JP2009037545A - マルウェアの類似性検査方法及び装置 - Google Patents
マルウェアの類似性検査方法及び装置 Download PDFInfo
- Publication number
- JP2009037545A JP2009037545A JP2007203281A JP2007203281A JP2009037545A JP 2009037545 A JP2009037545 A JP 2009037545A JP 2007203281 A JP2007203281 A JP 2007203281A JP 2007203281 A JP2007203281 A JP 2007203281A JP 2009037545 A JP2009037545 A JP 2009037545A
- Authority
- JP
- Japan
- Prior art keywords
- malware
- behavior
- information
- code
- scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000007689 inspection Methods 0.000 title claims abstract description 39
- 238000004458 analytical method Methods 0.000 claims abstract description 115
- 238000001514 detection method Methods 0.000 claims abstract description 73
- 238000012545 processing Methods 0.000 claims abstract description 26
- 230000006399 behavior Effects 0.000 claims description 179
- 230000008569 process Effects 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 5
- 244000035744 Hura crepitans Species 0.000 abstract description 36
- 238000004452 microanalysis Methods 0.000 abstract description 13
- 238000010219 correlation analysis Methods 0.000 description 20
- 230000002452 interceptive effect Effects 0.000 description 17
- 230000000694 effects Effects 0.000 description 14
- 238000012544 monitoring process Methods 0.000 description 11
- 230000003993 interaction Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 208000015181 infectious disease Diseases 0.000 description 4
- 241000208720 Nepenthes Species 0.000 description 3
- 241000700605 Viruses Species 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000000875 corresponding effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000000750 constant-initial-state spectroscopy Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 229940049705 immune stimulating antibody conjugate Drugs 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000010183 spectrum analysis Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Abstract
【解決手段】 ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査方法を提供する。ミクロ分析側ではアドレス走査情報検出手段71、脆弱性攻撃コード検出手段72、マルウェア分析手段73がそれぞれ設定可能サンドボックス80を用いて複数のレベル81〜83の分析を行うと共に、マクロ分析側でも入力したマルウェアに対して各レベルのセンサ51〜53により走査層、脆弱性攻撃コード層、マルウェア層について観察し、アドレス走査情報検出手段41、脆弱性攻撃コード検出手段42、マルウェア分析手段43が分析する。両者の結果は挙動比較手段61によって同一性の比較、又は相関関係を算出する。
【選択図】 図3
Description
また、マルウェア・コードが実際には閉じられた(アクセスが制御された)実験環境で実行されるサンドボックス分析はその挙動を観察することができる(非特許文献19、21〜23参照)。
前述したマクロ分析とミクロ分析が研究され、多様な分析システムに配備されているが、これらの活動から得られた知識は効果的かつ効率的にリンクされておらず、セキュリティ・インシデントの根本原因の特定をさらに難しくしている。
なお、このような2つ以上のマルウェアによる挙動の類似性を検査する技術として、非特許文献24、25が開示されており、本発明出願時未公開の特許文献1、2において開示されている。
請求項1に記載の発明によれば、ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査方法を提供する。
(S1)コンピュータの第1アドレス走査情報検出手段が、第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出工程
(S2)コンピュータの第1マルウェア分析手段が、第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析工程、
(S3)コンピュータの第2アドレス走査情報検出手段が、第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出工程、
(S4)コンピュータの第2マルウェア分析手段が、第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析工程、
(S5)コンピュータの挙動比較手段が、上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較工程。
(S1)コンピュータの第1アドレス走査情報検出手段が、第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出工程、
(S02)コンピュータの第1脆弱性攻撃コード検出手段が、第1の挙動情報のうち脆弱性攻撃コードを検出して記憶手段に格納する第1脆弱性攻撃コード検出工程、
(S2)コンピュータの第1マルウェア分析手段が、第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析工程、
(S3)コンピュータの第2アドレス走査情報検出手段が、第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出工程、
(S04)コンピュータの第2脆弱性攻撃コード検出手段が、第2の挙動情報のうち脆弱性攻撃コードを検出して記憶手段に格納する第2脆弱性攻撃コード検出工程、
(S4)コンピュータの第2マルウェア分析手段が、第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析工程、
(S5)コンピュータの挙動比較手段が、上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較工程。
すなわち、請求項11に記載の発明によれば、ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査システムを提供することができる。
すなわち、本発明の特徴であるマルウェアのミクロ分析とマクロ分析の結果から相関度を求める際に従来のように走査のプロファイルを比較するだけでなく、脆弱性攻撃コード(Exploit code:脆弱性実証コードとも言う。)やマルウェア自体のコード、挙動をも比較対象とすることにより高精度の相関分析が実現できる。例えば、走査の挙動が類似した2つの異なるマルウェアに対しても、脆弱性攻撃コードやマルウェア自体のコード、挙動の相関度を求めることで正確な識別をおこなうことができる。
本発明では、走査に係る挙動(走査層)とマルウェア本体のコード及び挙動(マルウェア層)とを組み合わせ、走査層における検出にはより簡易なホストを用いてネットワーク上の広域に配備することを可能にすると共に、マルウェア層の検出には高精度なホストを設置し、さらに正確な検出に寄与することができる。
このように各層の検出用ホストをネットワーク上に段階的に配備することで、高精度なマルウェアの検出に寄与することができる。
まず、本発明の概要を説明する。本発明は、正確かつ実践的な分析をすでに提案している技術に加え、マクロ−ミクロ相関分析の精度を大幅に高めるためにマルチレイヤの観察に基づいた新規の分析方法を提案するものである。
その後、その3つの層におけるマクロ分析とミクロ分析両方からのすべての観察と分析の結果が相関アナライザによって効果的に収集され、相互に関連付けられ、その結果ネットワーク攻撃とその原因を高い精度で効果的に特定することができる。
これによって取得されるマルウェアの内部の挙動及びネットワーク挙動は、マルウェア駆除ツールやIDS(Intrusion Detection System)のためのシグネチャを生成する等の、マルウェアのさらなる活動を軽減し、防止するための処置を講じるために活用できる。
相互関連の精度を高めるために従来のシステムを高度化するものとして、本発明のマルチレイヤ観察を提案する。
図1に示すように4つのサブシステム、つまりマクロ分析システム(MacS)(10)、ミクロ分析システム(MicS)(11)、ネットワーク・マルウェア関連付けシステム(NemeSys)(12)、及びインシデント処理システム(IHS)(13)から成り立っている。
本実施例では観察のために複数の/16ダークネットと/24ダークネットがあり、その中で入信パケットだけを検知する幅広い範囲のブラックホール・センサ、TCP SYNパケットとICMPエコー要求等の特定の入信パケットに対応する低対話型センサと、マルウェア・サンプル自体を含む多様な情報を引き出すために攻撃者と多種多様な対話が可能な高対話型センサ(ハニーポット)を配備している。
これらのセキュリティ・イベントは追加分析のためにMacS(10)内の後述する多様なアナライザに送信される。MacS(10)のアナライザは、重大なセキュリティ・インシデントの初期的または予兆的事象であるインシデント候補(IC)を検出する。
例えば、変化点アナライザ(非特許文献26参照)は、特定のポート番号での走査頻度データ等の時系列データの急速な変化を検出し、IC警報(14)を発行する。IC警報(14)は、人間のオペレータが手動による詳細な分析を開始するようにIHS(13)に送信してもよい。
Takeuchi, J., Yamanishi, K.: Aunifying framework for detecting outliers and change points from non-stationarytime series data, IEEE Transactions on Knowledge and Data Engineering, Vol. 18,No. 4, pp.482 - 489, 2006年
一方、すべての分析結果(15)は相関分析のためにNemeSys(11)に送信される。さらに、本システムは、人間のオペレータが観察されたトラフィックを直感的に理解するための複数のトラフィック・ビジュアライザを配備することもできる(トラフィック・ビジュアライザについては非特許文献23参照)。
予め分析しておくマルウェアを本発明では第1のソフトウェアと呼んでいる。従って、第1のソフトウェアは他のソース(22)から取得してもよいし、インターネット(20)から収集してもよい。
MicS(12)のアナライザもIC警報(16)を発行することができる。例えば、アナライザは、未知の挙動のマルウェア検出時にそれを発行する。すべての分析結果(17)は相関分析のためにNemeSys(11)に送信される。
これは、オペレータ(30)に対してシステムの最終的な出力として発行されるインシデント・レポート(31)を作成するためのシステムでもある。
そのために本発明ではマルウェア活動が3つの層、すなわち走査層、脆弱性実行コード層、マルウェア層で観察する新しい概念を提案する。
MacS(40)では、走査及び脆弱性攻撃コードは、広範囲のネットワーク(例えばインターネット)(50)で分散されているブラックホール・センサ(51)と低対話型センサ(52)によってそれぞれ観察される。
分析結果はNemeSys(60)の相関アナライザ(61)に通知される。
設定可能サンドボックス(80)は、そのネットワーク環境が3つの焦点を当てられているネットワーク挙動、つまりブラックホール・ネットワークでの走査(ブラックホールモード)(81)、脆弱性攻撃コードの送信(低対話モード)(82)、それら自体のターゲット・ホストでのコピーを撤回するために適する高対話モード(83)の3つの実行モードを用いる。
(走査層)
走査層の役割は、広範囲のブラックホール・ネットワークでマルウェアのネットワーク走査を分析することである。マルウェアによるネットワーク走査は広範囲のブラックホール・センサによって見られるときに特徴的である。
それらがどの宛先ポート上を走査するのか、それらがソースポート番号をどのようにして選ぶのか、それらがどれほど速く走査できるのか、それらがどのようにして宛先IPアドレスを選ぶのか等の走査挙動は、観察された走査の発生元を特定するために有用な情報である。したがって、実際のネットワークの監視によって観察されるものと比較するためにサンドボックス内のそれぞれの取り込まれたマルウェアの走査を観察し、要約する。
走査アナライザ(41)(71)は未処理のパケット・データを採取し、ソースIPアドレスでそれをスライスし、ソースIPアドレスごとにパケットの基本的な統計を計算する。
次に、走査タイプと宛先ポート・セットの文字列連結の要約計算方法(MD5:MessageDigest 5)である走査シグネチャが、走査を特定するために計算される。前記の基本的な統計と走査シグネチャの集合を走査プロファイルと呼ぶ。(非特許文献24に記載)
本発明のアドレス走査情報である走査プロファイルはXMLフォーマットで出力され、記憶手段に格納される。
Suzuki, K., Baba, S., Takakura,H.: Analyzing traffic directed to unused IP address blocks, IEICE TechnicalReport, vol.105, no.530, IA2005-23, pp.25 - 30, 2006年1月
脆弱性攻撃コード層の役割は、各マルウェアがどのような種類の脆弱性攻撃コードを使用するのかを探査することである。脆弱性攻撃コードは、ターゲット脆弱性が悪用された後に実行されるシェルコードを含んでいる。
そこで各分析システム(40)(70)の脆弱性攻撃コード・アナライザ(42)(72)は、ターゲット脆弱性を活用するために必須であるシェルコード内の命令のシーケンスを検出する。
Payer, U., Teufl, P., Lamberger,M.: Hybrid engine for polymorphic shellcode detection, Detection of Intrusionsand Malware, and Vulnerability Assessment (DIMVA2005), LNCS 3548, pp 19 - 31,2005年
ASHULAはパケットのペイロードから遠隔システムの権限を握るために必須である前述された命令のシーケンスを検出し、抽出する。この命令は脆弱性攻撃コードの実際の一部であるため、脆弱性攻撃コードを検出するためのパターン・マッチングのためのIDSシグネチャとして使用することもできる。
Nogawa. H.: Shellcode detection:fight against polymorphism, The Joint Information Security Workshop on InternetMonitoring and Analysis (ISWIMA), 2006年
低対話モードサンドボックス(82)は、実行されるマルウェアからの要求に適切に答えるように構成され、それはMacS(40)内の低対話型センサ(52)と同じ挙動である。脆弱性攻撃コード・アナライザ(72)はマルウェア実行ファイルごとに抽出された命令のリストを出力する。
マルウェア伝搬の最終段階では、マルウェアのコピーをターゲット・ホスト上でダウンロードし、ホストがリブートされるときにコピーを確実に実行するようにしている。コピーは、FTP及びHTTPのようなプロトコルを使用して特定のサーバから、あるいは以前に感染したホストからダウンロードされることもある。マルウェア層ではマルウェア・アナライザ(43)(73)によってサンプル自体を分析する。
難読化のために、多くのマルウェアは従来の方法では逆アセンブルできない。難読化を克服するために、マルウェア・コード・アナライザはまず、隔離されたホストでマルウェア・サンプルを実行する。
マルウェア・コード・アナライザは、最終的にはダンプされたコードを逆アセンブルし、アセンブリコードを取得できる。アセンブリコードを読み取ることによって、Windows(登録商標) APIの呼出シーケンスを取得する。
最後に、すべての情報はコード分析レポートとして要約、XMLフォーマットで出力される。
これらのログに従って、マルウェア挙動アナライザは、所定の挙動定義に基づいたマルウェア・サンプルの顕著な挙動を抽出する。抽出された挙動は挙動分析レポートとして要約され、XMLフォーマットで出力される。
P. Baecher, M. Koetter, T. Holz,M. Dornseif, F. C. Freiling, "The Nepenthes Platform: An EfficientApproach to Collect Malware," Proceedings of Recent Advances in IntrusionDetection, 9th International Symposium, RAID 2006, pp. 165-184, 2006年 G. Portokalidis, A. Slowinska,and Herbert Bos, "Argos: an emulator for fingerprinting zero- day attacksfor advertised honeypots with automatic signature generation," Proceedingsof the 2006 EuroSys conference, pp. 15 - 27, 2006年
最後に、各マルウェアのコード分析レポート及び挙動分析レポートからなるマルウェア・レポート(94)が相関アナライザ(61)に送信される。
マルウェア・サンプルが入力されると、ファイル・アクセス、レジストリ・アクセス、及び通信を含むそれらの挙動を観察するために実験環境での入力サンプルを実行する。
設定可能サンドボックス(80)は、マルウェアを欺くためにインターネット・エミュレータと呼ばれる環境も使用する。インターネット・エミュレータは被害ホストに仮想インターネット・アクセスを提供する。
マルウェアによって生成されるすべてのパケットはインターネット・エミュレータに送られ、次にインターネット・エミュレータはそのパケットをそのポート番号の代りにそのペイロードの観察に従って適切なサービスに転送する。
被害ホストが実際のインターネット環境にあると、ブラックホール・センサによってグローバル・アドレスでの走査だけが監視できる。そのため、グローバル走査のスライスされたトラフィックが走査プロファイルを取得するために走査アナライザに送信される。
被害ホストからの結果として生じるトラフィックは、どの脆弱性攻撃コードが入力マルウェアから送達されるのかをチェックするために脆弱性攻撃コード・アナライザ(72)に入力される。
例えば、上述したArgosまたはnepenthesのようなツールを、攻撃されやすいホストをエミュレートするために設定可能サンドボックス(80)にインストールすることができる。
相関アナライザ(61)は、MacS(40)とMicS(70)のすべてのアナライザから分析結果を受け取り、それらをNemeSys(60)の図示しない外部記憶手段に格納されたマルウェア知識プール(MNOP)と呼ばれるデータベースに記憶する。相関アナライザ(61)の役割は、それらの間でリンクを検出することによりそれらを統合し、充実させるために種々の分析結果をリンクすることである。
走査を相互に関連付けるための最も簡単な方法は、プロファイルの中の走査シグネチャを比較することである。走査シグネチャは非特許文献27に開示されるような規則によって示される走査タイプと宛先ポートのセットの連結のMD5を用いるのが簡便である。
したがって、2つの走査プロファイルのシグネチャが正確に一致する場合、それは2つの走査が同じタイプであり、それらが同じポート番号に向けられていることを意味する。
脆弱性攻撃コードの相関分析は、抽出される命令を比較することによって行うことができる。走査の相互関連のケースに関しては、要約マッチングが最も容易な方法である。命令の2つのシーケンス間の類似性を測定するための方法は任意であるが、例えば上記のようにMD5を用いても同一性を照合してもよい。
2つのマルウェア・サンプルを比較する最も簡単な方法は、その要約(例えばMD5)によるものである。別の簡単な方法は、既知のマルウェアにとって効果的な方法であるが、周知のアンチウィルス・ソフトウェアを用いる方法である。特に簡便で有効な方法は、それらの分析レポートを比較することである。
上述した走査層における相互関連と同様に、マルウェア・アナライザ(43)(73)の分析結果を使用してそれらの間の類似性を算出することができる。
41 走査アナライザ
42 脆弱性攻撃コード・アナライザ
43 マルウェア・アナライザ
50 インターネット
51 ブラックホール・センサ
52 低対話型センサ
53 高対話型センサ
60 ネットワーク及びマルウェア関連付けシステム
61 相関アナライザ
70 ミクロ分析システム
71 走査アナライザ
72 脆弱性攻撃コード・アナライザ
73 マルウェア・アナライザ
80 設定可能サンドボックス
81 同、ブラックホールモード
82 同、低対話モード
83 同、高対話モード
90 走査プロファイル
91 走査プロファイル
92 脆弱性攻撃コード
93 脆弱性攻撃コード
94 マルウェア・レポート
95 マルウェア・レポート
Claims (20)
- ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査方法であって、
コンピュータの第1アドレス走査情報検出手段が、該第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出工程、
コンピュータの第1マルウェア分析手段が、該第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析工程、
コンピュータの第2アドレス走査情報検出手段が、該第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出工程、
コンピュータの第2マルウェア分析手段が、該第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析工程、
コンピュータの挙動比較手段が、上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較工程
を有することを特徴とするマルウェアの類似性検査方法。 - ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査方法であって、
コンピュータの第1アドレス走査情報検出手段が、該第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出工程、
コンピュータの第1脆弱性攻撃コード検出手段が、該第1の挙動情報のうち脆弱性攻撃コードを検出して記憶手段に格納する第1脆弱性攻撃コード検出工程、
コンピュータの第1マルウェア分析手段が、該第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析工程、
コンピュータの第2アドレス走査情報検出手段が、該第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出工程、
コンピュータの第2脆弱性攻撃コード検出手段が、該第2の挙動情報のうち脆弱性攻撃コードを検出して記憶手段に格納する第2脆弱性攻撃コード検出工程、
コンピュータの第2マルウェア分析手段が、該第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析工程、
コンピュータの挙動比較手段が、上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較工程
を有することを特徴とするマルウェアの類似性検査方法。 - 前記第1アドレス走査情報検出工程において前記第1アドレス走査情報検出手段が、及び前記第2アドレス走査情報検出工程において前記第2アドレス走査情報検出手段が、それぞれ、
各宛先ポートのアクセス回数の比率か、連続するパケットのソースポート番号間の差異の平均値か、用いられるプロトコルの比率か、TCP(Transmission Control Protocol)におけるTCPフラグの比率か、単位時間あたりのパケットの平均個数かの少なくともいずれかの統計情報を検出する
請求項1又は2に記載のマルウェアの類似性検査方法。 - 前記第1脆弱性攻撃コード検出工程において前記第1脆弱性攻撃コード検出手段が、及び前記第2脆弱性攻撃コード検出工程において前記第2脆弱性攻撃コード検出手段が、それぞれ、
脆弱性攻撃コードに含まれるシェルコード内の命令のシーケンスを検出する
請求項1ないし3のいずれかに記載のマルウェアの類似性検査方法。 - 前記第1マルウェア分析工程において前記第1マルウェア分析手段が、及び前記第2マルウェア分析工程において前記第2マルウェア分析手段が、それぞれ、
マルウェア本体を逆アセンブリし、そのアセンブリコードを取得する
請求項1ないし4のいずれかに記載のマルウェアの類似性検査方法。 - 前記第1マルウェア分析工程において前記第1マルウェア分析手段が、及び前記第2マルウェア分析工程おいて前記第2マルウェア分析手段が、それぞれ、
マルウェアの実行によるファイル又はレジストリのアクセスログか、プラットフォーム上のAPI(Application Program Interface)ログか、複数のサーバへのアクセスログか、マルウェアにより生成されるパケットログかの少なくともいずれかのログを取得する
請求項1ないし5のいずれかに記載のマルウェアの類似性検査方法。 - 前記挙動比較工程においてコンピュータの挙動比較手段が、
前記第1アドレス走査情報検出手段で検出された走査シグネチャと、前記第2アドレス走査情報検出手段で検出された走査シグネチャとの同一性を照合する
請求項1ないし6のいずれかに記載のマルウェアの類似性検査方法。 - 前記挙動比較工程においてコンピュータの挙動比較手段が、
前記第1アドレス走査情報検出手段で検出された宛先ポートのポート番号の比率と、前記第2アドレス走査情報検出手段で検出された宛先ポートのポート番号の比率との類似性を相関関係式により算出する
請求項1ないし7のいずれかに記載のマルウェアの類似性検査方法。 - 前記挙動比較工程においてコンピュータの挙動比較手段が、
第1脆弱性攻撃コード検出手段で検出した脆弱性攻撃コードと、前記第2脆弱性攻撃コード検出手段で検出した脆弱性攻撃コードとを、それぞれ要約処理し両者の同一性を照合する
請求項1ないし8のいずれかに記載のマルウェアの類似性検査方法。 - 前記挙動比較工程においてコンピュータの挙動比較手段が、
第1マルウェア分析手段で検出したマルウェアのコードと、前記第2マルウェア分析手段で検出したマルウェアのコードとを、それぞれ要約処理し両者の同一性を照合する
請求項1ないし9のいずれかに記載のマルウェアの類似性検査方法。 - ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査システムであって、
該第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出手段と、
該第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析手段と、
該第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出手段と、
該第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析手段と、
上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較手段と
を少なくとも備えたことを特徴とするマルウェアの類似性検査システム。 - ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査システムであって、
該第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出手段と、
該第1の挙動情報のうち脆弱性攻撃コードを検出して記憶手段に格納する第1脆弱性攻撃コード検出手段と、
該第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析手段と、
該第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出手段と、
該第2の挙動情報のうち脆弱性攻撃コードを検出して記憶手段に格納する第2脆弱性攻撃コード検出手段と、
第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析手段と、
上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較手段と
を少なくとも備えたことを特徴とするマルウェアの類似性検査システム。 - 前記第1アドレス走査情報検出手段及び前記第2アドレス走査情報検出手段が、それぞれ、
各宛先ポートのアクセス回数の比率か、連続するパケットのソースポート番号間の差異の平均値か、用いられるプロトコルの比率か、TCP(Transmission Control Protocol)におけるTCPフラグの比率か、単位時間あたりのパケットの平均個数かの少なくともいずれかの統計情報を検出する
請求項11又は12に記載のマルウェアの類似性検査システム。 - 前記第1脆弱性攻撃コード検出手段及び前記第2脆弱性攻撃コード検出手段が、それぞれ、
脆弱性攻撃コードに含まれるシェルコード内の命令のシーケンスを検出する
請求項11ないし13のいずれかに記載のマルウェアの類似性検査システム。 - 前記第1マルウェア分析手段及び前記第2マルウェア分析手段が、それぞれ、
マルウェア本体を逆アセンブリし、そのアセンブリコードを取得する
請求項11ないし14のいずれかに記載のマルウェアの類似性検査システム。 - 前記第1マルウェア分析手段及び前記第2マルウェア分析手段が、それぞれ、
マルウェアの実行によるファイル又はレジストリのアクセスログか、プラットフォーム上のAPI(Application Program Interface)ログか、複数のサーバへのアクセスログか、マルウェアにより生成されるパケットログかの少なくともいずれかのログを取得する
請求項11ないし15のいずれかに記載のマルウェアの類似性検査システム。 - 前記挙動比較手段が、
前記第1アドレス走査情報検出手段で検出された走査シグネチャと、前記第2アドレス走査情報検出手段で検出された走査シグネチャとの同一性を照合する
請求項11ないし16のいずれかに記載のマルウェアの類似性検査システム。 - 前記挙動比較手段が、
前記第1アドレス走査情報検出手段で検出された宛先ポートのポート番号の比率と、前記第2アドレス走査情報検出手段で検出された宛先ポートのポート番号の比率との類似性を相関関係式により算出する
請求項11ないし17のいずれかに記載のマルウェアの類似性検査システム。 - 前記挙動比較手段が、
第1脆弱性攻撃コード検出手段で検出した脆弱性攻撃コードと、前記第2脆弱性攻撃コード検出手段で検出した脆弱性攻撃コードとを、それぞれ要約処理し両者の同一性を照合する
請求項11ないし18のいずれかに記載のマルウェアの類似性検査システム。 - 前記挙動比較手段が、
第1マルウェア分析手段で検出したマルウェアのコードと、前記第2マルウェア分析手段で検出したマルウェアのコードとを、それぞれ要約処理し両者の同一性を照合する
請求項11ないし19のいずれかに記載のマルウェアの類似性検査システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007203281A JP5083760B2 (ja) | 2007-08-03 | 2007-08-03 | マルウェアの類似性検査方法及び装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007203281A JP5083760B2 (ja) | 2007-08-03 | 2007-08-03 | マルウェアの類似性検査方法及び装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009037545A true JP2009037545A (ja) | 2009-02-19 |
JP5083760B2 JP5083760B2 (ja) | 2012-11-28 |
Family
ID=40439368
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007203281A Active JP5083760B2 (ja) | 2007-08-03 | 2007-08-03 | マルウェアの類似性検査方法及び装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5083760B2 (ja) |
Cited By (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010161488A (ja) * | 2009-01-06 | 2010-07-22 | National Institute Of Information & Communication Technology | ネットワーク監視システム及びその方法 |
JP2011248405A (ja) * | 2010-05-21 | 2011-12-08 | Nippon Telegr & Teleph Corp <Ntt> | 抽出装置及び抽出方法 |
JP2011248406A (ja) * | 2010-05-21 | 2011-12-08 | Nippon Telegr & Teleph Corp <Ntt> | 抽出装置及び抽出方法 |
JP2012525626A (ja) * | 2009-04-30 | 2012-10-22 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ユーザ端末の逸脱する挙動 |
CN102841999A (zh) * | 2012-07-16 | 2012-12-26 | 北京奇虎科技有限公司 | 一种文件宏病毒的检测方法和装置 |
EP2595084A2 (en) | 2011-11-15 | 2013-05-22 | Hitachi Ltd. | Program analyzing system and method |
EP2631839A1 (en) | 2012-02-23 | 2013-08-28 | Hitachi Ltd. | Program analysis system and method thereof |
US8566937B2 (en) | 2010-10-04 | 2013-10-22 | Panasonic Corporation | Information processing apparatus and method for preventing unauthorized cooperation of applications |
US8677484B2 (en) | 2011-03-31 | 2014-03-18 | International Business Machines Corporation | Providing protection against unauthorized network access |
JP2014509007A (ja) * | 2011-02-15 | 2014-04-10 | プレヴィクス リミテッド | マルウェアに対処するための方法及び装置 |
US8726085B2 (en) | 2011-02-14 | 2014-05-13 | International Business Machines Corporation | Anomaly detection to implement security protection of a control system |
JP2014513368A (ja) * | 2011-08-23 | 2014-05-29 | ▲騰▼▲訊▼科技(深▲セン▼)有限公司 | プログラムの悪意属性の判別方法及び判別用サーバ |
US20150089655A1 (en) * | 2013-09-23 | 2015-03-26 | Electronics And Telecommunications Research Institute | System and method for detecting malware based on virtual host |
US9075410B2 (en) | 2011-02-15 | 2015-07-07 | International Business Machines Corporation | Abnormality detection for isolating a control system |
JP2016038721A (ja) * | 2014-08-07 | 2016-03-22 | 日本電気株式会社 | マルウェア推定装置、マルウェア推定方法、及び、マルウェア推定プログラム |
JP5955475B1 (ja) * | 2016-01-27 | 2016-07-20 | 三井物産セキュアディレクション株式会社 | プログラム、情報処理装置、及び情報処理方法 |
JP2018521430A (ja) * | 2015-05-04 | 2018-08-02 | ハサン・シェド・カムラン | コンピュータネットワークにおけるセキュリティを管理する方法及び装置 |
JPWO2017187999A1 (ja) * | 2016-04-26 | 2019-02-28 | 日本電気株式会社 | プログラム分析システム、プログラム分析方法、及び、記録媒体 |
US10325094B2 (en) | 2014-08-28 | 2019-06-18 | Mitsubishi Electric Corporation | Process analysis apparatus, process analysis method, and process analysis for determining input/output relation of a block of execution trace to detect potential malware |
US10348747B2 (en) | 2016-08-26 | 2019-07-09 | Fujitsu Limited | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device |
US10536261B2 (en) | 2014-09-25 | 2020-01-14 | Nec Corporation | Analysis system, analysis method, and storage medium |
US10554383B2 (en) | 2014-09-25 | 2020-02-04 | Nec Corporation | Analysis system, analysis method, and storage medium |
US10678911B2 (en) | 2011-02-04 | 2020-06-09 | International Business Machines Corporation | Increasing availability of an industrial control system |
US10931468B2 (en) | 2014-09-25 | 2021-02-23 | Nec Corporation | Analysis system, analysis method, and storage medium |
JP2021514501A (ja) * | 2018-01-31 | 2021-06-10 | パロ アルト ネットワークス, インコーポレイテッドPalo Alto Networks, Inc. | マルウェア検出のためのコンテキストプロファイリング |
US11036564B2 (en) | 2017-01-05 | 2021-06-15 | Fujitsu Limited | Non-transitory computer-readable storage medium, information processing apparatus and method for detecting malware |
US11048799B2 (en) | 2017-01-05 | 2021-06-29 | Fujitsu Limited | Dynamic malware analysis based on shared library call information |
CN113761912A (zh) * | 2021-08-09 | 2021-12-07 | 国家计算机网络与信息安全管理中心 | 一种对恶意软件归属攻击组织的可解释判定方法及装置 |
US11283820B2 (en) | 2018-01-31 | 2022-03-22 | Palo Alto Networks, Inc. | Context profiling for malware detection |
US11949694B2 (en) | 2018-01-31 | 2024-04-02 | Palo Alto Networks, Inc. | Context for malware forensics and detection |
US11956212B2 (en) | 2021-03-31 | 2024-04-09 | Palo Alto Networks, Inc. | IoT device application workload capture |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101564644B1 (ko) * | 2014-07-03 | 2015-10-30 | 한국전자통신연구원 | 접근제어리스트 추출 방법 및 시스템 |
US9473531B2 (en) | 2014-11-17 | 2016-10-18 | International Business Machines Corporation | Endpoint traffic profiling for early detection of malware spread |
JP2018109908A (ja) | 2017-01-05 | 2018-07-12 | 富士通株式会社 | 類似度判定プログラム、類似度判定方法および情報処理装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004075060A1 (ja) * | 2003-02-21 | 2004-09-02 | Tabei, Hikaru | コンピュータウィルス検出装置 |
JP2005109847A (ja) * | 2003-09-30 | 2005-04-21 | Secom Joshinetsu Co Ltd | セキュリティ管理装置 |
JP2005236863A (ja) * | 2004-02-23 | 2005-09-02 | Kddi Corp | ログ分析装置、ログ分析プログラムおよび記録媒体 |
JP2007058514A (ja) * | 2005-08-24 | 2007-03-08 | Mitsubishi Electric Corp | 情報処理装置及び情報処理方法及びプログラム |
-
2007
- 2007-08-03 JP JP2007203281A patent/JP5083760B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004075060A1 (ja) * | 2003-02-21 | 2004-09-02 | Tabei, Hikaru | コンピュータウィルス検出装置 |
JP2005109847A (ja) * | 2003-09-30 | 2005-04-21 | Secom Joshinetsu Co Ltd | セキュリティ管理装置 |
JP2005236863A (ja) * | 2004-02-23 | 2005-09-02 | Kddi Corp | ログ分析装置、ログ分析プログラムおよび記録媒体 |
JP2007058514A (ja) * | 2005-08-24 | 2007-03-08 | Mitsubishi Electric Corp | 情報処理装置及び情報処理方法及びプログラム |
Cited By (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010161488A (ja) * | 2009-01-06 | 2010-07-22 | National Institute Of Information & Communication Technology | ネットワーク監視システム及びその方法 |
JP2012525626A (ja) * | 2009-04-30 | 2012-10-22 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ユーザ端末の逸脱する挙動 |
JP2011248405A (ja) * | 2010-05-21 | 2011-12-08 | Nippon Telegr & Teleph Corp <Ntt> | 抽出装置及び抽出方法 |
JP2011248406A (ja) * | 2010-05-21 | 2011-12-08 | Nippon Telegr & Teleph Corp <Ntt> | 抽出装置及び抽出方法 |
US8566937B2 (en) | 2010-10-04 | 2013-10-22 | Panasonic Corporation | Information processing apparatus and method for preventing unauthorized cooperation of applications |
US10678911B2 (en) | 2011-02-04 | 2020-06-09 | International Business Machines Corporation | Increasing availability of an industrial control system |
US9064110B2 (en) | 2011-02-14 | 2015-06-23 | International Business Machines Corporation | Anomaly detection to implement security protection of a control system |
US8726085B2 (en) | 2011-02-14 | 2014-05-13 | International Business Machines Corporation | Anomaly detection to implement security protection of a control system |
JP2018032418A (ja) * | 2011-02-15 | 2018-03-01 | ウェブルート インク. | マルウェアに対処するための方法及び装置 |
US9075410B2 (en) | 2011-02-15 | 2015-07-07 | International Business Machines Corporation | Abnormality detection for isolating a control system |
US9354625B2 (en) | 2011-02-15 | 2016-05-31 | International Business Machines Corporation | Abnormality detection for isolating a control system |
JP2014509007A (ja) * | 2011-02-15 | 2014-04-10 | プレヴィクス リミテッド | マルウェアに対処するための方法及び装置 |
US8677484B2 (en) | 2011-03-31 | 2014-03-18 | International Business Machines Corporation | Providing protection against unauthorized network access |
US8683589B2 (en) | 2011-03-31 | 2014-03-25 | International Business Machines Corporation | Providing protection against unauthorized network access |
JP2014513368A (ja) * | 2011-08-23 | 2014-05-29 | ▲騰▼▲訊▼科技(深▲セン▼)有限公司 | プログラムの悪意属性の判別方法及び判別用サーバ |
EP2595084A2 (en) | 2011-11-15 | 2013-05-22 | Hitachi Ltd. | Program analyzing system and method |
EP2631839A1 (en) | 2012-02-23 | 2013-08-28 | Hitachi Ltd. | Program analysis system and method thereof |
CN102841999A (zh) * | 2012-07-16 | 2012-12-26 | 北京奇虎科技有限公司 | 一种文件宏病毒的检测方法和装置 |
US20150089655A1 (en) * | 2013-09-23 | 2015-03-26 | Electronics And Telecommunications Research Institute | System and method for detecting malware based on virtual host |
JP2016038721A (ja) * | 2014-08-07 | 2016-03-22 | 日本電気株式会社 | マルウェア推定装置、マルウェア推定方法、及び、マルウェア推定プログラム |
US10325094B2 (en) | 2014-08-28 | 2019-06-18 | Mitsubishi Electric Corporation | Process analysis apparatus, process analysis method, and process analysis for determining input/output relation of a block of execution trace to detect potential malware |
US10931468B2 (en) | 2014-09-25 | 2021-02-23 | Nec Corporation | Analysis system, analysis method, and storage medium |
US10536261B2 (en) | 2014-09-25 | 2020-01-14 | Nec Corporation | Analysis system, analysis method, and storage medium |
US10554383B2 (en) | 2014-09-25 | 2020-02-04 | Nec Corporation | Analysis system, analysis method, and storage medium |
JP2018521430A (ja) * | 2015-05-04 | 2018-08-02 | ハサン・シェド・カムラン | コンピュータネットワークにおけるセキュリティを管理する方法及び装置 |
JP5955475B1 (ja) * | 2016-01-27 | 2016-07-20 | 三井物産セキュアディレクション株式会社 | プログラム、情報処理装置、及び情報処理方法 |
US11494492B2 (en) | 2016-04-26 | 2022-11-08 | Nec Corporation | Program analysis system, program analysis method and storage medium |
US10891379B2 (en) | 2016-04-26 | 2021-01-12 | Nec Corporation | Program analysis system, program analysis method and storage medium |
JPWO2017187999A1 (ja) * | 2016-04-26 | 2019-02-28 | 日本電気株式会社 | プログラム分析システム、プログラム分析方法、及び、記録媒体 |
US10348747B2 (en) | 2016-08-26 | 2019-07-09 | Fujitsu Limited | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device |
US11036564B2 (en) | 2017-01-05 | 2021-06-15 | Fujitsu Limited | Non-transitory computer-readable storage medium, information processing apparatus and method for detecting malware |
US11048799B2 (en) | 2017-01-05 | 2021-06-29 | Fujitsu Limited | Dynamic malware analysis based on shared library call information |
US11283820B2 (en) | 2018-01-31 | 2022-03-22 | Palo Alto Networks, Inc. | Context profiling for malware detection |
JP2021514501A (ja) * | 2018-01-31 | 2021-06-10 | パロ アルト ネットワークス, インコーポレイテッドPalo Alto Networks, Inc. | マルウェア検出のためのコンテキストプロファイリング |
JP7256196B2 (ja) | 2018-01-31 | 2023-04-11 | パロ アルト ネットワークス,インコーポレイテッド | マルウェア検出のためのコンテキストプロファイリング |
US11863571B2 (en) | 2018-01-31 | 2024-01-02 | Palo Alto Networks, Inc. | Context profiling for malware detection |
US11949694B2 (en) | 2018-01-31 | 2024-04-02 | Palo Alto Networks, Inc. | Context for malware forensics and detection |
US11956212B2 (en) | 2021-03-31 | 2024-04-09 | Palo Alto Networks, Inc. | IoT device application workload capture |
CN113761912A (zh) * | 2021-08-09 | 2021-12-07 | 国家计算机网络与信息安全管理中心 | 一种对恶意软件归属攻击组织的可解释判定方法及装置 |
CN113761912B (zh) * | 2021-08-09 | 2024-04-16 | 国家计算机网络与信息安全管理中心 | 一种对恶意软件归属攻击组织的可解释判定方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
JP5083760B2 (ja) | 2012-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5083760B2 (ja) | マルウェアの類似性検査方法及び装置 | |
JP5440973B2 (ja) | コンピュータ検査システム、コンピュータ検査方法 | |
EP3111330B1 (en) | System and method for verifying and detecting malware | |
Inoue et al. | nicter: An incident analysis system toward binding network monitoring with malware analysis | |
EP2559217B1 (en) | System and method for near-real time network attack detection, and system and method for unified detection via detection routing | |
CN105871883A (zh) | 基于攻击行为分析的高级持续性威胁检测方法 | |
Hatada et al. | Empowering anti-malware research in Japan by sharing the MWS datasets | |
Inoue et al. | Malware behavior analysis in isolated miniature network for revealing malware's network activity | |
Nakao et al. | Practical correlation analysis between scan and malware profiles against zero-day attacks based on darknet monitoring | |
CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
Mireles et al. | Extracting attack narratives from traffic datasets | |
Dodiya et al. | Malicious Traffic analysis using Wireshark by collection of Indicators of Compromise | |
Canfora et al. | Detection of malicious web pages using system calls sequences | |
Almarri et al. | Optimised malware detection in digital forensics | |
Nakao et al. | A novel concept of network incident analysis based on multi-layer observations of malware activities | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
Kim et al. | Agent-based honeynet framework for protecting servers in campus networks | |
JP2010161488A (ja) | ネットワーク監視システム及びその方法 | |
Gashi et al. | A study of the relationship between antivirus regressions and label changes | |
Liu et al. | N-victims: An approach to determine n-victims for apt investigations | |
Mahajan et al. | Performance analysis of honeypots against flooding attack | |
CN116170186A (zh) | 基于网络流量分析的攻击代码在线检测方法和装置 | |
KR101518233B1 (ko) | 기업 내부 전산환경의 위협탐지를 위한 보안 장치 | |
Bhati et al. | A survey on intrusion detection tools | |
Yoshioka et al. | Malware sandbox analysis for secure observation of vulnerability exploitation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100802 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120312 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120321 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120518 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120605 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120731 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120821 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120828 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5083760 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150914 Year of fee payment: 3 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |