JP2010015513A - マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム - Google Patents
マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム Download PDFInfo
- Publication number
- JP2010015513A JP2010015513A JP2008177318A JP2008177318A JP2010015513A JP 2010015513 A JP2010015513 A JP 2010015513A JP 2008177318 A JP2008177318 A JP 2008177318A JP 2008177318 A JP2008177318 A JP 2008177318A JP 2010015513 A JP2010015513 A JP 2010015513A
- Authority
- JP
- Japan
- Prior art keywords
- malware
- time
- state transition
- transition pattern
- communication data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】ネットワーク上でマルウェアの通信を高精度に検知する。
【解決手段】実ネットワーク6上で端末装置が感染するマルウェアの通信を検知するマルウェア検知システム1であって、マルウェアを実際に実行する実行環境部13と、この実行環境部13に接続する仮想ネットワーク環境部14とを構築し、マルウェアが及ぼす影響を解析結果として取得するマルウェア解析装置3と、解析結果に基づき、マルウェア実行時の状態遷移パターンを生成する状態遷移パターン生成装置5と、実ネットワーク6上に流れる実通信データの解析結果に基づき実通信データ取得時の状態遷移パターンを生成する実データ状態遷移パターン生成部34と、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとを比較照合し、この照合結果に基づき、実ネットワーク6上でマルウェアによる通信を検知する状態遷移パターン照合部35とを有している。
【選択図】図1
【解決手段】実ネットワーク6上で端末装置が感染するマルウェアの通信を検知するマルウェア検知システム1であって、マルウェアを実際に実行する実行環境部13と、この実行環境部13に接続する仮想ネットワーク環境部14とを構築し、マルウェアが及ぼす影響を解析結果として取得するマルウェア解析装置3と、解析結果に基づき、マルウェア実行時の状態遷移パターンを生成する状態遷移パターン生成装置5と、実ネットワーク6上に流れる実通信データの解析結果に基づき実通信データ取得時の状態遷移パターンを生成する実データ状態遷移パターン生成部34と、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとを比較照合し、この照合結果に基づき、実ネットワーク6上でマルウェアによる通信を検知する状態遷移パターン照合部35とを有している。
【選択図】図1
Description
本発明は、情報漏洩や不正アクセス等の脅威をもたらす、例えば、コンピュータウィルス、スパイウェアやボットプログラム等の不正プログラム(以下、単にマルウェアと称する)による通信をネットワーク上で検知するマルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラムに関する。
近年、情報漏洩や不正アクセス等の脅威をもたらすマルウェアが猛威を振るっている。
マルウェアには、そのソースコードがインターネット上に公開されているものが存在し、容易に新種や亜種を作成することができるため、一日に約70種類程度の新種や亜種が出現して、アンチウィルスソフトでの検知が困難になっているのが実情である(例えば、非特許文献1参照)。
その結果、一般のユーザは、自分のコンピュータ装置がマルウェアに感染していることに気付きにくくなっている。
しかしながら、マルウェアは、実行されると、特徴的な挙動を引き起こすことになるため、その挙動を検知する方法として、実ネットワークに接続可能な仮想ネットワーク環境上でマルウェアを実行し、そのマルウェアで引き起こす挙動を把握する方法が知られている(例えば、非特許文献2参照)。
また、マルウェアに感染したコンピュータ装置からの通信をネットワーク上で検知する方法としては、マルウェアの一種であるボットプログラムがC&C(Command and Control)サーバと通信する特徴的なペイロードに基づき、マルウェアに感染したコンピュータ装置からの通信を検知する方法が知られている(例えば、非特許文献3参照)。
しかしながら、ボットプログラムには、命令コマンドを暗号化して送受信するものや、IRC(Internet Relay Chat)プロトコル以外にも、一般的に使用されているHTTP(Hyper Text Transfer Protocol)を利用するものが存在する(例えば、非特許文献4参照)。
従って、非特許文献3の技術のみでは、ネットワーク上でマルウェアの通信を高精度に検知するのに必要な、不正アクセス検出用パターン等のシグネチャを作成することは難しく、誤検知や検知漏れが生じるおそれがある。
そこで、このような事態に対処すべく、単一のセッションに含まれる通信データに対するシグネチャマッチングではなく、複数のセッション間の関連性についても検査し、誤検知や検知漏れを低減した方法が知られている(例えば、非特許文献5参照)。
しかしながら、非特許文献5の方法では、マルウェアによる通信を定義する状態遷移パターンの作成手法が確立されていないため、マルウェアの通信を高精度に検知するには不十分である。
小山 覚(Telecom−ISAC Japan)「ボットネット実態調査結果"Our security depends on your security."」、Black Hat Japan 2005 Briefings
青木一史、岩村誠、伊藤光恭、「半透性仮想ネットワークを用いたボットの動的解析手法の提案」、電子情報通信学会2008年総合大会、2008年3月18日
Jan Goebel,Thorsten Holz,「Rishi:Identify Bot Contaminated Hosts BY IRC Nickname Evaluation」、USENIX HotBots‘07
Jose Nazario,「Botnet Tracking:Tools,Techniques,and Lessons Learned」、Black Hat DC 2007 Briefings
水谷正慶、白畑真、南政樹、村井純、「Session Based IDSの設計と実装」、電子情報通信学会論文誌B Vol.J88−B No.3 pp,551−562
現在、一般のユーザでは、自分のコンピュータ装置がマルウェアに感染しているか否かを認識しにくい状態になっているため、ネットワーク側で感染したコンピュータ装置を見つけ出すことは急務である。
そこで、複数のセッションの関連性に基づきマルウェアを検知する方法が知られているが、マルウェアによる通信を定義するシグネチャを生成する方法が確立されていないため、マルウェアによる通信を高精度に検知することは難しい。
従って、ネットワーク側からマルウェアに感染したコンピュータ装置の通信を高精度に検知するには、マルウェアに見られる通信パターンを自動的に収集し、複数のセッションの関連性からマルウェアの通信を検知することが求められている。
また、非特許文献2では、マルウェアから外部に対して特定の通信を透過させるものの、通信を契機としてマルウェアが特定のポートを開くという挙動には対応していないため、このような挙動を引き起こす特殊なマルウェアをネットワーク上で検知することができない。
本発明は上記点に鑑みてなされたものであり、その目的とするところは、複数のセッションの関連性に基づくマルウェアの検知方法において、マルウェアの通信として定義される状態遷移パターンを自動的に生成し、ネットワーク上でマルウェアによる通信を高精度に検知することができるマルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラムを提供することにある。
上記目的を達成するために本願請求項1記載のマルウェア検知システムは、実ネットワーク上で端末装置が感染するマルウェアの通信を検知するマルウェア検知システムであって、前記マルウェアを実際に実行する実行環境部と、この実行環境部に接続する仮想ネットワーク環境部とを構築し、前記実行環境部及び前記仮想ネットワーク環境部で前記マルウェアが及ぼす影響を前記マルウェア実行時の解析結果として取得するマルウェア解析部と、このマルウェア解析部にて取得した前記マルウェア実行時の解析結果に基づき、前記マルウェア実行時の状態遷移パターンを生成するマルウェア状態遷移パターン生成部と、前記実ネットワーク上に流れる実通信データが及ぼす影響を実通信データ取得時の解析結果として取得し、この取得した実通信データ取得時の解析結果に基づき、前記実通信データ取得時の状態遷移パターンを生成する実データ状態遷移パターン生成部と、前記実データ状態遷移パターン生成部にて生成した前記実通信データ取得時の状態遷移パターンと前記マルウェア状態遷移パターン生成部にて生成した前記マルウェア実行時の状態遷移パターンとを比較照合し、この照合結果に基づき、前記実ネットワーク上で前記マルウェアによる通信を検知するパターン照合部と、を有するようにした。
本願請求項2記載のマルウェア検知システムは、本願請求項1記載の構成において、前記マルウェア状態遷移パターン生成部は、前記マルウェア実行時の解析結果から前記マルウェア実行時の状態データを抽出し、前記実データ状態遷移パターン生成部は、前記実通信データ取得時の解析結果から前記実通信データ取得時の状態データを抽出し、前記パターン照合部は、前記実通信データ取得時の状態データに合致する前記マルウェア実行時の状態データがあるか否かを判定し、前記実通信データ取得時の状態データに合致する前記マルウェア実行時の状態データがあると判定されると、前記実通信データ取得時の状態遷移パターンと前記マルウェア実行時の状態遷移パターンとの比較照合動作を開始するようにした。
本願請求項3記載のマルウェア検知システムは、本願請求項2記載の構成において、前記マルウェア状態遷移パターン生成部は、前記マルウェア実行時の状態データを順次保存することで、保存中のマルウェア実行時の状態データを時間推移で示す前記マルウェア実行時の状態遷移パターンを生成するようにした。
また、本願請求項4記載のマルウェア検知システムは、本願請求項3記載の構成において、前記実データ状態遷移パターン生成部は、前記実通信データ取得時の状態データを順次保存することで、保存中の実通信データ取得時の状態データを時間推移で示す前記実通信データ取得時の状態遷移パターンを生成するようにした。
本願請求項5記載のマルウェア検知システムは、本願請求項1〜4の何れか一に記載の構成において、前記マルウェア解析部は、前記仮想ネットワーク環境部側で前記実行環境部上の前記マルウェアからの通信データを受信すると、通信データ内のペイロードに基づき、プロトコルを識別判定するプロトコル判定部と、このプロトコル判定部にて識別判定されたプロトコル及び、前記通信データの宛先情報・ペイロードデータに基づき、前記仮想ネットワーク環境部を前記実ネットワークに接続するか否かを判定する外部接続判定部と、この外部接続判定部にて前記仮想ネットワーク環境部を前記実ネットワークに接続すると判定されると、前記仮想ネットワーク環境部側で前記実行環境部上の前記マルウェアから受信した前記通信データを前記実ネットワークに対して中継送信し、この通信データに対する前記実ネットワークからの応答を前記実行環境部上の前記マルウェアに中継送信する外部接続中継部と、前記外部接続判定部にて前記仮想ネットワーク環境部を前記実ネットワークに接続しないと判定されると、前記仮想ネットワーク環境部側で前記実行環境部上の前記マルウェアから受信した前記通信データに対する応答を前記実行環境部上の前記マルウェアに送信する仮想応答生成部と、を有するようにした。
また、本願請求項6記載のマルウェア検知システムは、本願請求項5記載の構成において、前記外部接続中継部は、前記仮想ネットワーク環境部側で前記実行環境部上の前記マルウェアから受信した前記通信データを前記実ネットワークに対して中継送信した後、前記通信データの通信内容に応じて、特定の通信ポートを開放して前記実ネットワークからの通信データの受信を待機し、前記実ネットワークから受信した通信データを前記実行環境部上の前記マルウェアに中継送信するようにした。
本願請求項7記載のマルウェア検知システムは、本願請求項1〜6の何れか一に記載の構成において、前記マルウェア状態遷移パターン生成部は、前記仮想ネットワーク環境部側で前記実行環境部上の前記マルウェアから受信する前記通信データの内、通信元IP(Internet Protocol)アドレス、通信元FQDN(Full Qualified Domain Name)、通信元ポート番号、通信先IPアドレス、通信先FQDN、通信先ポート番号、通信ペイロード、L4プロトコル種別、前パケット送信からの経過時間及び接続成否の何れかの識別種別を指定し、この指定した識別種別を前記マルウェア実行時の状態データとして抽出するようにした。
また、本願請求項8記載のマルウェア検知システムは、本願請求項7記載の構成において、前記実データ状態遷移パターン生成部は、前記実ネットワーク上に流れる前記実通信データの前記識別種別の内、前記マルウェア実行時の状態データとして抽出された識別種別と同一種別を指定して、この識別種別を前記実通信データ取得時の状態データとして抽出するようにした。
また、上記目的を達成するために本願請求項9記載のマルウェア検知方法は、実ネットワーク上で端末装置が感染するマルウェアの通信を検知するマルウェア検知方法であって、前記マルウェアを実際に実行する実行環境部と、この実行環境部に接続する仮想ネットワーク環境部とを構築する環境構築ステップと、前記実行環境部及び前記仮想ネットワーク環境部で前記マルウェアが及ぼす影響を前記マルウェア実行時の解析結果として取得するマルウェア解析ステップと、前記マルウェア実行時の解析結果に基づき、前記マルウェア実行時の状態遷移パターンを生成するマルウェア状態遷移パターン生成ステップと、前記実ネットワーク上に流れる実通信データが及ぼす影響を実通信データ取得時の解析結果として取得し、この取得した実通信データ取得時の解析結果に基づき、前記実通信データ取得時の状態遷移パターンを生成する実データ状態遷移パターン生成ステップと、前記実データ状態遷移パターン生成ステップにて生成した前記実通信データ取得時の状態遷移パターンと前記マルウェア状態遷移パターン生成ステップにて生成した前記マルウェア実行時の状態遷移パターンとを比較照合し、この照合結果に基づき、前記実ネットワーク上で前記マルウェアによる通信を検知するパターン照合ステップと、を含むようにした。
また、上記目的を達成するために本願請求項10記載のマルウェア検知プログラムは、実ネットワーク上に配置したコンピュータ装置に、この実ネットワーク上に配置した端末装置が感染するマルウェアの通信を検知する処理を実行させるマルウェア検知プログラムであって、前記マルウェアを実際に実行する実行環境部と、この実行環境部に接続する仮想ネットワーク環境部とを構築する環境構築手順と、前記実行環境部及び前記仮想ネットワーク環境部で前記マルウェアが及ぼす影響を前記マルウェア実行時の解析結果として取得するマルウェア解析手順と、前記マルウェア実行時の解析結果に基づき、前記マルウェア実行時の状態遷移パターンを生成するマルウェア状態遷移パターン生成手順と、前記実ネットワーク上に流れる実通信データが及ぼす影響を実通信データ取得時の解析結果として取得し、この取得した実通信データ取得時の解析結果に基づき、前記実通信データ取得時の状態遷移パターンを生成する実データ状態遷移パターン生成手順と、前記実データ状態遷移パターン生成手順にて生成した前記実通信データ取得時の状態遷移パターンと前記マルウェア状態遷移パターン生成手順にて生成した前記マルウェア実行時の状態遷移パターンとを比較照合し、この照合結果に基づき、前記実ネットワーク上で前記マルウェアによる通信を検知するパターン照合手順と、を前記コンピュータ装置に実行させるようにした。
上記のように構成された本願請求項1記載のマルウェア検知システムによれば、マルウェアを実際に実行する実行環境部と、この実行環境部に接続する仮想ネットワーク環境部とを構築し、前記実行環境部及び仮想ネットワーク環境部で前記マルウェアが及ぼす影響を前記マルウェア実行時の解析結果として取得し、この解析結果に基づき、マルウェア実行時の状態遷移パターンを予め生成しておき、実ネットワーク上に流れる実通信データが及ぼす影響を実通信データ取得時の解析結果とし、この解析結果に基づき実通信データ取得時の状態遷移パターンを生成し、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとを比較照合し、この照合結果に基づき、実ネットワーク上でマルウェアによる通信を検知するようにしたので、実行環境部上でマルウェアを実際に実行し、実行環境部及び仮想ネットワーク環境部でマルウェアが及ぼす影響の分析結果に基づくマルウェア実行時の状態遷移パターンを使用することで、実ネットワーク上でマルウェアによる通信を高精度に検知することができる。
また、本願請求項2記載のマルウェア検知システムによれば、本願請求項1記載の効果に加えて、前記マルウェア実行時の解析結果から前記マルウェア実行時の状態データを抽出し、前記実通信データ取得時の解析結果から前記実通信データ取得時の状態データを抽出し、前記実通信データ取得時の状態データに合致する前記マルウェア実行時の状態データがあると判定されると、前記実通信データ取得時の状態遷移パターンと前記マルウェア実行時の状態遷移パターンとの比較照合を開始するようにしたので、状態遷移パターンの比較照合に要する負担を大幅に軽減することができる。
また、本願請求項3記載のマルウェア検知システムによれば、本願請求項2記載の効果に加えて、前記マルウェア実行時の状態データを順次保存することで、保存中のマルウェア実行時の状態データを時間推移で示す前記マルウェア実行時の状態遷移パターンを生成するようにしたので、マルウェア実行時の状態遷移パターンを容易に生成することができる。
また、本願請求項4記載のマルウェア検知システムによれば、本願請求項3記載の効果に加えて、前記実通信データ取得時の状態データを順次保存することで、保存中の実通信データ取得時の状態データを時間推移で示す前記実通信データ取得時の状態遷移パターンを生成するようにしたので、実通信データ取得時の状態遷移パターンを容易に生成することができる。
また、本願請求項5記載のマルウェア検知システムによれば、本願請求項1〜4の何れか一に記載の効果に加えて、仮想ネットワーク環境部側で前記実行環境部上の前記マルウェアからの通信データを受信すると、通信データのプロトコル及び宛先情報・ペイロードデータに基づき、前記仮想ネットワーク環境部を前記実ネットワークに接続するか否かを判定し、前記仮想ネットワーク環境部を前記実ネットワークに接続する場合、前記仮想ネットワーク環境部側で前記実行環境部上の前記マルウェアから受信した前記通信データを前記実ネットワークに対して中継送信し、この通信データに対する前記実ネットワークからの応答を前記実行環境部上の前記マルウェアに中継送信するようにしたので、実ネットワークとの通信の結果、動作が変化するようなマルウェアについても、高精度な解析結果を取得し、その結果、マルウェア実行時の高精度な状態遷移パターンを生成することができる。
また、本願請求項5記載のマルウェア検知システムによれば、本願請求項1〜4の何れか一に記載の効果に加えて、仮想ネットワーク環境部側で前記実行環境部上の前記マルウェアからの通信データを受信すると、通信データのプロトコル及び宛先情報・ペイロードデータに基づき、前記仮想ネットワーク環境部を前記実ネットワークに接続するか否かを判定し、前記仮想ネットワーク環境部を前記実ネットワークに接続しない場合、前記仮想ネットワーク環境部側で前記実行環境部上の前記マルウェアから受信した前記通信データに対する応答を前記実行環境部上の前記マルウェアに送信するようにしたので、前記マルウェア側が送信した通信データに対して応答を必要とするタイプのマルウェアについても、実ネットワークに影響を与えることなく、安全に高精度な解析結果を取得し、その結果、マルウェア実行時の高精度な状態遷移パターンを生成することができる。
また、本願請求項6記載のマルウェア検知システムによれば、本願請求項5記載の効果に加えて、前記仮想ネットワーク環境部側で前記実行環境部上の前記マルウェアから受信した前記通信データを前記実ネットワークに対して中継送信した後、前記通信データの通信内容に応じて、特定の通信ポートを開放して前記実ネットワークからの通信データの受信を待機し、前記実ネットワークから受信した通信データを前記実行環境部上の前記マルウェアに中継送信するようにしたので、マルウェアが実ネットワークに通信データを送信した後、特定の通信ポートを開放して実ネットワークからの通信データを受信待機し、通信データを受信することで動作するタイプの特殊なマルウェアについても、高精度な解析結果を取得し、その結果、マルウェア実行時の高精度な状態遷移パターンを生成することができる。
また、本願請求項7記載のマルウェア検知システムによれば、本願請求項1〜6の何れか一に記載の効果に加えて、前記仮想ネットワーク環境部側で前記実行環境部上の前記マルウェアから受信する前記通信データの内、通信元IPアドレス、通信元FQDN、通信元ポート番号、通信先IPアドレス、通信先FQDN、通信先ポート番号、通信ペイロード、L4プロトコル種別、前パケット送信からの経過時間及び接続成否の何れかの識別種別を指定し、この指定した識別種別を前記マルウェア実行時の状態データとして抽出するようにしたので、高精度な解析結果を取得することができる。
また、本願請求項8記載のマルウェア検知システムによれば、本願請求項7記載の効果に加えて、前記実ネットワーク上に流れる前記実通信データの識別種別の内、前記マルウェア実行時の状態データとして抽出された識別種別と同一種別を指定して、この識別種別を前記実通信データ取得時の状態データとして抽出するようにしたので、マルウェア実行時及び実通信データ取得時の状態遷移パターン同士の比較照合を容易に行うことができる。
また、上記のように構成された本願請求項9記載のマルウェア検知方法によれば、マルウェアを実際に実行する実行環境部と、この実行環境部に接続する仮想ネットワーク環境部とを構築し、前記実行環境部及び仮想ネットワーク環境部で前記マルウェアが及ぼす影響を前記マルウェア実行時の解析結果として取得し、この解析結果に基づき、マルウェア実行時の状態遷移パターンを予め生成しておき、実ネットワーク上に流れる実通信データが及ぼす影響を実通信データ取得時の解析結果とし、この解析結果に基づき実通信データ取得時の状態遷移パターンを生成し、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとを比較照合し、この照合結果に基づき、実ネットワーク上でマルウェアによる通信を検知するようにしたので、実行環境部上でマルウェアを実際に実行し、実行環境部及び仮想ネットワーク環境部でマルウェアが及ぼす影響の分析結果に基づくマルウェア実行時の状態遷移パターンを使用することで、実ネットワーク上でマルウェアによる通信を高精度に検知することができる。
また、上記のように構成された本願請求項10記載のマルウェア検知プログラムによれば、マルウェアを実際に実行する実行環境部と、この実行環境部に接続する仮想ネットワーク環境部とを構築し、前記実行環境部及び仮想ネットワーク環境部で前記マルウェアが及ぼす影響を前記マルウェア実行時の解析結果として取得し、この解析結果に基づき、マルウェア実行時の状態遷移パターンを予め生成しておき、実ネットワーク上に流れる実通信データが及ぼす影響を実通信データ取得時の解析結果とし、この解析結果に基づき実通信データ取得時の状態遷移パターンを生成し、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとを比較照合し、この照合結果に基づき、実ネットワーク上でマルウェアによる通信を検知するようにしたので、実行環境部上でマルウェアを実際に実行し、実行環境部及び仮想ネットワーク環境部でマルウェアが及ぼす影響の分析結果に基づくマルウェア実行時の状態遷移パターンを使用することで、実ネットワーク上でマルウェアによる通信を高精度に検知することができる。
以下、図面に基づき本発明のマルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラムに関わる実施の形態を示すマルウェア検知システムについて説明する。
(第1の実施の形態)
図1は、第1の実施の形態を示すマルウェア検知システム内部の概略構成を示すシステム説明図、図2は、マルウェア解析装置内部の概略構成を示すブロック図である。
図1は、第1の実施の形態を示すマルウェア検知システム内部の概略構成を示すシステム説明図、図2は、マルウェア解析装置内部の概略構成を示すブロック図である。
図1に示すマルウェア検知システム1は、解析対象のマルウェアを記憶するマルウェアスプーラ2と、マルウェアが及ぼす影響をマルウェア実行時の挙動解析結果として取得するマルウェア解析装置3と、マルウェア解析装置3にて取得したマルウェア実行時の挙動解析結果を記憶する解析結果データベース4とを有している。
また、マルウェア検知システム1は、解析結果データベース4に記憶中のマルウェア実行時の挙動解析結果に基づき、マルウェア実行時の状態データ及び、その状態データを時間推移で示すマルウェア実行時の状態遷移パターンを生成する状態遷移パターン生成装置5と、外部の実ネットワーク6間に接続配置し、実ネットワーク6上でマルウェアによる通信を検知するマルウェア検知装置7とを有している。
マルウェア解析装置3は、解析対象のマルウェアを展開する解析環境を構築する解析環境部11と、マルウェア解析装置3全体を制御する解析システムコントロール部12とを有している。
解析環境部11は、マルウェアスプーラ2に記憶中の解析対象となるマルウェアを実行する実行環境部13と、実行環境部13と接続する仮想ネットワーク環境部14とを有し、実行環境部13で実行するマルウェアは、実際の実ネットワーク6と通信しているかの如く、仮想ネットワーク環境部14と通信するものである。尚、仮想ネットワーク環境部14は、実ネットワーク6に接続可能である。
図2に示す仮想ネットワーク環境部14は、実行環境部13で実行中のマルウェアからの通信データを受信すると、実行環境部13及び仮想ネットワーク環境部14間でマルウェアが関与する通信を全て一度終端し、受信した通信データ内のペイロードに基づき、通信データのプロトコルを識別判定するプロトコル判定部21を有している。図3は、シグネチャリストの一例を端的に示す説明図である。
プロトコル判定部21は、マルウェアからの通信データ内の通信ペイロードと、予め準備したシグネチャリスト(図3参照)とを照合し、その照合結果に基づき、マルウェアからの通信データのプロトコルを識別判定するものである。例えば、プロトコル判定部21は、マルウェアからの通信データを受信すると、その通信データのペイロードが“^HELO.*”という正規表現とマッチする場合、図3に示すシグネチャリストと照合し、“^HELO.*”という正規表現に対応するSMTP(Simple Mail Transfer Protocol)プロトコルと識別判定することになる。
また、仮想ネットワーク環境部14は、プロトコル判定部21にて識別判定したプロトコル及び、マルウェアから受信した通信データに含まれる通信先IPアドレス、通信先ポート番号及び通信先FQDN等の宛先情報・ペイロードデータに基づき、この通信データを外部接続、すなわち実ネットワーク6上に接続するか否かを判定する外部接続判定部22を有している。
また、仮想ネットワーク環境部14は、外部接続判定部22にて実ネットワーク6に接続する場合、実行環境部13上のマルウェアから受信した通信データを実ネットワーク6に対して送信し、この通信データに対する実ネットワーク6からの応答を実行環境部13上のマルウェアに送信する外部接続中継部23を有している。
また、仮想ネットワーク環境部14は、外部接続判定部22にて実ネットワーク6に接続しない場合、実行環境部13上のマルウェアから受信した通信データに対する応答を実行環境部13上のマルウェアに返信する仮想応答生成部24を有している。
また、外部接続中継部23は、実行環境部13上のマルウェアから受信した通信データを実ネットワーク6に対して送信した後、マルウェアから受信した通信データの通信内容に応じて、特定の通信ポートを開放して実ネットワーク6からの接続を待機し、実ネットワーク6から取得した通信データを実行環境部13上のマルウェアに送信するものである。
また、実行環境部13は、マルウェアを実行させた場合、マルウェアが呼び出すAPI(Application Program Interface)シーケンス、システムコール及び、例えば実行環境部13等の内部資源へのアクセス結果等の通信データを全て記録するロギング部13Aを有している。
解析システムコントロール部12は、ロギング部13Aにて記録した全データ並びに仮想ネットワーク環境部14を介して送受信された通信データ及び生起時刻を、実行環境部13及び仮想ネットワーク環境部14でのマルウェア実行時に見られる挙動解析結果として解析結果データベース4に記憶するものである。
また、図1に示す状態遷移パターン生成装置5は、解析結果データベース4に記憶中のマルウェア実行時の解析結果に基づき、解析対象のマルウェア毎に、マルウェア実行時の状態データを抽出するものである。
尚、マルウェア実行時の状態データは、マルウェアからの通信データに含まれるハッシュ値、通信元IPアドレス、通信元FQDN、通信元ポート番号、通信先IPアドレス、通信先FQDN、通信先ポート番号、通信ペイロード、L4プロトコル種別、前通信データ(パケット)送信からの経過時間及び接続成否の識別種別を含むデータに相当し、マルウェアの挙動を定義するデータに相当するものである。
また、状態遷移パターン生成装置5は、解析結果データベース4に記憶中のマルウェア実行時の解析結果から解析対象のマルウェアに関わるマルウェア実行時の状態データを抽出保存し、状態生起時刻の前後の状態データに基づき、マルウェア実行時の状態遷移パターンを生成し、マルウェア実行時の状態遷移パターンを解析結果データベース4内の別領域に保存するものである。
また、マルウェア検知装置7は、実ネットワーク6間に接続配置し、実ネットワーク6を通じて実通信データを受信するインタフェースを司る受信用通信インタフェース31と、実ネットワーク6を通じて実通信データを送信するインタフェースを司る送信用通信インタフェース32と、これら受信用通信インタフェース31及び送信用通信インタフェース32を通じて実ネットワーク6間を流れる実通信データを順次記憶するバッファ33とを有している。
マルウェア検知装置7は、バッファ33で順次記憶した実通信データを取得し、取得した実通信データが及ぼす影響を実通信データ取得時の解析結果として取得し、この取得した解析結果に基づき実通信データ取得時の状態データを抽出する実データ状態遷移パターン生成部34を有している。
尚、実通信データ取得時の状態データは、通信元IPアドレス、通信元FQDN、通信元ポート番号、通信先IPアドレス、通信先FQDN、通信先ポート番号、通信ペイロード、L4プロトコル種別、前通信データ(パケット)送信からの経過時間及び接続成否の識別種別を含むマルウェア実行時の状態データと同一項目である。
実データ状態遷移パターン生成部34は、実通信データ取得時の状態データを抽出保存すると、一致カウンタ値を初期化し、実通信データ取得時の状態データに対応するマルウェア実行時の状態データが解析結果データベース4内にあるか否かを判定するものである。
実データ状態遷移パターン生成部34は、実通信データ取得時の状態データに対応するマルウェア実行時の状態データが解析結果データベース4内にある場合、一致カウンタ値を+1インクリメントし、バッファ33に記憶中の次の実通信データの解析結果を順次取得し、この取得した解析結果に基づき実通信データ取得時の状態データを抽出保存するものである。
さらに、実データ状態遷移パターン生成部34は、実通信データ取得時の状態データを順次抽出保存すると、時間的な前後の状態データに基づき、連続的な実通信データ取得時の状態遷移パターンを生成し、この生成した実通信データ取得時の状態遷移パターンを生成するものである。
また、マルウェア検知装置7は、実データ状態遷移パターン生成部34から実通信データ取得時の状態遷移パターンを取得すると、この実通信データ取得時の状態遷移パターンと解析結果データベース4の別領域に記憶中のマルウェア実行時の状態遷移パターンとを比較照合し、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとが合致したか否かを判定する状態遷移パターン照合部35を有している。
状態遷移パターン照合部35は、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとを照合し、状態データと一致する度に、一致カウンタ値を+1インクリメントし、実通信データ取得時の状態遷移パターンがマルウェア実行時の状態遷移パターン最後尾まで一致確認したか否かを判定するものである。
状態遷移パターン照合部35は、実通信データ取得時の状態遷移パターンがマルウェア実行時の状態遷移パターン最後尾まで一致確認した場合、一致カウンタ値に応じて一致スコアを設定するものである。
また、マルウェア検知装置7は、この状態遷移パターン照合部35の照合結果を検知ログとして保存する検知ログ生成部36と、このマルウェア検知装置7の通信制御を司る通信制御部37とを有している。
通信制御部37は、一致スコアに応じて通信遮断ルールに該当するか否かを判定し、一致スコアが通信遮断ルールに該当した場合、バッファ33に記憶中の実通信データを破棄すると共に、一致スコアが通信遮断ルールに該当しない場合、バッファ33に記憶中の実通信データを送信用通信インタフェース32に転送するものである。
次に、第1実施の形態を示すマルウェア検知システム1の動作について説明する。図4は、マルウェア解析処理に関わるマルウェア解析装置3内部の処理動作を示すフローチャートである。
図4に示すマルウェア解析処理は、通常のマルウェア実行時の挙動解析結果は勿論のこと、外部への通信データ送信後、特定ポートを開放して外部からの通信データを受信待機する形式の特殊なマルウェア実行時の挙動解析結果をも取得することが可能な解析処理である。
図4においてマルウェア解析装置3は、仮想ネットワーク環境部14を通じて実行環境部13上のマルウェアから通信データを受信したか否かを判定する(ステップS11)。
マルウェア解析装置3は、実行環境部13上のマルウェアから通信データを受信した場合(ステップS11肯定)、通信データの内容を検査する(ステップS12)。
マルウェア解析装置3は、マルウェアからの通信データの通信内容を検査すると、外部である実ネットワーク6からの通信データを待機すべく、特定の通信ポートを開放する必要があるか否かを判定する(ステップS13)。
マルウェア解析装置3は、実ネットワーク6からの通信データを受信すべく、特定の通信ポートを開放する必要がある場合(ステップS13肯定)、実ネットワーク6側のインタフェースで受信した通信データに基づき算出した特定ポートを開放して実ネットワーク6からの通信データを受信待機する(ステップS14)。尚、マルウェア解析装置3は、ステップS14にて特定ポートを開放すると、ポート開放時間のタイマ計時動作を開始することになる。
マルウェア解析装置3は、ポート開放時間がタイムアウト時間を経過したか否かを判定する(ステップS15)。マルウェア解析装置3は、ポート開放時間がタイムアウト時間を経過した場合(ステップS15肯定)、特定ポートの開放を閉じて、図4に示す処理動作を終了する。
また、マルウェア解析装置3は、実行環境部13上のマルウェアから通信データを受信しなかった場合(ステップS11否定)、図4に示す処理動作を終了する。
また、マルウェア解析装置3は、ステップS13にて特定の通信ポートを開放する必要がない場合(ステップS13否定)、通常のマルウェア実行時と判断し、図4に示す処理動作を終了する。その結果、ロギング部13Aは、通常のマルウェア実行時の挙動に関わる全データをマルウェア実行時の解析結果として解析システムコントロール部12経由で解析結果データベース4に記憶することになる。
また、マルウェア解析装置3は、ステップS15にてポート開放時間がタイムアウト時間を経過しなかった場合(ステップS15否定)、受信待機中の特定ポートに対して実ネットワーク6から通信データを受信したか否かを判定する(ステップS16)。
マルウェア解析装置3は、受信待機中の特定ポートに対して実ネットワーク6から通信データを受信した場合(ステップS16肯定)、外部接続中継部23経由で実ネットワーク6から受信した通信データを実行環境部13上のマルウェアに中継し(ステップS17)、特殊なマルウェアが実行されたと判断し、図4に示す処理動作を終了する。
その結果、ロギング部13Aは、特殊なマルウェア実行時の挙動に関わる全データをマルウェア実行時の挙動解析結果として解析システムコントロール部12経由で解析結果データベース4に記憶することになる。
また、マルウェア解析装置3は、受信待機中の特定ポートに対して実ネットワーク6から通信データを受信しなかった場合(ステップS16否定)、ポート開放時間がタイムアウト時間を経過するまでステップS15の監視動作を継続することになる。
図4に示すマルウェア解析処理では、通常のマルウェアを実行することで、通常のマルウェア実行時の挙動に関わる全データをマルウェア実行時の挙動解析結果として解析システムコントロール部12経由で解析結果データベース4に記憶することができる。
また、マルウェア解析処理では、外部への通信データ送信後、特定ポートを開放して通信データの受信待機を実行する特殊なマルウェアに対しても、マルウェアからの通信データ送信後、特定ポートを開放して通信データの受信待機を実行し、さらに特定ポートを通じて外部からの通信データを受信して同通信データをマルウェアに中継することで、特殊なマルウェア実行時の挙動に関わる全データをマルウェア実行時の挙動解析結果として解析システムコントロール部12経由で解析結果データベース4に記憶することができる。
次に、解析結果データベース4に記憶中のマルウェア実行時の解析結果に基づき、マルウェア実行時の状態データ及びマルウェア実行時の状態遷移パターンを生成する状態遷移パターン生成装置5の動作について説明する。図5は、マルウェア実行時の状態遷移パターン生成処理に関わる状態遷移パターン生成装置5内部の処理動作を示すフローチャートである。
図5において状態遷移パターン生成装置5は、解析結果データベース4内に、未読込のマルウェア実行時の解析結果があるか否かを判定する(ステップS21)。
状態遷移パターン生成装置5は、解析結果データベース4内に未読込のマルウェア実行時の解析結果がある場合(ステップS21肯定)、解析結果データベース4から一のマルウェアに関わる未読込のマルウェア実行時の解析結果を読み出し(ステップS22)、この未読込のマルウェア実行時の解析結果から状態データを抽出保存する(ステップS23)。
尚、状態データは、マルウェアのハッシュ値、通信元IPアドレス、通信元FQDN、通信元ポート番号、通信先IPアドレス、通信先FQDN、通信先ポート番号、通信ペイロード、L4プロトコル種別、前通信データ(パケット)からの経過時間及び接続成否の識別種別を含むデータに相当するものである。
状態遷移パターン生成装置5は、未読込のマルウェア実行時の解析結果から状態データを抽出保存すると、状態データの前後関係に基づき、時間推移で示すマルウェア実行時の状態遷移パターンを生成する(ステップS24)。
状態遷移パターン生成装置5は、マルウェア実行時の状態遷移パターンを生成すると、マルウェア実行時の状態遷移パターンとして解析結果データベース4の別領域にマルウェア毎に記憶し(ステップS25)、解析結果データベース4内に未読込みのマルウェア実行時の解析結果があるか否かを判定すべく、ステップS21に移行する。
状態遷移パターン生成装置5は、ステップS21にて解析結果データベース4内に未読込みのマルウェア実行時の解析結果がない場合(ステップS21否定)、図5に示す処理動作を終了する。
図5に示すマルウェア実行時の状態遷移パターン生成処理では、解析結果データベース4内からマルウェア実行時の解析結果をマルウェア毎に読み出し、読み出したマルウェア実行時の解析結果からマルウェア実行時の状態データをマルウェア毎に抽出し、時間的な状態データの前後関係に基づき、マルウェア実行時の状態遷移パターンをマルウェア毎に生成し、生成したマルウェア毎のマルウェア実行時の状態遷移パターンを解析結果データベース4内の別領域に記憶するようにしたので、解析結果データベース4に記憶中のマルウェア毎のマルウェア実行時の解析結果に基づき、マルウェア実行時の状態遷移パターンをマルウェア毎に準備することができる。
尚、異なるマルウェアの解析結果から作成した状態遷移パターンが他の状態遷移パターンと一部一致が見られる場合には状態遷移パターンを併合するようにしても良い(図6参照)。
次に、状態遷移パターン生成装置5にて生成したマルウェア実行時の状態遷移パターンについて説明する。図6は、マルウェアの実行環境部13が通信元であるデータに着目した状態遷移パターンの一例を示す説明図である。
図6に示す状態遷移パターンの状態データは、通信元IPアドレス、通信元FQDN、通信元ポート番号、通信先IPアドレス、通信先FQDN、通信先ポート番号、通信ペイロード及びL4プロトコル種別を示している。
状態遷移パターンでは、状態データCから状態データD又は状態データFへの遷移が存在しているが、これは異なるマルウェアの解析結果に基づき生成した状態遷移パターンが状態データAから状態データCまで一致し、その後、異なる状態データへと夫々遷移したという結果を併合したものである。尚、状態データ又は状態遷移パターンを参照する際のデータ形式はバイナリ形式であってもテキスト形式であっても良い。
次に、解析結果データベース4に記憶中のマルウェア実行時の状態遷移パターンを使用して実ネットワーク6上でマルウェアによる通信を検知するマルウェア検知装置7の処理動作について説明する。図7は、マルウェア検知処理に関わるマルウェア検知装置7内部の処理動作を示すフローチャートである。
図7に示すマルウェア検知処理は、実ネットワーク6上でマルウェアによる通信を検知する処理である。
図7においてマルウェア検知装置7は、実ネットワーク6間に流れる実通信データをバッファ33に順次記憶し、実データ状態遷移パターン生成部34にて実通信データ取得時の解析結果から実通信データ取得時の状態データを抽出し、抽出した実通信データ取得時の状態データに合致するマルウェア実行時の状態データがあるか否かを判定する状態データ照合処理を実行する(ステップS31)。
マルウェア検知装置7は、状態データ照合処理を実行すると、実通信データ取得時の状態データに合致するマルウェア実行時の状態データがあるか否かを判定する(ステップS32)。
マルウェア検知装置7は、実通信データ取得時の状態データに合致するマルウェア実行時の状態データがある場合(ステップS32肯定)、バッファ33に順次記憶する実通信データの時間的な状態遷移を監視し、状態遷移パターン照合部35を通じて、実通信データ取得時の状態遷移パターンがマルウェア実行時の状態遷移パターンに合致しているか否かを確認するための状態遷移パターン照合処理を実行する(ステップS33)。
マルウェア検知装置7は、状態遷移パターン照合処理を実行すると、検知ログ生成部36を通じて、状態遷移パターン照合処理の照合結果を検知ログとして生成保存する(ステップS34)。尚、検知ログは、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとが完全に合致しなかった場合でもログを記録するようにしても良い。
また、マルウェア検知装置7は、検知ログを生成保存すると、一致カウンタ値に基づき、通信制御部37を通じて通信制御を実行するか否かを判定する(ステップS35)。尚、通信制御部37は、一致カウンタ値が第1閾値を超えた場合、通信制御を実行するものと判断し、一致カウンタ値が第1閾値を超えなかった場合、通信制御を実行しないものと判断するものである。
マルウェア検知装置7は、通信制御を実行する場合(ステップS35肯定)、通信制御部37を通じて、一致カウンタ値に基づき、通信遮断ルールに合致したか否かを判定する(ステップS36)。尚、通信制御部37は、一致カウンタ値が第2閾値を超えた場合、通信遮断ルールに合致したものと判断し、一致カウンタ値が第2閾値を超えなかった場合、通信遮断ルールに合致しないものと判断するものである。尚、第1閾値<第2閾値である。
マルウェア検知装置7は、通信遮断ルールに合致した場合(ステップS36肯定)、現在の実通信データがマルウェアによる通信と判断し、通信制御部37を通じて、バッファ33に記憶中の実通信データを破棄し(ステップS37)、図7に示す処理動作を終了する。その結果、マルウェア検知装置7は、マルウェアによる実通信データを破棄することで、実通信データの相手先コンピュータ装置へのマルウェア感染を防止したり、攻撃者による感染端末の操作を防止しながら、安全なコンピュータ環境をユーザに提供することができる。
また、マルウェア検知装置7は、バッファ33に記憶中の実通信データを破棄するだけでなく、実通信データを発信したコンピュータ装置に対しても、マルウェア感染のアラートを通知するようにしても良い。尚、相手先コンピュータ装置に対してもマルウェア感染のアラートを通知するようにしても良く、この場合、自己のコンピュータ装置がマルウェアに感染していることを認識することができる。
また、マルウェア検知装置7は、ステップS32にて実通信データ取得時の状態データに合致するマルウェア実行時の状態データがない場合(ステップS32否定)、状態データ照合処理を実行すべく、ステップS31に移行する。
また、マルウェア検知装置7は、通信制御を実行しない場合(ステップS35否定)、又は、通信遮断ルールに合致しない場合(ステップS36否定)、バッファ33に記憶中の実通信データを送信用通信インタフェース32経由で実ネットワーク6上に転送し(ステップS38)、図7に示す処理動作を終了する。
図7に示すマルウェア検知処理では、実ネットワーク6上で実通信データを取得し、実通信データ取得時の状態遷移パターンがマルウェア実行時の状態遷移パターンに合致して一致カウンタ値が第2閾値を超えた場合、実通信データがマルウェアの通信と判断し、バッファ33に記憶中の実通信データを破棄するようにしたので、マルウェアによる実通信データの相手先コンピュータ装置への感染を防止したり、攻撃者による感染端末の操作を防止しながら、安全なコンピュータ環境を提供することができる。
マルウェア検知処理では、一致カウンタ値が第2閾値を超えた場合、実通信データがマルウェアの通信と判断し、マルウェアの実通信データを発信した端末装置に対してマルウェア感染のアラートを通知するようにしたので、アラートを受信した端末装置側のユーザは、マルウェア感染を認識することができる。
次に、図7に示すステップS31の状態データ照合処理について説明する。図8は、状態データ照合処理に関わるマルウェア検知装置7内部の処理動作を示すフローチャートである。
図8においてマルウェア検知装置7は、一致カウンタ値を初期化した後(ステップS41)、実ネットワーク6上に流れる実通信データをバッファ33に順次記憶する(ステップS42)。
マルウェア検知装置7は、バッファ33に実通信データを順次記憶すると、実データ状態遷移パターン生成部34を通じて、バッファ33に記憶中の実通信データから実通信データ取得時の解析結果を取得し、この解析結果から実通信データ取得時の状態データを抽出する(ステップS43)。尚、実通信データ取得時の状態データは、通信元IPアドレス、通信元FQDN、通信元ポート番号、通信先IPアドレス、通信先FQDN、通信先ポート番号、通信ペイロード、L4プロトコル種別、前通信データ(パケット)からの経過時間の識別種別を含むデータに相当するものである。
マルウェア検知装置7は、実通信データ取得時の状態データを抽出保存すると、抽出保存した実通信データ取得時の状態データに合致するマルウェア実行時の状態データが解析結果データベース4内にあるか否かを判定する(ステップS44)。
マルウェア検知装置7は、実通信データ取得時の状態データに合致するマルウェア実行時の状態データが解析結果データベース4内にある場合(ステップS44肯定)、一致カウンタ値を+1インクリメントし(ステップS45)、実通信データ取得時の状態データに合致するマルウェア実行時の状態データがあると判断し(ステップS46)、バッファ33に記憶中の実通信データを送信用通信インタフェース32経由で転送し(ステップS47)、図8に示す処理動作を終了する。
また、マルウェア検知装置7は、実通信データ取得時の状態データに合致するマルウェア実行時の状態データが解析結果データベース4内にない場合(ステップS44否定)、実通信データ取得時の状態データに合致するマルウェア実行時の状態データがないものと判断し(ステップS48)、バッファ33に記憶中の実通信データを送信用通信インタフェース32経由で転送すべく、ステップS47に移行する。
図8に示す状態データ照合処理では、一致カウンタ値を初期化し、実通信データ取得時の状態データを抽出すると、実通信データ取得時の状態データに合致するマルウェア実行時の状態データが解析結果データベース4内にあるか否かを判定し、実通信データ取得時の状態データに合致するマルウェア実行時の状態データがある場合、一致カウンタ値を+1インクリメントし、実通信データ中にマルウェア実行時の状態データと合致するものが存在すると判断した上で、図7に示すステップS33の状態遷移パターン照合処理に移行することができる。
次に、図7に示すステップS33の状態遷移パターン照合処理について説明する。図9は、状態遷移パターン照合処理に関わるマルウェア検知装置7内部の処理動作を示すフローチャートである。
図9に示す状態遷移パターン照合処理は、実通信データ取得時の状態データに合致するマルウェア実行時の状態データが解析結果データベース4内にある場合に、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとを照合する処理である。
図9においてマルウェア検知装置7は、実ネットワーク6上に流れる実通信データをバッファ33に順次記憶し(ステップS51)、実データ状態遷移パターン生成部34を通じて、バッファ33に記憶中の実通信データから実通信データ取得時の解析結果を取得し、実通信データ取得時の解析結果から実通信データ取得時の状態データを抽出保存する(ステップS52)。
マルウェア検知装置7は、実データ状態遷移パターン生成部34を通じて、実通信データ取得時の状態データを抽出保存すると、実通信データ取得時の状態データに基づき、実通信データ取得時の状態データの前後関係に基づき、状態データの時間推移を示す実通信データ取得時の状態遷移パターンを生成保存する(ステップS53)。
さらに、マルウェア検知装置7は、状態遷移パターン照合部35を通じて、実通信データ取得時の状態遷移パターンと解析結果データベース4内のマルウェア実行時の状態遷移パターンとを比較照合し、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとが合致しているか否かを判定する(ステップS54)。
マルウェア検知装置7は、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとが合致した場合(ステップS54肯定)、一致カウンタ値を+1インクリメントし(ステップS55)、バッファ33に記憶中の実通信データを送信用通信インタフェース32経由で実ネットワーク6上に転送する(ステップS56)。
さらに、マルウェア検知装置7は、バッファ33に記憶中の実通信データを送信用通信インタフェース32経由で実ネットワーク6上に転送すると、実通信データ取得時の状態遷移パターンがマルウェア実行時の状態遷移パターンの最後尾まで一致確認したか否かを判定する(ステップS57)。
マルウェア検知装置7は、実通信データ取得時の状態遷移パターンがマルウェア実行時の状態遷移パターンの最後尾まで一致確認した場合(ステップS57肯定)、現在の一致カウンタ値に応じて一致スコアを設定し(ステップS58)、図9に示す処理動作を終了する。
また、マルウェア検知装置7は、ステップS57にて実通信データ取得時の状態遷移パターンがマルウェア実行時の状態遷移パターンの最後尾まで一致確認しなかった場合(ステップS57否定)、バッファ33に順次記憶中の実通信データから実通信データ取得時の解析結果を取得し、取得した解析結果に基づき実通信データ取得時の状態データを抽出すべく、ステップS52に移行する。その結果、ステップS54にて状態遷移パターンが合致する度に、ステップS55にて一致カウンタ値を順次インクリメントすることで一致カウンタ値は上昇することになる。
また、マルウェア解析装置7は、ステップS54にて実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとが合致しなかった場合(ステップS54否定)、一致カウンタ値はインクリメントすることなく、現在の一致カウンタ値に応じて一致スコアを設定すべく、ステップS58に移行する。
図9に示す状態遷移パターン照合処理では、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとを比較照合し、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとが合致した回数を一致カウンタ値でカウントするようにしたので、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとの合致度を数値化することで、図7に示すマルウェア検知処理に関わる通信制御を実行するか否かの判断やアラートを発生するか否かの判断を簡易化することができる。
第1の実施の形態によれば、マルウェアを実際に実行する実行環境部13と、この実行環境部13に接続する仮想ネットワーク環境部14とを構築し、実行環境部13及び仮想ネットワーク環境部14でマルウェアが及ぼす影響をマルウェア実行時の解析結果として取得し、この解析結果に基づき、マルウェア実行時の状態遷移パターンを予め生成しておき、実ネットワーク6上に流れる実通信データが及ぼす影響を実通信データ取得時の解析結果とし、この解析結果に基づき実通信データ取得時の状態遷移パターンを生成し、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとを比較照合し、この照合結果に基づき、実ネットワーク6上でマルウェアによる通信を検知するようにした。その結果、実行環境部13上でマルウェアを実際に実行し、実行環境部13及び仮想ネットワーク環境部14でマルウェアが及ぼす影響の分析結果に基づくマルウェア実行時の状態遷移パターンを使用することで、実ネットワーク6上でマルウェアによる通信を高精度に検知することができる。
第1の実施の形態によれば、マルウェア実行時の解析結果からマルウェア実行時の状態データを抽出し、実通信データ取得時の解析結果から実通信データ取得時の状態データを抽出し、実通信データ取得時の状態データに合致するマルウェア実行時の状態データがあると判定されると、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとの比較照合を開始するようにしたので、状態遷移パターンの比較照合に要する負担を大幅に軽減することができる。
第1の実施の形態によれば、仮想ネットワーク環境部14側で実行環境部13上のマルウェアからの通信データを受信すると、通信データのプロトコル及び宛先情報・ペイロードデータに基づき、仮想ネットワーク環境部14を実ネットワーク6に接続するか否かを判定し、仮想ネットワーク環境部14を実ネットワーク6に接続する場合、仮想ネットワーク環境部14側で実行環境部13上のマルウェアから受信した通信データを実ネットワーク6に対して中継送信し、この通信データに対する実ネットワーク6からの応答を実行環境部13上の前記マルウェアに中継送信するようにした。その結果、実ネットワークとの通信の結果、動作が変化するようなマルウェアについても、高精度な解析結果を取得し、マルウェア実行時の高精度な状態遷移パターンを生成することができる。
第1の実施の形態によれば、仮想ネットワーク環境部14側で実行環境部13上のマルウェアからの通信データを受信すると、通信データのプロトコル及び宛先情報・ペイロードデータに基づき、仮想ネットワーク環境部14を実ネットワーク6に接続するか否かを判定し、仮想ネットワーク環境部14を実ネットワーク6に接続しない場合、仮想ネットワーク環境部14側で実行環境部13上のマルウェアから受信した通信データに対する応答を実行環境部13上のマルウェアに送信するようにした。その結果、マルウェア側が送信した通信データに対して応答を必要とするタイプのマルウェアについても、高精度な解析結果を取得し、マルウェア実行時の高精度な状態遷移パターンを生成することができる。
第1の実施の形態によれば、仮想ネットワーク環境部14側で実行環境部13上のマルウェアから受信した通信データを実ネットワーク6に対して中継送信した後、通信データの通信内容に応じて、特定の通信ポートを開放して実ネットワーク6からの通信データの受信を待機し、実ネットワーク6から受信した通信データを実行環境部13上のマルウェアに中継送信するようにした。その結果、マルウェアが実ネットワークに通信データを送信した後、特定の通信ポートを開放して実ネットワークからの通信データを受信待機し、通信データを受信することで動作するタイプの特殊なマルウェアについても、高精度な解析結果を取得し、マルウェア実行時の高精度な状態遷移パターンを生成することができる。
第1の実施の形態によれば、仮想ネットワーク環境部14側で実行環境部13上のマルウェアから受信する通信データの内、通信元IPアドレス、通信元FQDN、通信元ポート番号、通信先IPアドレス、通信先FQDN、通信先ポート番号、通信ペイロード、L4プロトコル種別、前通信データ(パケット)送信からの経過時間及び接続成否の識別種別を指定し、この指定した識別種別をマルウェア実行時の状態データとして抽出するようにしたので、高精度な解析結果を取得することができる。
第1の実施の形態によれば、マルウェア実行時の状態データを順次保存することで、保存中のマルウェア実行時の状態データを時間推移で示すマルウェア実行時の状態遷移パターンを生成するようにしたので、マルウェア実行時の状態遷移パターンを容易に生成することができる。
第1の実施の形態によれば、実ネットワーク6上に流れる実通信データの識別種別の内、マルウェア実行時の状態データとして抽出された識別種別と同一種別を指定して、この識別種別を実通信データ取得時の状態データとして抽出するようにしたので、マルウェア実行時及び実通信データ取得時の状態遷移パターン同士の比較照合を容易に行うことができる。
第1の実施の形態によれば、実通信データ取得時の状態データを順次保存することで、保存中の実通信データ取得時の状態データを時間推移で示す実通信データ取得時の状態遷移パターンを生成するようにしたので、実通信データ取得時の状態遷移パターンを容易に生成することができる。
尚、上記第1の実施の形態においては、実ネットワーク6間にマルウェア検知装置7を配置し、受信用通信インタフェース31経由で実ネットワーク6間に流れる実通信データをバッファ33に順次記憶し、送信用通信インタフェース32経由でバッファ33に記憶中の実通信データを実ネットワーク6上に順次転送するようにしたが、例えば実ネットワーク6間にネットワークタップ装置を配置し、このネットワークタップ装置にマルウェア検知装置を接続するようにしても良く、この場合の実施の形態につき、第2の実施の形態として説明する。
(第2の実施形態)
図10は、第2の実施の形態を示すマルウェア検知システム内部の概略構成を示すシステム説明図である。尚、第1の実施の形態を示すマルウェア検知システム1と同一の構成については同一符号を付すことで、その重複する構成及び動作の説明については省略する。
図10は、第2の実施の形態を示すマルウェア検知システム内部の概略構成を示すシステム説明図である。尚、第1の実施の形態を示すマルウェア検知システム1と同一の構成については同一符号を付すことで、その重複する構成及び動作の説明については省略する。
図10に示すマルウェア検知システム1Aが図1に示すマルウェア検知システム1と異なるところは、実ネットワーク6間にネットワークタップ装置8を配置し、ネットワークタップ装置8をマルウェア検知装置7Aに接続した点と、マルウェア検知装置7内部の通信制御部37を削除した点にある。
マルウェア検知装置7Aは、受信用通信インタフェース31及び送信用通信インタフェース32の代わりに、ネットワークタップ装置8とのインタフェースを司る通信インタフェース31Aを備え、ネットワークタップ装置8側で実ネットワーク6間に流れる実通信データをコピーし、このコピーした実通信データを通信インタフェース31A経由でバッファ33に順次記憶するものである。
マルウェア検知装置7A側の実データ状態遷移パターン生成部34は、バッファ33に順次記憶中の実通信データを取得し、取得した実通信データが及ぼす影響を実通信データ取得時の解析結果として取得し、この取得した解析結果に基づき実通信データ取得時の状態データを抽出するものである。
次に、第2の実施の形態を示すマルウェア検知システム1Aの動作について説明する。図11は、第2の実施の形態のマルウェア検知処理に関わるマルウェア検知装置7Aの処理動作を示すフローチャートである。
図11においてマルウェア検知装置7Aは、ネットワークタップ装置8でコピーされた実ネットワーク6からの実通信データをバッファ33に順次記憶し、実データ状態遷移パターン生成部34にて実通信データ取得時の解析結果から実通信データ取得時の状態データを抽出し、抽出した実通信データ取得時の状態データに合致するマルウェア実行時の状態データがあるか否かを判定する状態データ照合処理(図8参照)を実行する(ステップS61)。
マルウェア検知装置7Aは、状態データ照合処理を実行すると、実通信データ取得時の状態データに合致するマルウェア実行時の状態データがあるか否かを判定する(ステップS62)。
マルウェア検知装置7Aは、実通信データ取得時の状態データに合致するマルウェア実行時の状態データがある場合(ステップS62肯定)、バッファ33に順次記憶する実通信データの時間的な状態遷移を監視し、状態遷移パターン照合部35を通じて、実通信データ取得時の状態遷移パターンがマルウェア実行時の状態遷移パターンに合致しているか否かを確認するための状態遷移パターン照合処理(図9参照)を実行する(ステップS63)。
マルウェア検知装置7Aは、状態遷移パターン照合処理を実行すると、検知ログ生成部36を通じて、状態遷移パターン照合処理の照合結果を検知ログとして生成保存する(ステップS64)。尚、検知ログは、実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとが完全に合致しなかった場合でもログを記録するようにしても良い。
また、マルウェア検知装置7Aは、検知ログを生成保存すると、一致カウンタ値に基づき、現在の実通信データがマルウェアの通信であるか否かを判定する(ステップS65)。
尚、マルウェア検知装置7Aは、一致カウンタ値が第2閾値を超えた場合、現在の実通信データがマルウェアの通信であると判断するものである。また、マルウェア検知装置7Aは、一致カウンタ値が第2閾値以下の場合、現在の実通信データがマルウェアの通信でないと判断するものである。
マルウェア検知装置7Aは、現在の実通信データがマルウェアの通信の場合(ステップS65肯定)、実通信データの送信元及び送信先の端末装置に対してマルウェア感染のアラートを出力し(ステップS66)、図11に示す処理動作を終了する。
また、マルウェア検知装置7Aは、実通信データ取得時の状態データに合致するマルウェア実行時の状態データがない場合(ステップS62否定)、状態データ照合処理を実行すべく、ステップS11に移行する。
また、マルウェア検知装置7Aは、現在の実通信データがマルウェアの通信でない場合(ステップS65否定)、図11に示す処理動作を終了する。
上記第2の実施の形態によれば、実ネットワーク6間のネットワークタップ装置8を通じて実通信データのコピーをマルウェア検知装置7A内のバッファ33に順次記憶するようにしたので、図1に示すマルウェア検知システム1に比較して実ネットワーク6間の実通信データの伝送遅延を抑制しながら、実ネットワーク6上でマルウェアによる通信を高精度に検知することができる。
また、上記第2の実施の形態によれば、マルウェア検知装置7Aにて実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとを比較照合し、一致カウンタ値が第2閾値を超えた場合、実通信データがマルウェアによる通信と判断し、実通信データの送信元及び送信先の端末装置に対してマルウェア感染のアラートを通知するようにしたので、送信元及び送信先の端末装置側のユーザは、実通信データのマルウェア感染を認識することができる。
尚、上記第1及び第2実施の形態においては、解析結果データベース4に記憶中のマルウェア実行時の解析結果からマルウェア実行時の状態データを抽出する際、又は通信データ取得時の解析結果から通信データ取得時の状態データを抽出する際、マルウェア実行時及び通信データ取得時の状態データには、通信ペイロードに含む特定情報を含めるようにしても良い。尚、特定情報とは、例えばIRC通信の場合は、NICK(Nickname)やPRIVMSG(Private Message)、DNS(Domain Name Service)の場合は名前解決しようとしているホスト名や解決されたIPアドレス等に相当するものである。
また、上記第1及び第2の実施の形態において、マルウェア実行時の状態データ及び通信データ取得時の状態データには、通信元IPアドレス、通信元FQDN、通信元ポート番号、通信先IPアドレス、通信先FQDN、通信先ポート番号、通信ペイロード、L4プロトコル種別、前通信データ(パケット)送信からの経過時間及び接続成否のデータを含めるようにしたが、これらデータの一部を使用するようにしても良く、その場合、状態データ比較照合や状態遷移パターン比較照合の処理負担を大幅に軽減することができる。
また、上記第1及び第2の実施の形態においては、図8に示す状態データ照合処理のステップS44にて実通信データ取得時の状態データに合致するマルウェア実行時の状態データが解析結果データベース4内にあるか否かを判定する状態データの照合に際し、状態データ内の全データを比較照合するようにしたが、状態データ内部の一部のデータ、例えば通信先や通信元のデータのみで比較照合し、その状態データの内、一部のデータが合致した場合にのみ、詳細に状態データ内部の全データの比較照合を実行するようにしても良く、この場合、実データ状態遷移パターン生成部34の処理負担を大幅に軽減することができる。
また、上記第1及び第2の実施の形態においては、図9に示す状態遷移パターン照合処理のステップS51にて実通信データ取得時の状態遷移パターンとマルウェア実行時の状態遷移パターンとを比較照合する際、状態遷移パターン内部の状態データ内の全データを比較照合するようにしたが、状態遷移パターン内部の状態データ内の一部のデータ、例えば通信先や通信元のデータのみで比較照合し、その状態データの内、一部のデータが合致した場合にのみ、詳細に状態データ内部の全データの比較照合を実行するようにしても良く、この場合、状態遷移パターン照合部35の処理負担を軽減することができる。
また、上記第2の実施の形態においては、実通信データがマルウェアによる通信と判断した場合、実通信データの送信元及び送信先の端末装置に対してマルウェア感染のアラートを通知するようにしたが、例えば、実通信データの送信元の端末装置又は送信先の端末装置の何れか一方にのみ、マルウェア感染のアラートを通知するようにしても良いことは言うまでもない。
以上、本発明の実施の形態について説明したが、本実施の形態によって本発明の技術的思想の範囲が限定されるものではなく、特許請求の範囲に記載した技術的思想の範囲を逸脱しない限り、各種様々な実施の形態が実施可能であることは言うまでもない。また、本実施の形態に記載した効果は、これに限定されるものではない。
また、本実施の形態で説明した各種処理の内、自動的に行われるものとして説明した処理の全部又は一部を手動で行うことも可能であることは勿論のこと、その逆に、手動で行われるものとして説明した処理の全部又は一部を自動で行うことも可能であることは言うまでもない。また、本実施の形態で説明した処理手順、制御手順、具体的名称、各種データやパラメータを含む情報についても、特記した場合を除き、適宜変更可能であることは言うまでもない。
また、図示した各装置の各構成要素は機能概念的に記載したものであって、必ずしも物理的に図示のように構成されるものではなく、その各装置の具体的な態様は図示のものに限縮されるものでは到底ないことは言うまでもない。
さらに、各装置で行われる各種処理機能は、CPU(Central Processing Unit)(又はMPU(Micro Processing Unit)、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上、又は同CPU(又はMPU、MCU等のマイクロ・コンピュータ)で解析実行するプログラム上、又はワイヤードロジックによるハードウェア上で、その全部又は任意の一部を実行するようにしても良いことは言うまでもない。
上記のように構成された本発明のマルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラムによれば、実ネットワーク上でマルウェアによる通信を高精度に検知できるようにしたので、ISP(Internet Service Provider)をはじめとするネットワーク事業者が感染者を検知して対処を行うことや、マルウェアのネットワークに対する被害を抑制するのに有用である。
1 マルウェア検知システム
1A マルウェア検知システム
3 マルウェア解析装置
4 解析結果データベース
5 状態遷移パターン生成装置
6 実ネットワーク
7 マルウェア検知装置
7A マルウェア検知装置
13 実行環境部
14 仮想ネットワーク環境部
21 プロトコル判定部
22 外部接続判定部
23 外部接続中継部
24 仮想応答生成部
34 実データ状態遷移パターン生成部
35 状態遷移パターン照合部
1A マルウェア検知システム
3 マルウェア解析装置
4 解析結果データベース
5 状態遷移パターン生成装置
6 実ネットワーク
7 マルウェア検知装置
7A マルウェア検知装置
13 実行環境部
14 仮想ネットワーク環境部
21 プロトコル判定部
22 外部接続判定部
23 外部接続中継部
24 仮想応答生成部
34 実データ状態遷移パターン生成部
35 状態遷移パターン照合部
Claims (10)
- 実ネットワーク上で端末装置が感染するマルウェアの通信を検知するマルウェア検知システムであって、
前記マルウェアを実際に実行する実行環境部と、この実行環境部に接続する仮想ネットワーク環境部とを構築し、前記実行環境部及び前記仮想ネットワーク環境部で前記マルウェアが及ぼす影響を前記マルウェア実行時の解析結果として取得するマルウェア解析部と、
このマルウェア解析部にて取得した前記マルウェア実行時の解析結果に基づき、前記マルウェア実行時の状態遷移パターンを生成するマルウェア状態遷移パターン生成部と、
前記実ネットワーク上に流れる実通信データが及ぼす影響を実通信データ取得時の解析結果として取得し、この取得した実通信データ取得時の解析結果に基づき、前記実通信データ取得時の状態遷移パターンを生成する実データ状態遷移パターン生成部と、
前記実データ状態遷移パターン生成部にて生成した前記実通信データ取得時の状態遷移パターンと前記マルウェア状態遷移パターン生成部にて生成した前記マルウェア実行時の状態遷移パターンとを比較照合し、この照合結果に基づき、前記実ネットワーク上で前記マルウェアによる通信を検知するパターン照合部と、
を有することを特徴とするマルウェア検知システム。 - 前記マルウェア状態遷移パターン生成部は、
前記マルウェア実行時の解析結果から前記マルウェア実行時の状態データを抽出し、
前記実データ状態遷移パターン生成部は、
前記実通信データ取得時の解析結果から前記実通信データ取得時の状態データを抽出し、
前記パターン照合部は、
前記実通信データ取得時の状態データに合致する前記マルウェア実行時の状態データがあるか否かを判定し、前記実通信データ取得時の状態データに合致する前記マルウェア実行時の状態データがあると判定されると、前記実通信データ取得時の状態遷移パターンと前記マルウェア実行時の状態遷移パターンとの比較照合動作を開始することを特徴とする請求項1記載のマルウェア検知システム。 - 前記マルウェア状態遷移パターン生成部は、
前記マルウェア実行時の状態データを順次保存することで、保存中のマルウェア実行時の状態データを時間推移で示す前記マルウェア実行時の状態遷移パターンを生成することを特徴とする請求項2記載のマルウェア検知システム。 - 前記実データ状態遷移パターン生成部は、
前記実通信データ取得時の状態データを順次保存することで、保存中の実通信データ取得時の状態データを時間推移で示す前記実通信データ取得時の状態遷移パターンを生成することを特徴とする請求項3記載のマルウェア検知システム。 - 前記マルウェア解析部は、
前記仮想ネットワーク環境部側で前記実行環境部上の前記マルウェアからの通信データを受信すると、通信データ内のペイロードに基づき、プロトコルを識別判定するプロトコル判定部と、
このプロトコル判定部にて識別判定されたプロトコル及び、前記通信データの宛先情報・ペイロードデータに基づき、前記仮想ネットワーク環境部を前記実ネットワークに接続するか否かを判定する外部接続判定部と、
この外部接続判定部にて前記仮想ネットワーク環境部を前記実ネットワークに接続すると判定されると、前記仮想ネットワーク環境部側で前記実行環境部上の前記マルウェアから受信した前記通信データを前記実ネットワークに対して中継送信し、この通信データに対する前記実ネットワークからの応答を前記実行環境部上の前記マルウェアに中継送信する外部接続中継部と、
前記外部接続判定部にて前記仮想ネットワーク環境部を前記実ネットワークに接続しないと判定されると、前記仮想ネットワーク環境部側で前記実行環境部上の前記マルウェアから受信した前記通信データに対する応答を前記実行環境部上の前記マルウェアに送信する仮想応答生成部と、
を有することを特徴とする請求項1〜4の何れか一に記載のマルウェア検知システム。 - 前記外部接続中継部は、
前記仮想ネットワーク環境部側で前記実行環境部上の前記マルウェアから受信した前記通信データを前記実ネットワークに対して中継送信した後、前記通信データの通信内容に応じて、特定の通信ポートを開放して前記実ネットワークからの通信データの受信を待機し、前記実ネットワークから受信した通信データを前記実行環境部上の前記マルウェアに中継送信することを特徴とする請求項5記載のマルウェア検知システム。 - 前記マルウェア状態遷移パターン生成部は、
前記仮想ネットワーク環境部側で前記実行環境部上の前記マルウェアから受信する前記通信データの内、通信元IPアドレス、通信元FQDN、通信元ポート番号、通信先IPアドレス、通信先FQDN、通信先ポート番号、通信ペイロード、L4プロトコル種別、前パケット送信からの経過時間及び接続成否の何れかの識別種別を指定し、この指定した識別種別を前記マルウェア実行時の状態データとして抽出することを特徴とする請求項1〜6の何れか一に記載のマルウェア検知システム。 - 前記実データ状態遷移パターン生成部は、
前記実ネットワーク上に流れる前記実通信データの前記識別種別の内、前記マルウェア実行時の状態データとして抽出された識別種別と同一種別を指定して、この識別種別を前記実通信データ取得時の状態データとして抽出することを特徴とする請求項7記載のマルウェア検知システム。 - 実ネットワーク上で端末装置が感染するマルウェアの通信を検知するマルウェア検知方法であって、
前記マルウェアを実際に実行する実行環境部と、この実行環境部に接続する仮想ネットワーク環境部とを構築する環境構築ステップと、
前記実行環境部及び前記仮想ネットワーク環境部で前記マルウェアが及ぼす影響を前記マルウェア実行時の解析結果として取得するマルウェア解析ステップと、
前記マルウェア実行時の解析結果に基づき、前記マルウェア実行時の状態遷移パターンを生成するマルウェア状態遷移パターン生成ステップと、
前記実ネットワーク上に流れる実通信データが及ぼす影響を実通信データ取得時の解析結果として取得し、この取得した実通信データ取得時の解析結果に基づき、前記実通信データ取得時の状態遷移パターンを生成する実データ状態遷移パターン生成ステップと、
前記実データ状態遷移パターン生成ステップにて生成した前記実通信データ取得時の状態遷移パターンと前記マルウェア状態遷移パターン生成ステップにて生成した前記マルウェア実行時の状態遷移パターンとを比較照合し、この照合結果に基づき、前記実ネットワーク上で前記マルウェアによる通信を検知するパターン照合ステップと、
を含むことを特徴とするマルウェア検知方法。 - 実ネットワーク上に配置したコンピュータ装置に、この実ネットワーク上に配置した端末装置が感染するマルウェアの通信を検知する処理を実行させるマルウェア検知プログラムであって、
前記マルウェアを実際に実行する実行環境部と、この実行環境部に接続する仮想ネットワーク環境部とを構築する環境構築手順と、
前記実行環境部及び前記仮想ネットワーク環境部で前記マルウェアが及ぼす影響を前記マルウェア実行時の解析結果として取得するマルウェア解析手順と、
前記マルウェア実行時の解析結果に基づき、前記マルウェア実行時の状態遷移パターンを生成するマルウェア状態遷移パターン生成手順と、
前記実ネットワーク上に流れる実通信データが及ぼす影響を実通信データ取得時の解析結果として取得し、この取得した実通信データ取得時の解析結果に基づき、前記実通信データ取得時の状態遷移パターンを生成する実データ状態遷移パターン生成手順と、
前記実データ状態遷移パターン生成手順にて生成した前記実通信データ取得時の状態遷移パターンと前記マルウェア状態遷移パターン生成手順にて生成した前記マルウェア実行時の状態遷移パターンとを比較照合し、この照合結果に基づき、前記実ネットワーク上で前記マルウェアによる通信を検知するパターン照合手順と、
を前記コンピュータ装置に実行させることを特徴とするマルウェア検知プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008177318A JP5009244B2 (ja) | 2008-07-07 | 2008-07-07 | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008177318A JP5009244B2 (ja) | 2008-07-07 | 2008-07-07 | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010015513A true JP2010015513A (ja) | 2010-01-21 |
| JP5009244B2 JP5009244B2 (ja) | 2012-08-22 |
Family
ID=41701559
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008177318A Active JP5009244B2 (ja) | 2008-07-07 | 2008-07-07 | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5009244B2 (ja) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011257960A (ja) * | 2010-06-08 | 2011-12-22 | Nippon Telegr & Teleph Corp <Ntt> | 更新方法、更新装置及び更新システム |
| JP2013011948A (ja) * | 2011-06-28 | 2013-01-17 | Nippon Telegr & Teleph Corp <Ntt> | マルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラム |
| JP2013114637A (ja) * | 2011-12-01 | 2013-06-10 | Mitsubishi Electric Corp | マルウェア解析システム |
| JP2014085772A (ja) * | 2012-10-22 | 2014-05-12 | Nippon Telegr & Teleph Corp <Ntt> | 不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラム |
| WO2016121255A1 (ja) * | 2015-01-28 | 2016-08-04 | 日本電信電話株式会社 | マルウェア解析システム、マルウェア解析方法およびマルウェア解析プログラム |
| JP6078179B1 (ja) * | 2016-01-20 | 2017-02-08 | 西日本電信電話株式会社 | セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム |
| JP2017220195A (ja) * | 2016-06-02 | 2017-12-14 | エーオー カスペルスキー ラボAO Kaspersky Lab | 悪意のあるコンピュータシステムを検出するシステム及び方法 |
| WO2017221373A1 (ja) * | 2016-06-23 | 2017-12-28 | 三菱電機株式会社 | 侵入検知装置および侵入検知プログラム |
| US10325094B2 (en) | 2014-08-28 | 2019-06-18 | Mitsubishi Electric Corporation | Process analysis apparatus, process analysis method, and process analysis for determining input/output relation of a block of execution trace to detect potential malware |
| US10491628B2 (en) | 2014-09-17 | 2019-11-26 | Mitsubishi Electric Corporation | Attack observation apparatus and attack observation method |
| US10819614B2 (en) | 2017-11-16 | 2020-10-27 | Fujitsu Limited | Network monitoring apparatus and network monitoring method |
| US10963562B2 (en) | 2016-06-16 | 2021-03-30 | Nippon Telegraph And Telephone Corporation | Malicious event detection device, malicious event detection method, and malicious event detection program |
| US11089033B2 (en) | 2016-04-26 | 2021-08-10 | Mitsubishi Electric Corporation | Intrusion detection device, intrusion detection method, and computer readable medium |
| US11797668B2 (en) | 2017-10-11 | 2023-10-24 | Mitsubishi Electric Corporation | Sample data generation apparatus, sample data generation method, and computer readable medium |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10819717B2 (en) | 2014-11-14 | 2020-10-27 | Nippon Telegraph And Telephone Corporation | Malware infected terminal detecting apparatus, malware infected terminal detecting method, and malware infected terminal detecting program |
| US10484408B2 (en) | 2014-11-18 | 2019-11-19 | Nippon Telegraph And Telephone Corporation | Malicious communication pattern extraction apparatus, malicious communication pattern extraction method, and malicious communication pattern extraction program |
| JP6386593B2 (ja) | 2015-02-04 | 2018-09-05 | 日本電信電話株式会社 | 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム |
| EP3258409B1 (en) | 2015-03-18 | 2019-07-17 | Nippon Telegraph and Telephone Corporation | Device for detecting terminal infected by malware, system for detecting terminal infected by malware, method for detecting terminal infected by malware, and program for detecting terminal infected by malware |
| JP6770454B2 (ja) * | 2017-02-16 | 2020-10-14 | 日本電信電話株式会社 | 異常検知システム及び異常検知方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004504662A (ja) * | 2000-07-14 | 2004-02-12 | ヴィースィーアイエス インコーポレイテッド | コンピュータ免疫システムおよびコンピュータシステムにおいて望ましくないコードを検出する方法 |
| JP2005309974A (ja) * | 2004-04-23 | 2005-11-04 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク装置、ネットワーク装置を用いた認証方法、認証プログラム、および記録媒体 |
| JP2005534092A (ja) * | 2002-07-23 | 2005-11-10 | インターナショナル・ビジネス・マシーンズ・コーポレーション | プログラムの潜在的にワームのような挙動の自動決定の方法および装置 |
| JP2006350654A (ja) * | 2005-06-15 | 2006-12-28 | Yaskawa Information Systems Co Ltd | サーバ計算機 |
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| JP2008129707A (ja) * | 2006-11-17 | 2008-06-05 | Lac Co Ltd | プログラム分析装置、プログラム分析方法、及びプログラム |
-
2008
- 2008-07-07 JP JP2008177318A patent/JP5009244B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004504662A (ja) * | 2000-07-14 | 2004-02-12 | ヴィースィーアイエス インコーポレイテッド | コンピュータ免疫システムおよびコンピュータシステムにおいて望ましくないコードを検出する方法 |
| JP2005534092A (ja) * | 2002-07-23 | 2005-11-10 | インターナショナル・ビジネス・マシーンズ・コーポレーション | プログラムの潜在的にワームのような挙動の自動決定の方法および装置 |
| JP2005309974A (ja) * | 2004-04-23 | 2005-11-04 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク装置、ネットワーク装置を用いた認証方法、認証プログラム、および記録媒体 |
| JP2006350654A (ja) * | 2005-06-15 | 2006-12-28 | Yaskawa Information Systems Co Ltd | サーバ計算機 |
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| JP2008129707A (ja) * | 2006-11-17 | 2008-06-05 | Lac Co Ltd | プログラム分析装置、プログラム分析方法、及びプログラム |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011257960A (ja) * | 2010-06-08 | 2011-12-22 | Nippon Telegr & Teleph Corp <Ntt> | 更新方法、更新装置及び更新システム |
| JP2013011948A (ja) * | 2011-06-28 | 2013-01-17 | Nippon Telegr & Teleph Corp <Ntt> | マルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラム |
| JP2013114637A (ja) * | 2011-12-01 | 2013-06-10 | Mitsubishi Electric Corp | マルウェア解析システム |
| JP2014085772A (ja) * | 2012-10-22 | 2014-05-12 | Nippon Telegr & Teleph Corp <Ntt> | 不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラム |
| US10325094B2 (en) | 2014-08-28 | 2019-06-18 | Mitsubishi Electric Corporation | Process analysis apparatus, process analysis method, and process analysis for determining input/output relation of a block of execution trace to detect potential malware |
| US10491628B2 (en) | 2014-09-17 | 2019-11-26 | Mitsubishi Electric Corporation | Attack observation apparatus and attack observation method |
| WO2016121255A1 (ja) * | 2015-01-28 | 2016-08-04 | 日本電信電話株式会社 | マルウェア解析システム、マルウェア解析方法およびマルウェア解析プログラム |
| JPWO2016121255A1 (ja) * | 2015-01-28 | 2017-06-01 | 日本電信電話株式会社 | マルウェア解析システム、マルウェア解析方法およびマルウェア解析プログラム |
| US10645098B2 (en) | 2015-01-28 | 2020-05-05 | Nippon Telegraph And Telephone Corporation | Malware analysis system, malware analysis method, and malware analysis program |
| CN107209833A (zh) * | 2015-01-28 | 2017-09-26 | 日本电信电话株式会社 | 恶意软件分析系统、恶意软件分析方法及恶意软件分析程序 |
| JP6078179B1 (ja) * | 2016-01-20 | 2017-02-08 | 西日本電信電話株式会社 | セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム |
| JP2017130037A (ja) * | 2016-01-20 | 2017-07-27 | 西日本電信電話株式会社 | セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム |
| US11089033B2 (en) | 2016-04-26 | 2021-08-10 | Mitsubishi Electric Corporation | Intrusion detection device, intrusion detection method, and computer readable medium |
| JP2017220195A (ja) * | 2016-06-02 | 2017-12-14 | エーオー カスペルスキー ラボAO Kaspersky Lab | 悪意のあるコンピュータシステムを検出するシステム及び方法 |
| US10963562B2 (en) | 2016-06-16 | 2021-03-30 | Nippon Telegraph And Telephone Corporation | Malicious event detection device, malicious event detection method, and malicious event detection program |
| JP6400255B2 (ja) * | 2016-06-23 | 2018-10-03 | 三菱電機株式会社 | 侵入検知装置および侵入検知プログラム |
| KR20190002712A (ko) * | 2016-06-23 | 2019-01-08 | 미쓰비시덴키 가부시키가이샤 | 침입 검지 장치 및 기억 매체에 저장된 침입 검지 프로그램 |
| KR101972295B1 (ko) | 2016-06-23 | 2019-04-24 | 미쓰비시덴키 가부시키가이샤 | 침입 검지 장치 및 기억 매체에 저장된 침입 검지 프로그램 |
| WO2017221373A1 (ja) * | 2016-06-23 | 2017-12-28 | 三菱電機株式会社 | 侵入検知装置および侵入検知プログラム |
| US11797668B2 (en) | 2017-10-11 | 2023-10-24 | Mitsubishi Electric Corporation | Sample data generation apparatus, sample data generation method, and computer readable medium |
| US10819614B2 (en) | 2017-11-16 | 2020-10-27 | Fujitsu Limited | Network monitoring apparatus and network monitoring method |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5009244B2 (ja) | 2012-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5009244B2 (ja) | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム | |
| US11757941B2 (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
| US11916933B2 (en) | Malware detector | |
| US10567403B2 (en) | System and method for providing data and device security between external and host devices | |
| US10225280B2 (en) | System and method for verifying and detecting malware | |
| Dreger et al. | Dynamic application-layer protocol analysis for network intrusion detection | |
| US8204984B1 (en) | Systems and methods for detecting encrypted bot command and control communication channels | |
| US8732296B1 (en) | System, method, and computer program product for redirecting IRC traffic identified utilizing a port-independent algorithm and controlling IRC based malware | |
| US20070199060A1 (en) | System and method for providing network security to mobile devices | |
| US11258812B2 (en) | Automatic characterization of malicious data flows | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| JP2006512856A (ja) | DoS攻撃の検出及び追跡を行うシステム及び方法 | |
| US20140115705A1 (en) | Method for detecting illegal connection and network monitoring apparatus | |
| JP2010520566A (ja) | 外部デバイスとホスト・デバイスの間でデータおよびデバイスのセキュリティを提供するためのシステムおよび方法 | |
| JP5980968B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| US11223635B2 (en) | Inception of suspicious network traffic for enhanced network security | |
| US8661102B1 (en) | System, method and computer program product for detecting patterns among information from a distributed honey pot system | |
| CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
| Sørensen et al. | Automatic profile-based firewall for iot devices | |
| JP2010212916A (ja) | スキャン攻撃不正侵入防御装置 | |
| CN107733927B (zh) | 一种僵尸网络文件检测的方法、云服务器、装置及系统 | |
| WO2022156197A1 (zh) | 攻击成功识别方法及防护设备 | |
| KR20180102884A (ko) | 방화벽 및 이의 패킷 처리 방법 | |
| Davanian et al. | C2Miner: Tricking IoT Malware into Revealing Live Command & Control Servers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100723 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110520 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110520 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120312 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120321 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120511 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120529 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120530 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5009244 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150608 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |