CN106663171A - 浏览器模拟器装置、构建装置、浏览器模拟方法、浏览器模拟程序、构建方法以及构建程序 - Google Patents

Abstract

使浏览器模拟器(25)对OS、浏览器、插件的种类和版本模拟任意的值，作为客户端环境。并且，浏览器模拟器(25)监视脚本或插件的执行。并且，浏览器模拟器管理器(23)使浏览器模拟器(25)巡回规定的网站，将对网站的访问结果和对该网站的访问时所模拟的客户端环境的信息对应地储存于分析信息数据库(24)中。并且，浏览器模拟器管理器(23)参照所储存的访问结果来确定根据客户端环境的差异而在访问结果上产生差异的网站。

Description

浏览器模拟器装置、构建装置、浏览器模拟方法、浏览器模拟 程序、构建方法以及构建程序

技术领域

本发明涉及浏览器模拟器装置、构建装置、浏览器模拟方法、浏览器模拟程序、构建方法以及构建程序。

背景技术

以往，为了对下载、安装计算机病毒等恶性程序的恶性的脚本(例如，JavaScript(注册商标))进行检测，而提出了使用浏览器的模拟器(以下，称为浏览器模拟器)的技术。例如，提出了使浏览器模拟器执行各种网站的脚本并分析其执行结果的技术(参照非专利文献1、非专利文献2)。

在这样的恶性的脚本中，为了提高攻击的成功率，取得访问了自身的网站(恶性网站)的客户端的环境信息，进行与客户端的环境对应的攻击(以下，称为环境依赖攻击。参照非专利文献3)。用于该环境依赖攻击的攻击代码例如是从外部读入与浏览器的插件相关联的文件的HTML(HyperText Markup Language：超文本标记语言)标签的插入代码、或不当使用ActiveX(注册商标)的漏洞的代码等(参照非专利文献4)。

现有技术文献

非专利文献

非专利文献1：Jose Nazario、“PhoneyC:A Virtual Client Honeypot”、[online]、[2014年6月19日检索]、因特网＜URL：https://www.usenix.org/legacy/event/leet09/tech/full_papers/nazario/nazario.pdf＞

非专利文献2：Marco Cova、Christopher Krugel、Giovanni Vigna、“Detectionand Analysis of Drive-by-Download Attacks and JavaScript Code”、[online]、[2014年6月19日检索]、因特网＜URL：https://www.cs.ucsb.edu/～vigna/publications/2010_cova_kruegel_vigna_Wepawet.pdf＞

非专利文献3：Clemens Kolbitsch、Benjamin Livshits、Benjamin Zorn、Christian Seifert、“Rozzle:De-Cloaking Internet Malware”、[online]、[2014年6月19日检索]、因特网＜URL：http://research.microsoft.com/pubs/162710/oakland12.pdf＞

非专利文献4：高田雄太、秋山满昭、针生刚男、“ドライブバイダウンロード攻撃に使用される悪性なJavaScriptの実態調査”、[online]、[2014年6月19日检索]、因特网＜URL：http://www.ieice.org/ken/paper/20140327QBlZ/＞

发明内容

发明要解决的课题

在浏览器模拟器中，为了检测进行环境依赖攻击的网站，对于在用于分析的客户端中所使用的OS(Operating System：操作系统)、浏览器、插件等构成客户端环境的各要素，能够模拟任意的种类、版本，能够灵活地变更用于分析的客户端环境是很重要的。但是，在现有技术中，只能应对特定的客户端环境的种类或版本，无法灵活地变更客户端环境。因此，在现有技术中，存在难以检测进行环境依赖攻击的网站这样的问题。因此，本发明的课题在于，解决上述问题，容易检测进行环境依赖攻击的网站。

用于解决课题的手段

为了解决上述课题，本发明提供对浏览器的动作进行模拟的浏览器模拟器装置，其特征在于，该浏览器模拟器装置具有：信息设定部，其将任意的OS(Operating System)、任意的浏览器以及任意的插件设定为自身的浏览器模拟器装置的客户端环境；以及访问部，其在访问外部的网站时，对被设定为所述客户端环境的OS、浏览器以及插件进行模拟而访问，且输出对所述网站的访问结果和对所述网站的访问时所使用的客户端环境的信息。

发明效果

根据本发明，容易检测进行环境依赖攻击的网站。

附图说明

图1是示出系统的结构例的图。

图2是示出浏览器模拟器的结构的图。

图3是用于对作为浏览器模拟器所模拟的客户端环境的OS、浏览器以及插件的关系进行说明的图。

图4是示出客户端环境信息的例子的图。

图5是示出漏洞信息数据库的漏洞信息的例子的图。

图6A是示出漏洞信息数据库的OS信息的例子的图。

图6B是示出漏洞信息数据库的插件信息的例子的图。

图6C是示出漏洞信息数据库的浏览器信息的例子的图。

图7A是示出登记在分析信息数据库中的分析信息的例子的图。

图7B是示出登记在分析信息数据库中的访问信息的例子的图。

图8是示出漏洞信息收集装置的处理步骤的流程图。

图9是示出浏览器模拟器管理器和浏览器模拟器的处理步骤的流程图。

图10是示出浏览器模拟器管理器的分析部的处理步骤的流程图。

图11是示出执行用于实现浏览器模拟器和浏览器模拟器管理器的功能的程序的计算机的图。

具体实施方式

以下，一边参照附图一边对用于实施本发明的方式(实施方式)进行说明。另外，本发明不限于本实施方式。

首先，使用图1对本实施方式的系统的结构例进行说明。系统例如像图1所示那样具有网络1和网络2。通过分组转发装置3将网络1和网络2连接。

网络1具有漏洞信息发布网站11和分析对象网站12。网络1可以像因特网那样是广域的网络，也可以像企业网络那样是中小规模的网络、云环境或托管环境的网络。

漏洞信息发布网站11是对漏洞信息(例如，具有漏洞的OS、浏览器、插件、漏洞的内容等)进行发布的网站。该漏洞信息发布网站11例如是对CVE(Common Vulnerabilitiesand Exposures：公共漏洞和暴露)号进行编号的MITRE公司的网站、或独自地收集并发布漏洞信息的网站等。

分析对象网站12是基于浏览器模拟器管理器(构建装置)23的分析对象的网站。该分析对象网站12例如是发布在所公开的恶性网站的黑名单上的网站等。

对于漏洞信息发布网站11和分析对象网站12，能够从网络2经由分组转发装置3访问。

并且，网络2具有漏洞信息收集装置21、漏洞信息数据库22、浏览器模拟器管理器23以及分析信息数据库24。漏洞信息收集装置21和浏览器模拟器管理器23连接于分组转发装置3。网络2可以像局域网那样是小规模的网络，也可以像企业网络那样是中小规模的网络的情况或云环境或托管环境的网络。

漏洞信息收集装置21通过分组转发装置3从漏洞信息发布网站11收集漏洞信息而向漏洞信息数据库22输出。如果漏洞信息发布网站11是HTML(HyperText MarkupLanguage)中所描述的网站，则漏洞信息收集装置21例如使用作为开放源(Open Source)来开发出的HTML解析器或XML(Extensible Markup Language：可扩展标记语言)解析器。

漏洞信息数据库22对漏洞信息收集装置21所收集的漏洞信息进行储存(保存)。该漏洞信息例如像图5所示那样是按照每个漏洞信息的识别信息(漏洞ID)而示出与该漏洞ID对应的CVE号以及具有漏洞的OS的ID(OS ID)、浏览器的ID(浏览器ID)、插件的ID(插件ID)等的信息。另外，关于与使用于图5的漏洞信息中的OS ID、浏览器ID、插件ID对应的OS、浏览器、插件是哪个种类以及版本，例如能够通过参照图6A所示的OS信息、图6B所示的插件信息、图6C所示的浏览器信息来确定。该OS信息、插件信息、浏览器信息例如保存在漏洞信息数据库22内。

例如，图5所示的漏洞信息中的漏洞ID“1”的记录(record)表示CVE号是“CVE-2009-2477”、攻击对象是浏览器ID“101，102”。另外，如图6C所示，浏览器ID“101”是浏览器“D”的版本“8”，浏览器ID“102”是浏览器“D”的版本“8.5”(参照图6)。

漏洞信息在漏洞信息数据库22中的保存例如可以通过MySQL或SQLite等RDBMS(Relational DataBase Management System：关系数据库管理系统)进行，也可以按照文本形式保存。

图1的浏览器模拟器管理器23对1个以上的浏览器模拟器(浏览器模拟器装置)25进行管理，使该浏览器模拟器25访问规定的网站(分析对象网站12)。并且，浏览器模拟器管理器23使用浏览器模拟器25的访问结果来确定根据浏览器模拟器25的客户端环境的差异而在访问结果上产生差异的网站。由此，浏览器模拟器管理器23确定有可能进行环境依赖攻击的网站。

具体而言，首先，浏览器模拟器管理器23设定浏览器模拟器25的客户端环境。并且，浏览器模拟器管理器23使各浏览器模拟器25访问URL(Uniform Resource Locator：统一资源定位符)列表所示出的网站(分析对象网站12)。并且，浏览器模拟器管理器23将浏览器模拟器25对各网站的访问结果(例如，在对该网站访问之后转移的URL、攻击代码等)和设定于该浏览器模拟器25中的客户端环境储存于分析信息数据库24中。然后，浏览器模拟器管理器23参照储存于分析信息数据库24中的信息，来确定根据客户端环境的差异而在访问结果上产生差异的网站。

另外，浏览器模拟器管理器23可以对1个(或者多个)浏览器模拟器25每次设定不同的客户端环境而储存访问结果，也可以使分别设定了不同的客户端环境的浏览器模拟器25进行动作而储存访问结果。在前者的情况下，浏览器模拟器管理器23重复进行对浏览器模拟器25设定客户端环境A→储存基于客户端环境A的访问结果→设定客户端环境B→储存基于客户端环境B的访问结果这样的处理，且储存访问结果。

另外，浏览器模拟器管理器23可以使任意的OS、任意的浏览器以及任意的插件组合而创建客户端环境，但在这里以如下的情况为例进行说明：浏览器模拟器管理器23为了高效地确定进行环境依赖攻击的网站而使用登记在漏洞信息数据库22中的信息来创建客户端环境。关于该浏览器模拟器管理器23的详细情况，将在后面进行说明。

浏览器模拟器25是对浏览器的动作进行模拟的装置。该浏览器模拟器25例如可以应用蜜网(honeynet)项目所提供的浏览器模拟器、作为开放源而开发出的HtmlUnit或Selenium。关于该浏览器模拟器25的详细情况，将在后面进行说明。另外，在图1中描绘为浏览器模拟器25构建在浏览器模拟器管理器23内，当然也可以构建在浏览器模拟器管理器23外。

分析信息数据库24对各浏览器模拟器25的访问结果进行储存(保存)。该分析信息数据库24中的数据的保存与漏洞信息数据库22同样可以使用RDBMS，也可以按照文本形式保存。关于该分析信息数据库24的详细情况，将在后面进行说明。

另外，在本实施方式中，浏览器模拟器25、浏览器模拟器管理器23、漏洞信息收集装置21、漏洞信息数据库22以及分析信息数据库24配置在相同的网络，但也可以分别配置在不同的网络。并且，为了将各结构安全地连接，也可以应用已有的加密技术将通信信息加密、或者利用VPN(Virtual Private Network：虚拟专用网络)将配置有各装置的网络间或者各结构间连接。

接着，使用图2对浏览器模拟器管理器23和浏览器模拟器25进行详细说明。浏览器模拟器管理器23具有控制部27。控制部27在主机系统26上使浏览器模拟器25进行动作。该主机系统26例如使用浏览器模拟器管理器23所具有的OS。关于控制部27的详细情况，将在后面进行说明。

(浏览器模拟器)

接着，对浏览器模拟器25进行说明。浏览器模拟器25具有信息设定部250、访问部254、HTML/CSS(HyperText Markup Language/Cascading Style Sheets：超文本标记语言/层叠样式表)解析器255以及脚本解释部256。

信息设定部250当从设定部272取得应该由自身的浏览器模拟器25模拟的客户端环境的信息(客户端环境信息)时，将该客户端环境信息设定于浏览器模拟器25中。该信息设定部250具有OS信息设定部251、浏览器信息设定部252以及插件信息设定部253。

OS信息设定部251当从设定部272取得客户端环境信息时，根据该客户端环境信息来设定由浏览器模拟器25模拟动作的OS信息。

浏览器信息设定部252当从设定部272取得客户端环境信息时，根据该客户端环境信息来设定由浏览器模拟器25模拟动作的浏览器信息。

插件信息设定部253当从设定部272取得客户端环境信息时，根据该客户端环境信息来设定由浏览器模拟器25模拟动作的插件信息。

访问部254与网站(例如，图1的分析对象网站12)进行基于HTTP(HyperTextTransfer Protocol：超文本传输协议)或者HTTPS(HyperText Transfer ProtocolSecure：安全超文本传输协议)的通信，取得网站内容(Web contents)。这里，访问部254在进行基于HTTP或者HTTPS的通信时，在HTTP报头的User-Agent filed(用户代理字段)上使用由OS信息设定部251和浏览器信息设定部252设定的OS信息和浏览器信息。由此浏览器模拟器25模拟任意的OS和浏览器。访问部254使用例如作为自由软件而开发出的cURL。

访问部254将对网站的访问结果记录于访问日志中。例如，访问部254在访问了网站的结果为转移到其他URL的情况下，当取得了该转移目的地的URL或网站内容时，记录所取得的网站内容的信息等作为访问结果。另外，访问部254对于在访问该网站时所使用的客户端环境信息也记录于访问日志中。另外，该访问日志存储于浏览器模拟器25的存储部(省略图示)的规定的区域中。

HTML/CSS解析器255解释由访问部254所取得的网站内容。并且，HTML/CSS解析器255在对网站内容进行解释后的结果为该网站内容包含脚本的情况下，使用脚本解释部256来解释脚本。

脚本解释部256对包含在网站内容中的JavaScript(注册商标)等脚本进行解释。例如，在作为脚本使用JavaScript(注册商标)的情况下，脚本解释部256使用作为开放源而开发出的SpiderMonkey或V8JavaScript Engine等来解释脚本。

另外，在脚本中存在用于取得OS、浏览器或安装于浏览器中的插件的信息的函数。因此，浏览器模拟器25需要对于取得这样的信息的脚本函数应答由自身的浏览器模拟器25所模拟的OS、浏览器、插件的信息。因此，脚本解释部256具有脚本函数挂钩部257，该脚本函数挂钩部257在该脚本函数的执行处理中进行中断而执行任意的处理。

脚本解释部256在执行了取得OS、浏览器、插件的信息的函数时，使用脚本函数挂钩部257分别应答由OS信息设定部251、浏览器信息设定部252、插件信息设定部253设定于浏览器模拟器25中的OS信息、浏览器信息、插件信息。由此，浏览器模拟器25模拟所设定的OS、浏览器、插件。该脚本函数挂钩部257取得与脚本函数相关的信息(例如，所执行的函数名或用于函数的自变量信息)，与所访问的网站的URL、访问时所使用的客户端环境信息一同记录于访问日志中。

并且，也可以利用脚本来使用外部插件的功能。在该插件的功能中存在取得插件信息的函数。因此，需要与上述脚本函数同样，对于取得插件信息的插件函数应答由浏览器模拟器25所模拟的插件信息。

因此，脚本解释部256具有插件函数挂钩部258，该插件函数挂钩部258在与插件相关的实例生成处理(instance generation processing)或通过所生成的实例的函数的执行处理中进行中断而执行任意的处理。

在执行了取得插件信息的函数时，插件函数挂钩部258应答被设定于浏览器模拟器25中的插件信息，由此模拟插件。

并且，插件函数挂钩部258取得与插件函数相关的信息(例如，实例生成时所指定的插件名、函数使用时所使用的函数名或自变量信息)，与所访问的网站的URL、访问时所使用的客户端环境信息一同记录于访问日志中。

另外，插件函数挂钩部258可以使用脚本解释部256来应答原始的脚本函数的执行处理结果，也可以应答预先设定的任意的处理的执行结果。

另一方面，插件函数挂钩部258在未安装所对应的插件时无法应答原始的插件函数的执行处理结果。因此，在插件函数挂钩部258中，在与插件相关的实例生成时应答伪(dummy)实例，在通过实例的函数的执行时应答伪实例所具有的伪函数的执行结果(伪函数的执行结果为再次成为伪实例)。这样，通过由脚本函数挂钩部257或插件函数挂钩部258对脚本函数或插件函数的执行处理进行应答，能够防止脚本的执行错误的产生。

根据以上说明的浏览器模拟器25，能够模拟任意的OS上的任意的浏览器，且能够模拟在浏览器上安装有任意的插件的状态。另外，浏览器模拟器25在访问一次网站时，将浏览器模拟器25所模拟的OS设为单一的种类、单一的版本，将浏览器设为单一的种类、单一的版本。并且，浏览器模拟器25在对安装有插件的情况进行模拟时，也可以对安装有多个种类的插件的状态进行模拟。在该情况下，设各个插件为单一的版本。另外，浏览器模拟器25也可以模拟根本没安装插件的状态。

这里，使用图3对作为浏览器模拟器25所模拟的客户端环境的OS、浏览器以及插件的关系进行说明。

在图3中，OS是A(例如，Windows(注册商标))和B(例如，Mac OS(注册商标))、浏览器是C(例如，Internet Explorer(注册商标))和D(例如，Firefox(注册商标))、插件是E(例如，ActiveX(注册商标))、F(例如，Oracle JRE(注册商标))、G(例如，Adobe Acrobat(注册商标))和H(例如，Adobe Flash Player(注册商标))，如果各自存在多个版本，则也表示其版本的信息。

在浏览器模拟器25中，从这些OS、浏览器、插件中选择的OS、浏览器、插件被设定为客户端环境。例如，在浏览器模拟器25中设定有OS是“A”的版本“7”、浏览器是“C”的版本“9”、插件是“G”的版本“9”以及“H”的版本“12”这样的客户端环境。

在图4中示出设定于浏览器模拟器25中的客户端环境信息的例子。例如在访问部254从网站取得网站内容时，作为HTTP通信时所使用的User-Agent(用户代理)使用图4中例示的信息，从而对安装了OS是“A”的版本“7”、浏览器是“C”的版本“9”、插件是“G”的版本“9”以及“H”的版本“12”的状态进行模拟。并且，在由访问目的地的网站的JavaScript(注册商标)来参照navigator对象的属性navigator.plugins时，插件函数挂钩部258按照图4所示的navigator.plugins的应答例进行应答，从而模拟出在浏览器中作为插件安装有“G”的版本“9”和“H”的版本“12”的状态。

(浏览器模拟器管理器)

接着，对图2的浏览器模拟器管理器23的控制部27进行详细地说明。控制部27具有客户端环境创建部271、设定部272、URL列表创建部273、访问指示部274、登记处理部275以及分析部276。

客户端环境创建部271创建客户端环境信息。例如，客户端环境创建部271从漏洞信息数据库22取得漏洞信息，根据该漏洞信息来创建客户端环境信息。举出具体例，在图5和图6C所示的漏洞信息数据库22中，“CVE-2009-2477”的攻击对象是浏览器“D”的版本“8”和“8.5”。因此，客户端环境创建部271创建在用于浏览器模拟器25的客户端环境信息中设定了浏览器“D”的版本“8”或者“8.5”的信息。由此，与在浏览器模拟器25中全面涵盖地设定客户端环境的情况相比，能够高效地确定进行环境依赖攻击的网站。另外，该客户端环境信息也可以使用系统的管理员等所设定的信息。

设定部272在各浏览器模拟器25中设定客户端环境。具体而言，设定部272将客户端环境创建部271所创建的客户端环境信息向浏览器模拟器25的OS信息设定部251、浏览器信息设定部252以及插件信息设定部253输出。

URL列表创建部273创建由各浏览器模拟器25所巡回的网站的URL列表。例如，URL列表创建部273根据发布在已公开的恶性网站的黑名单上的网站的URL来创建URL列表。

访问指示部274指示各浏览器模拟器25的访问部254访问URL列表所示出的URL。

登记处理部275取得各浏览器模拟器25的访问日志，并登记在分析信息数据库24中。

这里对分析信息数据库24进行详细说明。分析信息数据库24例如具有图7A所示的分析信息和图7B所示的访问信息。

分析信息是按照每个分析ID而示出分析对象的网站的URL(分析URL)以及访问该URL时所使用的浏览器模拟器25的客户端环境信息(OS信息、浏览器信息、插件信息)的信息。分析URL描述有与从访问指示部274输出的URL列表所示出的URL相同的URL。并且，在分析信息中，客户端环境信息中的OS信息被描述为OS ID，浏览器信息被描述为浏览器ID，插件信息被描述为插件ID。

访问信息是表示浏览器模拟器25的访问结果(例如，在对分析URL访问的过程中所访问的URL(访问URL)、其时间戳、攻击代码信息等)的信息。例如，图7B的访问信息按照每个访问ID而示出分析ID、时间戳、访问URL以及攻击代码信息。该分析ID与分析信息所示的分析ID对应。并且，攻击代码信息是通过对访问URL的访问而取得的内容、所执行的函数名或函数中所使用的自变量信息等信息。

例如，图7B的访问信息中的访问ID“2”的信息表示如下情况：分析ID为“1”(即，分析URL为“http://example.com”、OS ID为“2”、浏览器ID为“1”、插件ID为“1”)，在“2014/6/23 16:00:05.0000”时访问“http://example.com/test.html”，在访问该URL时所执行的攻击代码与“G，E”相关。

图2的分析部276参照分析信息数据库24中的基于浏览器模拟器25的访问结果，来确定根据客户端环境的差异而在访问结果上产生差异的网站。

例如，图7A的分析信息数据库24的分析信息中的分析ID“1，2”的信息是指，在浏览器模拟器25变更了客户端环境信息的插件信息之后对相同的URL进行分析。并且，当观察图7B的访问信息中与分析ID“1，2”对应的信息(访问ID“1，2，3，10，11”的信息)时，在分析ID“1”的情况下，浏览器模拟器25访问合计3个URL。另一方面，在分析ID“2”的情况下，只访问合计2个URL。并且，虽然在分析ID“1”中的第2个访问目的地的URL中执行了与“G，E”相关的函数，但在分析ID“2”中的第2个访问目的地的URL中只执行了与“G”相关的函数。分析部276确定根据这样的客户端环境的差异而在访问结果(例如，访问过的URL或执行函数等)上产生差异的网站。关于该分析部276的处理的详细情况，将在后面使用流程图进行说明。

(处理步骤)

接着，对系统的处理步骤进行说明。首先，使用图8对漏洞信息收集装置21的处理步骤进行说明。

首先，漏洞信息收集装置21从漏洞信息发布网站11取得漏洞信息(S1)，如果存在新的漏洞信息(还未登记在漏洞信息数据库22中的漏洞信息)(S2的“是”)，则对所取得的漏洞信息进行解析，提取出CVE号、所影响的OS信息、浏览器信息以及插件信息(S3)。并且，漏洞信息收集装置21将所提取出的漏洞信息储存于漏洞信息数据库22中(参照图5、图6A、图6B以及图6C)(S4)。另一方面，如果不存在新的漏洞信息(S2的“否”)，则漏洞信息收集装置21结束处理。

接着，使用图9对浏览器模拟器管理器23的处理步骤进行说明。首先，浏览器模拟器管理器23的客户端环境创建部271从漏洞信息数据库22取得漏洞信息，根据该漏洞信息来创建客户端环境信息(S11)。并且，设定部272将客户端环境信息设定于浏览器模拟器25中(S12)。

在S12之后，URL列表创建部273创建URL列表(S13)。例如，URL列表创建部273根据所公开的恶性网站的黑名单来创建URL列表。并且，访问指示部274指示浏览器模拟器25访问URL列表所示出的URL(S14)。接受到该指示的浏览器模拟器25的访问部254访问该URL，取得网站内容。

在S14之后，浏览器模拟器25的HTML/CSS解析器255对所取得的网站内容进行解释，当在脚本解释部256中检测出脚本函数或插件函数的执行时，将这些函数的信息(攻击代码信息)记录于访问日志中(S15)。即，对在脚本解释部256中所取得的内容脚本函数或插件函数的执行进行监视，将该执行结果记录于访问日志中。并且，将访问部254对网站内容进行解释的过程中所访问的URL(访问URL)记录于访问日志中(S16)。并且，关于设定于浏览器模拟器25中的客户端环境信息也记录在该访问日志中。

在S16之后，浏览器模拟器管理器23的登记处理部275将浏览器模拟器25的访问日志登记在分析信息数据库24中(S17)。例如，登记处理部275对于记录在访问日志的信息中的由访问指示部274所指示的URL(分析URL)和设定于浏览器模拟器25中的客户端环境信息，登记在分析信息数据库24的分析信息中(参照图7A)。并且，登记处理部275对于由访问指示部274所指示的URL和对该URL的访问的结果转移的URL(访问URL)、各URL中的攻击代码信息，登记在分析信息数据库24的访问信息中(参照图7B)。

在S17之后，访问指示部274在URL列表中存在未由浏览器模拟器25巡回的URL(S18的“是”)时，返回S14，在URL列表所示出的所有的URL巡回完成(S18的“否”)时，结束处理。

接着，使用图10，对浏览器模拟器管理器23的分析部276的处理步骤进行说明。这里，以如下的情况为例进行说明：分析部276确定有可能进行因浏览器的插件信息而引起的攻击的网站的URL。

首先，分析部276向分析信息数据库24请求分析URL、OS信息、以及浏览器信息相同的分析信息的记录(记录A)(S21)。这里，在分析部276能够从分析信息数据库24取得记录A时(S22的“是”)，从分析信息数据库24的访问信息取得与记录A相关的记录(记录B)，从记录B取得攻击代码信息(S23)。另一方面，在分析部276无法从分析信息数据库24取得记录A时(S22的“否”)，结束处理。

例如，分析部276在图7A所示的分析信息中，取得OS信息和浏览器信息相同的分析ID“1，2，3”的记录。并且，分析部276从图7B所示的访问信息中，作为与分析ID“1，2，3”相关的记录，取得访问ID“1，2，3，10，11，12”的记录作为记录B，从记录B取得攻击代码信息“G，E”。

在S23之后，对于分析部276而言，如果在S23中所取得的攻击代码信息中包含与插件相关联的信息(例如，与插件相关联的函数执行日志等)(S24的“是”)，则由于有可能是环境依赖攻击，因此进入S25。另一方面，如果在攻击代码信息中不包含与插件相关联的信息(S24的“否”)，则结束处理。例如，如果图7B的访问信息中的攻击代码信息“G，E”是与插件相关联的信息，则进入S25。

分析部276取得记录B中的访问URL的一览表，按照每个分析ID对访问URL进行比较(S25)，如果访问URL不同(S26的“是”)，则将该记录B中的分析URL确定为依赖于插件而访问URL发生变化的网站的URL(S27)。并且，分析部276输出该网站的URL作为分析结果。另一方面，如果访问URL相同(S26的“否”)，则结束处理。

例如，分析部276判断为在图7B的访问信息中具有分析ID“1”的记录(访问ID“1，2，3”的记录)中的访问目的地URL是“http://example.com”、“http://example.com/test.html”、“http://example.com/mal.pdf”，而具有分析ID“2”的记录(访问ID“10，11”的记录)中的访问目的地URL是“http://example.com”，“http://example.com/test.html”，具有分析ID“3”的记录(访问ID“12”的记录)中的访问目的地URL是“http://example.com”。因此，在S27中，分析部276将这些记录的分析URL“http://example.com”确定为依赖于插件而访问URL发生变化的网站的URL。并且，分析部276输出该URL“http://example.com”作为分析结果。

由此，浏览器模拟器管理器23能够确定有可能进行因浏览器的插件信息引起的攻击的网站的URL。

另外，这里以如下的情况为例进行了说明：分析部276确定有可能进行因浏览器的插件信息引起的攻击的网站的URL，但也可以确定有可能进行因OS信息或浏览器信息引起的攻击的网站的URL。

根据以上说明的系统，由于浏览器模拟器25能够模拟各种客户端环境(OS、浏览器信息、插件信息)而访问网站，并得到其访问结果，因此容易确定有可能进行环境依赖攻击的网站的URL。并且，由于系统使用漏洞信息而对浏览器模拟器25创建客户端环境信息，因此能够高效地确定上述的网站的URL。

(其他实施方式)

另外，在上述的实施方式的系统中，浏览器模拟器25的客户端环境信息也可以以如下的方式创建。

例如，在系统中，在CVE中存在对多个OS、浏览器、插件带来影响的内容的漏洞。另一方面，在OS、浏览器、插件的各版本中存在多个漏洞(CVE)。即，即使是不同的客户端环境也有可能存在相同的CVE。即，即使在浏览器模拟器25的客户端环境不同的情况下，也有可能重复地观测相同的攻击代码。因此，为了使基于分析部276的分析高效化，客户端环境创建部271像下述那样创建客户端环境信息。

例如，如果进行了与对插件中的Adobe Acrobat(注册商标)具有影响的CVE相关的分析，则客户端环境创建部271参照漏洞信息数据库22，而列举出与Adobe Acrobat(注册商标)的各版本相关的CVE。接着，客户端环境创建部271从存在更多的CVE的版本的AdobeAcrobat(注册商标)开始依次作为客户端环境进行选择。并且，客户端环境创建部271在全面涵盖了对Adobe Acrobat(注册商标)具有影响的CVE的时候，结束客户端环境的选择。并且，客户端环境创建部271使用所选择的客户端环境来创建客户端环境信息。这样，客户端环境创建部271能够创建降低了攻击代码的重复观测这样的客户端环境信息。其结果为，系统能够高效地进行URL的分析。

并且，设为分析部276确定根据客户端环境的差异而在访问结果(例如，所访问的URL或执行函数等)上产生差异的网站，但不限于此。例如，在根据浏览器模拟器25的客户端环境的差异而在访问结果上产生差异时，分析部276也可以通过该客户端环境之间的比较而确定成为在访问结果上产生差异的原因的客户端环境的要素(OS、浏览器、插件等)。这样，分析部276能够确定网站对于具有哪种客户端环境的浏览器进行攻击。

并且，关于对分析信息数据库24的信息登记，设为由登记处理部275进行，但不限于此。例如，也可以由浏览器模拟器25自身将访问日志的信息登记在分析信息数据库24中。

(程序)

并且，也可以创建并执行由计算机可执行的语言描述了由上述实施方式的浏览器模拟器25和浏览器模拟器管理器23所执行的处理的程序。在该情况下，通过由计算机执行程序，能够得到与上述实施方式相同的效果。此外，也可以将该程序记录于计算机可读取的记录介质中，使计算机读入并执行该记录介质中记录的程序，由此实现与上述实施方式相同的处理。以下，对执行用于实现与浏览器模拟器25和浏览器模拟器管理器23相同的功能的程序的计算机的一例进行说明。

图11是示出执行上述的程序的计算机的图。如图11所示，计算机1000例如具有：存储器1010、CPU(Central Processing Unit：中央处理单元)1020、硬盘驱动器接口1030、盘驱动器接口1040、串行端口接口1050、视频适配器1060以及网络接口1070。这些各部分由总线1080连接。

存储器1010包含ROM(Read Only Memory：只读存储器)1011和RAM(Random AccessMemory：随机存取存储器)1012。ROM 1011例如存储有BIOS(Basic Input Output System：基础输入输出系统)等引导程序。硬盘驱动器接口1030与硬盘驱动器1090连接。盘驱动器接口1040与盘驱动器1100连接。在盘驱动器1100中例如插入有磁盘或光盘等可装卸的存储介质。串行端口接口1050例如与鼠标1110和键盘1120连接。视频适配器1060例如与显示器1130连接。

这里，如图11所示，硬盘驱动器1090例如存储有OS 1091、应用程序1092、程序模块1093以及程序数据1094。上述实施方式所说明的各信息存储于例如硬盘驱动器1090或存储器1010中。

并且，上述程序例如作为描述有计算机1000所执行的指令的程序模块而存储于硬盘驱动器1090中。具体而言，描述有上述实施方式所说明的由浏览器模拟器25和浏览器模拟器管理器23执行的各处理的程序模块存储于硬盘驱动器1090中。

并且，用于上述程序的信息处理的数据作为程序数据例如存储于硬盘驱动器1090中。并且，CPU 1020根据需要而将硬盘驱动器1090中存储的程序模块1093或程序数据1094读出到RAM 1012，来执行上述的各步骤。

另外，上述程序的程序模块1093或程序数据1094不限于存储于硬盘驱动器1090中的情况，例如也可以存储于可装卸的存储介质中而经由盘驱动器1100等由CPU 1020读出。或者，上述程序的程序模块1093或程序数据1094也可以存储于经由LAN(Local AreaNetwork：局域网)或WAN(Wide Area Network：广域网)等网络连接的其他计算机中而经由网络接口1070由CPU 1020读出。

标号说明

1、2：网络；3：分组转发装置；11：漏洞信息发布网站；12：分析对象网站；21：漏洞信息收集装置；22：漏洞信息数据库；23：浏览器模拟器管理器；24：分析信息数据库；25：浏览器模拟器；26：主机系统；27：控制部；250：信息设定部；251：OS信息设定部；252：浏览器信息设定部；253：插件信息设定部；254：访问部；255：HTML/CSS解析器；256：脚本解释部；257：脚本函数挂钩部；258：插件函数挂钩部；271：客户端环境创建部；272：设定部；273：URL列表创建部；274：访问指示部；275：登记处理部；276：分析部。

Claims (10)

1.一种浏览器模拟器装置，其对浏览器的动作进行模拟，其特征在于，该浏览器模拟器装置具有：

信息设定部，其将任意的OS(操作系统)、任意的浏览器以及任意的插件设定为自身的浏览器模拟器装置的客户端环境；以及

访问部，其在访问外部的网站时，对被设定为所述客户端环境的OS、浏览器以及插件进行模拟而访问，且输出对所述网站的访问结果和对所述网站的访问时所使用的客户端环境的信息。

2.根据权利要求1所述的浏览器模拟器装置，其特征在于，

该浏览器模拟器装置还具有脚本函数挂钩部，

在访问目的地的网站使用脚本的情况下，

该脚本函数挂钩部在所述脚本中使用的脚本函数的执行处理中进行中断，取得与所执行的脚本函数相关的信息，输出与所取得的脚本函数相关的信息和所访问的网站的信息，且向所述网站返回脚本解释器对函数的执行处理或者预先设定的任意的值，作为所述脚本函数的执行处理的应答。

3.根据权利要求1所述的浏览器模拟器装置，其特征在于，

该浏览器模拟器装置还具有插件函数挂钩部，

在访问目的地的网站使用插件函数的情况下，

该插件函数挂钩部在所使用的插件函数的执行处理中进行中断，取得与所执行的插件函数相关的信息，输出与所取得的插件函数相关的信息和所访问的网站的信息，且向所述网站返回预先设定的任意的值，作为所述插件函数的执行处理的应答。

4.一种构建装置，其构建对浏览器的动作进行模拟的浏览器模拟器装置，其特征在于，该构建装置具有：

设定部，其对OS(操作系统)、浏览器、插件的种类和版本设定任意的值，作为所述浏览器模拟器装置的客户端环境；

访问指示部，其指示所述浏览器模拟器装置访问1个以上的网站；

分析信息数据库，其对应地储存所述浏览器模拟器装置对网站的访问结果与对所述网站的访问时所模拟的客户端环境的信息；以及

分析部，其参照所述分析信息数据库中的所述浏览器模拟器装置的访问结果，来确定根据所述客户端环境的差异而在所述访问结果上产生差异的网站。

5.根据权利要求4所述的构建装置，其特征在于，

所述构建装置还具有客户端环境创建部，

该客户端环境创建部从外部装置取得与浏览器和插件的漏洞相关的信息，使用与所述漏洞相关的信息来创建所述客户端环境。

6.根据权利要求4或5所述的构建装置，其特征在于，

所述设定部对多个浏览器模拟器装置分别设定不同的客户端环境，

所述分析部参照所述多个浏览器模拟器装置的访问结果，来确定根据所述客户端环境的差异而在访问结果上产生差异的网站。

7.一种浏览器模拟方法，其特征在于，该浏览器模拟方法包含如下的步骤：

对浏览器的动作进行模拟的浏览器模拟器装置，

将任意的OS(操作系统)、任意的浏览器以及任意的插件设定为自身的浏览器模拟器装置的客户端环境；以及

在访问外部的网站时，对被设定为所述客户端环境的种类和版本的OS、浏览器以及插件进行模拟而访问，且输出对所述网站的访问结果和对所述网站的访问时所使用的客户端环境的信息。

8.一种浏览器模拟程序，其使作为对浏览器的动作进行模拟的浏览器模拟器装置的计算机执行如下的步骤：

将任意的OS(操作系统)、任意的浏览器以及任意的插件设定为自身的浏览器模拟器装置的客户端环境；以及

在访问外部的网站时，对被设定为所述客户端环境的种类和版本的OS、浏览器以及插件进行模拟而访问，且输出对所述网站的访问结果和对所述网站的访问时所使用的客户端环境的信息。

9.一种构建方法，其特征在于，该构建方法包含如下的步骤：

构建对浏览器的动作进行模拟的浏览器模拟器装置的构建装置，

根据从外部装置取得的与浏览器和插件的漏洞相关的信息，对OS(操作系统)、浏览器、插件的种类和版本设定任意的值，作为所述浏览器模拟器装置的客户端环境；

指示所述浏览器模拟器装置访问1个以上的网站；

将所述浏览器模拟器装置对网站的访问结果和对所述网站的访问时所模拟的客户端环境的信息对应地储存于分析信息数据库中；以及

参照所述分析信息数据库中的所述浏览器模拟器装置的访问结果，来确定根据所述客户端环境的差异而在所述访问结果上产生差异的网站。

10.一种构建程序，其构建对浏览器的动作进行模拟的浏览器模拟器装置，其特征在于，该构建程序使计算机执行如下的步骤：

根据从外部装置取得的与浏览器和插件的漏洞相关的信息，对OS(操作系统)、浏览器、插件的种类和版本设定任意的值，作为所述浏览器模拟器装置的客户端环境；

指示所述浏览器模拟器装置访问1个以上的网站；

将所述浏览器模拟器装置对网站的访问结果和对所述网站的访问时所模拟的客户端环境的信息对应地储存于分析信息数据库中；以及

参照所述分析信息数据库中的所述浏览器模拟器装置的访问结果，来确定根据所述客户端环境的差异而在所述访问结果上产生差异的网站。