JP2011154727A - 解析システム、解析方法および解析プログラム - Google Patents
解析システム、解析方法および解析プログラム Download PDFInfo
- Publication number
- JP2011154727A JP2011154727A JP2011101872A JP2011101872A JP2011154727A JP 2011154727 A JP2011154727 A JP 2011154727A JP 2011101872 A JP2011101872 A JP 2011101872A JP 2011101872 A JP2011101872 A JP 2011101872A JP 2011154727 A JP2011154727 A JP 2011154727A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- analysis
- malware
- destination port
- port number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】マルウェア実行環境がマルウェアを実行し、仮想ネットワーク部がマルウェアを仮想ネットワークにアクセスさせ、マルウェアの動作に関する情報及び/又は通信に関する情報を挙動情報として収集する。ここで、仮想ネットワーク部は、通信ペイロードの送信先ポート番号と予め登録した送信先ポート番号とのパターンマッチングによりプロトコルを判定し、送信先ポート番号が登録されていない場合に、当該通信ペイロードのシグネチャと予め登録したシグネチャとのパターンマッチングによりプロトコルを判定し、送信先ポート番号又はシグネチャにより判定したプロトコルに応じた応答を生成してマルウェアに送信する。
【選択図】 図2
Description
2 マルウェア解析結果データベース
3 解析結果分析・出力モジュール
4 動的解析コントロールモジュール
10 マルウェア実行環境
11 マルウェア実行モジュール
20,20a 仮想ネットワーク部
21 プロトコル判別モジュール
23 プロトコル判別データベース
24 サーバ応答生成モジュール
25 ペイロードデータベース
26 外部接続コントロールモジュール
27 接続管理用シグネチャデータベース
Claims (11)
- コンピュータ内で不正な動作を行う不正プログラムの挙動を解析する解析システムであって、
前記不正プログラムを実行させる実行環境を提供する実行環境提供手段と、
前記実行環境と接続された仮想ネットワークを構築し、前記不正プログラムを前記仮想ネットワークにアクセスさせる仮想ネットワーク提供手段と、
前記実行環境における前記不正プログラムの動作に関する情報および/または前記仮想ネットワークと前記不正プログラムとの通信に関する情報を当該不正プログラムの挙動情報として収集する情報収集手段と、
を備え、
前記仮想ネットワーク提供手段は、通信ペイロードの送信先ポート番号と予め登録した送信先ポート番号とのパターンマッチングを行って通信プロトコルを判定し、前記送信先ポート番号による通信プロトコルの判定において、前記通信ペイロードの送信先ポート番号が前記予め登録した送信先ポート番号に含まれていた場合に、当該含まれていた送信先ポート番号に対応する通信プロトコルに応じた擬似サーバ応答を生成して前記不正プログラムに送信し、前記通信ペイロードの送信先ポート番号が前記予め登録した送信先ポート番号に含まれていない場合に、当該通信ペイロードのシグネチャと予め登録したシグネチャとのパターンマッチングを行って通信プロトコルを判定し、前記シグネチャによって判定した通信プロトコルに応じた擬似サーバ応答を生成して前記不正プログラムに送信することを特徴とする解析システム。 - 外部の実ネットワークに接続する実ネットワーク接続手段と、前記不正プログラムが関与する通信の一部を前記実ネットワークに接続する接続制御手段と、をさらに備えたことを特徴とする請求項1に記載の解析システム。
- 前記接続制御手段は、前記不正プログラムが関与する通信の通信プロトコルを通信ペイロードと予め登録したパターンとのパターンマッチングによって同定し、当該同定結果に基づいて前記実ネットワークに前記通信を接続するか否かを判定し、前記実ネットワークに接続する通信については当該通信を代理実行し、代理実行によって得られた応答を前記不正プログラムに渡すことを特徴とする請求項2に記載の解析システム。
- 前記接続制御手段は、HTTP(Hypertext Transfer Protocol)による通信を実ネットワークに代理実行する際に、GETリクエストURLのパラメータ部を削除して実ネットワークに接続することを特徴とする請求項3に記載の解析システム。
- 前記情報収集手段は、前記不正プログラムが関与する通信の通信プロトコル、通信ペイロード、通信先に関する情報を前記挙動情報として収集することを特徴とする請求項1〜4のいずれか一つに記載の解析システム。
- コンピュータ内で不正な動作を行う不正プログラムの挙動を解析する解析方法であって、
前記不正プログラムを実行させる実行環境を提供する実行環境提供工程と、
前記実行環境と接続された仮想ネットワークを構築し、前記不正プログラムを前記仮想ネットワークにアクセスさせる仮想ネットワーク提供工程と、
前記実行環境における前記不正プログラムの動作に関する情報および/または前記仮想ネットワークと前記不正プログラムとの通信に関する情報を当該不正プログラムの挙動情報として収集する情報収集工程と、
を含み、
前記仮想ネットワーク提供工程は、通信ペイロードの送信先ポート番号と予め登録した送信先ポート番号とのパターンマッチングを行って通信プロトコルを判定し、前記送信先ポート番号による通信プロトコルの判定において、前記通信ペイロードの送信先ポート番号が前記予め登録した送信先ポート番号に含まれていた場合に、当該含まれていた送信先ポート番号に対応する通信プロトコルに応じた擬似サーバ応答を生成して前記不正プログラムに送信し、前記通信ペイロードの送信先ポート番号が前記予め登録した送信先ポート番号に含まれていない場合に、当該通信ペイロードのシグネチャと予め登録したシグネチャとのパターンマッチングを行って通信プロトコルを判定し、前記シグネチャによって判定した通信プロトコルに応じた擬似サーバ応答を生成して前記不正プログラムに送信することを特徴とする解析方法。 - 外部の実ネットワークに接続する実ネットワーク接続工程と、前記不正プログラムが関与する通信の一部を前記実ネットワークに接続する接続制御工程と、をさらに備えたことを特徴とする請求項6に記載の解析方法。
- 前記接続制御工程は、前記不正プログラムが関与する通信の通信プロトコルを通信ペイロードと予め登録したパターンとのパターンマッチングによって同定し、当該同定結果に基づいて前記実ネットワークに前記通信を接続するか否かを判定し、前記実ネットワークに接続する通信については当該通信を代理実行し、代理実行によって得られた応答を前記不正プログラムに渡すことを特徴とする請求項7に記載の解析方法。
- 前記接続制御工程は、HTTP(Hypertext Transfer Protocol)による通信を実ネットワークに代理実行する際に、GETリクエストURLのパラメータ部を削除して実ネットワークに接続することを特徴とする請求項8に記載の解析方法。
- 前記情報収集工程は、前記不正プログラムが関与する通信の通信プロトコル、通信ペイロード、通信先に関する情報を前記挙動情報として収集することを特徴とする請求項6〜9のいずれか一つに記載の解析方法。
- コンピュータを請求項1〜5のいずれか一つに記載の解析システムとして機能させるための解析プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011101872A JP5389855B2 (ja) | 2011-04-28 | 2011-04-28 | 解析システム、解析方法および解析プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011101872A JP5389855B2 (ja) | 2011-04-28 | 2011-04-28 | 解析システム、解析方法および解析プログラム |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008019701A Division JP4755658B2 (ja) | 2008-01-30 | 2008-01-30 | 解析システム、解析方法および解析プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011154727A true JP2011154727A (ja) | 2011-08-11 |
JP5389855B2 JP5389855B2 (ja) | 2014-01-15 |
Family
ID=44540588
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011101872A Active JP5389855B2 (ja) | 2011-04-28 | 2011-04-28 | 解析システム、解析方法および解析プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5389855B2 (ja) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10050798B2 (en) | 2015-02-06 | 2018-08-14 | Mitsubishi Electric Corporation | Cryptographic block identification apparatus, cryptographic block identification method, and non-transitory computer readable recording medium storing cryptographic block identification program |
JP2019185517A (ja) * | 2018-04-13 | 2019-10-24 | 株式会社 みずほ銀行 | 動作解析システム及び動作解析方法 |
US10536261B2 (en) | 2014-09-25 | 2020-01-14 | Nec Corporation | Analysis system, analysis method, and storage medium |
US10554383B2 (en) | 2014-09-25 | 2020-02-04 | Nec Corporation | Analysis system, analysis method, and storage medium |
JP2020510266A (ja) * | 2017-03-22 | 2020-04-02 | シマンテック コーポレーションSymantec Corporation | 分離されたアプリケーションを有する分離層への分離されていないアプリケーションの組み込み |
JP2021022400A (ja) * | 2015-06-16 | 2021-02-18 | 日本電気株式会社 | 分析システム、方法、及び、プログラム |
US10931468B2 (en) | 2014-09-25 | 2021-02-23 | Nec Corporation | Analysis system, analysis method, and storage medium |
US11134089B2 (en) | 2017-03-30 | 2021-09-28 | Nec Corporation | Malware analysis method, malware analysis device, and malware analysis system |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007019981A (ja) * | 2005-07-08 | 2007-01-25 | Oki Electric Ind Co Ltd | ネットワーク監視システム |
JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
JP2008011537A (ja) * | 2006-06-26 | 2008-01-17 | Palo Alto Networks Inc | ネットワークセキュリティデバイスにおけるパケット分類 |
-
2011
- 2011-04-28 JP JP2011101872A patent/JP5389855B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007019981A (ja) * | 2005-07-08 | 2007-01-25 | Oki Electric Ind Co Ltd | ネットワーク監視システム |
JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
JP2008011537A (ja) * | 2006-06-26 | 2008-01-17 | Palo Alto Networks Inc | ネットワークセキュリティデバイスにおけるパケット分類 |
Non-Patent Citations (2)
Title |
---|
CSNG200700026073; 須藤 年章: '仮想インターネットを用いたボットネット挙動解析システムの評価' コンピュータセキュリティシンポジウム2006 論文集(CSS2006) 第2006巻, 20061025, 第513-518頁, 社団法人情報処理学会 * |
JPN6011009807; 須藤 年章: '仮想インターネットを用いたボットネット挙動解析システムの評価' コンピュータセキュリティシンポジウム2006 論文集(CSS2006) 第2006巻, 20061025, 第513-518頁, 社団法人情報処理学会 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10536261B2 (en) | 2014-09-25 | 2020-01-14 | Nec Corporation | Analysis system, analysis method, and storage medium |
US10554383B2 (en) | 2014-09-25 | 2020-02-04 | Nec Corporation | Analysis system, analysis method, and storage medium |
US10931468B2 (en) | 2014-09-25 | 2021-02-23 | Nec Corporation | Analysis system, analysis method, and storage medium |
US10050798B2 (en) | 2015-02-06 | 2018-08-14 | Mitsubishi Electric Corporation | Cryptographic block identification apparatus, cryptographic block identification method, and non-transitory computer readable recording medium storing cryptographic block identification program |
JP2021022400A (ja) * | 2015-06-16 | 2021-02-18 | 日本電気株式会社 | 分析システム、方法、及び、プログラム |
JP7115526B2 (ja) | 2015-06-16 | 2022-08-09 | 日本電気株式会社 | 分析システム、方法、及び、プログラム |
US12013939B2 (en) | 2015-06-16 | 2024-06-18 | Nec Corporation | Analysis system, analysis method, analysis device, and storage medium for analyzing operation of a program executed in an analysis environment |
JP2020510266A (ja) * | 2017-03-22 | 2020-04-02 | シマンテック コーポレーションSymantec Corporation | 分離されたアプリケーションを有する分離層への分離されていないアプリケーションの組み込み |
US11134089B2 (en) | 2017-03-30 | 2021-09-28 | Nec Corporation | Malware analysis method, malware analysis device, and malware analysis system |
JP2019185517A (ja) * | 2018-04-13 | 2019-10-24 | 株式会社 みずほ銀行 | 動作解析システム及び動作解析方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5389855B2 (ja) | 2014-01-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4755658B2 (ja) | 解析システム、解析方法および解析プログラム | |
JP5389855B2 (ja) | 解析システム、解析方法および解析プログラム | |
US11381578B1 (en) | Network-based binary file extraction and analysis for malware detection | |
US8869279B2 (en) | Detecting web browser based attacks using browser response comparison tests launched from a remote source | |
CA2859415C (en) | System for detecting, analyzing, and controlling infiltration of computer and network systems | |
US8793787B2 (en) | Detecting malicious network content using virtual environment components | |
EP3108401B1 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
JP6726429B2 (ja) | ドメイン生成アルゴリズム(dga)のマルウェアを検出するためのシステムおよび方法 | |
JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
US11863571B2 (en) | Context profiling for malware detection | |
US20160373447A1 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
US11949694B2 (en) | Context for malware forensics and detection | |
Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
Kim et al. | Agent-based honeynet framework for protecting servers in campus networks | |
CN104796386B (zh) | 一种僵尸网络的检测方法、装置和系统 | |
US10721148B2 (en) | System and method for botnet identification | |
US20160149933A1 (en) | Collaborative network security | |
KR20200092508A (ko) | IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템 | |
JP6635029B2 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
Yoshioka et al. | Malware sandbox analysis for secure observation of vulnerability exploitation | |
CN112005234A (zh) | 恶意软件检测的上下文剖析 | |
JP6286314B2 (ja) | マルウェア通信制御装置 | |
Misbahuddin et al. | Dynamic IDP Signature processing by fast elimination using DFA | |
du Bruyn | TOWARD AN AUTOMATED BOTNET ANALYSIS FRAMEWORK: A DARKCOMET CASE-STUDY |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110428 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130724 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130730 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130911 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131008 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131009 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5389855 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |