特許
J-GLOBAL ID:201803019874019710
ドメイン生成アルゴリズム(DGA)のマルウェアを検出するためのシステムおよび方法
発明者:
,
,
,
出願人/特許権者:
代理人 (5件):
小野 新次郎
, 山本 修
, 宮前 徹
, 中西 基晴
, 松尾 淳一
公報種別:公表公報
出願番号(国際出願番号):特願2018-521861
公開番号(公開出願番号):特表2018-533793
出願日: 2016年11月02日
公開日(公表日): 2018年11月15日
要約:
潜在的なDGAマルウェアホストによって送られた外部の時間リクエストをインターセプトし、受信された実時間を、時間に依存したDGAの活動をトリガするように設計された、早められた(未来の)実時間に置換することによって、ドメイン生成アルゴリズム(DGA)のマルウェアが検出される。DGAマルウェアが時間の置き換えを識別するリスクを低減させるために、別個の外部の物理的なサーバもしくはルータ、または同じ物理システム上で動く別個のハイパーバイザもしくは仮想マシンなどの、異なる物理システムまたは仮想システム上の物理的または仮想的なDGAホストの外側で、インターセプトおよび置換が実施される。次に、未来の時にのみトリガされる失敗したDGAマルウェアの外部アクセスリクエストを使用して、DGAマルウェアによって生成されたドメイン名を識別し、積極的な対策を可能にする。
請求項(抜粋):
少なくとも1つのメモリおよび少なくとも1つの関連付けられたマイクロプロセッサを含む第1のコンピュータシステムであって、前記マイクロプロセッサは、潜在的なドメイン生成アルゴリズム(DGA)マルウェアホストの外部でステップを実行するように構成され、前記ステップは、
第1の外部アクセスリクエストに対する本来の回答をインターセプトするステップであって、前記第1の外部アクセスリクエストは、前記潜在的なDGAマルウェアホストによって外部サイトに送られる、ステップと、
前記第1の外部アクセスリクエストと前記第1の外部アクセスリクエストに対する前記本来の回答とのうち少なくとも1つを解析して、前記第1の外部アクセスリクエストに対する前記本来の回答が実時間を含むかどうかを判定するステップと、
修正された回答を前記潜在的なDGAマルウェアホストに送るステップであって、前記修正された回答は、前記本来の回答に含まれる本来の実時間を、前記本来の実時間に続く早められた実時間に置換することによって、前記本来の回答から生成される、ステップと、
前記潜在的なDGAマルウェアホストによって第2の外部アクセスリクエストが送られたことに応答して、前記第2のアクセスリクエストが成功ではなかったことを示す回答をインターセプトするステップであって、前記第2の外部アクセスリクエストは、前記第1の外部アクセスリクエストが送られた後に送られる、ステップと、
前記第2のアクセスリクエストが成功ではなかったことを示す前記回答をインターセプトすることに応答して、前記潜在的なDGAマルウェアホストはドメイン生成アルゴリズムを実行するマルウェアを含むと判定するステップと
を含む、第1のコンピュータシステム。
IPC (1件):
FI (1件):
引用特許:
引用文献:
前のページに戻る
