JP2010198054A - Computer inspection system and computer inspection method - Google Patents
Computer inspection system and computer inspection method Download PDFInfo
- Publication number
- JP2010198054A JP2010198054A JP2009038741A JP2009038741A JP2010198054A JP 2010198054 A JP2010198054 A JP 2010198054A JP 2009038741 A JP2009038741 A JP 2009038741A JP 2009038741 A JP2009038741 A JP 2009038741A JP 2010198054 A JP2010198054 A JP 2010198054A
- Authority
- JP
- Japan
- Prior art keywords
- program
- search
- analysis
- computer
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007689 inspection Methods 0.000 title claims abstract description 84
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000004458 analytical method Methods 0.000 claims abstract description 147
- 238000012545 processing Methods 0.000 claims abstract description 20
- 230000005540 biological transmission Effects 0.000 claims description 35
- 238000004891 communication Methods 0.000 claims description 23
- 230000003068 static effect Effects 0.000 claims description 16
- 230000006399 behavior Effects 0.000 description 50
- 230000008569 process Effects 0.000 description 24
- 238000005516 engineering process Methods 0.000 description 14
- 238000012544 monitoring process Methods 0.000 description 13
- 238000001514 detection method Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 10
- 238000004452 microanalysis Methods 0.000 description 10
- 241000700605 Viruses Species 0.000 description 9
- 208000015181 infectious disease Diseases 0.000 description 9
- 230000002155 anti-virotic effect Effects 0.000 description 8
- 238000012806 monitoring device Methods 0.000 description 7
- 238000010219 correlation analysis Methods 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 239000000284 extract Substances 0.000 description 4
- 238000011160 research Methods 0.000 description 4
- 238000000605 extraction Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012731 temporal analysis Methods 0.000 description 2
- 238000000700 time series analysis Methods 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000000750 constant-initial-state spectroscopy Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 229940049705 immune stimulating antibody conjugate Drugs 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
- 238000010183 spectrum analysis Methods 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Images
Abstract
Description
本発明は、対象コンピュータ上の不正プログラムを検査サーバ装置により検査するコンピュータ検査システムに関し、特に対象コンピュータにおける不正プログラムの探索方法と、その解析方法に特徴を有する。 The present invention relates to a computer inspection system that inspects a malicious program on a target computer by an inspection server device, and particularly has a feature in a method for searching for a malicious program in a target computer and an analysis method thereof.
近年、マルウェア(不正プログラム)に関して、実行コード(ここではスクリプトまたはプログラムのソースコードを指す。)を意図的に読みにくくする「難読化」や、実行コードが意図的に動的に変更される「自己変貌化」等の手法の開発が進んできている。これにより、機能が似通ったウイルスの亜種が大量発生し、しかもそれぞれのウイルスは解析が困難であるという状況が引き起こされている。このような既知のものではないマルウェアに対しては、シグネチャ(マルウェア検査パターン)等の既存技術による検出や駆除だけで対応することには自ずと限界がある。 In recent years, with regard to malware (unauthorized programs), “obfuscation” that intentionally makes it difficult to read executable code (here, it refers to the source code of a script or program), or the execution code is dynamically changed intentionally. Development of methods such as “self-transformation” is progressing. As a result, a large number of virus variants with similar functions are generated, and each virus is difficult to analyze. There is a limit to dealing with such unknown malware only by detection and removal using existing techniques such as signatures (malware inspection patterns).
こうしたマルウェアに関しては、駆除ツールを生成するために、感染行動等の挙動を把握することが重要となる。しかしながら、感染しても正規の実行コードを装い、それに気付かせないようにするものや、外部の指令サーバからの攻撃命令を待ち受けるなど、挙動を示すまでに一定の時間を要するものが存在する。
このため、ユーザのパソコン内で稼動・常駐しているプログラムがマルウェアであるかどうかを判別するためには、当該プログラムの実行コードを詳細に解析することが現時点で最も有用である。
Regarding such malware, it is important to grasp the behavior such as infection behavior in order to generate a removal tool. However, there are some that take a certain amount of time to show behavior, such as pretending to be a legitimate executable code even if infected and not being aware of it, or waiting for an attack command from an external command server.
For this reason, in order to determine whether the program that is running and resident in the user's personal computer is malware, it is currently most useful to analyze the execution code of the program in detail.
しかしながら、ユーザのパソコン内で稼動・常駐している多種多様なプログラムのうち、大多数は正規の実行コードであることから、そのようなプログラムの中からマルウェアの疑いのある怪しい実行コードのみを的確に選別することは難しい状況である。
また、ユーザのパソコン上で、実行コードを詳細に解析することは、安全性の観点から非常に困難である。
However, since the majority of the various programs running and resident in the user's personal computer are legitimate executable codes, only those suspicious executable codes suspected of malware are accurately identified from such programs. It is a difficult situation to sort out.
Moreover, it is very difficult to analyze the execution code in detail on the user's personal computer from the viewpoint of safety.
他方、アンチウイルスソフトを提供するセキュリティベンダーにおいても、このような新しいマルウェアが現出するたびに、詳細な解析を行い、パターンファイルの更新や提供を行ってきているが、新規のマルウェアの出現頻度に解析が追いつかず、ユーザが必要なときに、必要なものをタイムリーに提供するところまでには至っていない。 On the other hand, security vendors who provide anti-virus software have been conducting detailed analysis and updating and providing pattern files each time such new malware appears. However, the analysis has not caught up, and when the user needs it, it has not reached the point where it can provide what it needs in a timely manner.
一方、関連する要素技術としては様々な方法が提案されている。
まず、マルウェアを検出するための技術としては周知のアンチウイルスソフトウェアがある。アンチウイルスソフトウェアは、現在のウイルス対策の主流であるが、上述したようにシグネチャベースの手法では未知のマルウェアに対して限界がある。
未知のウイルス等に対応するために、例えばキヤノンITソリューションズ株式会社「NOD32アンチウイルス」(非特許文献1参照)にはヒューリスティック(発見的手法)機能と呼ばれるウイルス的挙動の監視機能を備えている。この機能は、検査対象となるファイル・電子メールに対して解析したコードを理解し、不審な挙動を検出し、入手できたすべての情報を総合して、ウイルス的な挙動を行うかどうかの判断を行う。挙動が不審と思われると判断された場合は、ウイルス警告を発して、ユーザに注意を促す機能である。
その他、ウイルス検出に関連する特許文献としては、特許文献1〜3を挙げることができる。
On the other hand, various methods have been proposed as related elemental technologies.
First, there is known anti-virus software as a technique for detecting malware. Anti-virus software is the mainstream of current anti-virus measures, but as mentioned above, signature-based methods have limitations against unknown malware.
In order to deal with unknown viruses and the like, for example, Canon IT Solutions Inc. “NOD32 Antivirus” (see Non-Patent Document 1) has a function of monitoring a viral behavior called a heuristic function. This function understands the code analyzed for the file / email to be inspected, detects suspicious behavior, and determines whether to perform virus-like behavior by combining all available information. I do. When it is determined that the behavior is suspicious, a virus warning is issued to alert the user.
In addition,
しかし、これらのマルウェアを検出する技術の問題点としては、典型的な挙動やすぐに顕在化する挙動であれば検出できても、新たな挙動や特定の条件が整った場合だけ作用するマルウェアなどの場合には検出を逃れる恐れが大きかった。
また、マルウェアを見逃さないために、少しでも不審な挙動があればユーザに通知するようにすると、誤った通知が増加して信頼性が低下する上、ユーザの作業の障害にもなる。
However, there are problems with the technology that detects these malware, such as malware that works only when new behavior or specific conditions are met, even if it can be detected if it is a typical behavior or a behavior that manifests immediately. In the case of, there was a great risk of escape from detection.
Further, in order not to miss malware, notifying the user if there is even a suspicious behavior will increase the number of erroneous notifications, reduce reliability, and also hinder the user's work.
この他、ネットワークインシデントの研究分野では、スペクトラム解析アルゴリズムや時系列解析アルゴリズムといったアルゴリズムを用いた、さまざまなトラフィック解析手法が提案されている。
非特許文献2に開示される研究では定点観測網から得られるパケット数の変動に着目した解析を行っている。これは、送信元および送信先のIPアドレスとポート番号といったパラメータ毎のパケット数の変動データに対してウェーブレット解析を施し、そこで得られる時間周波数成分の変化に基づいて脅威を検知する手法である。
In addition, in the field of network incident research, various traffic analysis methods using algorithms such as a spectrum analysis algorithm and a time series analysis algorithm have been proposed.
In the research disclosed in Non-Patent
また、非特許文献3に開示される研究では、非特許文献2の技術と同様、パケット数の変動に着目した解析を行っている。ここでは系列データ(単位時間あたりのパケット数)に対してSDAR(Sequential Discounting AR estimating)と呼ばれる時系列解析アルゴリズムを用いることで軽快な処理を実現し、リアルタイムでの異常検知を可能としている。
Further, in the research disclosed in Non-Patent
このようなマルウェアの検出技術とは別に、あるプログラムがマルウェアであるかどうかを解析する技術も開発されている。
例えば、本件出願人によるnicter(Network Incident analysis Center for Tactical
Emergency Response)(非特許文献4)がある。nicterでは、ネットワークモニタリングによるスキャン等の振る舞いの把握を目的とする「マクロ解析システム」、収集されたマルウェア等の検体の静的・動的解析を目的とする「ミクロ解析システム」、相互の結果を突合し、関連性を導き出すことを目的とする「マクロ−ミクロ相関分析システム」の3つを主要な分析コンポーネントとしている。
Apart from such malware detection technology, technology for analyzing whether a program is malware has also been developed.
For example, nicter (Network Incident analysis Center for Tactical by the applicant)
Emergency Response) (Non-Patent Document 4). In nicter, "macro analysis system" for the purpose of grasping the behavior of scanning etc. by network monitoring, "micro analysis system" for the purpose of static and dynamic analysis of collected malware and other specimens, and mutual results The three main components of analysis are the “macro-micro correlation analysis system”, which aims to collate and derive relevance.
マルウェアの解析技術は、特許文献4及び5にも開示されるように、不正なパケットの通信などを検出するセンサ手段を備えたり、ハニーポットを用意してマルウェアの挙動を観測する場合もあり、ユーザが使用中のコンピュータでは解析が難しい問題がある。特に、感染したコンピュータ上ではそもそも解析自体が妨害されていることが多い。
As disclosed in
マルウェアを駆除する技術においては、マルウェアの検出・解析と連動して、解析結果に基づいて必要となる駆除ツールを生成し、それを感染に該当するユーザに対して迅速に提供していくための仕組みと必要機能を開発することが重要である。
マルウェアの駆除ツールの生成・提供機能については、多種多様なユーザや多種多様なマルウェアに対応しなければならない点や、ユーザにとって駆除が必要なときに、タイムリーに駆除ツールが提供されなければならない点等について対応することが重要であることを勘案すると、自動化かつ高速化を図ることが必要となる。
In the technology to remove malware, in conjunction with the detection and analysis of malware, the necessary removal tool is generated based on the analysis result, and it is quickly provided to users who are affected by infection. It is important to develop a mechanism and necessary functions.
Regarding the function to create and provide malware removal tools, it is necessary to deal with a wide variety of users and a wide variety of malware, and when a user needs to be removed, a removal tool must be provided in a timely manner. Considering the importance of dealing with points, etc., it is necessary to achieve automation and speedup.
従来の技術では、駆除ツールについても上記アンチウイルスソフトウェアに搭載された機能を利用するのが一般的であり、既知のウイルスについては駆除できることが多いが、未知のウイルスにはほとんど対応できない問題がある。 In the conventional technology, it is common to use the functions installed in the above anti-virus software for the removal tool as well, and it is often possible to remove known viruses, but there is a problem that can hardly cope with unknown viruses. .
このほか、端末装置がマルウェアに感染したことを検出して、対策を講じるための技術として、特許文献6が挙げられる。本特許文献では、監視装置によりネットワークに接続された端末装置のソフトウェアの状態を監視するシステムを提供する。
監視装置は、脆弱性の原因となるファイルやマルウェア感染時に生成されるファイルの特徴情報などを含んで定義されたソフトウェアの特徴情報を格納する第1データベースを有し、端末装置は自ら有するファイルの特徴情報を逐次取得して保持する第2データベースを有する。監視装置は、ネットワークを介して検証要求と共に、上記第1データベースに格納された特徴情報を端末装置へ送信する。端末装置では、第2データベースを検索して上記特徴情報に関連するファイルの有無を検証し、検証結果を監視装置へ送信する。
監視装置では受信した検証結果に基づいて、端末装置の脆弱性又はマルウェア感染状況を判断し、アクセス制御を実施し、被害の拡大を防止する。
In addition, Patent Document 6 is cited as a technique for detecting that the terminal device is infected with malware and taking a countermeasure. In this patent document, a system for monitoring the software status of a terminal device connected to a network by a monitoring device is provided.
The monitoring device has a first database that stores software feature information defined including feature information of a file that causes a vulnerability or a file that is generated at the time of malware infection. A second database for sequentially acquiring and storing feature information; The monitoring device transmits the feature information stored in the first database to the terminal device together with the verification request via the network. The terminal device searches the second database, verifies the presence / absence of a file related to the feature information, and transmits the verification result to the monitoring device.
Based on the received verification result, the monitoring device determines the vulnerability of the terminal device or the malware infection status, performs access control, and prevents the spread of damage.
本技術は、上記シグネチャベースの検出方法を、監視装置と端末装置との分担により実行する方法であるが、この方法では少なくとも監視装置において既知のマルウェアでなければ検出することができず、上記問題の解決にはつながらない。 The present technology is a method for executing the signature-based detection method by sharing between the monitoring device and the terminal device. However, in this method, it is impossible to detect at least the known malware in the monitoring device. Does not lead to a solution.
本発明は、上記従来技術の有する問題点に鑑みて創出されたものであり、検査対象のコンピュータ上における不正と疑われる挙動を示すプログラムを高速かつ低負荷で検出すると共に、未知の不正プログラムであっても高精度に解析可能な技術を提供することを目的とする。 The present invention was created in view of the above-described problems of the prior art, and detects a program that exhibits suspected fraud on a computer to be inspected at high speed and with a low load, and is an unknown malicious program. Even if it exists, it aims at providing the technique which can be analyzed with high precision.
上記課題を解決するため、本発明は次のようなコンピュータ検査システムを提供する。
すなわち、対象コンピュータ上の不正プログラムを検査サーバ装置により検査するコンピュータ検査システムであって、対象コンピュータと検査サーバ装置とが通信ネットワークで接続される。本発明における不正プログラムには、不正と疑われる挙動を示す(不審なプログラム)や、所定の方法で不正であると判定されたものを含む。
本発明の検査サーバ装置には、対象コンピュータ上で実行し不正プログラムを探索する探索プログラムを格納する探索プログラム記録手段、探索プログラムを対象コンピュータに送信する探索プログラム送信手段、探索プログラムの実行結果を受信する探索結果受信手段、探索結果を解析して解析結果を出力する不正プログラム解析手段、解析結果を対象コンピュータに送信する解析結果送信手段、の各手段を少なくとも備える。
In order to solve the above problems, the present invention provides the following computer inspection system.
That is, a computer inspection system that inspects a malicious program on a target computer by an inspection server device, and the target computer and the inspection server device are connected via a communication network. The malicious program in the present invention includes a program that exhibits behavior suspected of being illegal (suspicious program) or that is determined to be illegal by a predetermined method.
The inspection server device according to the present invention receives search program recording means for storing a search program for searching for a malicious program executed on the target computer, search program transmission means for transmitting the search program to the target computer, and receiving the execution result of the search program A search result receiving unit that analyzes the search result and outputs an analysis result; and an analysis result transmission unit that transmits the analysis result to the target computer.
また、対象コンピュータには、探索プログラムを受信する探索プログラム受信手段、探索プログラムを実行処理する探索プログラム実行手段、探索プログラムの実行結果を検査サーバ装置に送信する探索結果送信手段、解析結果を受信する解析結果受信手段、の各手段を少なくとも備える。 Further, the target computer receives search program receiving means for receiving the search program, search program execution means for executing the search program, search result transmitting means for sending the execution result of the search program to the inspection server device, and receiving the analysis result. Each of the analysis result receiving means is provided.
上記コンピュータ検査システムにおいて、探索プログラムが探索プログラム実行手段に対して、対象コンピュータにおける不正な挙動を検出し、その挙動を起こすソースコード又はオブジェクトコードの少なくともいずれかのコードを抽出し、実行結果としてコードを送信する処理を行わせる構成でもよい。 In the computer inspection system, the search program detects an illegal behavior in the target computer with respect to the search program execution means, extracts at least one of the source code and the object code that causes the behavior, and codes as an execution result May be configured to perform the process of transmitting.
不正プログラム解析手段が、探索結果受信手段が受信したコードを試行してその動作を解析する動的解析を行うこともできる。また、不正プログラム解析手段が、探索結果受信手段が受信したコードの内容を解析する静的解析を行うこともできる。本発明では、上記動的解析及び静的解析のいずれか一方、または両方を組み合わせて行うことができる。 The malicious program analysis means can perform dynamic analysis in which the code received by the search result receiving means is tried and its operation is analyzed. Further, the malicious program analysis means can perform static analysis for analyzing the contents of the code received by the search result receiving means. In the present invention, any one or both of the dynamic analysis and the static analysis can be performed.
本発明のコンピュータ検査システムでは、不正プログラム解析手段を、上記のように検査サーバ装置に設けず、通信ネットワークで接続される外部サーバ装置に配置することもできる。あるいは、不正プログラム解析手段の一部を検査サーバ装置に備え、残部を外部サーバ装置に設けてもよい。 In the computer inspection system of the present invention, the malicious program analysis means can be arranged not in the inspection server device as described above but in an external server device connected through a communication network. Alternatively, a part of the malicious program analysis means may be provided in the inspection server device, and the remaining part may be provided in the external server device.
上記構成に加え、不正プログラム解析手段の解析結果に基づいて、その不正プログラムを無効化する駆除プログラムを生成する駆除プログラム生成手段と、駆除プログラムを対象コンピュータに送信する駆除プログラム送信手段を備えてもよい。これらの各手段は、上記検査サーバ装置や、上記不正プログラム解析手段を備えた外部サーバ装置、又はいずれとも異なる外部サーバ装置に設けることができる。
そして、対象コンピュータに、駆除プログラム受信手段と、駆除プログラムを実行処理する駆除プログラム実行手段とを備える。
In addition to the above-described configuration, it may include a removal program generation unit that generates a removal program that invalidates the malicious program based on an analysis result of the unauthorized program analysis unit, and a removal program transmission unit that transmits the removal program to the target computer. Good. Each of these means can be provided in the inspection server apparatus, the external server apparatus provided with the malicious program analysis means, or an external server apparatus different from both.
The target computer includes a removal program receiving unit and a removal program execution unit that executes the removal program.
本発明は、対象コンピュータ上の不正プログラムを検査サーバ装置により検査するコンピュータ検査方法として提供することもできる。コンピュータの処理方法として提供する本発明の方法は次の各ステップを有する。
(S10)検査サーバ装置に、対象コンピュータ上で実行し不正プログラムを探索する探索プログラムを格納し、検査サーバ装置から対象コンピュータに通信ネットワークを介して探索プログラムを送信する探索プログラム送信ステップ
(S11)対象コンピュータの探索プログラム実行手段が、探索プログラムを実行処理する探索プログラム実行ステップ
(S12)対象コンピュータから検査サーバ装置に通信ネットワークを介して探索プログラムの実行結果を送信する探索結果送信ステップ
(S13)不正プログラム解析手段が、探索結果を解析して解析結果を出力する不正プログラム解析ステップ
(S14)検査サーバ装置から対象コンピュータに通信ネットワークを介して解析結果を送信する解析結果送信ステップ
The present invention can also be provided as a computer inspection method for inspecting a malicious program on a target computer by an inspection server device. The method of the present invention provided as a computer processing method includes the following steps.
(S10) A search program transmission step (S11) in which a search program that is executed on a target computer and searches for a malicious program is stored in the test server device, and the search program is transmitted from the test server device to the target computer via a communication network. Search program execution means for executing the search program (S12) Search result transmission step for transmitting the search program execution result from the target computer to the inspection server device via the communication network (S13) An analysis unit transmits an analysis result from the inspection server device to the target computer via the communication network, in which the analysis unit analyzes the search result and outputs the analysis result (S14).
上記の探索プログラム実行ステップ(S11)において、探索プログラムが探索プログラム実行手段に対して、対象コンピュータにおける不正と疑われる挙動を検出し、その挙動を起こすソースコード又はオブジェクトコードの少なくともいずれかのコードを抽出し、実行結果としてコードを送信する処理を行わせる構成でもよい。 In the search program execution step (S11), the search program detects a behavior suspected of being illegal in the target computer with respect to the search program execution means, and obtains at least one of source code and object code that causes the behavior. A configuration may be adopted in which a process of extracting and transmitting a code as an execution result is performed.
不正プログラム解析ステップ(S13)において、探索結果受信手段が受信したコードを試行してその動作を解析する動的解析を行う構成、あるいは探索結果受信手段が受信したコードの内容を解析する静的解析を行う構成、の少なくともいずれかでもよい。 In the malicious program analysis step (S13), a configuration for performing dynamic analysis in which the code received by the search result receiving means is tried and analyzing its operation, or static analysis for analyzing the contents of the code received by the search result receiving means It is also possible to use at least one of the configurations for performing the above.
上記不正プログラム解析ステップの解析結果に基づいて、解析結果送信ステップ(S14)の後に次の各ステップを有してもよい。
(S20)駆除プログラム生成手段が、不正プログラムを無効化する駆除プログラムを生成する駆除プログラム生成ステップ
(S21)駆除プログラム生成手段から対象コンピュータに通信ネットワークを介して駆除プログラムを送信する駆除プログラム送信ステップ
(S22)対象コンピュータの駆除プログラム実行手段が、駆除プログラムを実行処理する駆除プログラム実行ステップ
Based on the analysis result of the malicious program analysis step, the following steps may be included after the analysis result transmission step (S14).
(S20) A removal program generation step in which the removal program generation unit generates a removal program that invalidates the malicious program (S21) a removal program transmission step in which the removal program generation unit transmits the removal program to the target computer via the communication network ( S22) A removal program execution step in which the removal program execution means of the target computer executes the removal program
本発明は上記コンピュータ検査システムにおける検査サーバ装置のみを提供してもよい。
また、対象コンピュータ上の不正プログラムを探索する探索プログラムを提供してもよい。
The present invention may provide only the inspection server device in the computer inspection system.
Further, a search program for searching for malicious programs on the target computer may be provided.
本発明は、以上の構成を備えることにより、次の効果を奏する。
すなわち、検査サーバ装置には、常に最新の探索プログラムを備えて、対象コンピュータに提供することにより、新しいソフトウェアに対応し、効率的な不正プログラムの探索を行わせることができる。
また、対象コンピュータ上で詳細な解析を行わず、不審と疑われる挙動を示すプログラムのみを探索し、検査サーバ装置に送ることで、網羅的にプログラムを探索できると共に、対象コンピュータにおける負荷を最低限に抑制することができる。
By providing the above configuration, the present invention has the following effects.
In other words, the inspection server device is always provided with the latest search program and provided to the target computer, so that it is possible to search for illegal programs efficiently corresponding to new software.
In addition, it is possible to exhaustively search for the program by searching only the program showing the suspicious behavior without sending detailed analysis on the target computer and sending it to the inspection server device, and to minimize the load on the target computer. Can be suppressed.
一方、検査サーバ装置では、高度な解析処理を行うことができる。例えば、対象コンピュータからソースコードやオブジェクトコードを受信して、それを試験的に実行処理する動的解析により、不正な挙動を検出することができる。
また、コードの静的解析においても、対象コンピュータの負荷を低減し、大規模なデータベースに基づく解析処理を行うことができる。
On the other hand, the inspection server device can perform advanced analysis processing. For example, an illegal behavior can be detected by dynamic analysis in which source code or object code is received from a target computer and is executed on a trial basis.
Also in code static analysis, the load on the target computer can be reduced and analysis processing based on a large-scale database can be performed.
駆除プログラム生成手段を設けることで、対象コンピュータに対して感染したマルウェアを駆除する駆除プログラムを提供することができる。特に、不正プログラム解析手段による解析結果に基づいて駆除プログラムを生成することで、未知のマルウェアにも有効な駆除プログラムを高速に作成することができる。
このように迅速に駆除プログラムが提供されることで、ネットワークにおけるマルウェアの感染拡大も防ぐことができる。
By providing the removal program generation means, it is possible to provide a removal program for removing the infected malware on the target computer. In particular, by generating a removal program based on the analysis result by the malicious program analysis means, a removal program effective for unknown malware can be created at high speed.
By providing the removal program promptly in this way, it is possible to prevent the spread of malware infection in the network.
以下、本発明の実施形態を、図面に示す実施例を基に説明する。なお、実施形態は下記に限定されるものではない。
最初に、図1に示すコンピュータ検査システムの全体構成図を用いて、本発明の概要を説明する。本システムを構成する要素として、検査サーバ(1)、検査対象コンピュータであるユーザPC(2)、マルウェアの解析システム(4)、駆除ツールの生成システム(5)がある。各システムは、公知のパーソナルコンピュータやワークステーション等で構成することが簡便であり、各要素間は例えばインターネットなどの通信ネットワークで接続する。通信ネットワークはWAN(ワイドエリアネットワーク)や、LAN(ローカルエリアネットワーク)、携帯電話、PHS等の公衆回線網でもよい。
Hereinafter, embodiments of the present invention will be described based on examples shown in the drawings. The embodiment is not limited to the following.
First, the outline of the present invention will be described with reference to the overall configuration diagram of the computer inspection system shown in FIG. As elements constituting this system, there are an inspection server (1), a user PC (2) as a computer to be inspected, a malware analysis system (4), and a removal tool generation system (5). Each system can be easily configured by a known personal computer, a workstation, or the like, and each element is connected by a communication network such as the Internet. The communication network may be a WAN (wide area network), a LAN (local area network), a mobile phone, a public line network such as a PHS.
検査サーバ(1)から、ユーザPC(2)に対して探索プログラムの送付(1a)を行う。ユーザPC(2)上で探索プログラムを起動し、稼働させる(2a)ことで、不正な挙動が行うマルウェアがないかどうか探索する。
その結果、不正な挙動が発見された場合には、その実行コードを検出し、検査サーバ(1)に送出(2b)する。
The inspection server (1) sends (1a) a search program to the user PC (2). A search program is activated and operated (2a) on the user PC (2) to search for malware that performs illegal behavior.
As a result, when an illegal behavior is found, the execution code is detected and transmitted (2b) to the inspection server (1).
検査サーバ(1)では、実行コードを受信するとすぐに解析を開始(1b)する。本発明では、この解析にマルウェアの解析システム(4)を用いる。解析システム(4)に実行コードを送り、そのコードを静的解析(4a)、動的解析(4b)する。このような解析はミクロ解析として様々な技術が提案されており、それらを任意に用いることができる。
静的解析とは、マルウェアのコードを分析し、どのような不正処理を行うかを分析する手法であり、具体的には実行コードを逆アセンブリして処理内容を取得する方法がある。
動的解析とは、マルウェアを実際に動作させて、例えば不正パケットの送出や、ファイル操作処理など、不正処理の詳細を把握する方法である。
これらの解析結果(1c)は検査サーバ(1)に返される。解析結果(1c)はユーザPC(2)の探索プログラム(2a)に通知して、探索プログラムから表示するようにしてもよい。
The inspection server (1) starts analysis (1b) as soon as the execution code is received. In the present invention, a malware analysis system (4) is used for this analysis. The execution code is sent to the analysis system (4), and the code is subjected to static analysis (4a) and dynamic analysis (4b). For such analysis, various techniques have been proposed as micro analysis, and these can be arbitrarily used.
Static analysis is a technique of analyzing malware code and analyzing what kind of unauthorized processing is performed. Specifically, there is a method of disassembling an execution code to acquire processing contents.
Dynamic analysis is a method of actually operating malware and grasping details of fraud processing such as sending out fraudulent packets and file operation processing.
These analysis results (1c) are returned to the inspection server (1). The analysis result (1c) may be notified to the search program (2a) of the user PC (2) and displayed from the search program.
また、解析結果(1c)に基づいて、駆除ツール生成システム(5)で駆除ツール生成(5a)を行うことができる。
本発明では、マルウェアに応じて駆除ツールを生成することができるが、簡便な方法としては、上記静的解析(4a)によって発見された不正なコードの削除や、動的解析(4b)によって検出された不正な処理を中止させる新たな処理の追加などが含まれる。
生成された駆除ツール(1d)は検査サーバ(1)を経てユーザPC(2)の探索プログラム(2a)に送られ、駆除(2c)が実行される。
Further, based on the analysis result (1c), the removal tool generation system (5) can perform removal tool generation (5a).
In the present invention, a removal tool can be generated according to malware. However, as a simple method, the malicious code discovered by the static analysis (4a) is deleted or detected by the dynamic analysis (4b). This includes the addition of a new process for canceling an illegal process that has been performed.
The generated removal tool (1d) is sent to the search program (2a) of the user PC (2) via the inspection server (1), and the removal (2c) is executed.
(実施例1)
次に、本発明の具体的実施例を示す。実施例1としては、本発明システムを検査サーバ(1)とユーザPC(2)、両者を接続するインターネット(3)で構成し、駆除ツールの生成を含まない構成を説明する。
図2は、検査サーバ(1)の構成図、図3はユーザPC(2)の構成図、図4は本実施例のフローチャートである。
Example 1
Next, specific examples of the present invention will be described. As a first embodiment, a configuration in which the system of the present invention is configured by an inspection server (1) and a user PC (2) and the Internet (3) connecting the both will be described, and the generation of a removal tool will not be described.
2 is a configuration diagram of the inspection server (1), FIG. 3 is a configuration diagram of the user PC (2), and FIG. 4 is a flowchart of this embodiment.
検査サーバ(1)は、インターネット上に配置されるサーバ装置として構成されているが、本発明に必須な要素として、CPU(10)、イーサネット(登録商標)カードや無線LAN通信カードなどの通信アダプタ(11)、ハードディスク等の記憶装置(12)を備える。この他、公知のように、CPU(10)と協働するメモリや、管理者からの入力を受け付けるキーボード、モニタ等を備えることもできるが、ここでは省略する。 The inspection server (1) is configured as a server device disposed on the Internet. As an essential element of the present invention, a communication adapter such as a CPU (10), an Ethernet (registered trademark) card, and a wireless LAN communication card is used. (11) A storage device (12) such as a hard disk is provided. In addition, as is well known, a memory cooperating with the CPU (10), a keyboard for receiving input from the administrator, a monitor, and the like can be provided, but they are omitted here.
記憶装置(12)には、ユーザPC(2)で実行する探索プログラム(120)を格納し、これは常に最新版に改訂されることが望ましい。
CPU(10)には、探索プログラム送信部(100)、探索結果受信部(101)、不正プログラム解析部(102)、解析結果送信部(103)を備える。
The storage device (12) stores a search program (120) executed by the user PC (2), and it is desirable that this is always revised to the latest version.
The CPU (10) includes a search program transmission unit (100), a search result reception unit (101), a malicious program analysis unit (102), and an analysis result transmission unit (103).
一方、ユーザPC(2)は、インターネット上に配置される端末装置として構成され、一般的なパーソナルコンピュータの他、PDA(Personal Digital Assistants)や携帯電話、PHSなどでもよい。
ユーザPC(2)には、CPU(20)、画面表示を行うモニタ(21)、記憶装置(22)、通信アダプタ(23)を備える。他に付属する機器については省略する。
On the other hand, the user PC (2) is configured as a terminal device arranged on the Internet, and may be a personal computer, a PDA (Personal Digital Assistants), a mobile phone, a PHS, or the like.
The user PC (2) includes a CPU (20), a monitor (21) for screen display, a storage device (22), and a communication adapter (23). Other equipment attached will be omitted.
CPU(20)には、探索プログラム受信部(200)、探索プログラム実行部(201)、探索結果送信部(202)、解析結果受信部(203)を備える。 The CPU (20) includes a search program receiving unit (200), a search program executing unit (201), a search result transmitting unit (202), and an analysis result receiving unit (203).
以上の構成により、図4に示す処理を行う。
まず、探索プログラム送信部(100)が、記憶装置(12)の探索プログラム(120)を読み出し、インターネット(3)を介して探索プログラム受信部(200)に探査奥プログラムを送信する(S10)。
本ステップ(S10)は、公知のアンチウイルスソフトと同様に、最初はパッケージ等で販売してCDロム等のメディアからユーザPC(2)にインストールしてもよいが、最新版を実行するために、検査サーバ(1)から最新版にアップデートできるようにする。本発明で送信する探索プログラム(120)はプログラム全体の他、すでにインストール済みの差分も含む。
なお、本実施例では探索プログラム(120)の記憶手段と探索プログラム送信手段を検査サーバ(1)内に設けているが、これらを外部のサーバ装置に備えて探索プログラムの提供をユーザPC(2)に直接行うこともできる。
With the above configuration, the processing shown in FIG. 4 is performed.
First, the search program transmission unit (100) reads the search program (120) of the storage device (12) and transmits the search depth program to the search program reception unit (200) via the Internet (3) (S10).
This step (S10) may be initially sold in a package or the like and installed on the user PC (2) from a medium such as a CD ROM, as with known anti-virus software. The inspection server (1) can be updated to the latest version. The search program (120) transmitted in the present invention includes the already installed difference in addition to the entire program.
In this embodiment, the storage unit for the search program (120) and the search program transmission unit are provided in the inspection server (1). However, these are provided in an external server device to provide the search program to the user PC (2 ) Directly.
ユーザPC(2)では受信した探索プログラムを探索プログラム実行部(201)が実行処理(S11)する。探索プログラム(120)はユーザPC(2)の起動と共に常駐することが好ましく、常にユーザPC(2)における不審な挙動を監視する。このような動作態様も公知のアンチウイルスソフトと同様に構成することができる。 In the user PC (2), the search program execution unit (201) executes the received search program (S11). The search program (120) preferably resides with the activation of the user PC (2), and always monitors suspicious behavior in the user PC (2). Such an operation mode can also be configured in the same manner as known anti-virus software.
探索プログラム(120)は、ユーザPC(2)内で稼働、常駐しているプログラムの中からマルウェアの疑いのある怪しいオブジェクトコード(実行コード)を探索して収集する。
本発明ではマルウェアかどうかの解析を検査サーバ(1)で行うことができるため、ユーザPC(2)の負荷や、ユーザへの誤った通知の恐れを考慮する必要がない。そこで、探索プログラム(120)はフォールスポジティブを許容する(不正でない対象を、不正と誤判定することを許す状態)という考え方に基づいて、不審なプログラムはすべて抽出することが望ましい。
The search program (120) searches and collects a suspicious object code (execution code) suspected of malware from programs that are running and resident in the user PC (2).
In the present invention, since it can be analyzed by the inspection server (1) whether or not it is malware, it is not necessary to consider the load on the user PC (2) and the fear of erroneous notification to the user. Therefore, it is desirable to extract all the suspicious programs based on the idea that the search program (120) allows false positives (a state in which it is possible to erroneously determine an object that is not illegal).
単純な方法としては、未知のプログラムをすべて抽出することが挙げられる。探索プログラムに検査サーバで検査済みのプログラムの情報を備えておき、そのプログラムリストにないプログラムを抽出する方法がある。
この場合、単純にファイル名だけでなく、ファイル容量やハッシュ値などの比較などを組み合わせて同一性を判定することができる。なお、ファイルバックアップソフトウェア等において、ファイルの同一性の判定技術、差分の抽出技術については公知であり、それらを用いてもよい。
A simple method is to extract all unknown programs. There is a method in which the search program is provided with information of a program that has been inspected by the inspection server, and a program that is not in the program list is extracted.
In this case, the identity can be determined by combining not only the file name but also a comparison of file capacity, hash value, and the like. In file backup software or the like, a file identity determination technique and a difference extraction technique are known and may be used.
より高度な方法としては、探索プログラムがプログラムの挙動を監視する方法がある。例えば、不正なポート番号へのパケットの送出や、ファイルの削除、移動等のファイル管理処理が行われるかどうかを監視し、所定の処理を行った場合には不審な挙動を行うプログラムを抽出する。
このような方法においても、抽出漏れがないように少しでも不審な挙動がある場合には抽出することが望ましい。
As a more advanced method, there is a method in which a search program monitors the behavior of the program. For example, monitoring whether file management processing such as sending a packet to an illegal port number, deleting or moving a file is performed, and extracting a program that performs suspicious behavior when a predetermined processing is performed .
Even in such a method, it is desirable to extract when there is even a suspicious behavior so that there is no extraction omission.
本発明では、抽出量を減らすための有効な方法として、検査済みのプログラムについてホワイトリスト情報を備えることもできる。ホワイトリスト情報は、探索プログラム(120)に格納し、不審な挙動と判断される場合でもホワイトリスト情報にあるプログラムについては抽出しない。
このとき、特定のポート番号へのパケットの送出など、特定の挙動についてもホワイトリスト情報に格納し、プログラム毎に問題のない挙動を登録しておくこともできる。
In the present invention, as an effective method for reducing the extraction amount, it is possible to provide white list information for a tested program. The white list information is stored in the search program (120), and even if it is determined that the behavior is suspicious, the program in the white list information is not extracted.
At this time, a specific behavior such as sending a packet to a specific port number can also be stored in the white list information, and a behavior having no problem can be registered for each program.
探索結果として抽出する対象は、稼働中のプロセスから特定されるオブジェクトコードの他、記憶装置に格納されているソースコードでもよい。UNIX(登録商標)等においては、ソースコードとインストールのパッケージが共に配布されていることが多く、稼働中のオブジェクトコードとソースコードが関連付けられる場合には、両者を送信することで後段の解析処理の高精度化に寄与することができる。 A target to be extracted as a search result may be a source code stored in a storage device in addition to an object code specified from an active process. In UNIX (registered trademark) etc., both source code and installation packages are often distributed. When the active object code and source code are associated with each other, the subsequent analysis processing is performed by transmitting both of them. Can contribute to higher accuracy.
探索されたコードは、探索結果送信部(202)からインターネット(3)を介して探索結果受信部(101)に向けて送信(S12)される。このとき、必要に応じて送信に適切な形式に変換することもできる。 The searched code is transmitted from the search result transmitting unit (202) to the search result receiving unit (101) via the Internet (3) (S12). At this time, it can be converted into a format suitable for transmission as required.
探索結果は不正プログラム解析部(102)において解析処理(S13)される。不正プログラム解析部にホワイトリスト情報を格納し、検索プログラムから受信したプログラムのうちホワイトリスト情報のあるプログラムについては解析をスキップすることもできる。
解析処理については本件出願人によるnicter(非特許文献4)の技術や、周知の解析技術を用いることができる。
The search result is analyzed (S13) in the malicious program analysis unit (102). It is also possible to store whitelist information in the malicious program analysis unit and skip the analysis of programs with whitelist information among the programs received from the search program.
For the analysis processing, the technology of nicter (Non-Patent Document 4) by the applicant of the present application or a well-known analysis technology can be used.
ここで、nicterについて簡単に説明する。
nicterは、広域のネットワークモニタリングによって収集したイベントを解析し、その中からインシデントを検出するマクロ解析システムと、マルウェアの検体を収集・解析して、それらの挙動を抽出するミクロ解析システムという2つのサブシステム経由の解析パスを持つ(図9参照)。
Here, nicter will be explained briefly.
nicter has two sub-systems: a macro analysis system that analyzes events collected by wide-area network monitoring and detects incidents from them, and a micro analysis system that collects and analyzes malware samples and extracts their behavior. It has an analysis path via the system (see FIG. 9).
これら2つサブシステムにおける解析結果は、相関分析システムにおいてその相関関係が分析され、インシデントの「現象」と「原因」を対応付けることが可能となる。換言すると、マクロ解析システムではネットワーク上で発生しているインシデントの現象を捉えることができ、一方、ミクロ解析システムではインシデントの原因と考えられるマルウェアの挙動を把握できるため、双方の解析結果を照合することで、発生中のインシデントの原因特定が可能となり、さらに、特定されたマルウェアに応じた対策導出も可能となる。その結果、ネットワークモニタリングによって観測された統計データ等の提示に留まらず、インシデントの原因とその対策にまでを出力することができる。 The correlation results of the analysis results in these two subsystems are analyzed in the correlation analysis system, and the “phenomenon” and “cause” of the incident can be associated with each other. In other words, the macro analysis system can capture the phenomenon of incidents occurring on the network, while the micro analysis system can grasp the behavior of malware that is thought to be the cause of the incident, so both analysis results are collated. As a result, it is possible to identify the cause of the incident that has occurred, and to derive a countermeasure according to the identified malware. As a result, it is possible to output not only the statistical data and the like observed by network monitoring but also the cause of the incident and its countermeasures.
マクロ解析システムは、複数の観測地点におけるネットワークモニタリングで得られたトラフィックを入力として受ける。nicterは現状、日本国内の12万を超える未使用IPアドレスを観測している。未使用IPアドレスには本来、外部からのパケットは到着しないはずであるが、実際には相当数のパケットが到着する。これらのパケットの多くは、マルウェアの感染行為の第一段階であるスキャンや、DoS攻撃、送信元IPアドレスが詐称されたDoS攻撃への返信であるBackscatterなどが含まれる。 The macro analysis system receives as input the traffic obtained from network monitoring at multiple observation points. nicter currently observes over 120,000 unused IP addresses in Japan. Originally, packets from outside should not arrive at unused IP addresses, but a substantial number of packets actually arrive. Many of these packets include scanning, which is the first stage of malware infection, DoS attacks, and Backscatter, which is a reply to DoS attacks in which the source IP address is spoofed.
このように、未使用IPアドレスに到着するトラフィックを収集・分析することで、広域ネットワークにおける攻撃活動の傾向を把握することが可能になる。
マクロ解析システムに備える振舞分析エンジンは、nicterが観測したトラフィックを送信元ホストごとにスライスし、各ホストの短時間(30秒間)の振舞を自動分析するエンジンである。以下のパラメータを用いて振舞を自動分類し、DBに逐次蓄積する。
送信元/宛先ポート番号
宛先IPアドレス
プロトコル種別
スキャンタイプ(Sequential/Random)
この自動分類によって、ある送信元ホストの振舞が既知の攻撃パターンであるのか、あるいは新規の攻撃パターンであるのかを瞬時に判定することが可能となる。
さらに、長期振舞分析エンジンでは、nicterに蓄積された数年に渡るトラフィック情報を長期的なスパンで分析するため、スロースキャン等にも対応可能である。
In this way, by collecting and analyzing traffic arriving at unused IP addresses, it becomes possible to grasp the trend of attack activity in a wide area network.
The behavior analysis engine included in the macro analysis system is an engine that slices the traffic observed by nicter for each source host and automatically analyzes the behavior of each host for a short time (30 seconds). The behavior is automatically classified using the following parameters and stored in the DB sequentially.
Source / destination port number Destination IP address Protocol type Scan type (Sequential / Random)
This automatic classification makes it possible to instantaneously determine whether the behavior of a certain source host is a known attack pattern or a new attack pattern.
Furthermore, since the long-term behavior analysis engine analyzes traffic information accumulated over several years in a nicter over a long-term span, it can handle slow scans and the like.
マクロ解析システムに備える変化点分析エンジンは、特定ポートへの単位時間あたりパケット数や、送信元のユニークホスト数などを時系列データと見なし、その急激な変化を迅速に検出するため、nicterでは2段階の学習アルゴリズムによって高速計算を実現している。 The change point analysis engine provided in the macro analysis system considers the number of packets per unit time to a specific port, the number of unique hosts of the transmission source, etc. as time series data, and nicter uses 2 to detect rapid changes. High-speed calculation is realized by the learning algorithm of the stage.
マクロ解析システムに備える自己組織化マップ分析エンジンは、送信元ホストの攻撃パターンの多角的な属性を特徴ベクトルとして自己組織化マップに入力し、同種の挙動を持つ(つまり同種のマルウェアに感染している可能性の高い)ホストをクラスタリングし、クラスタの増減や、発生・消滅などを検出・分析する。これにより、ボットネットの動作の迅速な把握も可能となる。 The self-organizing map analysis engine provided in the macro analysis system inputs the multi-faceted attributes of the attack pattern of the source host into the self-organizing map as feature vectors and has the same behavior (that is, infected with the same kind of malware). Cluster) hosts, and detect / analyze the increase / decrease and occurrence / disappearance of clusters. As a result, it is possible to quickly grasp the operation of the botnet.
nicterには、上記マクロ解析システムと共にミクロ解析システムを備えている。
ミクロ解析システムは、ハニーポット等で捕獲した大量のマルウェアの検体を、1検体あたり5〜10分で自動解析し、その性質や挙動を抽出し、マルウェア情報プールに蓄積することを目的とする。以下、ミクロ解析システムの主要なエンジンについての概要を述べる。
The nicter has a micro analysis system together with the macro analysis system.
The purpose of the micro-analysis system is to automatically analyze a large amount of malware specimens captured in a honeypot or the like in 5 to 10 minutes per specimen, extract their properties and behavior, and accumulate them in a malware information pool. The following outlines the main engines of the micro analysis system.
・静的解析エンジン
マルウェアの典型的解析法として、マルウェアの実行コードを逆アセンブルして、その特徴を抽出する静的解析がある。しかしながら、マルウェアの実行コードには、逆アセンブルを阻害するコード難読化(code obfuscation)がなされているものがあり、静的解析をより困難なものとしている。そこで、nicterの静的解析エンジンでは、コード難読化されたマルウェアを一旦計算機上で実行し、メモリ上に展開(自己復号)されたコードを取得して逆アセンブルすることで、難読化の効果を無効化可能とする技術が用いられている。
・ Static analysis engine
As a typical analysis method of malware, there is a static analysis in which malware execution code is disassembled and its characteristics are extracted. However, some malware executable code has code obfuscation that prevents disassembly, making static analysis more difficult. Therefore, nicter's static analysis engine executes code-obfuscated malware once on a computer, acquires code that is expanded (self-decoding) in memory, and disassembles it, thereby improving the obfuscation effect. A technique for enabling invalidation is used.
・動的解析エンジン
マルウェアのもう1つの典型的解析法に、マルウェアを実行状態に置き、その際にマルウェアが使用するAPIやサーバアクセスなどの挙動を解析する動的解析がある。しかしながら、近年のマルウェアは、自己の周囲のネットワーク環境などを監視して、異常を察知すると沈黙状態となるなど、動的解析を困難にする機能を持つものが多い。そこで、nicterの動的解析エンジンでは、マルウェアを実行する箱庭環境に、DNSやIRCをはじめ多数のダミーサーバを用意することで実インターネット環境を模倣し、スキャンを含むマルウェアの挙動を抽出する。
Dynamic Analysis Engine Another typical analysis method for malware is dynamic analysis in which malware is placed in an execution state and behaviors such as API and server access used by the malware are analyzed. However, recent malware often has a function that makes dynamic analysis difficult, such as monitoring the network environment around itself and detecting an abnormality to enter a silent state. Therefore, the dynamic analysis engine of nicter imitates the actual Internet environment by preparing a large number of dummy servers such as DNS and IRC in the miniature garden environment that executes malware, and extracts the behavior of malware including scanning.
さらに、上記マクロ解析システムとミクロ解析システムとを相関分析する相関分析システムを備えている。相関分析システムでは、マクロ解析システムにおいて検出された攻撃パターンを各種の属性に沿ってプロファイル化し、ミクロ解析システムにおいて解析済みであるマルウェアのプロファイルとの照合を行い、インシデントの原因と考えられるマルウェアの候補を探し出す。 Furthermore, a correlation analysis system that performs a correlation analysis between the macro analysis system and the micro analysis system is provided. In the correlation analysis system, the attack patterns detected in the macro analysis system are profiled according to various attributes, matched with the malware profiles that have been analyzed in the micro analysis system, and malware candidates that are considered to be the cause of the incident Find out.
本発明では、このようなnicterの主にミクロ分析システムで用いられる技術を使って、不正プログラム解析部(102)の処理とする他、相関分析システムの分析結果を用いて当該マルウェアの挙動の詳細な分析を行ってもよい。 In the present invention, the technology used in the micro analysis system of such a nicter is used as the processing of the malicious program analysis unit (102), and the details of the behavior of the malware using the analysis result of the correlation analysis system. Analysis may be performed.
このほか、マルウェアの解析手法としては、多様な商業的なプロジェクト、学問的なプロジェクト、または政府支援によるプロジェクトが研究を進めている。(非特許文献4〜16参照)。
従前のステップとして、これらのプロジェクトの多くは、ネットワーク・イベント監視に基づいて、特定のポート番号でのアクセスの急激な増加等、統計的なデータの提供に集中している。これらの活動の過程で、世界的に公表されている未使用のIPアドレス(非特許文献5、6、17参照)の集合であるダークアドレス空間を監視することが一般的な手法である。
In addition, various commercial projects, academic projects, or government-supported projects are being researched as malware analysis methods. (Refer nonpatent literature 4-16.).
As a previous step, many of these projects have focused on providing statistical data, such as a sudden increase in access at specific port numbers, based on network event monitoring. In the course of these activities, it is a common technique to monitor a dark address space, which is a set of unused IP addresses (see
これらのアドレス空間では、多様なマルウェアをひき付けるためにハニーポットを設置したり、あるいはマルウェアが感染先を探索するために行う走査、DDoS攻撃のバックスキャタ等を含む入信パケットを監視する(ブラックホール監視)センサを用意する(非特許文献18〜21参照)。 In these address spaces, honeypots are installed to attract various types of malware, or incoming packets including scans performed by malware to search for infection destinations and backscatter of DDoS attacks are monitored (black holes). Monitoring) A sensor is prepared (see Non-Patent Documents 18 to 21).
他方、実際のマルウェア実行ファイルを分析することには別の課題がある。マルウェアの構造を解析する際、マルウェア実行ファイルを逆アセンブルするためにリバース・エンジニアリング技法が適用される(非特許文献22、23参照)。
また、マルウェア・コードが実際には閉じられた(アクセスが制御された)実験環境で実行されるサンドボックス分析はその挙動を観察することができる(非特許文献22、24〜26参照)。
On the other hand, there is another problem in analyzing the actual malware executable file. When analyzing the structure of the malware, reverse engineering techniques are applied to disassemble the malware executable file (see
Moreover, the behavior of a sandbox analysis performed in an experimental environment in which malware code is actually closed (access is controlled) can observe its behavior (see
不正プログラム解析部(102)ではこれらの文献をはじめとする公知の解析処理によって、探索結果のコードがマルウェアであるかどうかを解析する。
そして、解析結果を解析結果送信部(103)からインターネット(3)を介して解析結果受信部(203)に送信(S14)する。
The malicious program analysis unit (102) analyzes whether the code of the search result is malware by a known analysis process including these documents.
Then, the analysis result is transmitted from the analysis result transmitting unit (103) to the analysis result receiving unit (203) via the Internet (3) (S14).
ここで、解析結果送信ステップは、マルウェアと判定された場合にのみ送信する構成でもよいし、マルウェアでない場合にも送信してもよい。後者の場合は、上記ホワイトリスト情報として記録することもできる。 Here, the analysis result transmission step may be configured to transmit only when it is determined as malware, or may be transmitted even when it is not malware. In the latter case, it can be recorded as the white list information.
探索プログラムには、解析結果受信部(203)で受信した解析結果をモニタ(21)から表示する機能をもたせてもよい。すなわち、解析結果を出力(S15)処理は、ユーザにマルウェアが稼働していることを通知する重要な処理であり、通常はこの処理を行うことが望ましい。
もっとも、ユーザが操作する手段を持たない専用端末等の特殊な対象コンピュータの場合には、出力する意味がないため、必ずしも出力ステップ(S15)を行わなくてもよい。
The search program may have a function of displaying the analysis result received by the analysis result receiving unit (203) from the monitor (21). That is, the process of outputting the analysis result (S15) is an important process for notifying the user that the malware is operating, and it is usually desirable to perform this process.
However, in the case of a special target computer such as a dedicated terminal that does not have a means for the user to operate, there is no point in outputting, so the output step (S15) does not necessarily have to be performed.
本発明の実施例1は、以上のような構成により、探索プログラム(120)を検査サーバ(1)からユーザPC(2)に送信して、探索プログラム(120)による網羅的なマルウェアの探索を実現することができる。解析は検査サーバ(1)が行うため、ユーザPC(2)に大きな負荷がかからず、かつ高精度な解析を行うことが出来る点に最大の特徴がある。 In the first embodiment of the present invention, the search program (120) is transmitted from the inspection server (1) to the user PC (2) by the configuration as described above, and comprehensive search for malware by the search program (120) is performed. Can be realized. Since the analysis is performed by the inspection server (1), the greatest feature is that a large load is not applied to the user PC (2) and the analysis can be performed with high accuracy.
(実施例2)
本発明の第2の実施例として、駆除プログラムを生成する機能を備えた構成について説明する。
図5は実施例2に係る検査サーバ(1)の構成図、図6は同ユーザPC(2)の構成図、図7は実施例2の処理のフローチャートである。各図において、実施例1と同様の構成については同符号で示し、説明を省略する。
(Example 2)
As a second embodiment of the present invention, a configuration having a function of generating a removal program will be described.
FIG. 5 is a configuration diagram of the inspection server (1) according to the second embodiment, FIG. 6 is a configuration diagram of the user PC (2), and FIG. 7 is a flowchart of the processing of the second embodiment. In each figure, the same components as those in the first embodiment are denoted by the same reference numerals, and description thereof is omitted.
検査サーバ(1)のCPU(10)には、新たに駆除プログラム生成部(104)と、駆除プログラム送信部(105)とを備える。必要に応じて、記憶装置(12)に駆除パターン(121)のデータベースを格納してもよい。
ユーザPC(2)のCPU(20)には、新たに駆除プログラム受信部(204)と駆除プログラム実行部(205)とを備える。
The CPU (10) of the inspection server (1) is newly provided with a removal program generation unit (104) and a removal program transmission unit (105). If necessary, a database of the removal pattern (121) may be stored in the storage device (12).
The CPU (20) of the user PC (2) is newly provided with a removal program receiving unit (204) and a removal program execution unit (205).
図7に示すように、探索プログラム送信ステップ(S10)、探索プログラム実行ステップ(S11)によりユーザPC(2)における不審な挙動を起こすプログラムを探索し、発見された場合に検査サーバ(1)で不正プログラム解析ステップ(S13)、解析結果送信ステップ(S14)を行うことは上記と同様である。 As shown in FIG. 7, the search server (1) searches for a program that causes suspicious behavior in the user PC (2) by the search program transmission step (S10) and the search program execution step (S11). The illegal program analysis step (S13) and the analysis result transmission step (S14) are the same as described above.
加えて、本実施例2では、駆除プログラム生成部(104)が、不正プログラム解析部(102)の解析結果を用いて、マルウェアを駆除するプログラムを生成(S20)する。駆除プログラムは、オブジェクトコード又はスクリプトのいずれでもよい。 In addition, in the second embodiment, the removal program generation unit (104) generates a program for removing malware using the analysis result of the malicious program analysis unit (102) (S20). The removal program may be either an object code or a script.
駆除プログラム生成部(104)の処理についても、公知の駆除技術を用いることができる。例えば、プログラム毎にマルウェアに感染する前のコードを駆除パターン(121)として格納しておき、探索結果のコードを、感染前のコードに復元する差分ファイルを駆除プログラムとして生成することもできる。 A known removal technique can also be used for the processing of the removal program generation unit (104). For example, the code before infection with malware is stored as a removal pattern (121) for each program, and a difference file for restoring the search result code to the code before infection can be generated as a removal program.
不正プログラム解析部(102)の静的解析結果から、コード中の不正な処理を行う箇所について、当該箇所を削除する駆除プログラムを生成してもよい。
動的解析結果から、当該プログラムが実際に行う挙動に従って、当該挙動を無効化する処理を行ってもよい。無効化処理としては、例えば、マルウェアによって行われた処理を復元する処理や、行われようとする処理を中止させる処理がある。前者の例としてはレジストリの書き換え処理が行われた後に元に戻す処理、後者の例としては、パケットの送信処理が行われようとしたときに、その送信動作をスキップする処理などがある。
From the static analysis result of the unauthorized program analysis unit (102), a removal program for deleting the portion of the code where the unauthorized process is performed may be generated.
From the dynamic analysis result, processing for invalidating the behavior may be performed according to the behavior actually performed by the program. The invalidation process includes, for example, a process for restoring a process performed by malware and a process for canceling a process to be performed. An example of the former is a process of restoring the registry after the registry rewriting process is performed, and an example of the latter is a process of skipping the transmission operation when a packet transmission process is about to be performed.
マルウェアの挙動は、パターン化されていることが多いため、駆除パターン(121)に各パターンに対する駆除プログラムの要素を格納しておくこともできる。そして、探索結果のマルウェアの挙動に従って、駆除パターン(121)中の要素を組み合わせて駆除プログラムを生成することもできる。 Since the behavior of malware is often patterned, the removal program element for each pattern can be stored in the removal pattern (121). Then, according to the behavior of the malware as a search result, a removal program can be generated by combining elements in the removal pattern (121).
生成された駆除プログラムは駆除プログラム送信部(105)からインターネット(3)を介して駆除プログラム受信部(204)に送信(S21)される。
そして、駆除プログラム実行部(205)で実行処理(S22)されてマルウェアが駆除される。
本発明では、探索プログラム(120)に、駆除プログラムの受信(S21)と実行(S22)の処理を自動的に行わせることで、ユーザの操作を要さずに探索から駆除までを一貫して行うことができる。
The generated removal program is transmitted from the removal program transmission unit (105) to the removal program reception unit (204) via the Internet (3) (S21).
Then, an execution process (S22) is executed by the removal program execution unit (205) to remove the malware.
In the present invention, the search program (120) is automatically processed to receive (S21) and execute (S22) the removal program, so that it is consistent from search to removal without any user operation. It can be carried out.
以上の実施例2の構成によれば、探索プログラムの探索結果に従い、最適な駆除プログラムを生成し、ユーザに提供することができる。本発明の検査サーバ(1)を複数のユーザで共有することにより、ユーザPC(2)のいずれかで探索され、駆除プログラムが生成されたマルウェアについては、それを他のユーザPC(2)の探索・駆除時に利用することで高速な対応にも寄与する。 According to the configuration of the second embodiment described above, an optimal removal program can be generated and provided to the user according to the search result of the search program. By sharing the inspection server (1) of the present invention among a plurality of users, the malware that has been searched for by one of the user PCs (2) and the removal program has been generated is assigned to the other user PC (2). It contributes to high-speed response by using it for search and removal.
(別実施例)
最後に、本発明の各要素を複数の外部サーバ装置に分散配置する例を説明する。
図8は不正プログラム解析部(102)と、駆除プログラム生成部(104)をそれぞれ、解析システム(4)と駆除ツール生成システム(5)に設けた場合の構成図である。
各システム(4)(5)も、パーソナルコンピュータやワークステーション等によって実現可能であり、CPU(40)(50)と共に、インターネット(3)に接続する通信アダプタ(41)(51)を備える。駆除ツール生成システム(5)には、記憶手段(52)を備えて、駆除パターン(121)を格納してもよい。
(Another embodiment)
Finally, an example in which each element of the present invention is distributed and arranged in a plurality of external server devices will be described.
FIG. 8 is a configuration diagram in the case where the malicious program analysis unit (102) and the removal program generation unit (104) are provided in the analysis system (4) and the removal tool generation system (5), respectively.
Each system (4) (5) can also be realized by a personal computer, a workstation or the like, and includes communication adapters (41) (51) connected to the Internet (3) together with CPUs (40) (50). The removal tool generation system (5) may include a storage means (52) and store a removal pattern (121).
本実施例でも処理は上記実施例1、2と同様の処理を行うが、各処理部間で情報を伝達する際に、ネットワークを介する点が異なる。
すなわち、探索結果受信部(101)で受信した探索結果は、インターネット(3)を通して不正プログラム解析部(102)に至り、その解析結果が、再び解析結果送信部(103)に戻されてからユーザPC(2)に送られる。なお、解析結果送信部(103)も解析システム(4)に設けて、直接ユーザPC(2)に送信する構成でもよい。
In this embodiment, the processing is the same as that in the first and second embodiments, but differs in that information is transmitted between the processing units via a network.
That is, the search result received by the search result receiving unit (101) reaches the malicious program analysis unit (102) through the Internet (3), and the analysis result is returned to the analysis result transmission unit (103) again before the user. Sent to PC (2). The analysis result transmission unit (103) may also be provided in the analysis system (4) and transmitted directly to the user PC (2).
また、不正プログラム解析部(102)の解析結果も、インターネット(3)を通して駆除プログラム生成部(104)に送られ、生成された駆除プログラムは駆除プログラム送信部(105)に届いてからユーザPC(2)に送信される。
上記同様、駆除プログラム送信部(105)を駆除ツール生成システム(5)に設けてもよい。
The analysis result of the unauthorized program analysis unit (102) is also sent to the removal program generation unit (104) through the Internet (3), and the generated removal program reaches the removal program transmission unit (105) and then the user PC ( 2).
As described above, the removal program transmission unit (105) may be provided in the removal tool generation system (5).
このように解析処理や駆除プログラム生成処理を、異なる外部サーバに分散することにより、既存のシステムを利用したり、装置毎の負荷の低減を図ることができる。
本実施例の配置は一例であり、不正プログラム解析部と駆除プログラム生成部を1つのサーバに設ける構成など組み合わせは任意に変更することができる。
Thus, by distributing the analysis process and the removal program generation process to different external servers, it is possible to use an existing system or reduce the load for each apparatus.
The arrangement of this embodiment is merely an example, and the combination such as a configuration in which the malicious program analysis unit and the removal program generation unit are provided in one server can be arbitrarily changed.
1 検査サーバ
1a 探索プログラム送付
1b 実行コード解析開始
1c 該当実行コード基礎解析結果
1d 駆除ツール
2 ユーザPC
2a 探索プログラム起動・稼働
2b 実行コード検出・送出
2c 駆除
3 インターネット
4 解析システム
4a マルウェア静的解析
4b マルウェア動的解析
5 駆除ツール生成システム
5a 駆除ツール生成
DESCRIPTION OF
2a Search program activation /
Claims (14)
該検査サーバ装置には、
該対象コンピュータ上で実行し不正プログラムを探索する探索プログラムを格納する探索プログラム記録手段と、
該探索プログラムを該対象コンピュータに送信する探索プログラム送信手段と、
該探索プログラムの実行結果を受信する探索結果受信手段と、
該探索結果を解析して解析結果を出力する不正プログラム解析手段と、
該解析結果を該対象コンピュータに送信する解析結果送信手段と
を備えると共に、
該対象コンピュータには、
該探索プログラムを受信する探索プログラム受信手段と、
該探索プログラムを実行処理する探索プログラム実行手段と、
該探索プログラムの実行結果を該検査サーバ装置に送信する探索結果送信手段と、
該解析結果を受信する解析結果受信手段と
を備える
ことを特徴とするコンピュータ検査システム。 A computer inspection system that inspects an unauthorized or suspicious program (hereinafter referred to as an unauthorized program) on a target computer by an inspection server device, wherein the target computer and the inspection server device are connected via a communication network.
In the inspection server device,
Search program recording means for storing a search program that is executed on the target computer and searches for a malicious program;
Search program transmitting means for transmitting the search program to the target computer;
Search result receiving means for receiving the execution result of the search program;
Malware analysis means for analyzing the search result and outputting the analysis result;
An analysis result transmitting means for transmitting the analysis result to the target computer,
The target computer includes
Search program receiving means for receiving the search program;
Search program execution means for executing the search program;
Search result transmission means for transmitting the execution result of the search program to the inspection server device;
An analysis result receiving means for receiving the analysis result. A computer inspection system comprising:
前記対象コンピュータにおける不正な挙動を検出し、その挙動を起こすソースコード又はオブジェクトコードの少なくともいずれかのコードを抽出し、前記実行結果として該コードを送信する処理を行わせる
請求項1に記載のコンピュータ検査システム。 The search program with respect to the search program execution means,
The computer according to claim 1, wherein an illegal behavior in the target computer is detected, at least one of source code and object code causing the behavior is extracted, and processing for transmitting the code as the execution result is performed. Inspection system.
前記探索結果受信手段が受信した前記コードを試行してその動作を解析する動的解析を行う
請求項2に記載のコンピュータ検査システム。 The malicious program analysis means
The computer inspection system according to claim 2, wherein the search result receiving unit performs the dynamic analysis of trying the code received and analyzing the operation thereof.
前記探索結果受信手段が受信した前記コードの内容を解析する静的解析を行う
請求項2又は3に記載のコンピュータ検査システム。 The malicious program analysis means
The computer inspection system according to claim 2, wherein static analysis is performed to analyze a content of the code received by the search result receiving unit.
前記不正プログラム解析手段を、前記検査サーバ装置と通信ネットワークで接続される外部サーバ装置に配置する
請求項1ないし4のいずれかに記載のコンピュータ検査システム。 In the computer inspection system,
The computer inspection system according to any one of claims 1 to 4, wherein the malicious program analysis means is arranged in an external server device connected to the inspection server device via a communication network.
前記不正プログラム解析手段の解析結果に基づいて、その不正プログラムを無効化する駆除プログラムを生成する駆除プログラム生成手段と、該駆除プログラムを前記対象コンピュータに送信する駆除プログラム送信手段とを、それぞれ前記検査サーバ装置又は該検査サーバ装置と通信ネットワークで接続される外部サーバ装置に設け、
該対象コンピュータに、該駆除プログラム受信手段と、該駆除プログラムを実行処理する駆除プログラム実行手段とを備えた
請求項1ないし5のいずれかに記載のコンピュータ検査システム。 In the computer inspection system,
Based on the analysis result of the malicious program analyzing means, a removal program generating means for generating a removal program for invalidating the malicious program, and a removal program transmitting means for transmitting the removal program to the target computer, respectively, Provided in a server device or an external server device connected to the inspection server device via a communication network,
The computer inspection system according to any one of claims 1 to 5, wherein the target computer includes the removal program receiving means and a removal program execution means for executing the removal program.
該検査サーバ装置に、該対象コンピュータ上で実行し不正プログラムを探索する探索プログラムを格納し、
該検査サーバ装置から該対象コンピュータに通信ネットワークを介して該探索プログラムを送信する探索プログラム送信ステップ、
該対象コンピュータの探索プログラム実行手段が、該探索プログラムを実行処理する探索プログラム実行ステップ、
該対象コンピュータから該検査サーバ装置に通信ネットワークを介して該探索プログラムの実行結果を送信する探索結果送信ステップ、
不正プログラム解析手段が、該探索結果を解析して解析結果を出力する不正プログラム解析ステップ、
該検査サーバ装置から該対象コンピュータに通信ネットワークを介して該解析結果を送信する解析結果送信ステップ
を有する
ことを特徴とするコンピュータ検査方法。 A computer inspection method for inspecting an unauthorized or suspicious program (hereinafter referred to as an unauthorized program) on a target computer by an inspection server device,
In the inspection server device, a search program that is executed on the target computer and searches for a malicious program is stored,
A search program transmission step of transmitting the search program from the inspection server device to the target computer via a communication network;
A search program execution step in which the search program execution means of the target computer executes the search program;
A search result transmission step of transmitting an execution result of the search program from the target computer to the inspection server device via a communication network;
A malicious program analysis means for analyzing the search result and outputting an analysis result;
An analysis result transmission step of transmitting the analysis result from the inspection server device to the target computer via a communication network.
前記探索プログラムが前記探索プログラム実行手段に対して、
前記対象コンピュータにおける不正な挙動を検出し、その挙動を起こすソースコード又はオブジェクトコードの少なくともいずれかのコードを抽出し、前記実行結果として該コードを送信する処理を行わせる
請求項7に記載のコンピュータ検査方法。 In the search program execution step,
The search program with respect to the search program execution means,
The computer according to claim 7, wherein an illegal behavior in the target computer is detected, at least one of source code or object code causing the behavior is extracted, and processing for transmitting the code as the execution result is performed. Inspection method.
前記探索結果受信手段が受信した前記コードを試行してその動作を解析する動的解析を行う
請求項8に記載のコンピュータ検査方法。 In the malicious program analysis step,
The computer inspection method according to claim 8, wherein a dynamic analysis is performed in which the code received by the search result receiving unit is tried and the operation is analyzed.
前記探索結果受信手段が受信した前記コードの内容を解析する静的解析を行う
請求項8又は9に記載のコンピュータ検査方法。 In the malicious program analysis step,
The computer inspection method according to claim 8 or 9, wherein static analysis is performed to analyze a content of the code received by the search result receiving unit.
前記不正プログラム解析ステップの解析結果に基づいて、
駆除プログラム生成手段が、不正プログラムを無効化する駆除プログラムを生成する駆除プログラム生成ステップ、
該駆除プログラム生成手段から該対象コンピュータに通信ネットワークを介して該駆除プログラムを送信する駆除プログラム送信ステップ、
該対象コンピュータの駆除プログラム実行手段が、該駆除プログラムを実行処理する駆除プログラム実行ステップ
を有する
請求項7ないし10のいずれかに記載のコンピュータ検査方法。 In the computer inspection method,
Based on the analysis result of the malicious program analysis step,
A removal program generation step in which the removal program generation means generates a removal program that invalidates the malicious program;
A removal program transmission step of transmitting the removal program from the removal program generation means to the target computer via a communication network;
The computer inspection method according to any one of claims 7 to 10, wherein the removal program execution means of the target computer includes a removal program execution step of executing the removal program.
該対象コンピュータ上で実行し不正プログラムを探索する探索プログラムを格納する探索プログラム記録手段と、
該探索プログラムを該対象コンピュータに通信ネットワークを介して送信する探索プログラム送信手段と、
該探索プログラムの実行結果を受信する探索結果受信手段と、
該探索結果を解析して解析結果を出力する不正プログラム解析手段と、
該解析結果を該対象コンピュータに送信する解析結果送信手段と
を備える
ことを特徴とする検査サーバ装置。 An inspection server device for inspecting an unauthorized or suspicious program (hereinafter referred to as an unauthorized program) on a target computer,
Search program recording means for storing a search program that is executed on the target computer and searches for a malicious program;
Search program transmitting means for transmitting the search program to the target computer via a communication network;
Search result receiving means for receiving the execution result of the search program;
Malware analysis means for analyzing the search result and outputting the analysis result;
An inspection server device comprising: analysis result transmission means for transmitting the analysis result to the target computer.
前記不正プログラム解析手段の解析結果に基づいて、その不正プログラムを無効化する駆除プログラムを生成する駆除プログラム生成手段と、
該駆除プログラムを前記対象コンピュータに送信する駆除プログラム送信手段と
を備える
請求項12に記載の検査サーバ装置。 In the inspection server device,
Based on the analysis result of the malicious program analysis unit, a removal program generation unit that generates a removal program that invalidates the malicious program;
The inspection server apparatus according to claim 12, further comprising: a removal program transmission unit that transmits the removal program to the target computer.
該対象コンピュータの探索プログラム実行手段に対して、
該対象コンピュータにおける不正な挙動を検出し、その挙動を起こすソースコード又はオブジェクトコードの少なくともいずれかのコードを抽出させると共に、
該対象コンピュータの探索結果送信手段に対して、
検査サーバ装置に通信ネットワークを介して実行結果である該コードを送信させる
ことを特徴とする探索プログラム。 A search program for searching for illegal or suspicious programs (hereinafter referred to as malicious programs) on a target computer,
For the search program execution means of the target computer,
Detecting an illegal behavior in the target computer and extracting at least one of source code and object code causing the behavior;
For the search result transmission means of the target computer,
A search program for causing an inspection server device to transmit the code as an execution result via a communication network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009038741A JP5440973B2 (en) | 2009-02-23 | 2009-02-23 | Computer inspection system and computer inspection method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009038741A JP5440973B2 (en) | 2009-02-23 | 2009-02-23 | Computer inspection system and computer inspection method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010198054A true JP2010198054A (en) | 2010-09-09 |
JP5440973B2 JP5440973B2 (en) | 2014-03-12 |
Family
ID=42822757
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009038741A Active JP5440973B2 (en) | 2009-02-23 | 2009-02-23 | Computer inspection system and computer inspection method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5440973B2 (en) |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012064208A (en) * | 2010-09-15 | 2012-03-29 | Chunghwa Telecom Co Ltd | Network virus prevention method and system |
JP2012083849A (en) * | 2010-10-07 | 2012-04-26 | Hitachi Ltd | Malware detector, and method and program for the same |
WO2013073504A1 (en) * | 2011-11-15 | 2013-05-23 | 独立行政法人科学技術振興機構 | Program analysis/verification service provision system, control method for same, control program, control program for directing computer to function, program analysis/verification device, program analysis/verification tool management device |
CN103761176A (en) * | 2013-12-11 | 2014-04-30 | 中国广核集团有限公司 | Computer polling method and device |
JP2014519113A (en) * | 2011-05-24 | 2014-08-07 | パロ・アルト・ネットワークス・インコーポレーテッド | Malware analysis system |
JP2014525639A (en) * | 2011-09-07 | 2014-09-29 | マカフィー, インコーポレイテッド | Dynamic malware removal using cloud technology |
US9001661B2 (en) | 2006-06-26 | 2015-04-07 | Palo Alto Networks, Inc. | Packet classification in a network security device |
KR20150040325A (en) * | 2012-09-28 | 2015-04-14 | 인텔 코포레이션 | Cloud-assisted method and service for application security verification |
US9043917B2 (en) | 2011-05-24 | 2015-05-26 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
WO2015162985A1 (en) * | 2014-04-25 | 2015-10-29 | 株式会社セキュアブレイン | Illicit activity sensing network system and illicit activity sensing method |
JP2015534690A (en) * | 2012-10-19 | 2015-12-03 | マカフィー, インコーポレイテッド | Mobile application management |
JP2016115072A (en) * | 2014-12-12 | 2016-06-23 | Necフィールディング株式会社 | Suspicious file collection device, malware detection system, and malware detection method |
US9565097B2 (en) | 2008-12-24 | 2017-02-07 | Palo Alto Networks, Inc. | Application based packet forwarding |
JP2017520820A (en) * | 2015-03-18 | 2017-07-27 | 百度在▲綫▼网▲絡▼技▲術▼(北京)有限公司 | Behavior information identification method corresponding to danger file and behavior information identification device corresponding to danger file |
JP2017229076A (en) * | 2014-09-12 | 2017-12-28 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | Electronic control unit, on-vehicle network system, and communication method for vehicle |
JP2019502192A (en) * | 2015-11-05 | 2019-01-24 | アリババ グループ ホウルディング リミテッド | Method and device for application information risk management |
JP2019502997A (en) * | 2015-12-17 | 2019-01-31 | イルデト・ベー・フェー | Securing web pages, web apps, and applications |
JP2019185183A (en) * | 2018-04-03 | 2019-10-24 | 積水ハウス株式会社 | Communication device protection management server and communication device protection system |
JP2019204496A (en) * | 2018-03-27 | 2019-11-28 | アクセンチュア グローバル ソリューションズ リミテッド | Automated problem detection and resolution framework for enterprise resource planning |
JP2021022400A (en) * | 2015-06-16 | 2021-02-18 | 日本電気株式会社 | Analysis system, method and program |
JP7484498B2 (en) | 2020-07-01 | 2024-05-16 | 株式会社リコー | Information processing system, image forming apparatus, information processing method, and program |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003256229A (en) * | 2002-02-28 | 2003-09-10 | Ntt Docomo Inc | Mobile communication terminal, information processor, relay server device, information processing system, and information processing method |
JP2004252642A (en) * | 2003-02-19 | 2004-09-09 | Matsushita Electric Ind Co Ltd | Method, device, server, and client of virus detection |
JP2005092485A (en) * | 2003-09-17 | 2005-04-07 | Nomura Research Institute Ltd | Network management system |
JP2006163528A (en) * | 2004-12-02 | 2006-06-22 | Ntt Docomo Inc | Communication terminal, server device and monitoring system |
JP2006172484A (en) * | 2004-12-17 | 2006-06-29 | Microsoft Corp | System and method for utilizing search engine to prevent contamination |
-
2009
- 2009-02-23 JP JP2009038741A patent/JP5440973B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003256229A (en) * | 2002-02-28 | 2003-09-10 | Ntt Docomo Inc | Mobile communication terminal, information processor, relay server device, information processing system, and information processing method |
JP2004252642A (en) * | 2003-02-19 | 2004-09-09 | Matsushita Electric Ind Co Ltd | Method, device, server, and client of virus detection |
JP2005092485A (en) * | 2003-09-17 | 2005-04-07 | Nomura Research Institute Ltd | Network management system |
JP2006163528A (en) * | 2004-12-02 | 2006-06-22 | Ntt Docomo Inc | Communication terminal, server device and monitoring system |
JP2006172484A (en) * | 2004-12-17 | 2006-06-29 | Microsoft Corp | System and method for utilizing search engine to prevent contamination |
Cited By (36)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9001661B2 (en) | 2006-06-26 | 2015-04-07 | Palo Alto Networks, Inc. | Packet classification in a network security device |
US9565097B2 (en) | 2008-12-24 | 2017-02-07 | Palo Alto Networks, Inc. | Application based packet forwarding |
JP2012064208A (en) * | 2010-09-15 | 2012-03-29 | Chunghwa Telecom Co Ltd | Network virus prevention method and system |
JP2012083849A (en) * | 2010-10-07 | 2012-04-26 | Hitachi Ltd | Malware detector, and method and program for the same |
JP2014519113A (en) * | 2011-05-24 | 2014-08-07 | パロ・アルト・ネットワークス・インコーポレーテッド | Malware analysis system |
US9043917B2 (en) | 2011-05-24 | 2015-05-26 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
KR101607951B1 (en) * | 2011-09-07 | 2016-03-31 | 맥아피 인코퍼레이티드 | Dynamic cleaning for malware using cloud technology |
JP2014525639A (en) * | 2011-09-07 | 2014-09-29 | マカフィー, インコーポレイテッド | Dynamic malware removal using cloud technology |
WO2013073504A1 (en) * | 2011-11-15 | 2013-05-23 | 独立行政法人科学技術振興機構 | Program analysis/verification service provision system, control method for same, control program, control program for directing computer to function, program analysis/verification device, program analysis/verification tool management device |
JP5540160B2 (en) * | 2011-11-15 | 2014-07-02 | 独立行政法人科学技術振興機構 | Program analysis / verification service providing system, control method thereof, control program, control program for causing computer to function, program analysis / verification device, program analysis / verification tool management device |
US9400887B2 (en) | 2011-11-15 | 2016-07-26 | Japan Science And Technology Agency | Program analysis/verification service provision system, control method for same, computer readable non-transitory storage medium, program analysis/verification device, program analysis/verification tool management device |
KR101723937B1 (en) * | 2012-09-28 | 2017-04-06 | 인텔 코포레이션 | Cloud-assisted method and service for application security verification |
JP2015527685A (en) * | 2012-09-28 | 2015-09-17 | インテル・コーポレーション | Cloud-assisted methods and services for application security verification |
KR20150040325A (en) * | 2012-09-28 | 2015-04-14 | 인텔 코포레이션 | Cloud-assisted method and service for application security verification |
JP2015534690A (en) * | 2012-10-19 | 2015-12-03 | マカフィー, インコーポレイテッド | Mobile application management |
CN103761176A (en) * | 2013-12-11 | 2014-04-30 | 中国广核集团有限公司 | Computer polling method and device |
US10469531B2 (en) | 2014-04-25 | 2019-11-05 | SecureBrain Corporation & Hitachi Systems, Ltd. | Fraud detection network system and fraud detection method |
WO2015162985A1 (en) * | 2014-04-25 | 2015-10-29 | 株式会社セキュアブレイン | Illicit activity sensing network system and illicit activity sensing method |
US20170048272A1 (en) * | 2014-04-25 | 2017-02-16 | Securebrain Corporation | Fraud detection network system and fraud detection method |
JPWO2015162985A1 (en) * | 2014-04-25 | 2017-04-13 | 株式会社セキュアブレイン | Fraud detection network system and fraud detection method |
JP2017229076A (en) * | 2014-09-12 | 2017-12-28 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | Electronic control unit, on-vehicle network system, and communication method for vehicle |
JP2016115072A (en) * | 2014-12-12 | 2016-06-23 | Necフィールディング株式会社 | Suspicious file collection device, malware detection system, and malware detection method |
JP2017520820A (en) * | 2015-03-18 | 2017-07-27 | 百度在▲綫▼网▲絡▼技▲術▼(北京)有限公司 | Behavior information identification method corresponding to danger file and behavior information identification device corresponding to danger file |
JP2021022400A (en) * | 2015-06-16 | 2021-02-18 | 日本電気株式会社 | Analysis system, method and program |
JP7115526B2 (en) | 2015-06-16 | 2022-08-09 | 日本電気株式会社 | Analysis system, method and program |
US12013939B2 (en) | 2015-06-16 | 2024-06-18 | Nec Corporation | Analysis system, analysis method, analysis device, and storage medium for analyzing operation of a program executed in an analysis environment |
US10715550B2 (en) | 2015-11-05 | 2020-07-14 | Alibaba Group Holding Limited | Method and device for application information risk management |
JP2019502192A (en) * | 2015-11-05 | 2019-01-24 | アリババ グループ ホウルディング リミテッド | Method and device for application information risk management |
JP2019502997A (en) * | 2015-12-17 | 2019-01-31 | イルデト・ベー・フェー | Securing web pages, web apps, and applications |
US10867016B2 (en) | 2015-12-17 | 2020-12-15 | Irdeto B.V. | Securing webpages, webapps and applications |
US11675880B2 (en) | 2015-12-17 | 2023-06-13 | Irdeto B.V. | Securing webpages, webapps and applications |
JP2019204496A (en) * | 2018-03-27 | 2019-11-28 | アクセンチュア グローバル ソリューションズ リミテッド | Automated problem detection and resolution framework for enterprise resource planning |
US10713110B2 (en) | 2018-03-27 | 2020-07-14 | Accenture Global Solutions Limited | Automated issue detection and resolution framework for enterprise resource planning |
JP6994477B2 (en) | 2018-03-27 | 2022-01-14 | アクセンチュア グローバル ソリューションズ リミテッド | Automated problem detection and resolution framework for enterprise resource planning |
JP2019185183A (en) * | 2018-04-03 | 2019-10-24 | 積水ハウス株式会社 | Communication device protection management server and communication device protection system |
JP7484498B2 (en) | 2020-07-01 | 2024-05-16 | 株式会社リコー | Information processing system, image forming apparatus, information processing method, and program |
Also Published As
Publication number | Publication date |
---|---|
JP5440973B2 (en) | 2014-03-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5440973B2 (en) | Computer inspection system and computer inspection method | |
JP5083760B2 (en) | Malware similarity inspection method and apparatus | |
US10225280B2 (en) | System and method for verifying and detecting malware | |
Inoue et al. | nicter: An incident analysis system toward binding network monitoring with malware analysis | |
US20160078229A1 (en) | System And Method For Threat Risk Scoring Of Security Threats | |
US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
CN108369541B (en) | System and method for threat risk scoring of security threats | |
Hatada et al. | Empowering anti-malware research in Japan by sharing the MWS datasets | |
Eto et al. | Nicter: A large-scale network incident analysis system: Case studies for understanding threat landscape | |
JP2012064208A (en) | Network virus prevention method and system | |
Dodiya et al. | Malicious Traffic analysis using Wireshark by collection of Indicators of Compromise | |
Nakao et al. | Practical correlation analysis between scan and malware profiles against zero-day attacks based on darknet monitoring | |
Almarri et al. | Optimised malware detection in digital forensics | |
JP6592196B2 (en) | Malignant event detection apparatus, malignant event detection method, and malignant event detection program | |
JP5476578B2 (en) | Network monitoring system and method | |
Nakao et al. | A novel concept of network incident analysis based on multi-layer observations of malware activities | |
Choi et al. | A model of analyzing cyber threats trend and tracing potential attackers based on darknet traffic | |
Sharma et al. | Comparative analysis of open-source vulnerability assessment tools for campus area network | |
Gashi et al. | A study of the relationship between antivirus regressions and label changes | |
Mudgal et al. | A Step Towards Improvement in Classical Honeypot Security System | |
KR101518233B1 (en) | Security Apparatus for Threats Detection in the Enterprise Internal Computation Environment | |
Kaur et al. | A stress testing web-based framework for automated malware analysis | |
Rajarajan et al. | A decoy framework to protect server from wireless network worms | |
Garg et al. | Analysis and categorization of emotet iot botnet malware | |
CN114301689B (en) | Campus network security protection method and device, computing equipment and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120120 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20120123 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130226 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130305 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20130507 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20130520 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130603 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131105 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131112 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131203 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131206 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5440973 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313115 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |