古のAレコードが最初に観察された時点を、基本データ管理テーブル521の初見のフィールドに設定する。また、データ収集部500は、正規ドメインに関するPassive DNSデータに基づいて、DNSの正引きで、上記ドメインに関する最新のAレコードが最後に観察された時点を、基本データ管理テーブル521の最終観察のフィールドに設定する。
データ収集部500は、WHOIS 履歴データのDB515から、正規ドメインに関するWHOIS 履歴データを収集する。データ収集部500は、正規ドメインに関するWHOIS 履歴データに基づいて、最初に上記ドメインを管理したレジストラにより、上記ドメインが登録された登録日時を、基本データ管理テーブル521の登録のフィールドに設定する。データ収集部500は、正規ドメインに関するWHOIS 履歴データに基づいて、最近に上記ドメインを管理したレジストラによる、上記ドメインの登録期限を、基本データ管理テーブル521の期限のフィールドに設定する。
データ収集部500は、正規ドメインに関するWHOIS 履歴データに基づいて、過去に上記ドメインに設定されたネームサーバが切り替わった数を、基本データ管理テーブル521のネームサーバ設定数のフィールドに設定する。ここで、ドメインの運用において、代替ネームサーバを含め複数のネームサーバを設定することは一般的に行われる傾向がある。一方で、攻撃者が、ネームサーバを運用する場合、短期間でネームサーバの設定自体が切り替えられることがある。このため、ネームサーバ設定数は、ネームサーバの数ではなく、ネームサーバが切り替わった数であることが好ましい。
データ収集部500は、正規ドメインに関するWHOIS 履歴データに基づいて、過去に上記ドメインを管理したレジストラの数を、基本データ管理テーブル521のレジストラ数のフィールドに設定する。
また、データ収集部500は、広域型悪性ドメインリスト512を参照して、広域型悪性ドメインを、基本データ管理テーブル521のドメインのフィールドに設定する。データ収集部500は、Passive DNSデータのDB514から、広域型悪性ドメインに関するPassive DNSデータを収集する。
データ収集部500は、広域型悪性ドメインに関するPassive DNSデータに基づいて、DNSの正引きで、上記ドメインに関する最古のAレコードが最初に観察された時点を、基本データ管理テーブル521の初見のフィールドに設定する。また、データ収集部500は、広域型悪性ドメインに関するPassive DNSデータに基づいて、DNSの正引きで、上記ドメインに関する最新のAレコードが最後に観察された時点を、基本データ管理テーブル521の最終観察のフィールドに設定する。
データ収集部500は、WHOIS 履歴データのDB515から、広域型悪性ドメインに関するWHOIS 履歴データを収集する。データ収集部500は、広域型悪性ドメインに関するWHOIS 履歴データに基づいて、最初に上記ドメインを管理したレジストラにより、上記ドメインが登録された登録日時を、基本データ管理テーブル521の登録のフィールドに設定する。データ収集部500は、広域型悪性ドメインに関するWHOIS 履歴データに基づいて、最近に上記ドメインを管理したレジストラによる、上記ドメインの登録期限を、基本データ管理テーブル521の期限のフィールドに設定する。
データ収集部500は、広域型悪性ドメインに関するWHOIS 履歴データに基づいて、過去に上記ドメインに設定されたネームサーバが切り替わった数を、基本データ管理テーブル521のネームサーバ設定数のフィールドに設定する。
データ収集部500は、広域型悪性ドメインに関するWHOIS 履歴データに基づいて、過去に上記ドメインを管理したレジストラの数を、基本データ管理テーブル521のレジストラ数のフィールドに設定する。
また、データ収集部500は、標的型悪性ドメインリスト513を参照して、標的型悪性ドメインを、基本データ管理テーブル521のドメインのフィールドに設定する。データ収集部500は、Passive DNSデータのDB514から、標的型悪性ドメインに関するPassive DNSデータを収集する。
データ収集部500は、標的型悪性ドメインに関するPassive DNSデータに基づいて、DNSの正引きで、上記ドメインに関する最古のAレコードが最初に観察された時点を、基本データ管理テーブル521の初見のフィールドに設定する。また、データ収集部500は、標的型悪性ドメインに関するPassive DNSデータに基づいて、DNSの正引きで、上記ドメインに関する最新のAレコードが最後に観察された時点を、基本データ管理テーブル521の最終観察のフィールドに設定する。
データ収集部500は、WHOIS 履歴データのDB515から、標的型悪性ドメインに関するWHOIS 履歴データを収集する。データ収集部500は、標的型悪性ドメインに関するWHOIS 履歴データに基づいて、最初に上記ドメインを管理したレジストラにより、上記ドメインが登録された登録日時を、基本データ管理テーブル521の登録のフィールドに設定する。データ収集部500は、標的型悪性ドメインに関するWHOIS 履歴データに基づいて、最近に上記ドメインを管理したレジストラによる、上記ドメインの登録期限を、基本データ管理テーブル521の期限のフィールドに設定する。
データ収集部500は、標的型悪性ドメインに関するWHOIS 履歴データに基づいて、過去に上記ドメインに設定されたネームサーバが切り替わった数を、基本データ管理テーブル521のネームサーバ設定数のフィールドに設定する。
データ収集部500は、標的型悪性ドメインに関するWHOIS 履歴データに基づいて、過去に上記ドメインを管理したレジストラの数を、基本データ管理テーブル521のレジストラ数のフィールドに設定する。
次に、図7を用いて、情報処理装置100が、レジストラ管理データを収集し、レジストラ管理テーブル522を生成する一例について説明する。
図7は、レジストラ管理テーブル522を生成する一例を示す説明図である。レジストラ管理テーブル522は、例えば、図3に示した情報処理装置100のメモリ302や記録媒体305などの記憶領域により実現される。
図7に示すように、レジストラ管理テーブル522は、ドメインと、レジストラと、登録と、更新と、期限とのフィールドを有する。レジストラ管理テーブル522は、ドメインごとに各フィールドに情報を設定することにより、レジストラ管理データがレコード522-bとして記憶される。bは、任意の整数である。
ドメインのフィールドには、ドメインが設定される。レジストラのフィールドには、上記ドメインの登録に利用されたレジストラが設定される。登録のフィールドには、上記レジストラが、上記ドメインを登録した登録時点が設定される。更新のフィールドには、上記レジストラが、上記ドメインを更新した時点が設定される。期限のフィールドには、上記レジストラにおける上記ドメインの登録期限が設定される。
図7において、データ収集部500は、正規ドメインリスト511を参照して、正規ドメインを、レジストラ管理テーブル522のドメインのフィールドに設定する。データ収集部500は、正規ドメインに関するWHOIS 履歴データに基づいて、上記ドメインの登録に利用されたレジストラを、レジストラ管理テーブル522のレジストラのフィールドに設定する。
データ収集部500は、正規ドメインに関するWHOIS 履歴データに基づいて、上記レジストラが、上記ドメインを登録した登録時点を、レジストラ管理テーブル522の登録のフィールドに設定する。データ収集部500は、正規ドメインに関するWHOIS 履歴データに基づいて、上記レジストラが、上記ドメインを更新した時点を、レジストラ管理テーブル522の更新のフィールドに設定する。データ収集部500は、正規ドメインに関するWHOIS 履歴データに基づいて、上記レジストラにおける上記ドメインの登録期限を、レジストラ管理テーブル522の期限のフィールドに設定する。
データ収集部500は、広域型悪性ドメインリスト512を参照して、広域型悪性ドメインを、レジストラ管理テーブル522のドメインのフィールドに設定する。データ収集部500は、広域型悪性ドメインに関するWHOIS 履歴データに基づいて、上記ドメインの登録に利用されたレジストラを、レジストラ管理テーブル522のレジストラのフィールドに設定する。
データ収集部500は、広域型悪性ドメインに関するWHOIS 履歴データに基づいて、上記レジストラが、上記ドメインを登録した登録時点を、レジストラ管理テーブル522の登録のフィールドに設定する。データ収集部500は、広域型悪性ドメインに関するWHOIS 履歴データに基づいて、上記レジストラが、上記ドメインを更新した時点を、レジストラ管理テーブル522の更新のフィールドに設定する。データ収集部500は、広域型悪性ドメインに関するWHOIS 履歴データに基づいて、上記レジストラにおける上記ドメインの登録期限を、レジストラ管理テーブル522の期限のフィールドに設定する。
データ収集部500は、標的型悪性ドメインリスト513を参照して、標的型悪性ドメインを、レジストラ管理テーブル522のドメインのフィールドに設定する。データ収集部500は、標的型悪性ドメインに関するWHOIS 履歴データに基づいて、上記ドメインの登録に利用されたレジストラを、レジストラ管理テーブル522のレジストラのフィールドに設定する。
データ収集部500は、標的型悪性ドメインに関するWHOIS 履歴データに基づいて、上記レジストラが、上記ドメインを登録した登録時点を、レジストラ管理テーブル522の登録のフィールドに設定する。データ収集部500は、標的型悪性ドメインに関するWHOIS 履歴データに基づいて、上記レジストラが、上記ドメインを更新した時点を、レジストラ管理テーブル522の更新のフィールドに設定する。データ収集部500は、標的型悪性ドメインに関するWHOIS 履歴データに基づいて、上記レジストラにおける上記ドメインの登録期限を、レジストラ管理テーブル522の期限のフィールドに設定する。
次に、図8を用いて、情報処理装置100が、基本データ管理テーブル521、および、レジストラ管理テーブル522に基づいて、検知結果管理テーブル541を生成する一例について説明する。
図8は、検知結果管理テーブル541を生成する一例を示す説明図である。検知結果管理テーブル541は、例えば、図3に示した情報処理装置100のメモリ302や記録媒体305などの記憶領域により実現される。
図8に示すように、検知結果管理テーブル541は、特徴と、正規と、広域型と、標的型とのフィールドを有する。検知結果管理テーブル541は、特徴ごとに各フィールドに情報を設定することにより、レジストラ管理データがレコード522-cとして記憶される。cは、任意の整数である。
特徴のフィールドには、診断対象ドメインの挙動が、悪性ドメインの挙動に該当するか否かを判定する基準として利用し得る特徴が設定される。特徴は、例えば、「鮮度」、「ネームサーバ」、「レジストラ」、「不自然な再登録」、「正引き長期遅れ」などである。正規のフィールドには、悪性ドメインを検知するにあたって上記特徴を利用した場合に、正規ドメインの挙動を、誤って悪性ドメインの挙動に該当すると判定する確率として、偽陽性率が設定される。
広域型のフィールドには、悪性ドメインを検知するにあたって上記特徴を利用した場合に、広域型悪性ドメインの挙動を、正しく悪性ドメインの挙動に該当すると判定する確率として、検知率が設定される。標的型のフィールドには、悪性ドメインを検知するにあたって上記特徴を利用した場合に、標的型悪性ドメインの挙動を、正しく悪性ドメインの挙動に該当すると判定する確率として、検知率が設定される。
特徴「鮮度」は、具体的には、ドメインが登録された時点からの経過時間が、第1の閾値よりも短いという観点から、悪性ドメインの挙動を評価する特徴である。正規ドメインが、10年以上の期間で運用される傾向があるため、第1の閾値は、例えば、1年である。経過時間は、例えば、攻撃が行われた時期に依存するため、ドメインが活動中の範囲に基づいて設定された基準日から、登録された時点までの時間が用いられる。
従って、特徴「鮮度」を利用する場合、例えば、ドメインが登録された時点からの経過時間が、第1の閾値よりも短ければ、当該ドメインの挙動が、悪性ドメインの挙動に該当すると判定されることになる。このため、検知率は、例えば、複数の悪性ドメインのうち、登録された時点からの経過時間が、第1の閾値よりも短くなる悪性ドメインの割合となる。偽陽性率は、例えば、複数の正規ドメインのうち、登録された時点からの経過時間が、第1の閾値よりも短くなる正規ドメインの割合となる。
ここで、例えば、検知率の算出に際し参考にされた、ある悪性ドメインが、数年前に利用されていたが、現時点では既に消滅しているといった状況が考えられる。この場合、当該悪性ドメインについては、基準日を現時点ではなく、悪性ドメインが活動中の範囲に含まれるいずれかの時点を、基準日として設定することが好ましい。また、検知率の算出に際し参考にされた、複数の悪性ドメインは、それぞれ活動中であった時期が異なることがあるため、それぞれ設定される基準日も異なっていてもよい。
特徴「ネームサーバ」は、具体的には、ドメインを運用する際に用いられるネームサーバが1回以上切り替えられた場合における、少なくともいずれかのネームサーバが運用された期間が、第2の閾値よりも短いという観点から、悪性ドメインの挙動を評価する特徴である。第2の閾値は、例えば、1年である。特徴「ネームサーバ」は、具体的には、切り替えられた複数のネームサーバのうち、少なくともいずれかのネームサーバが運用された期間が、第2の閾値よりも短いという特徴である。
また、特徴「ネームサーバ」は、具体的には、切替前のネームサーバが運用された期間が、第2の閾値よりも短いという特徴であってもよい。また、特徴「ネームサーバ」は、具体的には、切り替えられた複数のネームサーバのそれぞれのネームサーバが運用された期間に関する統計値が、第2の閾値よりも短いという特徴であってもよい。統計値は、例えば、最大値、最小値、または、平均値などである。また、特徴「ネームサーバ」は、具体的には、切り替えられた複数のネームサーバのそれぞれのネームサーバが運用された期間が、すべて、第2の閾値よりも短いという特徴であってもよい。
従って、特徴「ネームサーバ」を利用する場合、例えば、ドメインを運用する際に用いられるネームサーバが1回以上切り替えられた場合におけるネームサーバが運用された期間が、第2の閾値よりも短ければ、当該ドメインの挙動が、悪性ドメインの挙動に該当すると判定されることになる。また、特徴「ネームサーバ」を利用する場合、例えば、ドメインを運用する際に用いられるネームサーバが、1回も切り替えられていなければ、当該ドメインの挙動が、悪性ドメインの挙動に該当しないと判定されることになってもよい。
このため、検知率は、例えば、複数の悪性ドメインのうち、ドメインを運用する際に用いられるネームサーバが1回以上切り替えられた場合におけるネームサーバが運用された期間が、第2の閾値よりも短くなる悪性ドメインの割合となる。偽陽性率は、例えば、複数の正規ドメインのうち、ドメインを運用する際に用いられるネームサーバが1回以上切り替えられた場合におけるネームサーバが運用された期間が、第2の閾値よりも短くなる正規ドメインの割合となる。
特徴「レジストラ」は、具体的には、ドメインが再登録される前に、当該ドメインを運用する際に用いられたレジストラにおける当該ドメインの残り期限が、第3の閾値よりも長いという観点から、悪性ドメインの挙動を評価する特徴である。第3の閾値は、例えば、1か月である。
従って、特徴「レジストラ」を利用する場合、例えば、レジストラにおけるドメインの残り期限が、第3の閾値よりも長ければ、当該ドメインの挙動が、悪性ドメインの挙動に該当すると判定されることになる。このため、検知率は、例えば、複数の悪性ドメインのうち、レジストラにおけるドメインの残り期限が、第3の閾値よりも長くなる悪性ドメインの割合となる。偽陽性率は、例えば、複数の正規ドメインのうち、レジストラにおけるドメインの残り期限が、第3の閾値よりも長くなる正規ドメインの割合となる。
特徴「不自然な再登録」は、具体的には、ドメインが失効した後、当該ドメインが再登録されるまでの所要時間が、第4の閾値よりも長いという観点から、悪性ドメインの挙動を評価する特徴である。第4の閾値は、例えば、1年である。
従って、特徴「不自然な再登録」を利用する場合、例えば、ドメインが失効した後、当該ドメインが再登録されるまでの所要時間が、第4の閾値よりも長ければ、当該ドメインの挙動が、悪性ドメインの挙動に該当すると判定されることになる。このため、検知率は、例えば、複数の悪性ドメインのうち、ドメインが失効した後、当該ドメインが再登録されるまでの所要時間が、第4の閾値よりも長くなる悪性ドメインの割合となる。偽陽性率は、例えば、複数の正規ドメインのうち、ドメインが失効した後、当該ドメインが再登録されるまでの所要時間が、第4の閾値よりも長くなる正規ドメインの割合となる。
特徴「正引き長期遅れ」は、具体的には、ドメインが登録された後、当該ドメインに関する名前解決の正引きが実施されるまでの所要時間が、第5の閾値よりも長いという観点から、悪性ドメインの挙動を評価する特徴である。第5の閾値は、例えば、1年である。
従って、特徴「正引き長期遅れ」を利用する場合、例えば、ドメインに関する名前解決の正引きが実施されるまでの所要時間が、第5の閾値よりも長ければ、当該ドメインの挙動が、悪性ドメインの挙動に該当すると判定されることになる。このため、検知率は、例えば、複数の悪性ドメインのうち、ドメインに関する名前解決の正引きが実施されるまでの所要時間が、第5の閾値よりも長くなる悪性ドメインの割合となる。偽陽性率は、例えば、複数の正規ドメインのうち、ドメインに関する名前解決の正引きが実施されるまでの所要時間が、第5の閾値よりも長くなる正規ドメインの割合となる。
この際、攻撃者が、フリーのダイナミックDNSを悪用している場合が考えられる。この場合、正規の事業者が登録した比較的古いドメインに対して、悪用されたサブドメインについての正引きが遅れているように認識されてしまう。このため、悪性判定部530は、特徴「正引き長期遅れ」を利用する場合、フリーのダイナミックDNSを処理対象から除外することが好ましい。
図8において、悪性判定部530は、特徴リスト523を参照して、基本データ管理テーブル521と、レジストラ管理テーブル522とに基づいて、それぞれの種類の特徴を、悪性ドメインの検知に利用するとした場合の、偽陽性率を算出する。悪性判定部530は、算出した偽陽性率を、検知結果管理テーブル541の正規のフィールドに設定する。
また、悪性判定部530は、特徴リスト523を参照して、基本データ管理テーブル521と、レジストラ管理テーブル522とに基づいて、それぞれの種類の特徴を、広域型悪性ドメインの検知に利用するとした場合の、検知率を算出する。悪性判定部530は、算出した検知率を、検知結果管理テーブル541の広域型のフィールドに設定する。
また、悪性判定部530は、特徴リスト523を参照して、基本データ管理テーブル521と、レジストラ管理テーブル522とに基づいて、それぞれの種類の特徴を、標的型悪性ドメインの検知に利用するとした場合の、検知率を算出する。悪性判定部530は、算出した検知率を、検知結果管理テーブル541の標的型のフィールドに設定する。
次に、図9を用いて、正規ドメイン、広域型悪性ドメイン、標的型悪性ドメインのそれぞれにおける、特徴「鮮度」の現れ方の一例について説明する。
図9は、特徴「鮮度」の現れ方の一例を示す説明図である。符号901に示すように、ドメインが、正規ドメインであると、比較的長期に渡って運用される傾向があるため、ドメインが登録された時点からの経過時間が、比較的長くなる傾向がある。一方で、符号902に示すように、ドメインが、広域型悪性ドメインであると、比較的短期に運用され、使い捨てられる傾向があるため、ドメインが登録された時点からの経過時間が、比較的短くなる傾向がある。また、符号903に示すように、ドメインが、標的型悪性ドメインであると、正規ドメインの挙動を真似て、比較的長期に渡って運用される傾向があるため、ドメインが登録された時点からの経過時間が、比較的長くなる傾向がある。
このため、特徴「鮮度」は、悪性ドメインの挙動に現れ得る特徴として利用可能と判断される。また、検知結果管理テーブル541に示すように、特徴「鮮度」を利用すると、広域型悪性ドメインの挙動についての検知率が、比較的高くなる。一方で、標的型悪性ドメインは、正規ドメインの挙動を真似ているため、検知結果管理テーブル541に示すように、特徴「鮮度」を利用しても、標的型悪性ドメインの挙動についての検知率は、比較的低くなる。従って、特徴「鮮度」は、広域型悪性ドメインの挙動の検知にあたって、比較的有用であると考えられる。
また、検知結果管理テーブル541に示すように、特徴「鮮度」を利用しても、正規ドメインの偽陽性率は、偽陽性閾値以下である。偽陽性閾値は、例えば、1%である。このため、特徴「鮮度」は、広域型悪性ドメインの挙動の検知にあたって利用したとしても、正規ドメインの挙動を、悪性ドメインの挙動と誤って判定してしまう事態を回避することができると考えられる。これらのことから、タイプ別特徴判定部550は、特徴「鮮度」を、広域型悪性ドメインの挙動の検知に利用する特徴に設定することになる。
これに対し、第1の閾値次第で、特徴「鮮度」を利用した際、正規ドメインの偽陽性率が、偽陽性閾値より大きくなってしまう場合がある。この場合、特徴「鮮度」は、広域型悪性ドメインの挙動の検知にあたって利用すると、正規ドメインの挙動を、悪性ドメインの挙動と誤って判定してしまう事態を招いてしまう。この場合、特徴「鮮度」は、広域型悪性ドメインの挙動と、標的型悪性ドメインの挙動とのうち、いずれのタイプの悪性ドメインの挙動の検知にあたっても利用しないことが好ましいと考えられる。
図9の例では、タイプ別特徴判定部550は、特徴「鮮度」を、広域型悪性ドメインの挙動の検知に利用する特徴に設定することになる。換言すれば、タイプ別特徴判定部550は、特徴「鮮度」を、標的型悪性ドメインの挙動の検知に利用する特徴には設定しないことになる。このため、第1の閾値は、広域型悪性ドメインの挙動の検知に比較的適した閾値であればよい。
従って、情報処理装置100の利用者は、情報処理装置100の動作を把握していれば、標的型悪性ドメインの挙動についての検知率を高めるべく、第1の閾値を比較的小さい値に設定しようと考えなくてもよくなる。結果として、情報処理装置100は、特徴「鮮度」を利用した際の、正規ドメインの偽陽性率が大きくなることを防止し易い、情報処理装置100の利用者にとっての環境を提供することができる。
次に、図10を用いて、正規ドメイン、広域型悪性ドメイン、標的型悪性ドメインのそれぞれにおける、特徴「ネームサーバ」の現れ方の一例について説明する。
図10は、特徴「ネームサーバ」の現れ方の一例を示す説明図である。符号1001に示すように、ドメインが、正規ドメインであると、ドメインを運用する際に用いられるネームサーバを、比較的長期に渡って切り替えない傾向がある。このため、ドメインが、正規ドメインであると、ネームサーバが運用された期間が長くなる傾向がある。
一方で、符号1002に示すように、ドメインが、広域型悪性ドメインであると、ドメインを運用する際に用いられるネームサーバを、頻繁に切り替える傾向がある。このため、ドメインが、広域型悪性ドメインであると、ドメインを運用する際に用いられるネームサーバが1回以上切り替えられることがあり、ドメインを運用する際に、それぞれのネームサーバが運用された期間が、比較的短くなる傾向がある。
また、符号1003に示すように、ドメインが、標的型悪性ドメインであると、正規ドメインの挙動を真似て、ドメインを運用する際に用いられるネームサーバを、比較的長期に渡って切り替えないことがある。このため、ドメインが、標的型悪性ドメインであると、ネームサーバが運用された期間が、正規ドメインと同様に、長くなることがある。
このため、特徴「ネームサーバ」は、悪性ドメインの挙動に現れ得る特徴として利用可能と判断される。また、検知結果管理テーブル541に示すように、特徴「ネームサーバ」を利用すると、広域型悪性ドメインの挙動についての検知率が、比較的高くなる。一方で、標的型悪性ドメインは、正規ドメインの挙動を真似ているため、検知結果管理テーブル541に示すように、特徴「ネームサーバ」を利用しても、標的型悪性ドメインの挙動についての検知率は、比較的低くなる。従って、特徴「ネームサーバ」は、広域型悪性ドメインの挙動の検知にあたって、比較的有用であると考えられる。
また、検知結果管理テーブル541に示すように、特徴「ネームサーバ」を利用しても、正規ドメインの偽陽性率は、偽陽性閾値以下である。偽陽性閾値は、例えば、1%である。このため、特徴「ネームサーバ」は、広域型悪性ドメインの挙動の検知にあたって利用したとしても、正規ドメインの挙動を、悪性ドメインの挙動と誤って判定してしまう事態を回避することができると考えられる。これらのことから、タイプ別特徴判定部550は、特徴「ネームサーバ」を、広域型悪性ドメインの挙動の検知に利用する特徴に設定することになる。
これに対し、第2の閾値次第で、特徴「ネームサーバ」を利用した際、正規ドメインの偽陽性率が、偽陽性閾値より大きくなってしまう場合がある。この場合、特徴「ネームサーバ」は、広域型悪性ドメインの挙動の検知にあたって利用すると、正規ドメインの挙動を、悪性ドメインの挙動と誤って判定してしまう事態を招いてしまう。この場合、特徴「ネームサーバ」は、広域型悪性ドメインの挙動と、標的型悪性ドメインの挙動とのうち、いずれのタイプの悪性ドメインの挙動の検知にあたっても利用しないことが好ましいと考えられる。
図10の例では、タイプ別特徴判定部550は、特徴「ネームサーバ」を、広域型悪性ドメインの挙動の検知に利用する特徴に設定することになる。換言すれば、タイプ別特徴判定部550は、特徴「ネームサーバ」を、標的型悪性ドメインの挙動の検知に利用する特徴には設定しないことになる。このため、第2の閾値は、広域型悪性ドメインの挙動の検知に比較的適した閾値であればよい。
従って、情報処理装置100の利用者は、情報処理装置100の動作を把握していれば、標的型悪性ドメインの挙動についての検知率を高めるべく、第2の閾値を比較的小さい値に設定しようと考えなくてもよくなる。結果として、情報処理装置100は、特徴「ネームサーバ」を利用した際の、正規ドメインの偽陽性率が大きくなることを防止し易い、情報処理装置100の利用者にとっての環境を提供することができる。
次に、図11を用いて、正規ドメイン、広域型悪性ドメイン、標的型悪性ドメインのそれぞれにおける、特徴「レジストラ」の現れ方の一例について説明する。
図11は、特徴「レジストラ」の現れ方の一例を示す説明図である。符号1101に示すように、ドメインが、正規ドメインであると、ドメインを運用する際に用いられるレジストラを、比較的長期に渡って切り替えない傾向があるため、ドメインが再登録されることは発生し辛い。また、ドメインが、正規ドメインであると、ドメインを運用する際に用いられるレジストラを切り替えるとしても、移管により切り替える傾向がある。例えば、移管により、レジストラにおける当該ドメインの残り期限がなくなったタイミングで、ドメインを運用する際に用いられるレジストラを、切り替える傾向がある。
また、符号1102に示すように、ドメインが、広域型悪性ドメインであると、ドメインが、再登録される事態が発生し辛く、正規ドメインと同様に、ドメインを運用する際に用いられるレジストラを、切り替える事態が発生し辛い。一方で、符号1103に示すように、ドメインが、標的型悪性ドメインであると、ドメインが、使い捨てられず、ドメインが再登録されることがある。さらに、ドメインが、標的型悪性ドメインであると、ドメインを運用する際に用いられるレジストラにおける当該ドメインの残り期限がなくなる前に、ドメインを運用する際に用いられるレジストラを、切り替えてしまうことがある。
このため、特徴「レジストラ」は、悪性ドメインの挙動に現れ得る特徴として利用可能と判断される。また、検知結果管理テーブル541に示すように、特徴「レジストラ」を利用すると、標的型悪性ドメインの挙動についての検知率が、比較的高くなる。一方で、広域型悪性ドメインは、ドメインが、再登録される事態が発生し辛いため、検知結果管理テーブル541に示すように、特徴「レジストラ」を利用しても、広域型悪性ドメインの挙動についての検知率は、比較的低くなる。従って、特徴「レジストラ」は、標的型悪性ドメインの挙動の検知にあたって、比較的有用であると考えられる。
また、検知結果管理テーブル541に示すように、特徴「レジストラ」を利用しても、正規ドメインの偽陽性率は、偽陽性閾値以下である。偽陽性閾値は、例えば、1%である。このため、特徴「レジストラ」は、標的型悪性ドメインの挙動の検知にあたって利用したとしても、正規ドメインの挙動を、悪性ドメインの挙動と誤って判定してしまう事態を回避することができると考えられる。これらのことから、タイプ別特徴判定部550は、特徴「レジストラ」を、標的型悪性ドメインの挙動の検知に利用する特徴に設定することになる。
これに対し、第3の閾値次第で、特徴「レジストラ」を利用した際、正規ドメインの偽陽性率が、偽陽性閾値より大きくなってしまう場合がある。この場合、特徴「レジストラ」は、標的型悪性ドメインの挙動の検知にあたって利用すると、正規ドメインの挙動を、悪性ドメインの挙動と誤って判定してしまう事態を招いてしまう。この場合、特徴「レジストラ」は、広域型悪性ドメインの挙動と、標的型悪性ドメインの挙動とのうち、いずれのタイプの悪性ドメインの挙動の検知にあたっても利用しないことが好ましいと考えられる。
次に、図12を用いて、正規ドメイン、広域型悪性ドメイン、標的型悪性ドメインのそれぞれにおける、特徴「不自然な再登録」の現れ方の一例について説明する。
図12は、特徴「不自然な再登録」の現れ方の一例を示す説明図である。符号1201に示すように、ドメインが、正規ドメインであると、ドロップキャッチを防ぐため、ドメインが失効しないよう、注意してドメインを運用する傾向がある。また、ドメインが、正規ドメインであると、誤ってドメインが失効したとしても、比較的早期にドメインが再登録される傾向がある。一方で、符号1202に示すように、ドメインが、広域型悪性ドメインであると、ドメインが、失効する前に早期に活用される傾向があり、正規ドメインと同様に、ドメインが失効した後に、再登録される事態が発生し辛い。
また、符号1203に示すように、ドメインが、標的型悪性ドメインであると、ブランドプロテクションの目的でドメインを維持する意欲が低い場合があるため、ドメインを失効してしまうことがあり、ドメインが失効した後に、比較的長期間経過してから再登録されることがある。具体的には、攻撃者は、ある特定の時期に、いくつかのドメインを、特定のレジストラで再登録する動きを行う際、失効してから1,2年が経過したドメインを再登録するという、不自然な挙動を行うことがある。
このため、特徴「不自然な再登録」は、悪性ドメインの挙動に現れ得る特徴として利用可能と判断される。また、検知結果管理テーブル541に示すように、特徴「不自然な再登録」を利用すると、標的型悪性ドメインの挙動についての検知率が、比較的高くなる。一方で、広域型悪性ドメインは、失効する前に早期に活用される傾向があり、検知結果管理テーブル541に示すように、特徴「不自然な再登録」を利用しても、広域型悪性ドメインの挙動についての検知率は、比較的低くなる。従って、特徴「不自然な再登録」は、標的型悪性ドメインの挙動の検知にあたって、比較的有用であると考えられる。
また、検知結果管理テーブル541に示すように、特徴「不自然な再登録」を利用しても、正規ドメインの偽陽性率は、偽陽性閾値以下である。偽陽性閾値は、例えば、1%である。このため、特徴「不自然な再登録」は、標的型悪性ドメインの挙動の検知にあたって利用したとしても、正規ドメインの挙動を、悪性ドメインの挙動と誤って判定してしまう事態を回避することができると考えられる。これらのことから、タイプ別特徴判定部550は、特徴「不自然な再登録」を、標的型悪性ドメインの挙動の検知に利用する特徴に設定することになる。
これに対し、第4の閾値次第で、特徴「不自然な再登録」を利用した際、正規ドメインの偽陽性率が、偽陽性閾値より大きくなってしまう場合がある。この場合、特徴「不自然な再登録」は、標的型悪性ドメインの挙動の検知にあたって利用すると、正規ドメインの挙動を、悪性ドメインの挙動と誤って判定してしまう事態を招いてしまう。この場合、特徴「不自然な再登録」は、広域型悪性ドメインの挙動と、標的型悪性ドメインの挙動とのうち、いずれのタイプの悪性ドメインの挙動の検知にあたっても利用しないことが好ましいと考えられる。
次に、図13を用いて、正規ドメイン、広域型悪性ドメイン、標的型悪性ドメインのそれぞれにおける、特徴「正引き長期遅れ」の現れ方の一例について説明する。
図13は、特徴「正引き長期遅れ」の現れ方の一例を示す説明図である。符号1301に示すように、ドメインが、正規ドメインであると、ドメインが登録された直後に、当該ドメインに関する名前解決の正引きが実施される傾向がある。直後は、例えば、数分、または、数時間などである。また、符号1302に示すように、ドメインが、広域型悪性ドメインであると、正規ドメインと同様に、ドメインが登録された後、比較的早期に、当該ドメインに関する名前解決の正引きが実施されることがある。
一方で、符号1303に示すように、ドメインが、標的型悪性ドメインであると、ドメインが登録された後、比較的長時間が経過してから、当該ドメインに関する名前解決の正引きが実施されることがある。具体的には、攻撃者は、スパム、または、Fast-Fluxなどの攻撃を行う場合、特定の日にまとめてドメインを登録した後、数日、または、数か月経過してから、ドメインを利用開始することがある。また、具体的には、攻撃者は、ドメインを確保しておき、数年経過してから、ドメインを運用開始することがある。
このため、特徴「正引き長期遅れ」は、悪性ドメインの挙動に現れ得る特徴として利用可能と判断される。また、検知結果管理テーブル541に示すように、特徴「正引き長期遅れ」を利用すると、標的型悪性ドメインの挙動についての検知率が、比較的高くなる。一方で、広域型悪性ドメインは、比較的早期に名前解決の正引きが実施される傾向があり、検知結果管理テーブル541に示すように、特徴「正引き長期遅れ」を利用しても、広域型悪性ドメインの挙動についての検知率は、比較的低くなる。従って、特徴「正引き長期遅れ」は、標的型悪性ドメインの挙動の検知にあたって、比較的有用であると考えられる。
また、検知結果管理テーブル541に示すように、特徴「正引き長期遅れ」を利用しても、正規ドメインの偽陽性率は、偽陽性閾値以下である。偽陽性閾値は、例えば、1%である。このため、特徴「正引き長期遅れ」は、標的型悪性ドメインの挙動の検知にあたって利用したとしても、正規ドメインの挙動を、悪性ドメインの挙動と誤って判定してしまう事態を回避することができると考えられる。これらのことから、タイプ別特徴判定部550は、特徴「正引き長期遅れ」を、標的型悪性ドメインの挙動の検知に利用する特徴に設定することになる。
これに対し、第5の閾値次第で、特徴「正引き長期遅れ」を利用した際、正規ドメインの偽陽性率が、偽陽性閾値より大きくなってしまう場合がある。この場合、特徴「正引き長期遅れ」は、標的型悪性ドメインの挙動の検知にあたって利用すると、正規ドメインの挙動を、悪性ドメインの挙動と誤って判定してしまう事態を招いてしまう。この場合、特徴「正引き長期遅れ」は、広域型悪性ドメインの挙動と、標的型悪性ドメインの挙動とのうち、いずれのタイプの悪性ドメインの挙動の検知にあたっても利用しないことが好ましいと考えられる。
次に、図14を用いて、タイプ別特徴管理テーブル561を生成する一例について説明する。
図14は、タイプ別特徴管理テーブル561を生成する一例を示す説明図である。図14において、タイプ別特徴管理テーブル561は、例えば、図3に示した情報処理装置100のメモリ302や記録媒体305などの記憶領域により実現される。
図6に示すように、タイプ別特徴管理テーブル561は、特徴と、攻撃タイプと、スコアと、比率とのフィールドを有する。タイプ別特徴管理テーブル561は、特徴ごとに各フィールドに情報を設定することにより、タイプ別特徴管理データがレコード561-cとして記憶される。cは、任意の整数である。
特徴のフィールドには、悪性ドメインの挙動の検知に利用される特徴が設定される。攻撃タイプのフィールドには、上記特徴を、いずれの攻撃タイプの悪性ドメインの挙動の検知に利用するのかを特定可能に、上記攻撃タイプが設定される。スコアのフィールドには、上記特徴を、上記攻撃タイプの悪性ドメインの挙動の検知に利用する好ましさを示すスコアとして、検知率が設定される。比率のフィールドには、上記特徴を、上記攻撃タイプの悪性ドメインの挙動の検知に利用する場合の検知率の、他の攻撃タイプの悪性ドメインの挙動の検知に利用する場合の検知率に対する比率が設定される。
タイプ別特徴判定部550は、特徴「鮮度」を、広域型悪性ドメインの挙動の検知に利用する特徴に設定するため、特徴「鮮度」に対応付けて、タイプ別特徴管理テーブル561の攻撃タイプのフィールドに、「広域型」を設定する。また、タイプ別特徴判定部550は、特徴「鮮度」を、広域型悪性ドメインの挙動の検知に利用する場合の検知率を、特徴「鮮度」に対応付けて、タイプ別特徴管理テーブル561のスコアのフィールドに設定する。
また、タイプ別特徴判定部550は、特徴「鮮度」を、広域型悪性ドメインの挙動の検知に利用する場合の検知率の、標的型悪性ドメインの挙動の検知に利用する場合の検知率に対する割合を算出する。タイプ別特徴判定部550は、算出した割合を、特徴「鮮度」に対応付けて、タイプ別特徴管理テーブル561の比率のフィールドに設定する。
タイプ別特徴判定部550は、特徴「ネームサーバ」を、広域型悪性ドメインの挙動の検知に利用する特徴に設定するため、特徴「ネームサーバ」に対応付けて、タイプ別特徴管理テーブル561の攻撃タイプのフィールドに、「広域型」を設定する。また、タイプ別特徴判定部550は、特徴「ネームサーバ」を、広域型悪性ドメインの挙動の検知に利用する場合の検知率を、特徴「ネームサーバ」に対応付けて、タイプ別特徴管理テーブル561のスコアのフィールドに設定する。
また、タイプ別特徴判定部550は、特徴「ネームサーバ」を、広域型悪性ドメインの挙動の検知に利用する場合の検知率の、標的型悪性ドメインの挙動の検知に利用する場合の検知率に対する割合を算出する。タイプ別特徴判定部550は、算出した割合を、特徴「ネームサーバ」に対応付けて、タイプ別特徴管理テーブル561の比率のフィールドに設定する。
タイプ別特徴判定部550は、特徴「レジストラ」を、標的型悪性ドメインの挙動の検知に利用する特徴に設定するため、特徴「レジストラ」に対応付けて、タイプ別特徴管理テーブル561の攻撃タイプのフィールドに、「標的型」を設定する。また、タイプ別特徴判定部550は、特徴「レジストラ」を、標的型悪性ドメインの挙動の検知に利用する場合の検知率を、特徴「レジストラ」に対応付けて、タイプ別特徴管理テーブル561のスコアのフィールドに設定する。
また、タイプ別特徴判定部550は、特徴「レジストラ」を、標的型悪性ドメインの挙動の検知に利用する場合の検知率の、広域型悪性ドメインの挙動の検知に利用する場合の検知率に対する割合を算出する。タイプ別特徴判定部550は、算出した割合を、特徴「レジストラ」に対応付けて、タイプ別特徴管理テーブル561の比率のフィールドに設定する。
タイプ別特徴判定部550は、特徴「不自然な再登録」を、標的型悪性ドメインの挙動の検知に利用する特徴に設定するため、特徴「不自然な再登録」に対応付けて、タイプ別特徴管理テーブル561の攻撃タイプのフィールドに、「標的型」を設定する。また、タイプ別特徴判定部550は、特徴「不自然な再登録」を、標的型悪性ドメインの挙動の検知に利用する場合の検知率を、特徴「不自然な再登録」に対応付けて、タイプ別特徴管理テーブル561のスコアのフィールドに設定する。
また、タイプ別特徴判定部550は、特徴「不自然な再登録」を、標的型悪性ドメインの挙動の検知に利用する場合の検知率の、広域型悪性ドメインの挙動の検知に利用する場合の検知率に対する割合を算出する。タイプ別特徴判定部550は、算出した割合を、特徴「不自然な再登録」に対応付けて、タイプ別特徴管理テーブル561の比率のフィールドに設定する。
タイプ別特徴判定部550は、特徴「正引き長期遅れ」を、標的型悪性ドメインの挙動の検知に利用する特徴に設定するため、特徴「正引き長期遅れ」に対応付けて、タイプ別特徴管理テーブル561の攻撃タイプのフィールドに、「標的型」を設定する。また、タイプ別特徴判定部550は、特徴「正引き長期遅れ」を、標的型悪性ドメインの挙動の検知に利用する場合の検知率を、特徴「正引き長期遅れ」に対応付けて、タイプ別特徴管理テーブル561のスコアのフィールドに設定する。
また、タイプ別特徴判定部550は、特徴「正引き長期遅れ」を、標的型悪性ドメインの挙動の検知に利用する場合の検知率の、広域型悪性ドメインの挙動の検知に利用する場合の検知率に対する割合を算出する。タイプ別特徴判定部550は、算出した割合を、特徴「正引き長期遅れ」に対応付けて、タイプ別特徴管理テーブル561の比率のフィールドに設定する。
次に、図15および図16を用いて、診断対象ドメインの挙動が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定する一例について説明する。
図15および図16は、診断対象ドメインの挙動が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定する一例を示す説明図である。図15において、未識別ドメイン診断部570は、タイプ別特徴管理テーブル561を取得する。
未識別ドメイン診断部570は、診断対象ドメインリスト562に基づいて、Passive DNSデータのDB514から、第1の診断対象ドメインに関するPassive DNSデータを収集する。また、未識別ドメイン診断部570は、診断対象ドメインリスト562に基づいて、WHOIS 履歴データのDB515から、第1の診断対象ドメインに関するWHOIS 履歴データを収集する。
未識別ドメイン診断部570は、タイプ別特徴管理テーブル561に基づいて、第1の診断対象ドメインの挙動が、それぞれの種類の特徴に対応付けられた、いずれかのタイプの攻撃に用いられる悪性ドメインの挙動に該当するか否かを診断する。
未識別ドメイン診断部570は、例えば、Passive DNSデータと、WHOIS 履歴データとに基づいて、特徴「鮮度」を利用して、第1の診断対象ドメインの挙動が、広域型悪性ドメインの挙動に該当するか否かを診断する。また、未識別ドメイン診断部570は、例えば、Passive DNSデータと、WHOIS 履歴データとに基づいて、特徴「ネームサーバ」を利用して、第1の診断対象ドメインの挙動が、広域型悪性ドメインの挙動に該当するか否かを診断する。
また、未識別ドメイン診断部570は、例えば、Passive DNSデータと、WHOIS 履歴データとに基づいて、特徴「レジストラ」を利用して、第1の診断対象ドメインの挙動が、標的型悪性ドメインの挙動に該当するか否かを診断する。また、未識別ドメイン診断部570は、例えば、Passive DNSデータと、WHOIS 履歴データとに基づいて、特徴「不自然な再登録」を利用して、第1の診断対象ドメインの挙動が、標的型悪性ドメインの挙動に該当するか否かを診断する。また、未識別ドメイン診断部570は、例えば、Passive DNSデータと、WHOIS 履歴データとに基づいて、特徴「正引き長期遅れ」を利用して、第1の診断対象ドメインの挙動が、標的型悪性ドメインの挙動に該当するか否かを診断する。
図15の例では、未識別ドメイン診断部570は、例えば、特徴「鮮度」を利用して、第1の診断対象ドメインの挙動が、広域型悪性ドメインの挙動に該当すると判定したとする。また、図15の例では、未識別ドメイン診断部570は、例えば、特徴「ネームサーバ」を利用して、第1の診断対象ドメインの挙動が、広域型悪性ドメインの挙動に該当すると判定したとする。
図15において、未識別ドメイン診断部570は、タイプ別特徴管理テーブル561における、広域型悪性ドメインの挙動に該当すると判定した根拠となる特徴「鮮度」に対応する第1のレコードを取得する。第1のレコードは、特徴「鮮度」と、攻撃タイプ「広域型」と、スコア「95%」と、比率「3.8」とを含む。
また、未識別ドメイン診断部570は、タイプ別特徴管理テーブル561における、広域型悪性ドメインの挙動に該当すると判定した根拠となる特徴「ネームサーバ」に対応する第2のレコードを取得する。第2のレコードは、特徴「ネームサーバ」と、攻撃タイプ「広域型」と、スコア「60%」と、比率「3.0」とを含む。
未識別ドメイン診断部570は、取得した第1のレコードと、取得した第2のレコードとを含む表1500を作成する。未識別ドメイン診断部570は、作成した表1500を、セキュリティ担当者が利用するクライアント装置201に送信し、クライアント装置201において表示させる。
これにより、未識別ドメイン診断部570は、表1500の攻撃タイプを、セキュリティ担当者が参照可能にすることができる。このため、未識別ドメイン診断部570は、対象ドメインの挙動が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを、セキュリティ担当者が容易に把握可能にすることができる。
また、未識別ドメイン診断部570は、表1500の特徴を、セキュリティ担当者が参照可能にすることができる。このため、未識別ドメイン診断部570は、対象ドメインの挙動が、悪性ドメインの挙動に該当すると判定した根拠となり得る特徴を、セキュリティ担当者が容易に把握可能にすることができる。
また、未識別ドメイン診断部570は、表1500のスコアと、比率とを、セキュリティ担当者が参照可能にすることができる。このため、未識別ドメイン診断部570は、対象ドメインの挙動が、悪性ドメインの挙動に該当すると判定した根拠となり得る特徴が、どの程度重要な観点であるのかを、セキュリティ担当者が容易に把握可能にすることができる。このように、未識別ドメイン診断部570は、解析による学習結果を、セキュリティ担当者が把握可能にすることができる。
このため、未識別ドメイン診断部570は、セキュリティ担当者が、攻撃に対策し易くすることができ、または、攻撃について責任者に説明し易くすることができる。そして、未識別ドメイン診断部570は、セキュリティ担当者にかかる作業負担および作業時間の低減化を図ることができる。次に、図16の説明に移行する。
図16において、未識別ドメイン診断部570は、タイプ別特徴管理テーブル561を取得する。未識別ドメイン診断部570は、診断対象ドメインリスト562に基づいて、Passive DNSデータのDB514から、第2の診断対象ドメインに関するPassive DNSデータを収集する。また、未識別ドメイン診断部570は、診断対象ドメインリスト562に基づいて、WHOIS 履歴データのDB515から、第2の診断対象ドメインに関するWHOIS 履歴データを収集する。
未識別ドメイン診断部570は、タイプ別特徴管理テーブル561に基づいて、第2の診断対象ドメインの挙動が、それぞれの種類の特徴に対応付けられた、いずれかのタイプの攻撃に用いられる悪性ドメインの挙動に該当するか否かを診断する。
未識別ドメイン診断部570は、例えば、Passive DNSデータと、WHOIS 履歴データとに基づいて、特徴「鮮度」を利用して、第2の診断対象ドメインの挙動が、広域型悪性ドメインの挙動に該当するか否かを診断する。また、未識別ドメイン診断部570は、例えば、Passive DNSデータと、WHOIS 履歴データとに基づいて、特徴「ネームサーバ」を利用して、第2の診断対象ドメインの挙動が、広域型悪性ドメインの挙動に該当するか否かを診断する。
また、未識別ドメイン診断部570は、例えば、Passive DNSデータと、WHOIS 履歴データとに基づいて、特徴「レジストラ」を利用して、第2の診断対象ドメインの挙動が、標的型悪性ドメインの挙動に該当するか否かを診断する。また、未識別ドメイン診断部570は、例えば、Passive DNSデータと、WHOIS 履歴データとに基づいて、特徴「不自然な再登録」を利用して、第2の診断対象ドメインの挙動が、標的型悪性ドメインの挙動に該当するか否かを診断する。また、未識別ドメイン診断部570は、例えば、Passive DNSデータと、WHOIS 履歴データとに基づいて、特徴「正引き長期遅れ」を利用して、第2の診断対象ドメインの挙動が、標的型悪性ドメインの挙動に該当するか否かを診断する。
図16の例では、未識別ドメイン診断部570は、例えば、特徴「レジストラ」を利用して、第2の診断対象ドメインの挙動が、標的型悪性ドメインの挙動に該当すると判定したとする。また、図16の例では、未識別ドメイン診断部570は、例えば、特徴「不自然な再登録」を利用して、第2の診断対象ドメインの挙動が、標的型悪性ドメインの挙動に該当すると判定したとする。
図16において、未識別ドメイン診断部570は、タイプ別特徴管理テーブル561における、標的型悪性ドメインの挙動に該当すると判定した根拠となる特徴「レジストラ」に対応する第1のレコードを取得する。第1のレコードは、特徴「レジストラ」と、攻撃タイプ「標的型」と、スコア「40%」と、比率「4.0」とを含む。
また、未識別ドメイン診断部570は、タイプ別特徴管理テーブル561における、標的型悪性ドメインの挙動に該当すると判定した根拠となる特徴「不自然な再登録」に対応する第2のレコードを取得する。第2のレコードは、特徴「不自然な再登録」と、攻撃タイプ「標的型」と、スコア「20%」と、比率「8.0」とを含む。
未識別ドメイン診断部570は、取得した第1のレコードと、取得した第2のレコードとを含む表1600を作成する。未識別ドメイン診断部570は、作成した表1600を、セキュリティ担当者が利用するクライアント装置201に送信し、クライアント装置201において表示させる。
これにより、未識別ドメイン診断部570は、表1600の攻撃タイプを、セキュリティ担当者が参照可能にすることができる。このため、未識別ドメイン診断部570は、対象ドメインの挙動が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを、セキュリティ担当者が容易に把握可能にすることができる。
また、未識別ドメイン診断部570は、表1600の特徴を、セキュリティ担当者が参照可能にすることができる。このため、未識別ドメイン診断部570は、対象ドメインの挙動が、悪性ドメインの挙動に該当すると判定した根拠となり得る特徴を、セキュリティ担当者が容易に把握可能にすることができる。
また、未識別ドメイン診断部570は、表1600のスコアと、比率とを、セキュリティ担当者が参照可能にすることができる。このため、未識別ドメイン診断部570は、対象ドメインの挙動が、悪性ドメインの挙動に該当すると判定した根拠となり得る特徴が、どの程度重要な観点であるのかを、セキュリティ担当者が容易に把握可能にすることができる。このように、未識別ドメイン診断部570は、解析による学習結果を、セキュリティ担当者が把握可能にすることができる。
このため、未識別ドメイン診断部570は、セキュリティ担当者が、攻撃に対策し易くすることができ、または、攻撃について責任者に説明し易くすることができる。そして、未識別ドメイン診断部570は、セキュリティ担当者にかかる作業負担および作業時間の低減化を図ることができる。また、セキュリティ担当者は、標的型悪性ドメインを用いた標的型攻撃を受けていることを把握し、優先的に対策することができる。
ここで、図15および図16の例では、診断対象ドメインの挙動が、広域型悪性ドメインの挙動と、標的型悪性ドメインの挙動とのいずれか一方にのみ該当すると判定された場合について説明したが、これに限らない。例えば、診断対象ドメインの挙動が、広域型悪性ドメインの挙動と、標的型悪性ドメインの挙動との両方について該当すると判定される場合があってもよい。
この場合、未識別ドメイン診断部570は、比率が最も大きい特徴を利用した判定結果を優先して扱うことが考えられる。比率が大きければ、攻撃のタイプを区別する効果が高いと考えられる。未識別ドメイン診断部570は、例えば、広域型悪性ドメインの挙動に該当すると判定した根拠となる特徴と、標的型悪性ドメインの挙動に該当すると判定した根拠となる特徴とのうち、比率が最も大きい特徴を選択する。そして、未識別ドメイン診断部570は、例えば、診断対象ドメインの挙動が、選択した特徴に対応する広域型悪性ドメインの挙動、または、標的型悪性ドメインの挙動に該当すると扱う。
このように、情報処理装置100は、タイプ別に、悪性ドメインの挙動の検知に際し、適切と判断した特徴を選択的に利用して、タイプ別に、診断対象ドメインの挙動が、悪性ドメインの挙動に該当するか否かを判定することができる。このため、情報処理装置100は、タイプ別に、対象ドメインの挙動が、悪性ドメインの挙動に該当するか否かを、精度よく判定することができる。
また、情報処理装置100は、解析により、タイプ別に、悪性ドメインの挙動の検知に際し、いずれの特徴を利用することが適切であるかを判断することができる。このため、情報処理装置100は、利用可能な特徴が増加した場合にも比較的容易に適用可能である。情報処理装置100は、例えば、利用可能な特徴が新たに発見された場合にも比較的容易に適用可能であり、当該特徴を適切に利用することができる。同様に、情報処理装置100は、特徴に対する新たな基準または新たな条件などが設けられた場合にも比較的容易に適用可能である。
(収集処理手順)
次に、図17を用いて、情報処理装置100が実行する、収集処理手順の一例について説明する。収集処理は、例えば、情報処理装置100のデータ収集部500によって実行される。収集処理は、例えば、図3に示したCPU301と、メモリ302や記録媒体305などの記憶領域と、ネットワークI/F303とによって実現される。
図17は、収集処理手順の一例を示すフローチャートである。図17において、情報処理装置100は、正規ドメイン、広域型悪性ドメイン、標的型悪性ドメインのそれぞれについて、Passive DNSデータを収集し、基本データ管理テーブル521に格納する(ステップS1701)。
次に、情報処理装置100は、正規ドメイン、広域型悪性ドメイン、標的型悪性ドメインのそれぞれについて、WHOIS履歴データを収集し、基本データ管理テーブル521に格納する(ステップS1702)。
そして、情報処理装置100は、正規ドメイン、広域型悪性ドメイン、標的型悪性ドメインのそれぞれについて、レジストラ管理データを収集し、レジストラ管理テーブル522に格納する(ステップS1703)。その後、情報処理装置100は、収集処理を終了する。
(試験処理手順)
次に、図18を用いて、情報処理装置100が実行する、試験処理手順の一例について説明する。試験処理は、例えば、情報処理装置100の悪性判定部530によって実行される。試験処理は、例えば、図3に示したCPU301と、メモリ302や記録媒体305などの記憶領域と、ネットワークI/F303とによって実現される。
図18は、試験処理手順の一例を示すフローチャートである。図18において、情報処理装置100は、正規ドメイン、広域型悪性ドメイン、標的型悪性ドメインのそれぞれについて、基本データ管理テーブル521に基づいて、鮮度の観点で悪性判定を実施する(ステップS1801)。この際、情報処理装置100は、悪性判定を実施した結果に基づいて、検知率および偽陽性率を算出し、検知結果管理テーブル541に格納する。
次に、情報処理装置100は、正規ドメイン、広域型悪性ドメイン、標的型悪性ドメインのそれぞれについて、基本データ管理テーブル521に基づいて、ネームサーバの観点で悪性判定を実施する(ステップS1802)。この際、情報処理装置100は、悪性判定を実施した結果に基づいて、検知率および偽陽性率を算出し、検知結果管理テーブル541に格納する。
そして、情報処理装置100は、正規ドメイン、広域型悪性ドメイン、標的型悪性ドメインのそれぞれについて、基本データ管理テーブル521に基づいて、レジストラの観点で悪性判定を実施する(ステップS1803)。この際、情報処理装置100は、悪性判定を実施した結果に基づいて、検知率および偽陽性率を算出し、検知結果管理テーブル541に格納する。
次に、情報処理装置100は、正規ドメイン、広域型悪性ドメイン、標的型悪性ドメインのそれぞれについて、レジストラ管理テーブル522に基づいて、不自然な再登録の観点で悪性判定を実施する(ステップS1804)。この際、情報処理装置100は、悪性判定を実施した結果に基づいて、検知率および偽陽性率を算出し、検知結果管理テーブル541に格納する。
そして、情報処理装置100は、正規ドメイン、広域型悪性ドメイン、標的型悪性ドメインのそれぞれについて、基本データ管理テーブル521に基づいて、正引き長期遅れの観点で悪性判定を実施する(ステップS1805)。その後、情報処理装置100は、試験処理を終了する。この際、情報処理装置100は、悪性判定を実施した結果に基づいて、検知率および偽陽性率を算出し、検知結果管理テーブル541に格納する。
(比較処理手順)
次に、図19を用いて、情報処理装置100が実行する、比較処理手順の一例について説明する。比較処理は、例えば、情報処理装置100のタイプ別特徴判定部550によって実行される。比較処理は、例えば、図3に示したCPU301と、メモリ302や記録媒体305などの記憶領域と、ネットワークI/F303とによって実現される。
図19は、比較処理手順の一例を示すフローチャートである。図19において、情報処理装置100は、特徴リストに登録された複数の種類の特徴のうち、まだ選択していない特徴があるか否かを判定する(ステップS1901)。
ここで、既にすべての種類の特徴を選択済みである場合(ステップS1901:No)、情報処理装置100は、比較処理を終了する。一方で、まだ選択していない特徴がある場合(ステップS1901:Yes)、情報処理装置100は、ステップS1902の処理に移行する。
ステップS1902では、情報処理装置100は、特徴リストに登録された複数の種類の特徴のうち、まだ選択していない特徴を1つ選択する(ステップS1902)。そして、情報処理装置100は、正規ドメインの偽陽性率が、設定された偽陽性閾値以下であるか否かを判定する(ステップS1903)。
ここで、偽陽性閾値より大きい場合(ステップS1903:No)、情報処理装置100は、ステップS1901の処理に戻る。一方で、偽陽性閾値以下である場合(ステップS1903:Yes)、情報処理装置100は、ステップS1904の処理に移行する。
ステップS1904では、情報処理装置100は、広域型悪性ドメインと、標的型悪性ドメインとの検知率を比較する。情報処理装置100は、比較した結果に基づいて、選択した特徴に、検知率が相対的に大きくなる、悪性ドメインのいずれかの攻撃タイプを対応付けて、タイプ別特徴管理テーブル561に格納する(ステップS1904)。そして、情報処理装置100は、ステップS1901の処理に戻る。
(診断処理手順)
次に、図20を用いて、情報処理装置100が実行する、診断処理手順の一例について説明する。診断処理は、例えば、情報処理装置100の未識別ドメイン診断部570によって実行される。診断処理は、例えば、図3に示したCPU301と、メモリ302や記録媒体305などの記憶領域と、ネットワークI/F303とによって実現される。
図20は、診断処理手順の一例を示すフローチャートである。図20において、情報処理装置100は、診断対象ドメインリストに登録された診断対象ドメインのそれぞれの診断対象ドメインについて、Passive DNSデータ、および、WHOIS履歴データを収集する(ステップS2001)。
次に、情報処理装置100は、特徴リストに登録された複数の種類のそれぞれの種類の特徴に基づいて、診断対象ドメインリストに登録された診断対象ドメインのそれぞれについて、悪性判定を実施する(ステップS2002)。
そして、情報処理装置100は、タイプ別特徴管理テーブル561に基づいて、悪性ドメインと判定された診断対象ドメインのそれぞれの診断対象ドメインと、攻撃タイプと、検知率とを出力する(ステップS2003)。その後、情報処理装置100は、診断処理を終了する。
ここで、情報処理装置100は、図17~図20の各フローチャートにおける一部ステップの処理の順序を入れ替えて実行してもよい。例えば、ステップS1701~S1703の処理の順序は入れ替え可能である。また、情報処理装置100は、図17~図20の各フローチャートにおける一部ステップの処理を省略してもよい。例えば、ステップS1801~S1805のいずれかの処理は省略可能である。
以上説明したように、情報処理装置100によれば、複数のタイプのそれぞれのタイプの攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを取得することができる。情報処理装置100によれば、悪性挙動データに基づいて、複数の種類のそれぞれの種類の特徴を、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたり利用するとした場合の、悪性ドメインの挙動を検知する確率を算出することができる。情報処理装置100によれば、算出した検知する確率に基づいて、それぞれの種類の特徴の、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析することができる。情報処理装置100によれば、解析した結果に基づいて、対象ドメインの挙動が、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定することができる。これにより、情報処理装置100は、対象ドメインの挙動が、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのか特定可能にすることができる。
情報処理装置100によれば、正規ドメインの挙動を示す正規挙動データを取得することができる。情報処理装置100によれば、取得した正規挙動データに基づいて、それぞれの種類の特徴を、悪性ドメインの挙動を検知するにあたり利用するとした場合の、正規ドメインの挙動を、悪性ドメインの挙動と誤検知する確率を算出することができる。情報処理装置100によれば、算出した検知する確率、および、算出した誤検知する確率に基づいて、それぞれの種類の特徴の、それぞれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析することができる。これにより、情報処理装置100は、対象ドメインの挙動が、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを、より精度よく特定可能にすることができる。
情報処理装置100によれば、複数の種類の一つに、ドメインが登録された時点からの経過時間が、第1の閾値よりも短いという第1の特徴を採用することができる。これにより、情報処理装置100は、広域型攻撃に用いられる悪性ドメインの挙動を検知し易い特徴を利用可能にすることができ、広域型攻撃に用いられる悪性ドメインの挙動を検知し易くすることができる。
情報処理装置100によれば、複数の種類の一つに、ドメインを運用する際に用いられるネームサーバが1回以上切り替えられた場合における当該ネームサーバが運用された期間が、第2の閾値よりも短いという特徴を採用することができる。これにより、情報処理装置100は、広域型攻撃に用いられる悪性ドメインの挙動を検知し易い特徴を利用可能にすることができ、広域型攻撃に用いられる悪性ドメインの挙動を検知し易くすることができる。
情報処理装置100によれば、複数の種類の一つに、ドメインが再登録される前に、当該ドメインを運用する際に用いられたレジストラにおける当該ドメインの残り期限が、第3の閾値よりも長いという特徴を採用することができる。これにより、情報処理装置100は、標的型攻撃に用いられる悪性ドメインの挙動を検知し易い特徴を利用可能にすることができ、標的型攻撃に用いられる悪性ドメインの挙動を検知し易くすることができる。
情報処理装置100によれば、複数の種類の一つに、ドメインが失効した後、当該ドメインが再登録されるまでの所要時間が、第4の閾値よりも長いという特徴を採用することができる。これにより、情報処理装置100は、標的型攻撃に用いられる悪性ドメインの挙動を検知し易い特徴を利用可能にすることができ、標的型攻撃に用いられる悪性ドメインの挙動を検知し易くすることができる。
情報処理装置100によれば、複数の種類の一つに、ドメインが登録された後、当該ドメインに関する名前解決の正引きが実施されるまでの所要時間が、第5の閾値よりも長いという特徴を採用することができる。これにより、情報処理装置100は、標的型攻撃に用いられる悪性ドメインの挙動を検知し易い特徴を利用可能にすることができ、標的型攻撃に用いられる悪性ドメインの挙動を検知し易くすることができる。
情報処理装置100によれば、判定した結果を、対象ドメインに対応付けて出力することができる。これにより、情報処理装置100は、対象ドメインの挙動が、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを容易に把握可能にすることができる。
情報処理装置100によれば、それぞれの種類の特徴のうち、判定した結果に対応する特徴を、対象ドメインに対応付けて出力することができる。これにより、情報処理装置100は、対象ドメインの挙動が、悪性ドメインの挙動に該当すると判定した根拠となり得る特徴を、容易に把握可能にすることができる。
情報処理装置100によれば、それぞれの種類の特徴のうち、判定した結果に対応する特徴を、悪性ドメインの挙動を検知するにあたり利用するとした場合の、悪性ドメインの挙動を検知する確率を、対象ドメインに対応付けて出力することができる。これにより、情報処理装置100は、対象ドメインの挙動が、悪性ドメインの挙動に該当すると判定した根拠となり得る特徴が、どの程度重要な観点であるのかを、セキュリティ担当者が容易に把握可能にすることができる。
情報処理装置100によれば、算出した検知する確率に基づいて、それぞれの種類の特徴が、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたって最も有用であるのかを解析することができる。これにより、情報処理装置100は、それぞれの種類の特徴を、いずれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたって利用することが、最も適切であるのかを特定することができる。このため、情報処理装置100は、対象ドメインの挙動が、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを、より精度よく特定可能にすることができる。
情報処理装置100によれば、それぞれの種類の特徴について、誤検知する確率が、所定の確率以上であれば、当該特徴は、いずれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたっても有用ではないと解析することができる。これにより、情報処理装置100は、誤検知を誘発し得る特徴を利用せずに済ませることができる。このため、情報処理装置100は、対象ドメインの挙動が、複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを、より精度よく特定可能にすることができる。
なお、本実施の形態で説明した情報処理方法は、予め用意されたプログラムをPCやワークステーションなどのコンピュータで実行することにより実現することができる。本実施の形態で説明した情報処理プログラムは、コンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。記録媒体は、ハードディスク、フレキシブルディスク、CD(Compact Disc)-ROM、MO(Magneto Optical disc)、DVD(Digital Versatile Disc)などである。また、本実施の形態で説明した情報処理プログラムは、インターネットなどのネットワークを介して配布してもよい。
上述した実施の形態に関し、さらに以下の付記を開示する。
(付記1)複数のタイプそれぞれの攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを取得し、
取得した前記悪性挙動データに基づいて、悪性ドメインの挙動に現れる複数の種類それぞれの特徴を、前記それぞれの攻撃に用いられる悪性ドメインの挙動を検知するにあたり利用する場合の、悪性ドメインの挙動を検知する確率を算出し、
算出した前記確率に基づいて、前記それぞれの特徴の、前記それぞれの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析し、
解析した結果に基づいて、対象ドメインの挙動が、前記複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定する、
処理をコンピュータに実行させることを特徴とする情報処理プログラム。
(付記2)正規ドメインの挙動を示す正規挙動データを取得し、
取得した前記正規挙動データに基づいて、前記それぞれの特徴を、悪性ドメインの挙動を検知するにあたり利用する場合の、正規ドメインの挙動を、悪性ドメインの挙動と誤検知する確率を算出する、処理を前記コンピュータに実行させ、
前記解析する処理は、
算出した前記検知する確率、および、算出した前記誤検知する確率に基づいて、前記それぞれの特徴の、前記それぞれの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析する、ことを特徴とする付記1に記載の情報処理プログラム。
(付記3)前記複数の種類は、ドメインが登録された時点からの経過時間が、第1の閾値よりも短いという特徴を含む、ことを特徴とする付記1または2に記載の情報処理プログラム。
(付記4)前記複数の種類は、ドメインを運用する際に用いられるネームサーバが1回以上切り替えられた場合における当該ネームサーバが運用された期間が、第2の閾値よりも短いという特徴を含む、ことを特徴とする付記1~3のいずれか一つに記載の情報処理プログラム。
(付記5)前記複数の種類は、ドメインが再登録される前に、当該ドメインを運用する際に用いられたレジストラにおける当該ドメインの残り期限が、第3の閾値よりも長いという特徴を含む、ことを特徴とする付記1~4のいずれか一つに記載の情報処理プログラム。
(付記6)前記複数の種類は、ドメインが失効した後、当該ドメインが再登録されるまでの所要時間が、第4の閾値よりも長いという特徴を含む、ことを特徴とする付記1~5のいずれか一つに記載の情報処理プログラム。
(付記7)前記複数の種類は、ドメインが登録された後、当該ドメインに関する名前解決の正引きが実施されるまでの所要時間が、第5の閾値よりも長いという特徴を含む、ことを特徴とする付記1~6のいずれか一つに記載の情報処理プログラム。
(付記8)判定した結果を、前記対象ドメインに対応付けて出力する、
処理を前記コンピュータに実行させることを特徴とする付記1~7のいずれか一つに記載の情報処理プログラム。
(付記9)前記それぞれの特徴のうち、判定した結果に対応する特徴を、前記対象ドメインに対応付けて出力する、
処理を前記コンピュータに実行させることを特徴とする付記1~8のいずれか一つに記載の情報処理プログラム。
(付記10)前記それぞれの特徴のうち、判定した結果に対応する特徴を、悪性ドメインの挙動を検知するにあたり利用する場合の、悪性ドメインの挙動を検知する確率を、前記対象ドメインに対応付けて出力する、
処理を前記コンピュータに実行させることを特徴とする付記1~9のいずれか一つに記載の情報処理プログラム。
(付記11)前記解析する処理は、
算出した前記検知する確率に基づいて、前記それぞれの特徴が、前記複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたって最も有用であるのかを解析する、ことを特徴とする付記1~10のいずれか一つに記載の情報処理プログラム。
(付記12)前記解析する処理は、
前記それぞれの特徴について、算出した前記誤検知する確率が、所定の確率以上であれば、当該特徴は、前記複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動を検知するにあたっても有用ではないと解析する、ことを特徴とする付記2に記載の情報処理プログラム。
(付記13)複数のタイプそれぞれの攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを取得し、
取得した前記悪性挙動データに基づいて、悪性ドメインの挙動に現れる複数の種類それぞれの特徴を、前記それぞれの攻撃に用いられる悪性ドメインの挙動を検知するにあたり利用する場合の、悪性ドメインの挙動を検知する確率を算出し、
算出した前記確率に基づいて、前記それぞれの特徴の、前記それぞれの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析し、
解析した結果に基づいて、対象ドメインの挙動が、前記複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定する、
処理をコンピュータが実行することを特徴とする情報処理方法。
(付記14)複数のタイプそれぞれの攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを取得し、
取得した前記悪性挙動データに基づいて、悪性ドメインの挙動に現れる複数の種類それぞれの特徴を、前記それぞれの攻撃に用いられる悪性ドメインの挙動を検知するにあたり利用する場合の、悪性ドメインの挙動を検知する確率を算出し、
算出した前記確率に基づいて、前記それぞれの特徴の、前記それぞれの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析し、
解析した結果に基づいて、対象ドメインの挙動が、前記複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定する、
制御部を有することを特徴とする情報処理装置。
100 情報処理装置
200 情報処理システム
201 クライアント装置
202 情報管理装置
210 ネットワーク
300 バス
301 CPU
302 メモリ
303 ネットワークI/F
304 記録媒体I/F
305 記録媒体
400 記憶部
401 取得部
402 判定部
403 算出部
404 解析部
405 出力部
500 データ収集部
511 正規ドメインリスト
512 広域型悪性ドメインリスト
513 標的型悪性ドメインリスト
514 Passive DNSデータのDB
515 WHOIS 履歴データのDB
521 基本データ管理テーブル
522 レジストラ管理テーブル
523 特徴リスト
530 悪性判定部
541 検知結果管理テーブル
542 偽陽性閾値
550 タイプ別特徴判定部
561 タイプ別特徴管理テーブル
562 診断対象ドメインリスト
570 未識別ドメイン診断部
571 診断結果
901~903,1001~1003,1101~1103,1201~1203,1301~1303 符号
1500,1600 表

Claims (12)

  1. 複数のタイプそれぞれの攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを取得し、
    取得した前記悪性挙動データに基づいて、悪性ドメインの挙動に現れる複数の種類それぞれの特徴を、前記それぞれの攻撃に用いられる悪性ドメインの挙動を検知するにあたり利用する場合の、悪性ドメインの挙動を検知する確率を算出し、
    算出した前記確率に基づいて、前記それぞれの特徴の、前記それぞれの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析し、
    解析した結果に基づいて、対象ドメインの挙動が、前記複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定する、
    処理をコンピュータに実行させることを特徴とする情報処理プログラム。
  2. 正規ドメインの挙動を示す正規挙動データを取得し、
    取得した前記正規挙動データに基づいて、前記それぞれの特徴を、悪性ドメインの挙動を検知するにあたり利用する場合の、正規ドメインの挙動を、悪性ドメインの挙動と誤検知する確率を算出する、処理を前記コンピュータに実行させ、
    前記解析する処理は、
    算出した前記検知する確率、および、算出した前記誤検知する確率に基づいて、前記それぞれの特徴の、前記それぞれの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析する、ことを特徴とする請求項1に記載の情報処理プログラム。
  3. 前記複数の種類は、ドメインが登録された時点からの経過時間が、第1の閾値よりも短いという特徴を含む、ことを特徴とする請求項1または2に記載の情報処理プログラム。
  4. 前記複数の種類は、ドメインを運用する際に用いられるネームサーバが1回以上切り替えられた場合における当該ネームサーバが運用された期間が、第2の閾値よりも短いという特徴を含む、ことを特徴とする請求項1~3のいずれか一つに記載の情報処理プログラム。
  5. 前記複数の種類は、ドメインが再登録される前に、当該ドメインを運用する際に用いられたレジストラにおける当該ドメインの残り期限が、第3の閾値よりも長いという特徴を含む、ことを特徴とする請求項1~4のいずれか一つに記載の情報処理プログラム。
  6. 前記複数の種類は、ドメインが失効した後、当該ドメインが再登録されるまでの所要時間が、第4の閾値よりも長いという特徴を含む、ことを特徴とする請求項1~5のいずれか一つに記載の情報処理プログラム。
  7. 前記複数の種類は、ドメインが登録された後、当該ドメインに関する名前解決の正引きが実施されるまでの所要時間が、第5の閾値よりも長いという特徴を含む、ことを特徴とする請求項1~6のいずれか一つに記載の情報処理プログラム。
  8. 判定した結果を、前記対象ドメインに対応付けて出力する、
    処理を前記コンピュータに実行させることを特徴とする請求項1~7のいずれか一つに記載の情報処理プログラム。
  9. 前記それぞれの特徴のうち、判定した結果に対応する特徴を、前記対象ドメインに対応付けて出力する、
    処理を前記コンピュータに実行させることを特徴とする請求項1~8のいずれか一つに記載の情報処理プログラム。
  10. 前記それぞれの特徴のうち、判定した結果に対応する特徴を、悪性ドメインの挙動を検知するにあたり利用する場合の、悪性ドメインの挙動を検知する確率を、前記対象ドメインに対応付けて出力する、
    処理を前記コンピュータに実行させることを特徴とする請求項1~9のいずれか一つに記載の情報処理プログラム。
  11. 複数のタイプそれぞれの攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを取得し、
    取得した前記悪性挙動データに基づいて、悪性ドメインの挙動に現れる複数の種類それぞれの特徴を、前記それぞれの攻撃に用いられる悪性ドメインの挙動を検知するにあたり利用する場合の、悪性ドメインの挙動を検知する確率を算出し、
    算出した前記確率に基づいて、前記それぞれの特徴の、前記それぞれの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析し、
    解析した結果に基づいて、対象ドメインの挙動が、前記複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定する、
    処理をコンピュータが実行することを特徴とする情報処理方法。
  12. 複数のタイプそれぞれの攻撃に用いられる悪性ドメインの挙動を示す悪性挙動データを取得し、
    取得した前記悪性挙動データに基づいて、悪性ドメインの挙動に現れる複数の種類それぞれの特徴を、前記それぞれの攻撃に用いられる悪性ドメインの挙動を検知するにあたり利用する場合の、悪性ドメインの挙動を検知する確率を算出し、
    算出した前記確率に基づいて、前記それぞれの特徴の、前記それぞれの攻撃に用いられる悪性ドメインの挙動を検知するにあたっての有用性を解析し、
    解析した結果に基づいて、対象ドメインの挙動が、前記複数のタイプのうち、いずれのタイプの攻撃に用いられる悪性ドメインの挙動に該当するのかを判定する、
    制御部を有することを特徴とする情報処理装置。
JP2020180710A 2020-10-28 2020-10-28 情報処理プログラム、情報処理方法、および情報処理装置 Active JP7468298B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2020180710A JP7468298B2 (ja) 2020-10-28 2020-10-28 情報処理プログラム、情報処理方法、および情報処理装置
US17/507,834 US20220131884A1 (en) 2020-10-28 2021-10-22 Non-transitory computer-readable recording medium, information processing method, and information processing device
GB2115361.4A GB2604207A (en) 2020-10-28 2021-10-26 Information processing program, information processing method, and information processing device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020180710A JP7468298B2 (ja) 2020-10-28 2020-10-28 情報処理プログラム、情報処理方法、および情報処理装置

Publications (2)

Publication Number Publication Date
JP2022071645A JP2022071645A (ja) 2022-05-16
JP7468298B2 true JP7468298B2 (ja) 2024-04-16

Family

ID=78649474

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020180710A Active JP7468298B2 (ja) 2020-10-28 2020-10-28 情報処理プログラム、情報処理方法、および情報処理装置

Country Status (3)

Country Link
US (1) US20220131884A1 (ja)
JP (1) JP7468298B2 (ja)
GB (1) GB2604207A (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016140038A1 (ja) 2015-03-05 2016-09-09 日本電信電話株式会社 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム
JP2018196054A (ja) 2017-05-19 2018-12-06 富士通株式会社 評価プログラム、評価方法および情報処理装置
WO2020017000A1 (ja) 2018-07-19 2020-01-23 富士通株式会社 サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置
JP2020072384A (ja) 2018-10-31 2020-05-07 富士通株式会社 サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5639535B2 (ja) 2011-06-10 2014-12-10 日本電信電話株式会社 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム
US9264442B2 (en) 2013-04-26 2016-02-16 Palo Alto Research Center Incorporated Detecting anomalies in work practice data by combining multiple domains of information
US9635049B1 (en) * 2014-05-09 2017-04-25 EMC IP Holding Company LLC Detection of suspicious domains through graph inference algorithm processing of host-domain contacts
US11652845B2 (en) 2017-03-09 2023-05-16 Nippon Telegraph And Telephone Corporation Attack countermeasure determination apparatus, attack countermeasure determination method, and attack countermeasure determination program
US10778702B1 (en) * 2017-05-12 2020-09-15 Anomali, Inc. Predictive modeling of domain names using web-linking characteristics
US10681070B2 (en) * 2017-05-26 2020-06-09 Qatar Foundatiion Method to identify malicious web domain names thanks to their dynamics

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016140038A1 (ja) 2015-03-05 2016-09-09 日本電信電話株式会社 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム
JP2018196054A (ja) 2017-05-19 2018-12-06 富士通株式会社 評価プログラム、評価方法および情報処理装置
WO2020017000A1 (ja) 2018-07-19 2020-01-23 富士通株式会社 サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置
JP2020072384A (ja) 2018-10-31 2020-05-07 富士通株式会社 サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置

Also Published As

Publication number Publication date
US20220131884A1 (en) 2022-04-28
GB2604207A (en) 2022-08-31
JP2022071645A (ja) 2022-05-16
GB202115361D0 (en) 2021-12-08

Similar Documents

Publication Publication Date Title
Van Der Heijden et al. Cognitive triaging of phishing attacks
Hao et al. Understanding the domain registration behavior of spammers
Hao et al. PREDATOR: proactive recognition and elimination of domain abuse at time-of-registration
US9807110B2 (en) Method and system for detecting algorithm-generated domains
AU2018208693B2 (en) A system to identify machines infected by malware applying linguistic analysis to network requests from endpoints
Le Sceller et al. Sonar: Automatic detection of cyber security events over the twitter stream
US10574681B2 (en) Detection of known and unknown malicious domains
US11546377B2 (en) Phishing domain detection systems and methods
US20160373262A1 (en) Systems and methods for digital certificate security
IL257849B1 (en) Systems and methods for detecting and scoring anomalies
US20080301090A1 (en) Detection of abnormal user click activity in a search results page
US11095671B2 (en) DNS misuse detection through attribute cardinality tracking
EP3913888A1 (en) Detection method for malicious domain name in domain name system and detection device
Quinkert et al. Raptor: Ransomware attack predictor
Lazar et al. IMDoC: identification of malicious domain campaigns via DNS and communicating files
Bell et al. Catch me (on time) if you can: Understanding the effectiveness of twitter url blacklists
Farinholt et al. Dark matter: uncovering the DarkComet RAT ecosystem
JP7468298B2 (ja) 情報処理プログラム、情報処理方法、および情報処理装置
JP6984754B2 (ja) サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置
CN113395268A (zh) 一种基于线上线下融合的网络爬虫拦截方法
Santanna et al. Booter list generation: The basis for investigating DDoS‐for‐hire websites
Sykosch et al. Hunting observable objects for indication of compromise
US12028372B1 (en) Identifying threat similarity using forensics clustering
Zou et al. Detecting malware based on expired command-and-control traffic
JP7280814B2 (ja) 信頼度評価装置、信頼度評価方法及び信頼度評価プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230707

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240305

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240318

R150 Certificate of patent or registration of utility model

Ref document number: 7468298

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150