特許 7603298 ドメインリスク推定システム及び方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-12-12

(45)【発行日】2024-12-20

(54)【発明の名称】ドメインリスク推定システム及び方法

(51)【国際特許分類】

   G06F 21/55 20130101AFI20241213BHJP

【ＦＩ】

G06F21/55

【請求項の数】 6

(21)【出願番号】P 2020172204

(22)【出願日】2020-10-12

(65)【公開番号】P2022063785

(43)【公開日】2022-04-22

【審査請求日】2023-09-28

(73)【特許権者】

【識別番号】301022471

【氏名又は名称】国立研究開発法人情報通信研究機構

(74)【代理人】

【識別番号】100120868

【弁理士】

【氏名又は名称】安彦 元

(72)【発明者】

【氏名】高橋 健志

(72)【発明者】

【氏名】井上 大介

【審査官】▲柳▼谷 侑

(56)【参考文献】

【文献】特開２０１１－０６５５２４（ＪＰ，Ａ）

【文献】特開２０１６－０２５４５５（ＪＰ，Ａ）

【文献】特開２００２－１９７０６０（ＪＰ，Ａ）

【文献】中国特許出願公開第１０２５７１８１２（ＣＮ，Ａ）

【文献】中国特許出願公開第１０８１３４７７６（ＣＮ，Ａ）

【文献】中国特許出願公開第１０９２７４６３２（ＣＮ，Ａ）

【文献】米国特許出願公開第２０１９／０３１２８９７（ＵＳ，Ａ１）

【文献】米国特許第０９４６２００９（ＵＳ，Ｂ１）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ ２１／００

Ｇ０６Ｆ ２１／３０ － ２１／４６

Ｇ０６Ｆ ２１／５５

(57)【特許請求の範囲】

【請求項1】

Ｗｅｂサイトの各ドメインについてユーザが当該ドメインにアクセスした後に悪性ＵＲＬへ到達するリスクを推定するドメインリスク推定システムにおいて、
各ユーザのＷｅｂサイトへのアクセス記録を収集するアクセス記録収集手段と、
一連のＷｅｂアクセス活動のうちの最初のアクセスをエントリーポイントとして検知するエントリーポイント検知手段と、
上記アクセス記録収集手段により収集されたアクセス記録に基づいて上記Ｗｅｂサイトの、悪性ＵＲＬから、上記エントリーポイント検知手段により検知されたエントリーポイントに到達するまで、一つ前のアクセスを追跡することを繰り返し実行することにより、上記各ＵＲＬからエントリーポイントに至るまでのユーザの一連のＵＲＬへのアクセス履歴を示すアクセスパスを構築するアクセスパス構築手段と、
上記アクセスパス構築手段により構築されたアクセスパスに登場するドメイン毎に、悪性ＵＲＬに到達するリスクを推定するリスク推定手段とを備えること
を特徴とするドメインリスク推定システム。

【請求項2】

上記リスク推定手段は、以下のリスクレベルの式（１）に基づいて上記リスクを推定すること
を特徴とする請求項１記載のドメインリスク推定システム。
リスクレベル＝推定対象のドメインにアクセスしたユーザが、次回以降のアクセスにて悪性ＵＲＬへ到達する回数／当該ドメインへのアクセス総数・・・・・・・・（１）

【請求項3】

上記リスク推定手段は、上記リスクレベルが所定の閾値以上のドメインを危険ドメインと判別し、
更に上記リスク推定手段により判別された危険ドメインにアクセスしようとするユーザに対して警告を通知する警告通知手段を備えること
を特徴とする請求項２記載のドメインリスク推定システム。

【請求項4】

上記リスク推定手段は、上記リスクレベルが所定の閾値以上のドメインを危険ドメインと判別し、
更に上記リスク推定手段により判別された危険ドメインへのユーザによるアクセスを遮断するように制御する制御手段を備えること
を特徴とする請求項２記載のドメインリスク推定システム。

【請求項5】

上記アクセスパス構築手段は、
再読込追跡を試みることで一つ前のアクセスを追跡し、
上記再読込追跡により一つ前のアクセスが追跡できない場合であり、かつアクセス記録にソースタブＩＤが記録されている場合には、当該ソースタブＩＤが設定されたタブ内のアクセスを追跡し、
アクセス記録にソースタブＩＤが記録されていない場合には、タブの識別子であるタブＩＤが共通の同一タブ内におけるアクセスを追跡し、
更に上記同一タブ内において一つ前のアクセスが追跡できない場合には、他の全てのタブ内におけるアクセスを追跡すること
を特徴とする請求項１記載のドメインリスク推定システム。

【請求項6】

Ｗｅｂサイトの各ドメインについてユーザが当該ドメインにアクセスした後に悪性ＵＲＬへ到達するリスクを推定するドメインリスク推定方法において、
各ユーザのＷｅｂサイトへのアクセス記録を収集するアクセス記録収集ステップと、
一連のＷｅｂアクセス活動のうちの最初のアクセスをエントリーポイントとして検知するエントリーポイント検知ステップと、
上記アクセス記録収集ステップにより収集されたアクセス記録に基づいて上記Ｗｅｂサイトの、悪性ＵＲＬから、上記エントリーポイント検知ステップにより検知されたエントリーポイントに到達するまで、一つ前のアクセスを追跡することを繰り返し実行することにより，上記各ＵＲＬからエントリーポイントに至るまでのユーザの一連のＵＲＬへのアクセス履歴を示すアクセスパスを構築するアクセスパス構築ステップと、
上記アクセスパス構築ステップにより構築されたアクセスパスに登場するドメイン毎に、悪性ＵＲＬに到達するリスクを推定するリスク推定ステップとを有すること
を特徴とするドメインリスク推定方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、Ｗｅｂサイトの各ドメインについて悪性ＵＲＬへ到達するリスクを推定するドメインリスク推定システム及び方法に関するものである。

【背景技術】

【0002】

インターネットは必要不可欠な社会通信インフラ基盤であり、多くの人々が日常生活や各種業務の中でＷｅｂサイトにアクセスする。しかし、このＷｅｂサイトへのアクセスは、悪性ＵＲＬへアクセスしてしまうリスクを抱えており、かかる場合にはマルウェア感染やソーシャルエンジニアリング攻撃等、様々な種類の攻撃を受ける虞もある。このような悪性ＵＲＬへのアクセスを回避するために、悪性ＵＲＬを予め登録したブラックリスト等が活用されてきているが、そのブラックリストが悪性ＵＲＬへのアクセスを全てブロックできるわけではない。例えば、ブラックリストは、登録される悪性ＵＲＬを随時更新する必要があるが、この更新前に悪性ＵＲＬにユーザがアクセスしてしまうケースもある。

【0003】

この悪性ＵＲＬが登録されたブラックリストは、各セキュリティベンダのノウハウが蓄積されたものであり、何をもって悪性ＵＲＬと判定するかについては、各セキュリティベンダ間で基準も異なる。このため、各セキュリティベンダが提供する悪性ＵＲＬのブラックリストは、基本的には異なるものであり、統一的なリストは存在しない。また、悪性ＵＲＬのブラックリストは、各セキュリティベンダにおいてアナリストが手動で生成しているか、又はツールを活用しつつ、アナリストが検証して生成しているのが現状である。研究レベルでは、機械学習技術等を用いて、過去のラベリング結果を用いて各ＵＲＬが悪性ＵＲＬに相当するか否かをクラスタリングする技術が提案されているが、それでもユーザによる悪性ＵＲＬへの到達を完全に阻止することは困難である。

【0004】

このように、悪性サイトが登録されたブラックリストのみを参照して、ユーザによる悪性ＵＲＬへのアクセスを阻止する方法では限界がある。従って、ブラックリストに全てを委ねることなく、ユーザによる悪性ＵＲＬへのアクセスを効果的かつ高精度に防止する技術に対する社会的な要請は高まっているが、これに応えることができる技術は未だ案出されていないのが現状であった。

【先行技術文献】

【非特許文献】

【0005】

【文献】Terry Nelms etc ”WebWitness: Investigating, Categorizing, and Mitigating Malware Download Paths” 24th USENIX Security Symposium, August 12-14, 2015 ・ Washington, D.C.

【発明の概要】

【発明が解決しようとする課題】

【0006】

そこで本発明は、上述した問題点に鑑みて案出されたものであり、その目的とするところは、ユーザによる悪性ＵＲＬへのアクセスを効果的に防止するため、Ｗｅｂサイトの各ドメインについて悪性ＵＲＬへ到達するリスクを高精度に推定することが可能なドメインリスク推定システム及び方法を提供することにある。

【課題を解決するための手段】

【0007】

本発明者らは、上述した課題を解決するために、各ユーザのＷｅｂサイトへのアクセス記録を収集し、一連のＷｅｂアクセス活動のうちの最初のアクセスをエントリーポイントとして検知する。収集したアクセス記録に基づいて上記Ｗｅｂサイトの、悪性ＵＲＬを含む各ＵＲＬからエントリーポイントに到達するまで、一つ前のアクセスを追跡することを繰り返し実行し、追跡した全てのアクセス履歴を参照し、各ＵＲＬからエントリーポイントに至るまでのユーザの一連のＵＲＬへのアクセスの履歴を示すアクセスパスを構築し、構築したアクセスパスにおける上記ドメイン毎に、悪性ＵＲＬに到達するリスクを推定するドメインリスク推定システムを発明した。

【0008】

第１発明に係るドメインリスク推定システムは、Ｗｅｂサイトの各ドメインについてユーザが当該ドメインにアクセスした後に悪性ＵＲＬへ到達するリスクを推定するドメインリスク推定システムにおいて、各ユーザのＷｅｂサイトへのアクセス記録を収集するアクセス記録収集手段と、一連のＷｅｂアクセス活動のうちの最初のアクセスをエントリーポイントとして検知するエントリーポイント検知手段と、上記アクセス記録収集手段により収集されたアクセス記録に基づいて上記Ｗｅｂサイトの、悪性ＵＲＬから、上記エントリーポイント検知手段により検知されたエントリーポイントに到達するまで、一つ前のアクセスを追跡することを繰り返し実行することにより、上記各ＵＲＬからエントリーポイントに至るまでのユーザの一連のＵＲＬへのアクセス履歴を示すアクセスパスを構築するアクセスパス構築手段と、上記アクセスパス構築手段により構築されたアクセスパスに登場するドメイン毎に、悪性ＵＲＬに到達するリスクを推定するリスク推定手段とを備えることを特徴とする。

【0009】

第２発明に係るドメインリスク推定システムは、第１発明において、上記リスク推定手段は、以下のリスクレベルの式（１）に基づいて上記リスクを推定することを特徴とする。
リスクレベル＝推定対象のドメインにアクセスしたユーザが、次回以降のアクセスにて悪性ＵＲＬへ到達する回数／当該ドメインへのアクセス総数・・・・・・・・（１）

【0010】

第３発明に係るドメインリスク推定システムは、第２発明において、上記リスク推定手段は、上記リスクレベルが所定の閾値以上のドメインを危険ドメインと判別し、更に上記リスク推定手段により判別された危険ドメインにアクセスしようとするユーザに対して警告を通知する警告通知手段を備えることを特徴とする。

【0011】

第４発明に係るドメインリスク推定システムは、第２発明において、上記リスク推定手段は、上記リスクレベルが所定の閾値以上のドメインを危険ドメインと判別し、更に上記リスク推定手段により判別された危険ドメインへのユーザによるアクセスを遮断するように制御する制御手段を備えることを特徴とする。

【0012】

第５発明に係るドメインリスク推定システムは、第１発明において、上記アクセスパス構築手段は、再読込追跡を試みることで一つ前のアクセスを追跡し、上記再読込追跡により一つ前のアクセスが追跡できない場合であり、かつアクセス記録にソースタブＩＤが記録されている場合には、当該ソースタブＩＤが設定されたタブ内のアクセスを追跡し、アクセス記録にソースタブＩＤが記録されていない場合には、タブの識別子であるタブＩＤが共通の同一タブ内におけるアクセスを追跡し、更に上記同一タブ内において一つ前のアクセスが追跡できない場合には、他の全てのタブ内におけるアクセスを追跡することを特徴とする。

【0013】

第６発明に係るドメインリスク推定方法は、Ｗｅｂサイトの各ドメインについてユーザが当該ドメインにアクセスした後に悪性ＵＲＬへ到達するリスクを推定するドメインリスク推定方法において、各ユーザのＷｅｂサイトへのアクセス記録を収集するアクセス記録収集ステップと、一連のＷｅｂアクセス活動のうちの最初のアクセスをエントリーポイントとして検知するエントリーポイント検知ステップと、上記アクセス記録収集ステップにより収集されたアクセス記録に基づいて上記Ｗｅｂサイトの、悪性ＵＲＬから、上記エントリーポイント検知ステップにより検知されたエントリーポイントに到達するまで、一つ前のアクセスを追跡することを繰り返し実行することにより，上記各ＵＲＬからエントリーポイントに至るまでのユーザの一連のＵＲＬへのアクセス履歴を示すアクセスパスを構築するアクセスパス構築ステップと、上記アクセスパス構築ステップにより構築されたアクセスパスに登場するドメイン毎に、悪性ＵＲＬに到達するリスクを推定するリスク推定ステップとを有することを特徴とする。

【発明の効果】

【0014】

上述した構成からなる本発明によれば、次回以降のアクセスにて悪性ＵＲＬに到達する可能性が高いドメインにユーザが到達したときに注意喚起等を促し、或いはそのドメインで通信を遮断することができる。このためユーザが悪性ＵＲＬに到達してしまうのを未然に防止することが可能となる。即ち、本発明によれば、悪性コンテンツをホストしていなくとも最終的に悪性ＵＲＬに到達するドメインを検出できる。これにより、未だブラックリストに登録されていない悪性ＵＲＬへのアクセスも，その手前に存在する危険ドメインにてアクセスを遮断することにより、アクセス回避をすることが可能となる．結果的に、ユーザによる悪性ＵＲＬへのアクセスを高効率かつ高精度に阻止することが可能となる。

【図面の簡単な説明】

【0015】

【図1】本発明を適用したドメインリスク推定システムの全体構成を示す図である。

【図2】本発明を適用したドメインリスク推定システムのプロセスを示す図である。

【図3】アクセス追跡フェーズの詳細なフローを示す図である。

【図4】本発明で特定する危険ドメインについて説明するための図である。

【図5】リスクレベルを算出する例について説明するための図である。

【発明を実施するための形態】

【0016】

以下、本発明を適用したドメインリスク推定システムについて、図面を参照しながら詳細に説明をする。

【0017】

図１は、本発明を適用したドメインリスク推定システム１の全体構成を示している。ドメインリスク推定システム１は、インターネット回線で構成される公衆通信網１０にそれぞれ接続されたユーザ端末２と、サーバ４とを備えている。

【0018】

ユーザ端末２は、デスクトップ型のパーソナルコンピュータ、ノート型ＰＣ、携帯端末、スマートフォン、タブレット型端末、ウェアラブル端末等のＷｅｂへのアクセスが可能な端末装置で構成されている。

【0019】

サーバ４は、各ユーザ端末２によるＷｅｂサイトへのアクセス記録を収集する。サーバ４は、収集されたアクセス記録に基づいて後述するアクセス追跡を行う。サーバ４は、追跡したアクセスから、各ドメインについて悪性ＵＲＬに到達するリスクを推定する。

【0020】

以下、サーバ４による、ドメイン毎の悪性ＵＲＬへ到達するリスクを推定するまでの処理動作について説明をする。

【0021】

図２は、本発明を適用したドメインリスク推定システム１のプロセスを示す図である。ドメインリスク推定システムの処理動作は大きく分類して、アクセス記録収集フェーズＡと、アクセス追跡フェーズＢと、リスク推定フェーズＣから成り立っている。

【0022】

アクセス記録収集フェーズＡにおいて、サーバ４は、各ユーザ端末２からＷｅｂサイトへのアクセス記録を公衆通信網１０を介して収集する。サーバ４は、この収集したアクセス記録を一端格納する。サーバ４により収集されるアクセス記録のデータ例は、例えば、ＨＴＴＰリクエストのＵＲＬ、リクエスト発行時刻を示すタイムスタンプ、referer、ブラウザタブを識別するタブＩＤ（その一意性は同一セッションの中でのみ保証）、ブラウザタブに示されるＵＲＬ（タブＵＲＬ）、メインフレームや画像、フォント、スクリプト等を識別するリソース種別、ブックマークアクセス、再読込、ＵＲＬタイピング等を識別するページ遷移種別、ユーザＩＤ、現在のタブの生成元タブのＩＤ（ソースタブＩＤ） （例えばtarget=”_blank”やwindow.open() 等により、新しいウィンドウが生成された際にソースタブＩＤを記録）等である。なお、リソース種別およびページ遷移種別については、Google Chrome APIsであるwebRequest及びhistoryにて定義された値をそのまま取得するようにしてもよい。また、各ユーザ端末２から収集したデータを用いて、アクセスしたＵＲＬを評価したその評価結果を保存する。例えば、ＵＲＬのGoogle Safe Browsing （ＧＳＢ）の評価結果やAlexa Traffic Rank の順位等である。このようにしてサーバ４によりアクセス記録が収集された後、アクセス追跡フェーズＢへ移行する。

【0023】

アクセス追跡フェーズＢにおいては、サーバ４は、収集したアクセス記録に基づいて、各悪性ＵＲＬからエントリーポイントに到達するまで、一つ前のアクセスを追跡することを繰り返し実行する。このエントリーポイントとは、一つ前のアクセスと非連続なアクセスであり、換言すればユーザが最初にアクセスしたＵＲＬである。即ち、このエントリーポイントとは、リンクを辿ったアクセスでない最初のアクセスであり、例えば、ブックマークアクセスや検索エンジン等による検索を通じて最初にアクセスしたＵＲＬである。

【0024】

このアクセス追跡フェーズＢの概略は、図２に示す通りであり、先ず未追跡の悪性ＵＲＬが存在するか否かを確認する。その結果、未追跡の悪性ＵＲＬが存在していない場合には、リスク推定フェーズＣへ移行する。一方、未追跡の悪性ＵＲＬが存在していた場合には、一つ前のアクセス記録を追跡する。一つ前のアクセス記録を追跡できた場合、これがエントリーポイントに相当するか否かを都度判別する。その結果、エントリーポイントに該当するのであれば、エントリーポイントから悪性ＵＲＬまでのアクセス履歴をアクセスパスとして保存した上で、再び未追跡の悪性ＵＲＬが存在するか否かを確認することを繰り返す。一方、エントリーポイントに該当しないのであれば、再び一つ前のアクセス記録の追跡を繰り返す。以下、このアクセス記録追跡フェーズＢの詳細について説明をする。

【0025】

図３は、このアクセス追跡フェーズＢの詳細なフローを示している。アクセス追跡フェーズＢに移行した場合、先ずステップＳ１１において、再読込追跡を試みることで一つ前のアクセスを追跡する。かかる場合には、ページ遷移種別が”reload”であるか否かを判別する。その結果、ページ遷移種別が”reload”である場合には、現在のページが再読込されたぺージと判断し、ステップＳ１２へ再読込追跡を実施する。これに対して、ページ遷移種別が”reload”以外である場合には、ステップＳ１３へ移行する。

【0026】

ステップＳ１２における再読込追跡では、現在のアクセス記録と同一のタブＵＲＬ、及びＵＲＬを持つ直近のアクセス記録を探索する、いわゆる同一タブ内再読込追跡を行う。かかる場合には、同一タブ内のアクセス記録を調査し、該当がない場合に限りその他のタブのアクセス記録を調査する、リロード追跡を行う。再読込追跡を終了後、処理動作を終了する。

【0027】

ステップＳ１３に移行した場合、アクセス記録にソースタブＩＤが設定されているか否かを判別する。その結果、ソースタブＩＤが設定されている場合には、ステップＳ１４へ移行し、ソースタブＩＤが設定されていない場合には、ステップＳ１５へ移行する。

【0028】

ステップＳ１４に移行した場合、ソースタブＩＤにより指定されたタブ内のアクセスを追跡する、いわゆるソースタブ追跡を行う。かかる場合において、ソースタブＩＤが指定されている場合には、現在のアクセスが指定されたタブから生成されたと判断し、そのタブ内のアクセス記録を追跡するソースタブ追跡を実施する。referer情報が入手可能な場合には、現在のアクセスから直前のメインフレームアクセスまでの間のアクセス記録のうちＵＲＬがrefererと一致するものを一つ前のアクセス記録として選択する、referer追跡を行う。これに対して、referer情報が提供されないか、又は適切な記録が発見できない場合には、直前のメインフレームへのアクセス記録を一つ前のアクセス記録として選択する、いわゆるメインフレーム追跡を行う。メインフレーム追跡を終了させた後、処理動作は終了となる。

【0029】

ステップＳ１５へ移行した場合には、同一タブ内にて一つ前のアクセス記録を追跡する同一タブ内追跡を行う。ここで同一タブとは、タブの識別子であるタブＩＤが同一であるものを指し，同一タブ内の追跡とは、タブＩＤが一致するログのみを分析・追跡するということをいう。ソースタブ追跡手法同様、referer追跡とメインフレーム追跡技術を用いて記録を分析し、現在表示されているタブ上のユーザの過去のアクセス記録から一つ前のアクセス記録を特定する。その結果、ステップＳ１６において、一つ前のアクセスを発見できた場合には、処理動作を終了するが、一つ前のアクセスを発見できなかった場合には、ステップＳ１７へ移行する。

【0030】

ステップＳ１７に移行した場合には、当該ユーザの全てのアクセス記録内を追跡する全タブ追跡を実施する。全タブ追跡は、ソースタブ追跡や、同一タブ内追跡と同様に、referer情報が存在する場合にはまずreferer追跡を実施する。refererがorigin情報のみ保持しているケースでは、全タブ追跡ではoriginが一致するＵＲＬを持つ直前のメインフレームのアクセス記録を一つ前のアクセスとして決定する、いわゆるorigin追跡を行う。なお、ステップＳ１４のソースタブ追跡及び、ステップＳ１５の同一タブ内追跡ではメインフレーム追跡により一つ前のアクセスの特定が高精度で実現できるため、origin追跡は実施しない。仮に、上述の処理動作を通じて適切なエントリーが発見できない際には、この全タブ追跡において更にメインフレーム追跡を行うようにしてもよい。

【0031】

このようにして、このアクセス追跡フェーズＢでは、全タブ追跡よりも、より高効率でアクセス追跡が可能なリロード追跡、ソースタブ追跡、同一タブ内追跡を優先的に行い、あまり効率が芳しくなく、しかも信頼性の高い追跡ができるとは限らない全タブ追跡の優先度を低くしている。このため、本発明によれば、このアクセス追跡を高効率に行うことが可能となる。

【0032】

上述したステップＳ１１～Ｓ１７に示すプロセスを通じて一つ前のアクセス記録を追跡できた場合、これがエントリーポイントに相当するか否かを都度判別する。その結果、追跡したアクセスがエントリーポイントに該当する場合には、悪性ＵＲＬから一つ前のアクセスを繰り返し遡って追跡してきた当該エントリーポイントまでの一連のアクセス履歴をアクセスパスとして保存する。これに対して、追跡したアクセスがエントリーポイントに該当しない場合には、更に一つ前のアクセス記録の追跡を試みるが、かかる場合も同様に、ステップＳ１１～Ｓ１７に示すプロセスを実行することになる。このプロセスをエントリーポイントに到達するまで繰り返し実行する。

【0033】

上記のようにして作成したアクセスパスを、すべての悪性ＵＲＬに対するアクセス記録に対して生成し、保存する。

【0034】

追跡したアクセスがエントリーポイントに該当するか否かの判断は、以下に説明するように、ブックマークアクセス、セッションの再構築、Ｗｅｂ検索、オムニバーアクセス、アドレス直接入力、スタートページアクセスに該当するか否かに基づいて判断するようにしてもよい。

【0035】

ブックマークアクセスは、ページ遷移種別が”auto_bookmark”であるか否かに基づいて判断する。ページ遷移種別が”auto_bookmark”である場合、ユーザは、現在のページにブックマークを選択して来訪したものと判断し、そのページをエントリーポイントと認識する。

【0036】

セッションの再構築は、ページ遷移種別が”reload”であり、かつ同一のタブにて一定期間アクセスがなければ、セッションが再構築されたと判断する。ブラウザでは最近閉じたブラウザタブを復元する等、セッションの再構築が可能であり、そのセッションの再構築がなされたものと判断した場合には、これをエントリーポイントと認識する。

【0037】

Ｗｅｂ検索は、ＵＲＬが主要検索エンジンのトップページと一致するか、もしくはページ遷移種別が”form_submit”であり、かつＵＲＬが主要検索エンジンの検索結果ページである場合に、Ｗｅｂ検索が実施されたものと判断し、これをエントリーポイントと認識する。尚，このＷｅｂ検索は、サイト内の検索は含まない。

【0038】

オムニバーアクセスは、Chromeブラウザのオムニバーは、検索ボックスとアドレスバーの機能を併せ持つが、そのページ遷移種別が”generated”の際には、オムニバーを利用したアクセスであると判断し、これをエントリーポイントと認識する。

【0039】

アドレス直接入力は、ユーザが連続するブラウジング活動の一環として、アドレスバーにある現在のＵＲＬを編集して、トップページなどの別のページへ移動するケースである。ページ推移種別が”typed”であるもののうち、直前のページと現在のページのドメインが異なる場合のみ、アドレス直接入力があったものと認識し、これをエントリーポイントとして判断する。

【0040】

スタートページアクセスは、ページ遷移種別が”start_page”の際には、そのページがブラウザの起動により、プログラム引数もしくはデフォルト設定により開かれたと判断し、これをエントリーポイントと認識する。なお、外部アプリ上でリンクをクリックした場合においてもＯＳ上にてChrome がそのリンクのＵＲＬを引数として起動されるため、ページ遷移種別は”start_page”となる。

【0041】

アクセス追跡フェーズＢにおいて、上述のようにしてアクセス追跡を行った例を表１に示す。この表１では、各アクセスの時刻毎に、タブＩＤ、実際にアクセスしたＵＲＬに加え、ソースタブＩＤが割り当てられた場合にはそのＩＤが示されており、更にページ遷移種別やリソース種別、追跡手法が示されている。

【0042】

【表1】

【0043】

次にリスク推定フェーズＣへ移行する。図４は、リスク推定フェーズにて特定する危険ドメインについて説明するための図であり，例示としてドメインＰにアクセスしたユーザがその後どのようなページ遷移をしていったかを示したものになる．本図では，ユーザはドメインＰにアクセスした後、ドメインＱもしくはドメインＲにアクセスしており、更にドメインＱからドメインＳもしくはＵＲＬ２２へ、またドメインＳからＵＲＬ２１へとアクセスしたことが示されている。またドメインＲからはＵＲＬ２３、ドメインＴ、ＵＲＬ２６へ、更にドメインＴからＵＲＬ２４、２５、２７へとアクセスしたことが示されている。

【0044】

アクセス追跡フェーズＢで生成したアクセスパスより、あるユーザがＵＲＬ２１にアクセスする前にドメインＳ、ドメインＱ、ドメインＰにアクセスしていることが分かる。同様に、アクセス追跡フェーズＢで生成した別のアクセスパスにより，また別のユーザがＵＲＬ２４にアクセスする前にドメインＴ、ドメインＲ、ドメインＰにアクセスしていることが分かる。アクセス追跡フェーズＢで生成したアクセスパスを分析することにより，図４に示すようなアクセスのツリー構造を理解することができる。

【0045】

このとき、末端の各ＵＲＬの中には、悪性ＵＲＬが含まれている場合がある。この図４の例では、ＵＲＬ２１、ＵＲＬ２２、ＵＲＬ２５、ＵＲＬ２７がそれぞれ悪性ＵＲＬであったものとする。このような悪性ＵＲＬの特定は、悪性ＵＲＬが登録されているブラックリストを参照するようにしてもよい。

【0046】

このアクセスパスの構築は、サーバ４において行われるが、上述した図４に示すようなパス図をシステム管理者に表示可能な程度に描画することは必須ではなく、アクセス追跡フェーズＢにて生成したアクセスパスが用意されていればよい。

【0047】

上述の概念説明の通り、リスク推定フェーズＣでは、上記アクセスパス構築手段により構築されたアクセスパスにおける上記ドメイン毎に、悪性ＵＲＬに到達するリスクを推定する。図４の例では、ドメインＱ、Ｒ、Ｓ、Ｔに対して一つ後のアクセスのＵＲＬが悪性ＵＲＬであるリスクを推定することになる。ドメインＱ、Ｒ、Ｓ、Ｔに対して一つ後のＵＲＬが悪性ＵＲＬであれば、当該ドメインにアクセスした場合に悪性ＵＲＬに到達する可能性が生じる。リスク推定フェーズＣでは、この中でも、次回以降のアクセスにて悪性ＵＲＬに到達する可能性が高いドメインを危険ドメインとして特定する。

【0048】

ドメイン毎に、悪性ＵＲＬに到達するリスクを推定する方法としては、以下のリスクレベルの式（１）に基づいて上記リスクを推定するようにしてもよい。

【0049】

リスクレベル＝推定対象のドメインにアクセスしたユーザが、次回以降のアクセスにて悪性ＵＲＬへ到達する回数／当該ドメインへのアクセス総数・・・・・・・・（１）

【0050】

即ち、このリスクレベルは、あるドメインへのアクセス総数のうち、その一つ後のアクセスが悪性ＵＲＬに到達する確率を示すものである。次回以降のアクセスとは、１回目のアクセスの次の２回目にアクセスのみならず、３回目以降のアクセスもすべて含むものであり、これらについて悪性ＵＲＬにアクセスするものをカウントする。

【0051】

例えば、図５に示すようにあるドメインＸに対してＵＲＬ３１、ＵＲＬ３２、ＵＲＬ３３、ＵＲＬ３４、ＵＲＬ３５、ＵＲＬ３６の６回のアクセス総数があり、その６回のアクセスのうち４回が悪性ＵＲＬに到達したものとする。残りの２回が良性ＵＲＬであるものとする。かかる場合のリスクレベルは、上記（１）式に基づいて４／６＝６６．７％となる。

【0052】

実際にこのようなリスクレベルを算出した後、予め設定した閾値とリスクレベルを比較し、リスクレベルが閾値以上の場合には、危険ドメインと判定し、リスクレベルが閾値未満の場合にはこれを危険ドメインと判定しないようにしてもよい。この閾値の設定は、システムの運用業者側において自由に設定することができ、少しでも悪性ＵＲＬへ到達する可能性のあるドメインを悪性ドメインするか、或いは悪性ＵＲＬへ到達する可能性がかなり高いもののみを悪性ドメインするか、決めることが可能となる。

【0053】

図４の例では、異なる７つのＵＲＬに到達する複数のアクセスパスから構築されているアクセスパスが描かれているが、そのＵＲＬのうちの４つは悪性ＵＲＬであり、ドメインＱ及びドメインＳを通じたアクセスは、全て悪性ＵＲＬに到達する。このため、これらのドメインは危険ドメインとみなされる。ドメインＴを通じたアクセスは、悪性ＵＲＬと、安全なＵＲＬの両方に到達するが、ドメインＴのリスクレベルが閾値以上の確率で悪性ＵＲＬに到達する場合には、危険ドメインとみなされる。

【0054】

なお、本発明においては、このような危険ドメインの判別は、上述したリスクレベルを参照する場合に限定されるものではなく、アクセスパスを参照し、一連のアクセスの中でユーザが各ドメイン訪問以降に実施する後続のアクセスにて悪性ＵＲＬに到達するか否かに基づくものであればいかなる方法により推定するようにしてもよい。

【0055】

またリスクレベルを算出した後、これを閾値を介して危険ドメインであるか否かの２段階を判別する以外に、その危険度を３段階以上で判別してもよい。かかる場合には、閾値を２段階以上設定し、いかなる閾値以上で、かついかなる閾値未満かに応じて危険ドメインの危険度を判別するようにしてもよい。

【0056】

リスク推定フェーズを通じて判別された危険ドメインに関しては、これにアクセスしようとするユーザに対して警告を通知するようにしてもよい。かかる場合には、サーバ４において判別された危険ドメインについては、各ユーザ端末２へと通知し、各ユーザ端末２においてユーザが危険ドメインに対しアクセスを実施した，もしくはアクセス要求を発した場合において、危険性が高い旨を注意喚起することができる。又は、各ユーザ端末２においてユーザが危険ドメインにアクセスしようとする場合、当該危険ドメインへのユーザのアクセスを遮断するように通信を制御するようにしてもよい。

【0057】

このように、本発明を適用したドメインリスク推定システム１では、悪性ＵＲＬに到達する虞があるドメインにユーザが到達した，もしくはアクセスしようとする際に注意喚起等を促し、或いはそのドメインへの通信を遮断することができる。このためユーザが悪性ＵＲＬに到達してしまうのを未然に防止することが可能となる。

【0058】

特に個々のドメイン自体は、悪性のコンテンツをホストしていないケースも多く、このようなものはブラックリストからは掲載されていない場合が多い。各ドメインへのアクセス後に訪問される後続のＵＲＬ群の中には、現時点にて悪性特定されていないにしても、本来悪性ＵＲＬとして特定されるべきＵＲＬが存在しているケースが多いため，このドメインにて通信を遮断することにより、ユーザが悪性ＵＲＬに到達する可能性を従来よりも低減させることができる。

【0059】

また、そのドメイン自体が悪性ではなく、数ホップ先で悪性ＵＲＬにリンクしている場合であっても、ブラックリストに登録されることはなかったが、本発明において、上述のような危険ドメインを特定することができることから、その危険ドメイン自体をブラックリストに登録して管理することも可能となる。

【符号の説明】

【0060】

１ ドメインリスク推定システム
２ ユーザ端末
４ サーバ
１０ 公衆通信網

【図1】

【図2】

【図3】

【図4】

【図5】