JP5613000B2 - Application characteristic analysis apparatus and program - Google Patents
Application characteristic analysis apparatus and program Download PDFInfo
- Publication number
- JP5613000B2 JP5613000B2 JP2010228732A JP2010228732A JP5613000B2 JP 5613000 B2 JP5613000 B2 JP 5613000B2 JP 2010228732 A JP2010228732 A JP 2010228732A JP 2010228732 A JP2010228732 A JP 2010228732A JP 5613000 B2 JP5613000 B2 JP 5613000B2
- Authority
- JP
- Japan
- Prior art keywords
- application
- information
- unit
- log
- malignant
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、複数種類のログの情報からアプリケーションの特性を解析するアプリケーション特性解析装置に関する。また、本発明は、本アプリケーション特性解析装置としてコンピュータを機能させるためのプログラムにも関する。 The present invention relates to an application characteristic analysis apparatus that analyzes application characteristics from information of multiple types of logs. The present invention also relates to a program for causing a computer to function as the application characteristic analysis apparatus.
昨今、PCに近い高機能を実現したスマートフォンの普及が進んでいる。また、スマートフォンに実装されるOS(オペレーティングシステム)として、例えばオープンプラットフォームと呼ばれる汎用的なOSであるAndroidが採用されている。このようなOS上で動作する多数のアプリケーションがインターネット上で公開されており、スマートフォンのユーザは必要なアプリケーションを選択してスマートフォンにインストールすることが可能である。 In recent years, smartphones that realize high functionality close to PCs are becoming popular. As an OS (operating system) installed in a smartphone, for example, Android which is a general-purpose OS called an open platform is adopted. Many applications operating on such an OS are published on the Internet, and a smartphone user can select a necessary application and install it on the smartphone.
しかし、スマートフォンの普及に伴って、利用者の個人情報の窃盗や、悪性サイトへの誘導、OSの管理者権限の奪取など、利用者が意図せず不利益を被る可能性のある振る舞いを行う悪性アプリケーションも登場している。このような悪性アプリケーションを検知することが重要である。 However, with the spread of smartphones, behaviors that may cause users' unintentional disadvantages such as stealing personal information of users, guiding them to malignant sites, and stealing OS administrator privileges. Malicious applications have also appeared. It is important to detect such malicious applications.
Androidでは、悪性アプリケーションを検知する方法として、Dalvikと呼ばれる仮想マシン上でのアプリケーションのデバッグツールであるDalvik Debug Monitor Service(DDMS)またはLogcatを利用して収集されるアプリケーションログを解析する手法がある。また、Dalvik仮想マシンよりも下のレイヤとなるLinux(登録商標)のカーネル内でシステムコールを監視するstraceを利用して収集されるカーネルログや、Linux(登録商標)に組み込まれるネットワークデバイスドライバで送受信用のパケットを監視するtcpdumpを利用して収集される通信ログも利用できる。 In Android, there is a method of analyzing application logs collected using Dalvik Debug Monitor Service (DDMS) or Logcat, which is a debugging tool for applications on a virtual machine called Dalvik, as a method for detecting malicious applications. In addition, kernel logs collected using strace that monitors system calls in the Linux (registered trademark) kernel, which is a lower layer than the Dalvik virtual machine, and network device drivers embedded in Linux (registered trademark) You can also use communication logs collected using tcpdump, which monitors packets for sending and receiving.
この他、アプリケーションの実行コードを解析する手法もある。また、Androidアプリケーションは複数のファイルで構成されており、アプリケーションを構成する構成ファイルのファイル名を解析する手法(例えばアンチウイルスソフト)や、アプリケーションのインストールによって追加または変更されるファイルのファイル名を解析する手法(例えば特定のIDS(Intrusion Detection System))もある。なお、特許文献1には、ネットワーク機器から出力されるログの分析を行う手法が開示されている。
In addition, there is a method for analyzing the execution code of the application. In addition, Android applications are composed of multiple files. Analyze the file names of the configuration files that make up the application (for example, anti-virus software) and the file names of files that are added or changed by application installation. There is also a technique (for example, a specific IDS (Intrusion Detection System)).
上記のような複数のログや、ファイル、実行コードのそれぞれを解析することで、悪性アプリケーションを見逃しなく検知できるようになる。しかし、Dalvik仮想マシン上の挙動は、Linux(登録商標)層での挙動にも現れるため、挙動がログに二重に記録される問題がある。さらに、ネットワーク攻撃を行う悪性アプリケーションが動作する場合には、その挙動が通信ログにも記録されることで、挙動がログに三重に記録されることになる。 By analyzing each of the above logs, files, and executable codes, it becomes possible to detect malicious applications without missing them. However, since the behavior on the Dalvik virtual machine also appears in the behavior in the Linux (registered trademark) layer, there is a problem that the behavior is recorded twice in the log. Furthermore, when a malicious application that performs a network attack operates, the behavior is recorded in the communication log, and the behavior is recorded in triplicate in the log.
特定の実行コードを含んだファイルをアプリケーションに内包することで上記のような悪意の挙動が実現される場合があり、その場合には、実行コードや、アプリケーションを構成するファイル、アプリケーションのインストール前後で変化するファイルにも攻撃の痕跡が現れる。1つのアプリケーションの特性を解析するために、重複した悪意の挙動を個々に解析すると、同一の挙動に関連する情報を何度も検知することになり、アプリケーションの特性が過剰に強調されてしまうことになる。 By including a file containing a specific executable code in the application, the malicious behavior described above may be realized. In that case, the executable code, the files that make up the application, and before and after the installation of the application Traces of attacks also appear on changing files. Analyzing duplicate malicious behaviors individually to analyze the characteristics of a single application will detect information related to the same behavior over and over, and the application characteristics will be overemphasized. become.
例えば、個人情報を漏洩するアプリケーションの挙動に関して、上記のログやファイル等の解析を行うと、以下のように複数の情報が検知される。
アプリケーションログ(DDMSログ)の解析結果: 端末の電話番号の外部への送信を検知(危険度:2)。
アプリケーションログ(Straceログ)の解析結果:ディスクからメモリへの端末の電話番号の読み出しを検知(危険度:1)。
通信ログ(Tcpdumpログ)の解析結果:特定のIPアドレスへの端末の電話番号の送信を検知(危険度:2)。
実行コードの解析結果: 端末の電話番号の読み取り機能を検知(危険度:1)、外部ホストとの通信機能を検知(危険度:0)。
アプリケーションの構成ファイルのファイル名の解析結果:端末の電話番号を外部ホストへ送信する機能を検知(危険度:2)。
追加されたファイルのファイル名の解析結果:端末の電話番号を外部ホストへ送信する機能を検知(危険度:2)。
For example, regarding the behavior of an application that leaks personal information, when the above logs and files are analyzed, a plurality of pieces of information are detected as follows.
Analysis result of application log (DDMS log): Sending the phone number of the terminal to the outside is detected (risk level: 2).
Analysis result of application log (Strace log): Detection of reading the phone number of the terminal from the disk to the memory (risk level: 1).
Analysis result of communication log (Tcpdump log): Transmission of the phone number of the terminal to a specific IP address is detected (risk level: 2).
Execution code analysis result: The terminal phone number reading function is detected (risk level: 1), and the communication function with external hosts is detected (risk level: 0).
Analysis result of application configuration file name: Detects the function to send the phone number of the terminal to an external host (risk level: 2).
Analysis result of added file name: Detects the function to send the phone number of the terminal to an external host (risk level: 2).
上記のように検知された複数の情報を区別して解析結果として出力すると、解析結果が分かりにくくなり、危険な挙動が多数検知されたと管理者等を錯覚させてしまい、複数の情報に共通する悪意の挙動を管理者等が把握することが困難となる。したがって、ログやファイル等の解析によって検知される複数の情報を集約した解析結果を得ることが望ましい。 Distinguishing multiple pieces of detected information as described above and outputting them as analysis results makes it difficult to understand the analysis results, creating an illusion of the administrator, etc., when a number of dangerous behaviors are detected. It becomes difficult for an administrator or the like to grasp the behavior. Therefore, it is desirable to obtain an analysis result obtained by aggregating a plurality of pieces of information detected by analysis of logs and files.
本発明は、上述した課題に鑑みてなされたものであって、悪性アプリケーションの挙動に関連する代表的な情報を得ることができる情報アプリケーション特性解析装置およびプログラムを提供することを目的とする。 The present invention has been made in view of the above-described problems, and an object of the present invention is to provide an information application characteristic analysis apparatus and program capable of obtaining representative information related to the behavior of a malignant application.
本発明は、上記の課題を解決するためになされたもので、悪性アプリケーションの挙動に関連する情報で構成される複数のパターンと、前記パターンに関連付けられ、前記悪性アプリケーションの挙動の代表的な特性を示す代表特性情報と、前記代表特性情報に関連付けられ、前記悪性アプリケーションの危険度を示す数値とを記憶する記憶部と、アプリケーションの挙動を記録したアプリケーションログ、カーネルの挙動を記録したカーネルログ、および通信時に送信および受信されるパケットの情報を記録した通信ログのそれぞれに記録されている情報と前記複数のパターンとを比較する比較部と、前記アプリケーションログ、前記カーネルログ、または前記通信ログに記録されている情報と一致した前記パターンに関連付けられた前記代表特性情報および前記数値の組合せを抽出する抽出部と、前記抽出部によって複数種類の前記組合せが抽出された場合、抽出された複数種類の前記組合せの前記数値を比較し、最も高い危険度を示す前記数値を含む前記組合せを選択する選択部と、を備えたことを特徴とするアプリケーション特性解析装置である。 The present invention has been made to solve the above-described problems, and includes a plurality of patterns configured by information related to the behavior of a malicious application, and typical characteristics of the behavior of the malicious application associated with the pattern. A storage unit for storing representative characteristic information indicating a numerical value indicating the risk level of the malignant application associated with the representative characteristic information, an application log recording the behavior of the application, a kernel log recording the behavior of the kernel, A comparison unit that compares the information recorded in each of the communication logs that record information of packets transmitted and received during communication with the plurality of patterns, and the application log, the kernel log, or the communication log. The associated with the pattern that matches the recorded information And table characteristic information and the extraction unit extracts a combination of the numerical values, when a plurality kinds of the combination extracted by the extracting unit, comparing the numerical values of the extracted plural kinds of the combinations, the highest risk And a selection unit that selects the combination including the numerical values to be displayed .
また、本発明のアプリケーション特性解析装置は、前記選択部によって選択された前記組合せを表示する表示部をさらに備えたことを特徴とする。 In addition, the application characteristic analysis apparatus according to the present invention further includes a display unit that displays the combination selected by the selection unit.
また、本発明のアプリケーション特性解析装置において、前記比較部はさらに、アプリケーションを構成するファイルの情報と前記複数のパターンとを比較することを特徴とする。 In the application characteristic analysis apparatus of the present invention, the comparison unit further compares information on files constituting the application with the plurality of patterns.
また、本発明のアプリケーション特性解析装置において、前記比較部はさらに、第1の時点と第2の時点の間に追加または変更されたファイルの情報と前記複数のパターンとを比較することを特徴とする。 In the application characteristic analysis apparatus of the present invention, the comparison unit further compares the information of the file added or changed between the first time point and the second time point with the plurality of patterns. To do.
また、本発明のアプリケーション特性解析装置において、前記比較部はさらに、アプリケーションのコード解析を行って得られる情報と前記複数のパターンとを比較することを特徴とする。 In the application characteristic analysis apparatus of the present invention, the comparison unit further compares information obtained by performing code analysis of the application with the plurality of patterns.
また、本発明のアプリケーション特性解析装置において、前記抽出部は、前記比較部が所定の単位で比較を行う毎に前記組合せを抽出し、前記選択部は、前記比較部が所定の単位で比較を行う毎に、前記抽出部によって抽出された複数種類の前記組合せの前記数値を比較し、最も高い危険度を示す前記数値を含む前記組合せを選択し、前記選択部によって選択された前記組合せに含まれる前記数値が所定の数値である場合に、前記比較部は、比較を行う動作を停止することを特徴とする。 In the application characteristic analysis apparatus of the present invention, the extraction unit extracts the combination every time the comparison unit performs comparison in a predetermined unit, and the selection unit performs comparison in the predetermined unit. Each time it is performed, the numerical values of a plurality of types of the combinations extracted by the extraction unit are compared , the combination including the numerical value indicating the highest degree of risk is selected, and included in the combination selected by the selection unit In the case where the numerical value is a predetermined numerical value, the comparison unit stops the operation of performing the comparison.
また、本発明は、悪性アプリケーションの挙動に関連する情報で構成される複数のパターンと、前記パターンに関連付けられ、前記悪性アプリケーションの挙動の代表的な特性を示す代表特性情報と、前記代表特性情報に関連付けられ、前記悪性アプリケーションの危険度を示す数値とを記憶する記憶部と、アプリケーションの挙動を記録したアプリケーションログ、カーネルの挙動を記録したカーネルログ、および通信時に送信および受信されるパケットの情報を記録した通信ログのそれぞれに記録されている情報と前記複数のパターンとを比較する比較部と、前記アプリケーションログ、前記カーネルログ、または前記通信ログに記録されている情報と一致した前記パターンに関連付けられた前記代表特性情報および前記数値の組合せを抽出する抽出部と、前記抽出部によって複数種類の前記組合せが抽出された場合、抽出された複数種類の前記組合せの前記数値を比較し、最も高い危険度を示す前記数値を含む前記組合せを選択する選択部と、としてコンピュータを機能させるためのプログラムである。 Further, the present invention provides a plurality of patterns composed of information related to the behavior of the malignant application, representative characteristic information associated with the pattern and indicating typical characteristics of the behavior of the malignant application, and the representative characteristic information. , A storage unit that stores a numerical value indicating the risk level of the malicious application, an application log that records the behavior of the application, a kernel log that records the behavior of the kernel, and information of packets transmitted and received during communication A comparison unit that compares the information recorded in each of the communication logs recorded with the plurality of patterns, and the pattern that matches the information recorded in the application log, the kernel log, or the communication log. A combination of the representative characteristic information and the numerical value associated with each other Selection and extraction portion for output, when it is extracted several kinds of the combination by the extraction section, the value of the extracted plural kinds of the combination are compared, and the combination comprising said numerical value indicating the highest risk And a program for causing the computer to function as the selection unit.
本発明によれば、第2の情報抽出部によって複数種類の組合せが抽出された場合、抽出された複数種類の組合せの数値を比較し、最も高い危険度を示す数値を含む組合せを選択することによって、悪性アプリケーションの挙動に関連する代表的な情報を得ることができる。 According to the present invention, when a plurality of types of combinations are extracted by the second information extraction unit, the numerical values of the extracted combinations of the plurality of types are compared, and the combination including the numerical value indicating the highest risk is selected. Thus, representative information related to the behavior of the malicious application can be obtained.
以下、図面を参照し、本発明の実施形態を説明する。本実施形態では、ログ等から検知されるアプリケーションの各種特性を代表的な特性に集約する手法を提案している。この手法では、悪性アプリケーションのパターンと一致する様々なパターンがログ等から検知されるが、最終的に解析結果として得られるのは、詳細なパターンを集約した概念を示す代表的な特性である。例えば、数万行のデータからなるログ等と数百種類の悪性パターンとを比較して解析を行った結果、「個人情報の漏洩を検知 危険度:2」というような情報が出力される。このように代表的な特性を示す情報のみを出力することによって、解析結果が分かりやすくなり、管理者等が悪意の挙動およびその程度を容易に把握することができる。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the present embodiment, a technique for aggregating various characteristics of applications detected from logs or the like into representative characteristics is proposed. In this method, various patterns that match the pattern of the malignant application are detected from a log or the like, but what is finally obtained as an analysis result is a representative characteristic indicating a concept in which detailed patterns are aggregated. For example, as a result of comparing a log composed of tens of thousands of lines of data with hundreds of types of malignant patterns, information such as “detection of leakage of personal information risk: 2” is output. Thus, by outputting only information indicating typical characteristics, the analysis result becomes easy to understand, and an administrator or the like can easily grasp the malicious behavior and its degree.
検知された情報に危険度を付与して解析結果として出力する場合、検知された個々の危険度を単純に合計して出力すると、必要以上に危険度の数値が高くなり、非常に危険な挙動が検知されたと管理者等を錯覚させてしまう。そこで、本実施形態では、ログ等から検知されるアプリケーションの各種特性に関連付けられている危険度を合計するのではなく、予め用意された代表的な特性に関連付けられている危険度をそのまま出力することによって、悪性アプリケーションの挙動が過剰に強調されないようにしている。 When the detected information is given a risk level and output as an analysis result, if the detected individual risk levels are simply summed and output, the numerical value of the risk will be higher than necessary, resulting in extremely dangerous behavior. If this is detected, the manager will be illusioned. Therefore, in this embodiment, the risk levels associated with typical characteristics prepared in advance are output as they are, instead of summing the risk levels associated with various characteristics of the application detected from the log or the like. This avoids excessive emphasis on the behavior of malicious applications.
図1は、本発明の一実施形態によるアプリケーション特性解析装置の構成を示している。図1に示すアプリケーション特性解析装置は、アプリケーション10、仮想マシン11、カーネル12、通信部13、操作部14、表示部15、アプリケーション監視部16、システムコール監視部17、パケット監視部18、ログ生成部19、記憶部20、コード解析部21、アプリケーション構成ファイル解析部22、追加・変更ファイル解析部23、解析部24、パターン比較部25、代表特性抽出部26、選択部27、解析結果出力部28を有する。
FIG. 1 shows the configuration of an application characteristic analysis apparatus according to an embodiment of the present invention. 1 includes an
アプリケーション10は仮想マシン11上で動作する。図1では1つのアプリケーションのみを図示しているが、複数のアプリケーションが動作することが可能である。仮想マシン11は、Androidプラットフォームで提供されているdalvikに相当し、OSであるAndroid上に実装されている。カーネル12はAndroidの中核部分であり、プロセス管理、メモリ管理、通信部13等のデバイスに係るデバイス管理、システムコールの制御を行う。
The
通信部13は、ネットワークを介して外部の通信装置と通信を行う。操作部14は、ユーザが操作する操作部材を有する。表示部15は、各種の情報を表示する。
The
アプリケーション監視部16は、アプリケーション10と仮想マシン11の間で入出力される情報を監視し、アプリケーション10の実行条件や状態に関する情報を出力する。アプリケーション監視部16の機能は、例えばDDMSやLogcatを利用することで実現することができる。システムコール監視部17は、カーネル12内でシステムコールを監視し、アプリケーション10の処理に関連するプロセスが呼び出したシステムコールの情報を出力する。システムコール監視部17の機能は、例えばstraceを利用することで実現することができる。
The
パケット監視部18は、通信部13が送受信するパケットを監視し、パケットの宛先等の情報を出力する。パケット監視部18の機能は、例えばtcpdumpを利用することで実現することができる。ログ生成部19は、アプリケーション監視部16から出力された情報を記録したアプリケーションログ、システムコール監視部17から出力された情報を記録したカーネルログ、パケット監視部18から出力された情報を記録した通信ログを生成し、記憶部20に格納する。
The
上記のように、記憶部20には各ログが格納される。アプリケーションログには、アプリケーションの挙動に関する各種情報が記録されている。カーネルログには、カーネルの挙動、特にシステムコールの挙動が記録されている。通信ログには、通信時に送受信されるパケットの情報が記録されている。
As described above, each log is stored in the
記憶部20は上記のログのほか、アプリケーション10の実行ファイル等の各種ファイルを記憶する。コード解析部21は、記憶部20に格納されているアプリケーション10の実行ファイルのコード解析を行ってアプリケーション10の機能(命令列)を抽出し、コード解析結果を記憶部20に格納する。
In addition to the above log, the
アプリケーション構成ファイル解析部22は、記憶部20に格納されている、アプリケーション10を構成する各ファイルのファイル名を抽出し、構成ファイル名として記憶部20に格納する。図2はアプリケーションの実行ファイルの構成を示している。図2に示すように実行ファイル200は、命令列を含む実行コード201、アプリケーションのパッケージ名称やアプリケーションが利用するコンポーネント等の情報を含むマニフェストファイル202、実行コード201の実行時に参照されるライブラリ203、およびパラメータ204等のファイルで構成されている。アプリケーション構成ファイル解析部22はこれらのファイルのファイル名を抽出する。アプリケーション構成ファイル解析部22の機能は、例えばアンチウイルスソフトを利用することで実現することができる。
The application configuration
追加・変更ファイル解析部23は、異なる2つの時点の間に追加または変更されたファイルのファイル名を抽出し、追加・変更ファイル名として記憶部20に格納する。本実施形態では、追加・変更ファイル解析部23は、特にアプリケーションのインストールによって追加または変更されたファイルを解析対象としている。このため、追加・変更ファイル解析部23は、アプリケーションのインストールが実行されるタイミングの前後のタイミングで記憶部20内のファイルの解析を行う。追加・変更ファイル解析部23の機能は、例えば特定のIDSを利用することで実現することができる。
The addition / change
解析部24は、記憶部20に格納されているアプリケーションログ等を用いて、アプリケーション10の挙動に関する解析を行う。解析部24は、パターン比較部25、代表特性抽出部26、選択部27、解析結果出力部28を有する。
The
解析部24が有する各部の機能を説明する前に、解析対象、悪性パターン、代表特性の関係を説明する。解析対象、悪性パターン、代表特性は、図3に示すように関連付けられている。解析対象は、アプリケーションログ、カーネルログ、通信ログ、構成ファイル名、追加・変更ファイル名、コード解析結果(アプリケーションの機能)である。これらの解析対象は、各解析対象に対応した悪性パターンと関連付けられている。例えば、アプリケーションログおよびカーネルログは、悪性アプリケーションに関する所定の挙動パターン、および悪性アプリケーションが行う通信の通信先と関連付けられている。通信ログは、悪性アプリケーションが行う通信の通信先、および悪性アプリケーションが通信を行った場合の通信量と関連付けられている。構成ファイル名および追加・変更ファイル名は、悪性アプリケーションに関係するファイル名と関連付けられている。コード解析結果は、悪性アプリケーションに含まれるコードと関連付けられている。本実施形態では、各解析対象のデータと、各解析対象に関連付けられた悪性パターンとのパターンマッチングによって悪性パターンの検知が行われる。
Before describing the function of each unit included in the
これらの悪性パターンは、各悪性パターンに対応した代表特性に関連付けられている。本実施形態では、代表特性の大分類として、「スパイウェア(情報漏洩)」、「攻撃」、「その他」の3種類が用意されている。また、それぞれの大分類には、より具体的な特性である小項目と危険度が関連付けられている。例えば、「スパイウェア(情報漏洩)」という大分類には、漏洩される情報の種類を示す小項目である「個人情報」と、「その他情報」とが関連付けられている。「攻撃」という大分類には、攻撃の種類を示す小項目である「root権限奪取」と、「端末破壊」と、「ネットワーク攻撃」とが関連付けられている。「その他」という大分類には、「多量な通信」という小項目が関連付けられている。また、それぞれの小項目には危険度が関連付けられている。 These malignant patterns are associated with representative characteristics corresponding to each malignant pattern. In this embodiment, three types of “spyware (information leakage)”, “attack”, and “others” are prepared as major classifications of representative characteristics. In addition, each large category is associated with a small item that is a more specific characteristic and a risk level. For example, “personal information” which is a small item indicating the type of information to be leaked and “other information” are associated with the large classification “spyware (information leakage)”. The major category “attack” is associated with “root privilege capture”, “terminal destruction”, and “network attack”, which are small items indicating the type of attack. A small item “a large amount of communication” is associated with the large category “other”. In addition, a risk level is associated with each small item.
ある解析対象と悪性パターンとのパターンマッチングによって特定の悪性パターンが検知された場合、上記の関係をたどって、解析結果となる代表特性が抽出される。すなわち、どのような悪性パターンが検知された場合でも、解析結果は最終的に上記の代表特性のいずれかに集約されることになる。本実施形態では、検知された複数の悪性パターンから、大分類が同一で小項目および危険度が異なる代表特性が抽出された場合、最も高い危険度を有する代表特性が選択される。例えば、「スパイウェア(情報漏洩)」という大分類を有する代表特性のうち、小項目および危険度が異なる2つの代表特性の全てが抽出された場合、危険度が「2」であり、小項目が「個人情報」である代表特性が選択され、解析結果として出力される。 When a specific malignant pattern is detected by pattern matching between a certain analysis target and a malignant pattern, the above characteristic is traced and a representative characteristic as an analysis result is extracted. That is, no matter what malignant pattern is detected, the analysis result is finally collected into one of the above representative characteristics. In the present embodiment, when representative characteristics having the same major classification and different small items and different risk levels are extracted from a plurality of detected malignant patterns, the representative characteristics having the highest risk level are selected. For example, if all of the representative characteristics with a large classification of “spyware (information leakage)” are extracted, and the two representative characteristics with different risk levels are extracted, the risk level is “2”. A representative characteristic which is “personal information” is selected and output as an analysis result.
上記の解析対象、悪性パターン、代表特性の関係は、悪性パターンファイルとして予め記憶部20に格納されている。図4は悪性パターンファイルの内容を示している。悪性パターンファイルは、番号400と関連付けられた情報410〜450の5種類の情報を含む。情報410は解析対象を示している。アプリケーションログ、カーネルログ、通信ログ、構成ファイル名、追加・変更ファイル名、コード解析結果(アプリケーションの機能)が解析対象である。情報410が複数の解析対象の情報を含む場合もある。
The relationship between the analysis target, the malignant pattern, and the representative characteristic is stored in advance in the
情報420は、悪性パターンを示している。悪性パターンは、実際の悪性アプリケーションの挙動の痕跡を示す情報で構成されている。悪性パターンの具体例については後述する。情報430(代表特性情報)は、代表特性の大分類を示している。「スパイウェア(情報漏洩)」、「攻撃」、「その他」が代表特性の大分類である。情報440(代表特性情報)は、大分類中の小項目を示している。例えば、「スパイウェア(情報漏洩)」に関連付けられた「個人情報」や「その他情報」が小項目である。情報450は危険度を示している。
本実施形態では、上記の悪性パターンファイルを予め作成して記憶部20に格納しておく必要がある。悪性パターンは、既知の悪性アプリケーションを動作させてその挙動を各種ツールで監視することによって取得される。また、悪性パターンと代表特性の大分類・小項目や危険度との関連付けは、悪性パターンファイルを作成する作成者の意思によって決定される。例えば、解析部24の機能を有するアプリケーションを開発する開発者の意思によって、この関連付けが決定される。この関連付けは、後述する解析対象の解析を行うときまでに決定されていればよいので、開発者等によって一旦決定された関連付けを利用者が変更できるようにしてもよい。
In the present embodiment, it is necessary to create the malignant pattern file in advance and store it in the
以下、解析部24が有する各部の機能を説明する。パターン比較部25は、上記の解析対象中のデータと、記憶部20に格納されている悪性パターンファイル中の悪性パターンとを比較する。代表特性抽出部26は、解析対象中のデータと悪性パターンとが一致した場合に、その悪性パターンと関連付けられている代表特性を抽出する。選択部27は、代表特性抽出部26によって抽出された代表特性の中から、解析結果として出力するものを選択する。解析結果出力部28は、選択部27によって選択された代表特性を解析結果として表示部15へ出力する。
Hereinafter, functions of each unit included in the
次に、本実施形態における悪性パターンを説明する。図3に示したように、悪性パターンは、悪性アプリケーションに関する所定の挙動パターン、悪性アプリケーションが行う通信の通信先、悪性アプリケーションが通信を行った場合の通信量、悪性アプリケーションに関係するファイル名、悪性アプリケーションに含まれるコードの情報を含む。 Next, the malignant pattern in this embodiment will be described. As shown in FIG. 3, the malignant pattern includes a predetermined behavior pattern related to a malignant application, a communication destination of communication performed by the malignant application, a communication amount when the malignant application performs communication, a file name related to the malignant application, a malignant Contains information about the code included in the application.
悪性アプリケーションに関する所定の挙動パターンは、アプリケーションログおよびカーネルログに出現する特定の文字列で構成される。例えば、個人情報を漏洩するスパイウェアの挙動パターンには、電話番号に関する文字列である“phone number=”や、契約者情報に関する文字列である“imsi=”がある。また、例えば、root権限を奪取する攻撃の挙動パターンには、実行権限の変更コマンドに関する文字列である“/system/xbin/su”があり、端末破壊による攻撃の挙動パターンには、ファイルシステムのマウントコマンドに関する文字列である“mount -r,w re.mount”がある。なお、“と”で囲まれた部分が、悪性パターンとなる文字列である。これは以下でも同様である。 The predetermined behavior pattern related to the malicious application is composed of specific character strings appearing in the application log and the kernel log. For example, spyware behavior patterns that leak personal information include “phone number =” that is a character string related to a telephone number and “imsi =” that is a character string related to contractor information. Also, for example, the attack behavior pattern that seizes the root privilege includes “/ system / xbin / su”, which is a character string related to the execution privilege change command, and the attack behavior pattern due to terminal destruction includes the file system There is "mount -r, w re.mount" which is a character string related to the mount command. Note that a portion surrounded by “to” is a character string that becomes a malignant pattern. The same applies to the following.
悪性アプリケーションが行う通信の通信先を示す悪性パターンは、アプリケーションログ、カーネルログ、および通信ログに出現する特定の文字列で構成される。例えば、個人情報を漏洩するスパイウェアの通信先を示す悪性パターンには、個人情報を収集するWebサイトのFQDN(Fully Qualified Domain Name)に関する文字列である“FQDN=admob.com”や、個人情報を収集するWebサイトのIPアドレスに関する文字列である“IP=xxx.xxx.xxx.xxx”(ただしxは実際には0〜9の任意の数字)がある。また、ネットワーク攻撃の通信先を示す悪性パターンには、宛先のポート番号に関する文字列である“port=yyy”(ただしyyyは実際には135,137,138,445,1433,1434のいずれか)がある。 The malignant pattern indicating the communication destination of communication performed by the malignant application is configured by a specific character string appearing in the application log, the kernel log, and the communication log. For example, a malicious pattern that indicates a spyware communication destination that leaks personal information includes “FQDN = admob.com”, which is a character string related to the FQDN (Fully Qualified Domain Name) of a website that collects personal information, and personal information. There is "IP = xxx.xxx.xxx.xxx" (where x is actually any number from 0 to 9) that is a character string related to the IP address of the Web site to be collected. In addition, the malicious pattern indicating the communication destination of the network attack includes “port = yyy” (where yyy is actually any one of 135, 137, 138, 445, 1433, and 1434) that is a character string related to the destination port number.
悪性アプリケーションが通信を行った場合の通信量を示す悪性パターンは、通信ログから検出される単位時間当たりのパケット数あるいは単位時間当たりの通信データ量を示す数値で構成される。携帯端末に設定されている本来の機能を変更して通信モデムとして使用する、テザリングと呼ばれる機能を実現する悪性アプリケーションがある。この悪性アプリケーションによってテザリングが実現されると、多量のデータ通信が行われる。本実施形態では、通信ログから検出された通信量が悪性パターンとしての通信量を超えた場合に、悪性パターンと一致したと判定される。 The malignant pattern indicating the communication amount when the malicious application performs communication includes a number of packets per unit time detected from the communication log or a numerical value indicating the communication data amount per unit time. There is a malicious application that realizes a function called tethering, which is used as a communication modem by changing an original function set in a portable terminal. When tethering is realized by this malicious application, a large amount of data communication is performed. In the present embodiment, when the communication amount detected from the communication log exceeds the communication amount as the malignant pattern, it is determined that the malignant pattern is matched.
悪性アプリケーションに関係するファイル名を示す悪性パターンは、悪意のコードを含んだ共通ライブラリのファイル名を示す文字列で構成される。例えば、個人情報を漏洩するスパイウェアに関係するファイル名を示す悪性パターンには、“admob”がある。また、例えば、root権限を奪取する攻撃を行う悪性アプリケーションに関係するファイル名を示す悪性パターンには“asroot”があり、端末破壊による攻撃を行う悪性アプリケーションに関係するファイル名を示す悪性パターンには“recovery flasher”がある。 The malicious pattern indicating the file name related to the malicious application is composed of a character string indicating the file name of the common library including the malicious code. For example, there is “admob” as a malignant pattern indicating a file name related to spyware that leaks personal information. In addition, for example, there is “asroot” in the malignant pattern indicating the file name related to the malicious application performing the attack that seizes the root authority, and the malignant pattern indicating the file name related to the malicious application performing the attack due to the terminal destruction. There is “recovery flasher”.
悪性アプリケーションに含まれるコードを示す悪性パターンは、悪意の命令列を示す文字列で構成される。例えば、個人情報を漏洩するスパイウェアのコードを示す悪性パターンには、“send_sim_info()”がある。また、例えば、端末破壊による攻撃を行う悪性アプリケーションのコードを示す悪性パターンには、“mount_system()”がある。 The malignant pattern indicating the code included in the malignant application is composed of a character string indicating a malicious instruction string. For example, “send_sim_info ()” is a malignant pattern indicating a spyware code that leaks personal information. Further, for example, there is “mount_system ()” as a malignant pattern indicating a code of a malignant application that performs an attack due to terminal destruction.
次に、本実施形態における解析処理の詳細を説明する。以下では、2つの例を説明する。まず、第1の例を説明する。図5は解析処理の手順を示している。パターン比較部25は、記憶部20に格納されている解析対象であるアプリケーションログ、カーネルログ、通信ログ、構成ファイル名、追加・変更ファイル名、コード解析結果(アプリケーションの機能)の中からいずれか1つを選択する(ステップS100)。続いて、パターン比較部25は、ステップS100で選択した解析対象を構成するデータを選択し、記憶部20から読み出す(ステップS105)。このとき、例えばログ中の1つの記録単位分のデータが選択される。
Next, details of the analysis processing in the present embodiment will be described. Two examples will be described below. First, a first example will be described. FIG. 5 shows the procedure of the analysis process. The
続いて、パターン比較部25は、記憶部20から悪性パターンファイルを読み出し、解析対象を構成するデータと悪性パターンファイル中の悪性パターンとを順次比較するパターンマッチングを行う(ステップS110)。悪性パターンファイルには複数の悪性パターンが含まれているが、解析対象に対応する悪性パターンがパターンマッチングに用いられる。例えば、ステップS100でアプリケーションログが選択された場合、図4の情報410がアプリケーションログとなっている悪性パターンのみがパターンマッチングに用いられる。また、ステップS110では、同一の解析対象に対応する全ての悪性パターンとのパターンマッチングが行われる。
Subsequently, the
ステップS110では、悪性アプリケーションに関する所定の挙動パターン、悪性アプリケーションが行う通信の通信先、悪性アプリケーションに関係するファイル名、悪性アプリケーションに含まれるコードの情報に関するパターンマッチングは、文字列に比較により行われる。また、ステップS110では、悪性アプリケーションが通信を行った場合の通信量に関するパターンマッチングは、通信ログから検出された通信量が、悪性パターンとして登録されている通信量を超えるか否かの判定により行われる。 In step S110, pattern matching for a predetermined behavior pattern related to a malicious application, a communication destination of communication performed by the malicious application, a file name related to the malicious application, and information on a code included in the malicious application is performed by comparison with character strings. In step S110, the pattern matching related to the traffic volume when a malicious application communicates is performed by determining whether the traffic volume detected from the communication log exceeds the traffic volume registered as the malignant pattern. Is called.
続いて、パターン比較部25は、解析対象を構成するデータと一致した悪性パターンに関する番号(図4の番号400)をパターンマッチング結果として記憶部20に格納する(ステップS115)。続いて、パターン比較部25は、解析対象中の全てのデータの解析が終了したか否かを判定する(ステップS120)。
Subsequently, the
解析を行っていないデータが存在する場合、処理がステップS105に戻り、次のデータが選択される。また、解析対象中の全てのデータの解析が終了した場合、パターン比較部25は、全ての解析対象の解析が終了したか否かを判定する(ステップS125)。解析を行っていない解析対象が存在する場合、処理がステップS100に戻り、次の解析対象が選択される。
If there is data that has not been analyzed, the process returns to step S105, and the next data is selected. In addition, when the analysis of all data being analyzed is completed, the
全ての解析対象の解析が終了した場合、代表特性抽出部26は、記憶部20からパターンマッチング結果および悪性パターンファイルを読み出し、パターンマッチング結果として記録された番号に対応する代表特性の大分類および小項目の情報(図4の情報430,440)と危険度(図4の情報450)を悪性パターンファイルから抽出する(ステップS130)。パターンマッチング結果として複数の番号が記録されている場合、各番号に対応する代表特性の大分類および小項目の情報と危険度がパターンファイルから抽出される。
When the analysis of all the analysis targets is completed, the representative
続いて、選択部27は、ステップS130で抽出された各情報の危険度の数値を比較し、最も高い危険度に関連付けられている代表特性の大分類および小項目の情報と危険度を選択して解析結果とする(ステップS135)。パターンマッチング結果として1つのみの番号が記録されている場合、ステップS130で抽出された情報がそのまま解析結果となる。一方、パターンマッチング結果として複数の番号が記録されている場合、代表特性の大分類および小項目の情報と危険度の組合せが複数抽出され、これら複数の組合せのうち、最も高い危険度を有する組合せが選択され、解析結果となる。同一の大分類の中で、最も高い危険度を有する組合せが複数ある場合(ただし、それらの組合せの小項目は異なる場合)、それらの各々が選択され、解析結果となる。解析結果は記憶部20に格納される。
Subsequently, the
続いて、解析結果出力部28は、ステップS135で得られた解析結果を表示部15へ出力し、解析結果を表示させる(ステップS140)。これによって、例えば、「個人情報の漏洩を検知 危険度:2」という文字列が表示部15の画面に表示される。
Subsequently, the analysis
図6は、上記の解析処理によって解析結果が得られる様子を模式的に示している。図6は一例である。図6中の矢印は、解析処理によって検知された情報の関連性を示している。 FIG. 6 schematically shows how an analysis result is obtained by the above-described analysis processing. FIG. 6 is an example. The arrows in FIG. 6 indicate the relevance of the information detected by the analysis process.
アプリケーションログおよびカーネルログから、悪性アプリケーションに関する所定の挙動パターンが検知されている。この例では、大分類が「スパイウェア(情報漏洩)」であり、小項目が「個人情報」であり、危険度が「2」である代表特性600に関連付けられた挙動パターンと、大分類が「スパイウェア(情報漏洩)」であり、小項目が「その他情報」であり、危険度が「1」である代表特性610に関連付けられた挙動パターンとが検知されている。また、通信ログから、悪性アプリケーションが行う通信の通信先が検知されている。この例では、代表特性600に関連付けられた通信先が検知されている。 A predetermined behavior pattern related to a malicious application is detected from the application log and the kernel log. In this example, the major classification is “spyware (information leakage)”, the minor item is “personal information”, and the behavior pattern associated with the representative characteristic 600 having a risk level of “2” and the major classification are “ "Spyware (information leakage)", a small item is "other information", and a behavior pattern associated with the representative characteristic 610 having a risk level of "1" is detected. Further, the communication destination of communication performed by the malicious application is detected from the communication log. In this example, a communication destination associated with the representative characteristic 600 is detected.
また、アプリケーションの構成ファイル名および追加・変更ファイル名から、悪性アプリケーションに関係するファイル名が検知されている。この例では、代表特性600に関連付けられたファイル名が検知されている。また、コード解析結果から、悪性アプリケーションに含まれるコードの情報が検知されている。この例では、代表特性610に関連付けられたコードが検知されている。 In addition, the file name related to the malicious application is detected from the application configuration file name and the addition / change file name. In this example, the file name associated with the representative characteristic 600 is detected. In addition, the code information included in the malicious application is detected from the code analysis result. In this example, a code associated with the representative characteristic 610 is detected.
図6に示すように、解析結果の候補として、2種類の代表特性600,610が抽出される。これらの代表特性600,610の危険度が「2」と「1」であるため、危険度が最も高い「2」である代表特性600が解析結果として選択される。
As shown in FIG. 6, two types of
次に、解析処理の第2の例を説明する。図7は解析処理の手順を示している。図7において、ステップS200〜S215の処理は図5のステップS100〜S115の処理と同様である。ステップS200〜S215において、解析対象を構成するデータと悪性パターンとのパターンマッチングが行われ、解析対象を構成するデータと一致した悪性パターンに関するパターンマッチング結果が記憶部20に格納される。
Next, a second example of analysis processing will be described. FIG. 7 shows the procedure of the analysis process. In FIG. 7, the process of steps S200 to S215 is the same as the process of steps S100 to S115 of FIG. In steps S <b> 200 to S <b> 215, pattern matching between the data constituting the analysis target and the malignant pattern is performed, and the pattern matching result regarding the malignant pattern matching the data constituting the analysis target is stored in the
ステップS215に続いて、パターン比較部は、解析対象がアプリケーションログ、カーネルログ、通信ログのいずれかであるか否かを判定する(ステップS220)。解析対象がアプリケーションログ、カーネルログ、通信ログのいずれでもなかった場合、処理はステップS245に進む。ステップS245〜S265の処理は図5のステップS120〜S140の処理と同様である。 Subsequent to step S215, the pattern comparison unit determines whether the analysis target is an application log, a kernel log, or a communication log (step S220). If the analysis target is neither an application log, a kernel log, nor a communication log, the process proceeds to step S245. The processing in steps S245 to S265 is the same as the processing in steps S120 to S140 in FIG.
解析対象がアプリケーションログ、カーネルログ、通信ログのいずれかであった場合、パターン比較部25は、解析対象を構成するデータについて、所定の解析単位分の解析が終了したか否かを判定する(ステップS225)。所定の解析単位とは、1つのログを構成するデータを複数に分割した場合のそれぞれの分割単位である。例えば、1つのログを構成するデータを100個に分割した場合、分割された100個のデータのそれぞれが所定の解析単位である。所定の解析単位分のデータの解析が終了する毎にステップS230〜S240の処理を行う目的でステップS225の判定が行われる。
When the analysis target is any one of the application log, the kernel log, and the communication log, the
所定の解析単位分のデータの解析が終了していない場合、処理がステップS205に戻り、次のデータが選択される。所定の解析単位分のデータの解析が終了した場合、代表特性抽出部26は、記憶部20からパターンマッチング結果および悪性パターンファイルを読み出し、パターンマッチング結果として記録された番号に対応する代表特性の大分類および小項目の情報(図4の情報430,440)と危険度(図4の情報450)を悪性パターンファイルから抽出する(ステップS230)。パターンマッチング結果として複数の番号が記録されている場合、各番号に対応する代表特性の大分類および小項目の情報と危険度がパターンファイルから抽出される。
If analysis of data for a predetermined analysis unit has not been completed, the process returns to step S205, and the next data is selected. When the analysis of data for a predetermined analysis unit is completed, the representative
続いて、選択部27は、ステップS230で抽出された各情報の危険度の中で、所定の最高値の危険度があるか否かを判定する(ステップS235)。図3に示した例では、最高値の危険度は危険度「2」である。危険度の段階は何段階でもよく、例えば危険度「1」から危険度「5」までの5段階の危険度が用意されている場合、最高値の危険度は危険度「5」である。
Subsequently, the
所定の最高値の危険度がなかった場合、処理はステップS245に進む。ステップS245において、解析を行っていないデータが存在すると判定された場合、処理がステップS205に戻り、次の解析単位のデータが選択される。また、所定の最高値の危険度があった場合、選択部27は、最高値の危険度に関連付けられている代表特性の大分類および小項目の情報と危険度を選択して解析結果とする(ステップS240)。解析結果は記憶部20に格納される。続いて、処理がステップS265に進み、解析結果が表示部15の画面に表示される。
If there is no risk of the predetermined maximum value, the process proceeds to step S245. If it is determined in step S245 that there is data that has not been analyzed, the process returns to step S205, and data for the next analysis unit is selected. Further, when there is a predetermined maximum risk level, the
本実施形態では、検知される悪性アプリケーションの特性が、最も高い危険度を有する代表特性に集約される。また、図7に示す解析処理では、解析対象がアプリケーションログ、カーネルログ、通信ログのいずれかである場合、所定の解析単位分のデータについてのパターンマッチングが終了する毎に代表特性が抽出される。ある解析単位分のデータのパターンマッチング結果から、最高値の危険度を有する代表特性が抽出された場合、それ以降の解析単位分のパターンマッチング結果あるいは他の解析対象のパターンマッチング結果から、最高値ではない危険度を有する代表特性が抽出されても、解析結果には影響を与えない。 In the present embodiment, the characteristics of detected malicious applications are collected into representative characteristics having the highest risk level. In the analysis process shown in FIG. 7, when the analysis target is any one of the application log, the kernel log, and the communication log, a representative characteristic is extracted every time pattern matching for data for a predetermined analysis unit is completed. . When a representative characteristic with the highest risk level is extracted from the pattern matching result of data for a certain analysis unit, the highest value is obtained from the pattern matching result for the subsequent analysis unit or the pattern matching result of another analysis target. Even if a representative characteristic having a risk level that is not is extracted, the analysis result is not affected.
そこで、図7に示す解析処理では、所定の解析単位分のデータについてのパターンマッチングが終了する毎に代表特性が抽出され、最高値の危険度を有する代表特性が抽出された場合のみ、その代表特性が解析結果として選択され、解析処理が終了する。数万行のデータからなるログと数百種類の悪性パターンとのパターンマッチングには処理時間を要するが、図7に示す解析処理によれば、処理時間を短縮することができる。図7に示す解析処理は、複数種類の悪性アプリケーションが同時に動作する場合の特性解析あるいは複合的な特性を有する悪性アプリケーションの特性解析に対しては検知の見逃しの可能性があるが、単一の特性を有する悪性アプリケーションの特性解析に対しては有効である。 Therefore, in the analysis process shown in FIG. 7, a representative characteristic is extracted every time pattern matching for data for a predetermined analysis unit is completed, and only when a representative characteristic having the highest risk level is extracted, the representative characteristic is extracted. The characteristic is selected as the analysis result, and the analysis process is completed. Processing time is required for pattern matching between a log composed of tens of thousands of lines of data and hundreds of types of malignant patterns. However, according to the analysis processing shown in FIG. 7, the processing time can be shortened. The analysis processing shown in FIG. 7 may be missed for the characteristic analysis when a plurality of types of malignant applications operate simultaneously or the characteristic analysis of a malignant application having multiple characteristics. It is effective for characteristic analysis of malignant applications having characteristics.
解析対象の選択の順番については任意でよいが、アプリケーションログ、カーネルログ、通信ログよりも構成ファイル名、追加・変更ファイル名、コード解析結果を先に選択して解析処理を行ってもよい。さらに、構成ファイル名、追加・変更ファイル名、コード解析結果についてのパターンマッチングが終了した時点で代表特性の抽出を行い、最高値の危険度を有する代表特性が抽出された場合に、その代表特性を解析結果として選択し、解析処理を終了してもよい。これによって、ログのパターンマッチングを行う必要がなくなり、処理時間をより短縮することができる。 The order of selecting the analysis target may be arbitrary, but the analysis process may be performed by selecting the configuration file name, the addition / change file name, and the code analysis result in advance of the application log, kernel log, and communication log. Furthermore, when the representative characteristics are extracted when pattern matching for the configuration file name, added / changed file name, and code analysis result is completed, and the representative characteristics having the highest risk level are extracted, the representative characteristics are extracted. May be selected as an analysis result, and the analysis process may be terminated. As a result, it is not necessary to perform log pattern matching, and the processing time can be further reduced.
上述したように、本実施形態によれば、パターンマッチング結果から、複数種類の代表特性が抽出された場合、抽出された複数種類の代表特性の危険度を比較した結果に基づいて、いずれかの代表特性を選択することによって、悪性アプリケーションの挙動を最も良く表す代表特性を得ることができる。このようにして選択した代表特性を管理者等に提示することによって、管理者等が悪意の挙動およびその程度を容易に把握することができる。 As described above, according to the present embodiment, when a plurality of types of representative characteristics are extracted from the pattern matching result, any one of the extracted characteristics of the plurality of types of representative characteristics is compared based on the result of comparison. By selecting the representative characteristic, the representative characteristic that best represents the behavior of the malignant application can be obtained. By presenting the representative characteristics selected in this way to the administrator or the like, the administrator or the like can easily grasp the malicious behavior and its degree.
また、代表特性の大分類が同一で危険度が異なる複数の代表特性が抽出された場合、危険度が最も高い代表特性を解析結果として選択することによって、システムに重大な影響を与える悪性アプリケーションの挙動に関する解析結果を得ることができる。また、複数の代表特性が抽出された場合でも、それぞれの代表特性の危険度を合計しないので、悪性アプリケーションの挙動を過剰に強調することがない。 In addition, when multiple representative characteristics with the same major classification and different risk levels are extracted, the representative characteristics with the highest risk level are selected as the analysis results, so that malignant applications that have a significant impact on the system can be selected. Analysis results regarding behavior can be obtained. Even when a plurality of representative characteristics are extracted, the risk of each representative characteristic is not summed, so that the behavior of the malicious application is not excessively emphasized.
また、解析対象がアプリケーションログ、カーネルログ、通信ログのいずれかである場合、所定の解析単位分のデータについてのパターンマッチングが終了する毎に代表特性を抽出し、最高値の危険度を有する代表特性が抽出されたときに、その代表特性を解析結果として選択し、解析処理を終了することによって、処理時間を短縮することができる。 In addition, when the analysis target is one of the application log, kernel log, and communication log, representative characteristics are extracted every time pattern matching for data for a predetermined analysis unit is completed, and the representative having the highest risk level When a characteristic is extracted, the representative characteristic is selected as an analysis result, and the processing time can be shortened by terminating the analysis process.
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態によるアプリケーション特性解析装置の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。 As described above, the embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the above-described embodiments, and includes design changes and the like without departing from the gist of the present invention. . For example, a program for realizing the operation and function of the application characteristic analysis apparatus according to the above-described embodiment is recorded on a computer-readable recording medium, and the program recorded on the recording medium is read and executed by the computer. Also good.
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。 Here, the “computer” includes a homepage providing environment (or display environment) if the WWW system is used. The “computer-readable recording medium” refers to a storage device such as a portable medium such as a flexible disk, a magneto-optical disk, a ROM, and a CD-ROM, and a hard disk built in the computer. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 The program described above may be transmitted from a computer storing the program in a storage device or the like to another computer via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting a program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the above-described program may be for realizing a part of the above-described function. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer, what is called a difference file (difference program) may be sufficient.
10・・・アプリケーション、11・・・仮想マシン、12・・・カーネル、13・・・通信部、14操作部、15・・・表示部、16・・・アプリケーション監視部、17・・・システムコール監視部、18・・・パケット監視部、19・・・ログ生成部、20・・・記憶部、21・・・コード解析部、22・・・アプリケーション構成ファイル解析部、23・・・追加・変更ファイル解析部、24・・・解析部、25・・・パターン比較部、26・・・代表特性抽出部、27・・・選択部、28・・・解析結果出力部
DESCRIPTION OF
Claims (7)
アプリケーションの挙動を記録したアプリケーションログ、カーネルの挙動を記録したカーネルログ、および通信時に送信および受信されるパケットの情報を記録した通信ログのそれぞれに記録されている情報と前記複数のパターンとを比較する比較部と、
前記アプリケーションログ、前記カーネルログ、または前記通信ログに記録されている情報と一致した前記パターンに関連付けられた前記代表特性情報および前記数値の組合せを抽出する抽出部と、
前記抽出部によって複数種類の前記組合せが抽出された場合、抽出された複数種類の前記組合せの前記数値を比較し、最も高い危険度を示す前記数値を含む前記組合せを選択する選択部と、
を備えたことを特徴とするアプリケーション特性解析装置。 A plurality of patterns composed of information related to the behavior of the malignant application, representative characteristic information associated with the pattern and indicating typical characteristics of the behavior of the malignant application, and associated with the representative characteristic information, the malignant A storage unit for storing a numerical value indicating the risk level of the application;
The information recorded in the application log that records the behavior of the application, the kernel log that records the behavior of the kernel, and the communication log that records the information of packets transmitted and received during communication are compared with the multiple patterns. A comparison unit to
An extraction unit that extracts a combination of the representative characteristic information and the numerical value associated with the pattern that matches the information recorded in the application log, the kernel log, or the communication log;
When a plurality of types of the combinations are extracted by the extraction unit, the selection unit compares the numerical values of the extracted types of the combinations, and selects the combination including the numerical value indicating the highest risk ,
An application characteristic analysis device characterized by comprising:
前記選択部は、前記比較部が所定の単位で比較を行う毎に、前記抽出部によって抽出された複数種類の前記組合せの前記数値を比較し、最も高い危険度を示す前記数値を含む前記組合せを選択し、
前記選択部によって選択された前記組合せに含まれる前記数値が所定の数値である場合に、前記比較部は、比較を行う動作を停止する
ことを特徴とする請求項1〜請求項5のいずれか一項に記載のアプリケーション特性解析装置。 The extraction unit extracts the combination every time the comparison unit performs a comparison in a predetermined unit.
The selection unit compares the numerical values of a plurality of types of combinations extracted by the extraction unit each time the comparison unit performs comparison in a predetermined unit, and includes the numerical value indicating the highest degree of risk. Select
If the numerical value included in the combination selected by the selecting section is a predetermined value, the comparison unit may be any of claims 1 to 5, characterized in that stops the operation of performing comparison The application characteristic analysis apparatus according to one item.
アプリケーションの挙動を記録したアプリケーションログ、カーネルの挙動を記録したカーネルログ、および通信時に送信および受信されるパケットの情報を記録した通信ログのそれぞれに記録されている情報と前記複数のパターンとを比較する比較部と、
前記アプリケーションログ、前記カーネルログ、または前記通信ログに記録されている情報と一致した前記パターンに関連付けられた前記代表特性情報および前記数値の組合せを抽出する抽出部と、
前記抽出部によって複数種類の前記組合せが抽出された場合、抽出された複数種類の前記組合せの前記数値を比較し、最も高い危険度を示す前記数値を含む前記組合せを選択する選択部と、
としてコンピュータを機能させるためのプログラム。 A plurality of patterns composed of information related to the behavior of the malignant application, representative characteristic information associated with the pattern and indicating typical characteristics of the behavior of the malignant application, and associated with the representative characteristic information, the malignant A storage unit for storing a numerical value indicating the risk level of the application;
The information recorded in the application log that records the behavior of the application, the kernel log that records the behavior of the kernel, and the communication log that records the information of packets transmitted and received during communication are compared with the multiple patterns. A comparison unit to
An extraction unit that extracts a combination of the representative characteristic information and the numerical value associated with the pattern that matches the information recorded in the application log, the kernel log, or the communication log;
When a plurality of types of the combinations are extracted by the extraction unit, the selection unit compares the numerical values of the extracted types of the combinations, and selects the combination including the numerical value indicating the highest risk ,
As a program to make the computer function as.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010228732A JP5613000B2 (en) | 2010-10-08 | 2010-10-08 | Application characteristic analysis apparatus and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010228732A JP5613000B2 (en) | 2010-10-08 | 2010-10-08 | Application characteristic analysis apparatus and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012083909A JP2012083909A (en) | 2012-04-26 |
JP5613000B2 true JP5613000B2 (en) | 2014-10-22 |
Family
ID=46242718
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010228732A Active JP5613000B2 (en) | 2010-10-08 | 2010-10-08 | Application characteristic analysis apparatus and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5613000B2 (en) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9323928B2 (en) * | 2011-06-01 | 2016-04-26 | Mcafee, Inc. | System and method for non-signature based detection of malicious processes |
JP6280018B2 (en) * | 2014-10-21 | 2018-02-14 | 日本電信電話株式会社 | Rule deviation application discovery apparatus, rule deviation application discovery system, and rule deviation application discovery method |
CN106295333B (en) * | 2015-05-27 | 2018-08-17 | 安一恒通(北京)科技有限公司 | method and system for detecting malicious code |
JP6904420B2 (en) * | 2017-08-09 | 2021-07-14 | 日本電気株式会社 | Information selection device, information selection method, and information selection program |
RU2697958C1 (en) * | 2018-06-29 | 2019-08-21 | Акционерное общество "Лаборатория Касперского" | System and method for detecting malicious activity on a computer system |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10275101A (en) * | 1997-03-28 | 1998-10-13 | Nec Corp | Log data compression system |
JPH1173372A (en) * | 1997-08-27 | 1999-03-16 | Hideo Takeda | Method for detecting illegal access due to computer virus |
JP2006146600A (en) * | 2004-11-19 | 2006-06-08 | Ntt Docomo Inc | Operation monitoring server, terminal apparatus and operation monitoring system |
JP2006155124A (en) * | 2004-11-29 | 2006-06-15 | Savant:Kk | Monitoring program, computer-readable recording medium with the program memorized thereon, and server and monitoring apparatus with the program stored therein |
JP2007323428A (en) * | 2006-06-01 | 2007-12-13 | Hitachi Ltd | Bot detection apparatus, bot detection method and program |
JP2008129707A (en) * | 2006-11-17 | 2008-06-05 | Lac Co Ltd | Program analyzing device, program analyzing method, and program |
JP5102556B2 (en) * | 2007-08-08 | 2012-12-19 | 株式会社野村総合研究所 | Log analysis support device |
JP5478381B2 (en) * | 2010-06-21 | 2014-04-23 | Kddi株式会社 | Application determination system and program |
JP5478384B2 (en) * | 2010-06-24 | 2014-04-23 | Kddi株式会社 | Application determination system and program |
JP5478390B2 (en) * | 2010-07-12 | 2014-04-23 | Kddi株式会社 | Log extraction system and program |
-
2010
- 2010-10-08 JP JP2010228732A patent/JP5613000B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012083909A (en) | 2012-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Spreitzenbarth et al. | Mobile-sandbox: having a deeper look into android applications | |
EP2955658B1 (en) | System and methods for detecting harmful files of different formats | |
CN105787364B (en) | Automatic testing method, device and system for tasks | |
EP3267349A1 (en) | Method and computer system for determining a threat score | |
CN109347882B (en) | Webpage Trojan horse monitoring method, device, equipment and storage medium | |
CN110677381A (en) | Penetration testing method and device, storage medium and electronic device | |
CN113259392B (en) | Network security attack and defense method, device and storage medium | |
RU2757597C1 (en) | Systems and methods for reporting computer security incidents | |
JP5613000B2 (en) | Application characteristic analysis apparatus and program | |
JP6050162B2 (en) | Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program | |
CN110880983A (en) | Penetration testing method and device based on scene, storage medium and electronic device | |
JP5478390B2 (en) | Log extraction system and program | |
CN110765333A (en) | Method and device for collecting website information, storage medium and electronic device | |
Almarri et al. | Optimised malware detection in digital forensics | |
JP2016099857A (en) | Fraudulent program handling system and fraudulent program handling method | |
CN110768949B (en) | Vulnerability detection method and device, storage medium and electronic device | |
CN110768950A (en) | Permeation instruction sending method and device, storage medium and electronic device | |
CN115552401A (en) | Fast application detection method, device, equipment and storage medium | |
Mostafa et al. | Netdroid: Summarizing network behavior of android apps for network code maintenance | |
Omar | Defending cyber systems through reverse engineering of criminal malware | |
US11763004B1 (en) | System and method for bootkit detection | |
JP5386015B1 (en) | Bug detection apparatus and bug detection method | |
JP5478381B2 (en) | Application determination system and program | |
Kaushik et al. | An approach for exploiting and mitigating Log4J using Log4Shell vulnerability | |
CN112580038A (en) | Anti-virus data processing method, device and equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20130821 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130821 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140424 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140603 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140729 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20140730 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140819 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140905 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5613000 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |