特許
J-GLOBAL ID:201103075067593018

DNSトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム

発明者:
出願人/特許権者:
代理人 (3件): 秋田 収喜 ,  近野 恵一 ,  井上 雅夫
公報種別:公開公報
出願番号(国際出願番号):特願2009-224319
公開番号(公開出願番号):特開2011-076188
出願日: 2009年09月29日
公開日(公表日): 2011年04月14日
要約:
【課題】従来の技術で生成されたシグネチャデータベースのみでは捕えきることのできないボット感染者を発見できる技術を提供する。【解決手段】スコア計算部12が、既存のシグネチャデータベース14を用いて、DNSトラフィックデータに含まれるユーザから、ボットに感染しているユーザを抽出する。スコア計算部12が、ボットに感染しているユーザがDNSサーバへ問い合わせるDNSトラフィックデータに含まれるドメイン名に対し、スコア付けを行う。スコア計算部12が、ステップ2で付けたスコアが予め定めた値よりも大きければ、そのドメイン名を新たに悪性ドメイン名と判定し、新たに判定した悪性ドメイン名を追加した新たなシグネチャデータベース14を作成する。ボット感染者検知部13が、新たなシグネチャデータベース14を用いて、ボットに感染しているユーザを発見する。【選択図】図1
請求項(抜粋):
DNSトラヒックデータを利用したボット感染者検知システムにおけるボット感染者検知方法であって、 前記ボット感染者検知システムはスコア計算部とボット感染者検知部を備え、 前記スコア計算部が、既存のシグネチャデータベースを用いて、前記DNSトラヒックデータに含まれるユーザから、ボットに感染しているユーザを抽出する第1のステップと、 前記スコア計算部が、第1のステップで抽出したボットに感染しているユーザがDNSサーバへ問い合わせる前記DNSトラヒックデータに含まれるドメイン名に対し、スコア付けを行う第2のステップと、 前記スコア計算部が、第2のステップで付けたスコアが予め定めた値よりも大きければ、そのドメイン名を新たに悪性ドメイン名と判定し、新たに判定した悪性ドメイン名を追加した新たなシグネチャデータベースを作成する第3のステップと、 前記ボット感染者検知部が、第3のステップによって生成された新たなシグネチャデータベースを用いて、ボットに感染しているユーザを発見する第4のステップと、 を有することを特徴とするボット感染者検知方法。
IPC (2件):
G06F 21/22 ,  G06F 21/20
FI (2件):
G06F9/06 660N ,  G06F15/00 330A
Fターム (5件):
5B276FD08 ,  5B285AA06 ,  5B285BA01 ,  5B285CA32 ,  5B285CA36
引用特許:
審査官引用 (5件)
全件表示
引用文献:
前のページに戻る