当对插入到被篡改的网站(10)的内容(11)中的重定向代码进行检查的结果为在该重定向代码中描述有新的恶性网站的信息时,监视装置(30)取得该恶性网站的信息且登记在黑名单(40)中。另外,监视装置(30)从黑名单(40)中删除内容(11)的重定向代码中不再描述的恶性网站的信息。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及监视装置、监视方法以及监视程序。
技术介绍
在恶意软件感染或钓鱼攻击(phishing attack)等各种网络攻击中使用有恶意的网站(以下称为恶性网站)。预先对恶性网站进行黑名单化,由此能够切断用户对恶性网站的访问来防止攻击。恶性网站的发现方法有如下各种方法等:检查通过检索引擎的关键字检索列举出的URL(Uniform Resource Locator:统一资源定位符)的方法;追踪超级链接而发现的方法;检查垃圾邮件的URL的方法;基于用户报告的方法(参照非专利文献1~4)。一般而言,可登记在黑名单中的条目数存在上限。另外,黑名单中登记的条目数越多,则URL的匹配的处理越增加,因此,优选从黑名单中尽量排除掉不再被利用的恶性网站。因此,在经过一定期间(例如,24小时、7天等)后排除掉黑名单中登记的恶性网站的URL(以下称为时效(aging))、或者删除无应答的恶性网站的URL。现有技术文献非专利文献非专利文献1:The Honeynet Project,\Know Your Enemy:Malicious Web Servers\、[online]、[平成26年1月7日检索]、互联网<http://www.honeynet.org/papers/mws>非专利文献2:Mitsuaki Akiyama,\Searching structural neighborhood of malicious URLs to improve blacklisting\,IEEE/IPSJ SAINT,2011非专利文献3:Jack W.Stokes,\WebCop:Locating Neighborhoods of Malware on the Web\,USENIX LEET,2010非专利文献4:Luca Invernizzi,\EvilSeed:A Guided Approach to Finding Malicious Web Pages\,IEEE Security and Privacy,2012非专利文献5:Mitsuaki Akiyama,\Design and Implementation of High Interaction Client Honeypot for Drive-by-Download Attacks,IEICE Transaction on Communication,Vol.93-B,pp.1131-1139,2010
技术实现思路
专利技术要解决的课题但是,当根据上述时效从黑名单中删除URL时,实际上有可能排除掉作为恶性网站生存的网站的URL。另外,在从黑名单中删除无应答的恶性网站的URL的方法中,当使用了在恶性网站侧称为障眼法(Cloaking)的安全检查的躲避方法时,也有可能在检查系统侧对于实际上生存的恶性网站判断为不生存。作为该障眼法的例子例如有如下方法:在恶性网站侧对访问自己的网站的客户端的IP地址(Internet Protocol address:互联网协议地址)信息进行记录,在第2次以后禁止从相同的IP地址的客户端进行访问。当在恶性网站侧进行了这样的障眼法时,检查系统对恶性网站只能正常访问一次。因此,例如,检查系统在根据HTTP(Hyper Text Transfer Protocol:超文本传输协议)的正常应答(“200OK”状态码的应答)进行恶性网站的生存确认的情况下,当在恶性网站侧进行障眼法时,检查系统无法得到来自该恶性网站侧的应答(例如,虽然应答“200OK”状态码,但内容无害或者内容不存在)。其结果为,存在如下问题:尽管该恶性网站在实际上生存,但检查系统判断为该恶性网站并不生存,而从黑名单中删除该恶性网站的URL。因此,本专利技术的课题在于,解决上述问题,在黑名单中登记实际上生存的恶性网站的信息。用于解决课题的手段为了解决上述课题并达成目的,本专利技术的特征在于,该监视装置具有:检查部,其对插入到被篡改的网站的内容中的重定向代码进行检查;追加部,当上述检查的结果为在上述重定向代码中描述有新的网站的信息时,该追加部在黑名单中追加上述网站的信息;以及删除部,其从上述黑名单中删除上述检查的结果为在上述重定向代码中不再描述的上述网站的信息。专利技术效果根据本专利技术,不会删除实际上生存的恶性网站的信息,而能够防止将实际上不生存的恶性网站的信息继续登记在黑名单中。其结果为,能够在黑名单中追加新的恶性网站的信息,并且,能够抑制黑名单的条目数的增大,降低使用了黑名单的过滤的处理时间。附图说明图1是示出本实施方式的系统的结构的图。图2是示出监视装置的结构的图。图3A是示出恶性网站生存确认表的例子的图。图3B是示出恶性网站生存确认表的例子的图。图3C是示出恶性网站生存确认表的例子的图。图4A是示出从恶性网站生存确认表中取出出现网站的信息与其生存期间之间的对应而得到的信息的例子的图。图4B是示出从恶性网站生存确认表中取出出现网站的信息与其生存期间之间的对应而得到的信息的例子的图。图4C是示出从恶性网站生存确认表中取出出现网站的信息与其生存期间之间的对应而得到的信息的例子的图。图5是示出监视装置的处理步骤的流程图。图6是示出执行监视程序的计算机的图。具体实施方式以下,对用于实施本专利技术的方式(实施方式)进行说明。此外,本专利技术不限于本实施方式。在图1中示出本实施方式的系统的结构图。系统构成为包含检查对象的网站10、恶性网站20、监视装置30以及黑名单40。网站10是监视装置30的检查对象的网站,已知预先被篡改。该网站10包含内容11。假设该内容11被攻击者的篡改而被嵌入代码(重定向代码),该代码用于将对该内容11的访问重定向至恶性网站20。恶性网站20是由攻击者管理的网站,包含恶性内容21。监视装置30持续地检查网站10的内容11的重定向代码,使用其检查结果来进行对黑名单40的登记或删除。例如,监视装置30从插入到内容11中的重定向代码中发现新的恶性网站20的信息时,将该恶性网站20的信息登记在黑名单40中。该恶性网站20的信息是URL、FQDN(Fully Qualified Domain Name:完全合格的域名)、分配给FQDN的IP地址等。而且,监视装置30检查网站的内容11的重定向代码,当在该重定向代码中不存在以前登记在黑名单40中的恶性网站20的信息时,从黑名单40中删除该恶性网站20的信息。黑名单40是表示恶性网站20的信息的信息。此外,由监视装置30设为检查对象的网站10可以为如图1所示地多个,也可以为单个。另外,即使是内容11的重定向代码中不再描述的恶性网站20的信息,也有时在规定期间经过后再次描述。在这样的情况下,即使监视装置30从黑名单40中一旦删除了该信息,也通过再次检查来发现而登记在黑名单40中。接着,使用图2,详细地说明监视装置30。图2是示出监视装置的结构的图。监视装置30具有输入输出部31、通信部32、控制部33以及存储部34。输入输出部31负责与外部装置(例如,存储黑名单40的装置)之间的各种数据的输入输出。通信部32负责与网站10等之间的通信。控制部33具有检查部331、追加部332以及删除部333。检查部331对检查对本文档来自技高网...
【技术保护点】
一种监视装置,其特征在于,具有:检查部,其对插入到被篡改的网站的内容中的重定向代码进行检查;追加部,当上述检查的结果为在上述重定向代码中描述有新的网站的信息时,该追加部在黑名单中追加上述网站的信息;以及删除部,其从上述黑名单中删除上述检查的结果为在上述重定向代码中不再描述的上述网站的信息。
【技术特征摘要】
【国外来华专利技术】2014.03.13 JP 2014-0502781.一种监视装置,其特征在于,具有:检查部,其对插入到被篡改的网站的内容中的重定向代码进行检查;追加部,当上述检查的结果为在上述重定向代码中描述有新的网站的信息时,该追加部在黑名单中追加上述网站的信息;以及删除部,其从上述黑名单中删除上述检查的结果为在上述重定向代码中不再描述的上述网站的信息。2.根据权利要求1所述的监视装置,其特征在于,上述检查部对1个以上的被篡改的网站的内容进行检查,当上述检查的结果为在至少任意上述网站的内容的重定向代码中描述有新的网站的信息时,上述追加部在上述黑名单中追加上述网站的信息,上述删除部从上述黑名单中删除上述检查的结果为在任何网站的内容的重定向代码中都不再描述的上述网站的信息。3.根据权利要求1或2所述的监视装置,其特征在于,上述追加部取得URL(U...
【专利技术属性】
技术研发人员:秋山满昭,针生刚男,
申请(专利权)人:日本电信电话株式会社,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。