Pat
J-GLOBAL ID:201103075067593018

DNSトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム

Inventor:
Applicant, Patent owner:
Agent (3): 秋田 収喜 ,  近野 恵一 ,  井上 雅夫
Gazette classification:公開公報
Application number (International application number):2009224319
Publication number (International publication number):2011076188
Application date: Sep. 29, 2009
Publication date: Apr. 14, 2011
Summary:
【課題】従来の技術で生成されたシグネチャデータベースのみでは捕えきることのできないボット感染者を発見できる技術を提供する。【解決手段】スコア計算部12が、既存のシグネチャデータベース14を用いて、DNSトラフィックデータに含まれるユーザから、ボットに感染しているユーザを抽出する。スコア計算部12が、ボットに感染しているユーザがDNSサーバへ問い合わせるDNSトラフィックデータに含まれるドメイン名に対し、スコア付けを行う。スコア計算部12が、ステップ2で付けたスコアが予め定めた値よりも大きければ、そのドメイン名を新たに悪性ドメイン名と判定し、新たに判定した悪性ドメイン名を追加した新たなシグネチャデータベース14を作成する。ボット感染者検知部13が、新たなシグネチャデータベース14を用いて、ボットに感染しているユーザを発見する。【選択図】図1
Claim (excerpt):
DNSトラヒックデータを利用したボット感染者検知システムにおけるボット感染者検知方法であって、 前記ボット感染者検知システムはスコア計算部とボット感染者検知部を備え、 前記スコア計算部が、既存のシグネチャデータベースを用いて、前記DNSトラヒックデータに含まれるユーザから、ボットに感染しているユーザを抽出する第1のステップと、 前記スコア計算部が、第1のステップで抽出したボットに感染しているユーザがDNSサーバへ問い合わせる前記DNSトラヒックデータに含まれるドメイン名に対し、スコア付けを行う第2のステップと、 前記スコア計算部が、第2のステップで付けたスコアが予め定めた値よりも大きければ、そのドメイン名を新たに悪性ドメイン名と判定し、新たに判定した悪性ドメイン名を追加した新たなシグネチャデータベースを作成する第3のステップと、 前記ボット感染者検知部が、第3のステップによって生成された新たなシグネチャデータベースを用いて、ボットに感染しているユーザを発見する第4のステップと、 を有することを特徴とするボット感染者検知方法。
IPC (2):
G06F 21/22 ,  G06F 21/20
FI (2):
G06F9/06 660N ,  G06F15/00 330A
F-Term (5):
5B276FD08 ,  5B285AA06 ,  5B285BA01 ,  5B285CA32 ,  5B285CA36
Patent cited by the Patent:
Cited by examiner (5)
Show all
Article cited by the Patent:
Return to Previous Page