知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5882852
(24)【登録日】2016年2月12日
(45)【発行日】2016年3月9日
(54)【発明の名称】攻撃ホスト検知装置、方法及びプログラム
(51)【国際特許分類】
G06F 13/00 20060101AFI20160225BHJP
【FI】
G06F13/00 610Q
【請求項の数】9
【全頁数】10
(21)【出願番号】特願2012-159853(P2012-159853)
(22)【出願日】2012年7月18日
(65)【公開番号】特開2014-21720(P2014-21720A)
(43)【公開日】2014年2月3日
【審査請求日】2015年1月22日
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】澤谷 雪子
(72)【発明者】
【氏名】山田 明
(72)【発明者】
【氏名】窪田 歩
【審査官】
木村 雅也
(56)【参考文献】
【文献】
特開2004−172891(JP,A)
【文献】
特開2012−114719(JP,A)
【文献】
特開2010−004442(JP,A)
【文献】
特開2012−015684(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 13/00
(57)【特許請求の範囲】
【請求項1】
基準時刻までのトラフィックデータから、メールを送信したホストの識別情報を抽出する抽出部と、
前記抽出部により抽出された、第1の時間内にメールを送信したホストの識別情報、及び当該第1の時間に続く前記基準時刻までの第2の時間内にメールを送信したホストの識別情報をそれぞれ区別して記憶する記憶部と、
前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを抽出し、ブラックリストの候補として特定する特定部と、を備える攻撃ホスト検知装置。
前記抽出部により抽出された、第1の時間内にメールを送信したホストの識別情報、及び当該第1の時間に続く前記基準時刻までの第2の時間内にメールを送信したホストの識別情報をそれぞれ区別して記憶する記憶部と、
前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを抽出し、ブラックリストの候補として特定する特定部と、を備える攻撃ホスト検知装置。
【請求項2】
前記特定部は、前記第1のホストのうち、前記第2の時間内でメール送信が断続的に継続した第3の時間が所定以上である第2のホストを、ブラックリストの候補として特定する請求項1に記載の攻撃ホスト検知装置。
【請求項3】
前記特定部は、前記第2のホストのうち、前記第3の時間内で単位時間当たりに送信されたデータ量が所定以上である第3のホストを、ブラックリストの候補として特定する請求項2に記載の攻撃ホスト検知装置。
【請求項4】
前記特定部は、前記第1のホストのうち、前記第2の時間内に送信されたデータ量が所定以上である第4のホストを、ブラックリストの候補として特定する請求項1に記載の攻撃ホスト検知装置。
【請求項5】
前記特定部は、国内に割り当てられているIPアドレスを有するホストを、ブラックリストの候補として特定する請求項1から請求項4のいずれか1項に記載の攻撃ホスト検知装置。
【請求項6】
前記特定部は、自装置の管理対象であるIPアドレスを有するホストを、ブラックリストの候補として特定する請求項1から請求項5のいずれか1項に記載の攻撃ホスト検知装置。
【請求項7】
前記特定部は、IPアドレス又は当該IPアドレスから導出されるドメインの少なくとも一部が既存のブラックリストと共通するホストを、ブラックリストの候補として特定する請求項1から請求項6のいずれか1項に記載の攻撃ホスト検知装置。
【請求項8】
基準時刻までのトラフィックデータから、メールを送信したホストの識別情報を抽出する抽出ステップと、
前記抽出ステップにおいて抽出された、第1の時間内にメールを送信したホストの識別情報、及び当該第1の時間に続く前記基準時刻までの第2の時間内にメールを送信したホストの識別情報をそれぞれ区別して記憶する記憶ステップと、
前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを抽出し、ブラックリストの候補として特定する特定ステップと、をコンピュータが実行する攻撃ホスト検知方法。
前記抽出ステップにおいて抽出された、第1の時間内にメールを送信したホストの識別情報、及び当該第1の時間に続く前記基準時刻までの第2の時間内にメールを送信したホストの識別情報をそれぞれ区別して記憶する記憶ステップと、
前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを抽出し、ブラックリストの候補として特定する特定ステップと、をコンピュータが実行する攻撃ホスト検知方法。
【請求項9】
基準時刻までのトラフィックデータから、メールを送信したホストの識別情報を抽出する抽出ステップと、
前記抽出ステップにおいて抽出された、第1の時間内にメールを送信したホストの識別情報、及び当該第1の時間に続く前記基準時刻までの第2の時間内にメールを送信したホストの識別情報をそれぞれ区別して記憶する記憶ステップと、
前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを抽出し、ブラックリストの候補として特定する特定ステップと、をコンピュータに実行させるための攻撃ホスト検知プログラム。
前記抽出ステップにおいて抽出された、第1の時間内にメールを送信したホストの識別情報、及び当該第1の時間に続く前記基準時刻までの第2の時間内にメールを送信したホストの識別情報をそれぞれ区別して記憶する記憶ステップと、
前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを抽出し、ブラックリストの候補として特定する特定ステップと、をコンピュータに実行させるための攻撃ホスト検知プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、迷惑メールを送信した攻撃ホストを検知する装置、方法及びプログラムに関する。
【背景技術】
【0002】
従来、迷惑メール(スパムメール)への対策として、メール本文の特徴から迷惑メールを判定する方式(例えば、非特許文献1又は2参照)と、ホスト若しくはメールアドレスの情報から迷惑メールを判定する方式(例えば、非特許文献3、4又は5参照)とが知られている。
【0003】
また、メール本文の特徴から迷惑メールを判定する方式は、本文中に迷惑メールの特徴である文字列が含まれていることを検知するため検知精度が高いが、処理負荷が大きい。一方、ホスト又はメールアドレスの情報から迷惑メールを判定する方式は、検知精度が劣るものの、少ない情報から迷惑メール送信ホストを判断するため処理負荷が小さい。そこで、後者の方式は、メールサーバに一次フィルタとして導入されることが多い。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】SpamAssassin、[online]、[平成24年6月20日検索]、インターネット<http://spamassassin.apache.org/index.html>
【非特許文献2】TransWARE、[online]、[平成24年6月20日検索]、インターネット<http://www.transware.co.jp/product/ah/svm.html>
【非特許文献3】Spamhaus、[online]、[平成24年6月20日検索]、インターネット<http://www.spamhaus.org/>
【非特許文献4】SPF、[online]、[平成24年6月20日検索]、インターネット<http://www.ietf.org/rfc/rfc4408.txt>
【非特許文献5】S25R、[online]、[平成24年6月20日検索]、インターネット<http://http://www.gabacho−net.jp/anti−spam/anti−spam−system.html>
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、ホスト又はメールアドレスの情報から迷惑メールを判定する方式は、既知の迷惑メール送信ホストのリスト、信頼できるメールサーバの判定、既知の迷惑メール送信ホストの文字列的特徴を用いている。
【0006】
しかしながら、近年観測されている迷惑メール送信ホストの中には、IPアドレスを取得し、正規のサーバに近いドメインを取得し、さらにSPF(Sender Policy Framework)の設定を行っているホストが存在する。したがって、従来の方法では迷惑メール送信ホストの検知が難しくなっている。また、局所的に、例えば特定の相手に迷惑メールを送信している迷惑メール送信ホストはブラックリストに登録され難いため、検知が難しかった。
【0007】
本発明は、迷惑メール送信ホストの検知精度を向上した攻撃ホスト検知装置、方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明では、以下のような解決手段を提供する。
【0009】
(1)トラフィックデータから、メールを送信したホストの識別情報を抽出する抽出部と、前記抽出部により抽出された、第1の時間内、及び当該第1の時間に続く第2の時間内にメールを送信したホストの識別情報をそれぞれ記憶する記憶部と、前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを、ブラックリストの候補として特定する特定部と、を備える攻撃ホスト検知装置。
【0010】
このような構成によれば、攻撃ホスト検知装置は、直近の第2の時間内に新たにメール送信を開始したホストを、ブラックリストの候補として特定できる。したがって、攻撃ホスト検知装置は、新たに迷惑メールの送信を開始したホストの候補を特定できるので、迷惑メールフィルタとしての精度を向上でき、組み合わせ可能な既存のブラックリスト又はコンテンツフィルタ等による処理負荷を低減できる。また、攻撃ホスト検知装置は、特定されたホストをブラックリストとして記憶できるので、迷惑メールフィルタに用いられるブラックリストを動的に生成・更新して、迷惑メールの検知精度を向上できる。
【0011】
(2)前記特定部は、前記第1のホストのうち、前記第2の時間内でメール送信が断続的に継続した第3の時間が所定以上である第2のホストを、ブラックリストの候補として特定する(1)に記載の攻撃ホスト検知装置。
【0012】
このような構成によれば、攻撃ホスト検知装置は、第1の時間にはメールを送信しておらず、直近の第2の時間になって突然に所定以上に多量のメール送信を行ったホストを特定できる。したがって、攻撃ホスト検知装置は、迷惑メールの特徴である大量送信を検知することで、新たに迷惑メールの送信を開始した攻撃ホストの候補を精度良く特定できる。
【0013】
(3)前記特定部は、前記第2のホストのうち、前記第3の時間内で単位時間当たりに送信されたデータ量が所定以上である第3のホストを、ブラックリストの候補として特定する(2)に記載の攻撃ホスト検知装置。
【0014】
このような構成によれば、攻撃ホスト検知装置は、メール送信継続時間である第3の時間において送信されたメール数を推測できるので、第1の時間にはメールを送信しておらず、直近の第2の時間になって突然に所定以上に多量のメール送信を行ったホストを特定できる。したがって、ホスト検知装置は、迷惑メールの特徴である大量送信を検知することで、新たに迷惑メールの送信を開始した攻撃ホストの候補を精度良く特定できる。
【0015】
(4)前記特定部は、前記第1のホストのうち、前記第2の時間内に送信されたデータ量が所定以上である第4のホストを、ブラックリストの候補として特定する(1)に記載の攻撃ホスト検知装置。
【0016】
このような構成によれば、攻撃ホスト検知装置は、第2の時間において送信されたメール数を推測できるので、第1の時間にはメールを送信しておらず、直近の第2の時間になって突然に所定以上に多量のメール送信を行ったホストを特定できる。したがって、攻撃ホスト検知装置は、迷惑メールの特徴である大量送信を検知することで、新たに迷惑メールの送信を開始した攻撃ホストの候補を精度良く特定できる。
【0017】
(5)前記特定部は、国内に割り当てられているIPアドレスを有するホストを、ブラックリストの候補として特定する(1)から(4)のいずれか1項に記載の攻撃ホスト検知装置。
【0018】
このような構成によれば、攻撃ホスト検知装置は、国内に割り当てられているIPアドレスを有するホストを特定できるので、自身に関連深いエリアに限定して、局所的な迷惑メール送信ホストを効率的に特定できる。
【0019】
(6)前記特定部は、自装置の管理対象であるIPアドレスを有するホストを、ブラックリストの候補として特定する(1)から(5)のいずれか1項に記載の攻撃ホスト検知装置。
【0020】
このような構成によれば、攻撃ホスト検知装置は、自身の管理対象であるIPアドレスを有するホストを特定できるので、自身に関連深い対象ホストに限定して、局所的な迷惑メール送信ホストを効率的に特定できる。
【0021】
(7)前記特定部は、IPアドレス又は当該IPアドレスから導出されるドメインの少なくとも一部が既存のブラックリストと共通するホストを、ブラックリストの候補として特定する(1)から(6)のいずれか1項に記載の攻撃ホスト検知装置。
【0022】
このような構成によれば、攻撃ホスト検知装置は、IPアドレス又はその逆引きにより得られるドメインの一部に、既知の迷惑メールと類似する部分が存在するホストを特定できる。したがって、攻撃ホスト検知装置は、例えば、ドメインが同じでIPアドレスを変えた場合、又はドメインの一部を変えた場合等、迷惑メール送信ホストである可能性が高いホストを効率的に特定できる。また、攻撃ホスト検知装置は、特定されたホストのIPアドレスをブラックリストとして記憶できるので、サブドメイン又はサブネットをブラックリストとして利用する場合に比べて、処理負荷を低減できる。
【0023】
(8)トラフィックデータから、メールを送信したホストの識別情報を抽出する抽出ステップと、前記抽出ステップにおいて抽出された、第1の時間内、及び当該第1の時間に続く第2の時間内にメールを送信したホストの識別情報をそれぞれ記憶する記憶ステップと、前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを、ブラックリストの候補として特定する特定ステップと、をコンピュータが実行する攻撃ホスト検知方法。
【0024】
このような構成によれば、攻撃ホスト検知方法をコンピュータが実行することにより、(1)と同様の効果が期待できる。
【0025】
(9)トラフィックデータから、メールを送信したホストの識別情報を抽出する抽出ステップと、前記抽出ステップにおいて抽出された、第1の時間内、及び当該第1の時間に続く第2の時間内にメールを送信したホストの識別情報をそれぞれ記憶する記憶ステップと、前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを、ブラックリストの候補として特定する特定ステップと、をコンピュータに実行させるための攻撃ホスト検知プログラム。
【0026】
このような構成によれば、攻撃ホスト検知プログラムをコンピュータに実行させることにより、(1)と同様の効果が期待できる。
【発明の効果】
【0027】
本発明によれば、迷惑メール送信ホストの検知精度を向上できる。
【図面の簡単な説明】
【0028】
【図1】実施形態に係るホスト検知装置の機能構成を示す図である。
【図2】実施形態に係る第1の時間、第2の時間及び第3の時間の関係を示す図である。
【図3】実施形態に係る処理を示すフローチャートである。
【発明を実施するための形態】
【0029】
以下、本発明の実施形態の一例について説明する。本実施形態に係るホスト検知装置1は、新たに攻撃を開始した迷惑メール送信ホストを検知するサーバ装置である。
【0031】
制御部10は、ホスト検知装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、前述のハードウェアと協働し、本実施形態における各種機能を実現している。制御部10は、CPU(Central Processing Unit)であってよい。なお、制御部10が備える各部の機能は後述する。
【0032】
記憶部20は、ハードウェア群をホスト検知装置1として機能させるための各種プログラム、本実施形態の各種機能を制御部10に実行させるためのプログラム、及び各種データ等を記憶する。なお、記憶部20が記憶する各種データは後述する。
【0033】
通信部30は、ホスト検知装置1が他の装置と情報を送受信する場合のネットワーク・アダプタであり、ネットワーク内のコアルータ等にアクセスし、ネットワークフローデータ又はパケットキャプチャデータ等、トラフィックデータを取得して制御部10へ提供する。
【0034】
入力部40は、ホスト検知装置1に対するユーザからの指示入力を受け付けるインタフェース装置である。入力部40は、例えばキー操作部又はタッチパネル等により構成される。
【0035】
表示部50は、ユーザにデータの入力を受け付ける画面を表示したり、ホスト検知装置1による処理結果の画面を表示したりするものである。表示部50は、液晶ディスプレイや有機ELディスプレイであってよい。
【0036】
前述の制御部10は、抽出部11と、特定部12とを備える。また、記憶部20は、ホスト履歴データ21と、直近トラフィックデータ22と、ブラックリスト23とを有する。
【0037】
抽出部11は、通信部30を介して取得したトラフィックデータから、メールを送信したホストの識別情報を抽出し、記憶部20に記憶する。ここで、記憶部20のホスト履歴データ21は、過去一定の時間(第1の時間、例えば1週間)内にメールを送信したホストの識別情報を含む。また、記憶部20の直近トラフィックデータ22は、第1の時間に続く第2の時間(例えば、1時間)内にメールを送信したホストの識別情報毎のトラフィックデータを含む。
【0038】
なお、ホスト履歴データ21及び直近トラフィックデータ22は、所定のタイミングで又は周期的に更新されてよい。例えば、新たなトラフィックデータが取得された場合に、この新たなデータが直近トラフィックデータ22に追加され、古くなったトラフィックデータに関するホストの識別情報がホスト履歴データ21に移動される。そして、ホスト履歴データ21から、古いデータが削除される。また、ホスト履歴データ21及び直近トラフィックデータ22は、特定部12によりブラックリストの候補となるホストを特定する際に、新たに作成されてもよい。
【0039】
特定部12は、第2の時間内にメールを送信したホストのうち、第1の時間内にメールを送信していないホストを、ブラックリストの候補として特定する。
【0040】
また、特定部12は、特定されたホスト毎の統計情報を直近トラフィックデータ22から取得する。統計情報は、第2の時間内で同一ホストからのメール送信が断続的に継続した時間(第3の時間)と、この第3の時間内で単位時間当たりに送信されたパケット数又は単位時間当たりのビット数とを含む。また、統計情報は、第2の時間内に送信されたパケットサイズ又はバイトサイズ等を含んでもよい。
【0041】
図2は、本実施形態に係る第1の時間、第2の時間及び第3の時間の関係を示す図である。第1の時間(例えば、1週間)に続いて、第2の時間(例えば、1時間)が設けられる。そして、第2の時間内に、新たなホスト(IPアドレス)から複数のメール送信が確認された場合、これらのメール送信の継続時間として、第3の時間が求められる。
【0042】
さらに、特定部12は、特定したホストから、さらに以下の条件を満たすホストに絞り込み、ブラックリストの候補とする。
【0043】
(1)第2の時間内でメール送信が断続的に継続した第3の時間が所定以上(例えば、1秒以上)であるホスト(第2のホスト)。
【0044】
(2)第3の時間内で単位時間(1秒)当たりに送信されたデータ量(例えば、パケット数又はビット数等)が所定以上であるホスト(第3のホスト)。例えば、メール1通当たり11パケットと想定し、単位時間当たり1つ以上のメールを送信したホスト、すなわち、11パケット×128バイト×8ビット=11264bps以上であるホスト。
【0045】
(3)第2の時間内に送信されたデータ量(例えば、パケットサイズ又はバイトサイズ等)が所定以上であるホスト(第4のホスト)。
【0046】
(4)国内(例えば、日本国内)に割り当てられているIPアドレスを有するホスト。国内に割り当てられているIPアドレスか否かは、所定の機関(例えば、日本国ではJPNIC)から提供される情報により判定される。
【0047】
(5)ホスト検知装置1が含まれる所定のネットワークの管理対象であるIPアドレスを有するホスト。
【0048】
(6)IPアドレス又はIPアドレスから導出されるドメインの少なくとも一部が既存のブラックリストと共通するホスト。具体的には、IPアドレスのうちサブネット(例えば、/24)が一致するホスト、又はサブドメインが一致するホスト等。
【0049】
特定部12は、これらの条件のいずれか、又は所定の組み合わせ(例えば、(1,2)、(1,2,4)、(1,2,6)等)を満たすホストをブラックリスト23として記憶部20に記憶する。このブラックリスト23は、所定のサーバ(ホスト検知装置1が兼ねていてもよい。)において、新たに検知したメールが迷惑メールか否かを判定するための一次フィルタとして用いられる。なお、いずれの条件を用いるかは、適宜設計可能である。
【0051】
ステップS1において、特定部12は、ホスト履歴データ21から、第1の時間内にメールを送信したホストの識別情報を取得する。
【0052】
ステップS2において、特定部12は、直近トラフィックデータ22から、第2の時間内にメールを送信したホストの識別情報を取得する。
【0053】
ステップS3において、特定部12は、直近トラフィックデータ22に存在し、ホスト履歴データ21に存在しないホストを、ブラックリストの候補として特定する。
【0054】
ステップS4において、特定部12は、ステップS3で特定されたホストのうち、予め設定されている上述の条件を満たすホストを抽出する。
【0055】
ステップS5において、特定部12は、ステップS4で抽出されたホストをブラックリスト23に登録する。
【0056】
以上のように、本実施形態によれば、ホスト検知装置1は、直近の第2の時間内に新たにメール送信を開始したホストを、ブラックリストの候補として特定できる。したがって、ホスト検知装置1は、新たに迷惑メールの送信を開始したホストの候補を特定できるので、迷惑メールフィルタとしての精度を向上でき、組み合わせ可能な既存のブラックリスト又はコンテンツフィルタ等による処理負荷を低減できる。さらに、ホスト検知装置1は、特定されたホストをブラックリストとして記憶できるので、迷惑メールフィルタに用いられるブラックリストを動的に生成・更新して、迷惑メールの検知精度を向上できる。
【0057】
また、ホスト検知装置1は、第1の時間にはメールを送信しておらず、直近の第2の時間になって突然に所定以上に多量のメール送信を行ったホストを、メール送信継続時間である第3の時間、又は送信データ量から推測されるメール数等に基づいて特定できる。したがって、ホスト検知装置1は、迷惑メールの特徴である大量送信を検知することで、新たに迷惑メールの送信を開始したホストの候補を精度良く特定できる。
【0058】
また、ホスト検知装置1は、国内に割り当てられているIPアドレス、又は自身が含まれるネットワークの管理対象であるIPアドレスを有するホストを特定できるので、自身に関連深い対象ホストに限定して、局所的な迷惑メール送信ホストを効率的に特定できる。
【0059】
また、ホスト検知装置1は、IPアドレス又はその逆引きにより得られるドメインの一部に、既知の迷惑メールと類似する部分が存在するホストを特定できる。したがって、ホスト検知装置1は、例えば、ドメインが同じでIPアドレスを変えた場合、又はドメインの一部を変えた場合等、迷惑メール送信ホストである可能性が高いホストを効率的に特定できる。さらに、ホスト検知装置1は、特定されたホストのIPアドレスをブラックリストとして記憶できるので、サブドメイン又はサブネットをブラックリストとして利用する場合に比べて、処理負荷を低減できる。
【0060】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。
【0061】
ホスト検知装置1は、ネットワークに接続可能な情報処理装置の一例であり、サーバ装置又はPC(Personal Computer)等、様々な情報処理装置(コンピュータ)であってよく、前述の各機能は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、上記情報処理装置にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。
【符号の説明】
【0062】
1 ホスト検知装置10 制御部
11 抽出部
12 特定部
20 記憶部
21 ホスト履歴データ
22 直近トラフィックデータ
23 ブラックリスト
30 通信部