JP2012083909A - アプリケーション特性解析装置およびプログラム - Google Patents
アプリケーション特性解析装置およびプログラム Download PDFInfo
- Publication number
- JP2012083909A JP2012083909A JP2010228732A JP2010228732A JP2012083909A JP 2012083909 A JP2012083909 A JP 2012083909A JP 2010228732 A JP2010228732 A JP 2010228732A JP 2010228732 A JP2010228732 A JP 2010228732A JP 2012083909 A JP2012083909 A JP 2012083909A
- Authority
- JP
- Japan
- Prior art keywords
- application
- information
- unit
- log
- malignant
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【解決手段】記憶部20は、悪性アプリケーションの挙動に関連する複数のパターンと、悪性アプリケーションの挙動の代表的な特性を示す代表特性情報と、悪性アプリケーションの危険度を示す数値とを記憶する。パターン比較部25は、アプリケーションログ、カーネルログ、および通信ログのそれぞれに記録されている情報と複数のパターンとを比較する。代表特性抽出部26は、各ログに記録されている情報と一致したパターンに関連付けられた代表特性情報および数値の組合せを抽出する。選択部27は、複数種類の組合せが抽出された場合、抽出された複数種類の組合せの数値を比較した結果に基づいて、いずれかの組合せを選択する。
【選択図】図1
Description
アプリケーションログ(DDMSログ)の解析結果: 端末の電話番号の外部への送信を検知(危険度:2)。
アプリケーションログ(Straceログ)の解析結果:ディスクからメモリへの端末の電話番号の読み出しを検知(危険度:1)。
通信ログ(Tcpdumpログ)の解析結果:特定のIPアドレスへの端末の電話番号の送信を検知(危険度:2)。
実行コードの解析結果: 端末の電話番号の読み取り機能を検知(危険度:1)、外部ホストとの通信機能を検知(危険度:0)。
アプリケーションの構成ファイルのファイル名の解析結果:端末の電話番号を外部ホストへ送信する機能を検知(危険度:2)。
追加されたファイルのファイル名の解析結果:端末の電話番号を外部ホストへ送信する機能を検知(危険度:2)。
Claims (8)
- 悪性アプリケーションの挙動に関連する情報で構成される複数のパターンと、前記パターンに関連付けられ、前記悪性アプリケーションの挙動の代表的な特性を示す代表特性情報と、前記代表特性情報に関連付けられ、前記悪性アプリケーションの危険度を示す数値とを記憶する記憶部と、
アプリケーションの挙動を記録したアプリケーションログ、カーネルの挙動を記録したカーネルログ、および通信時に送信および受信されるパケットの情報を記録した通信ログのそれぞれに記録されている情報と前記複数のパターンとを比較する比較部と、
前記アプリケーションログ、前記カーネルログ、または前記通信ログに記録されている情報と一致した前記パターンに関連付けられた前記代表特性情報および前記数値の組合せを抽出する抽出部と、
前記抽出部によって複数種類の前記組合せが抽出された場合、抽出された複数種類の前記組合せの前記数値を比較した結果に基づいて、いずれかの前記組合せを選択する選択部と、
を備えたことを特徴とするアプリケーション特性解析装置。 - 前記選択部によって選択された前記組合せを表示する表示部をさらに備えたことを特徴とする請求項1に記載のアプリケーション特性解析装置。
- 前記比較部はさらに、アプリケーションを構成するファイルの情報と前記複数のパターンとを比較することを特徴とする請求項1または請求項2に記載のアプリケーション特性解析装置。
- 前記比較部はさらに、第1の時点と第2の時点の間に追加または変更されたファイルの情報と前記複数のパターンとを比較することを特徴とする請求項1〜請求項3のいずれか一項に記載のアプリケーション特性解析装置。
- 前記比較部はさらに、アプリケーションのコード解析を行って得られる情報と前記複数のパターンとを比較することを特徴とする請求項1〜請求項4のいずれか一項に記載のアプリケーション特性解析装置。
- 前記選択部は、前記抽出部によって複数種類の前記組合せが抽出された場合、抽出された複数種類の前記組合せの前記数値を比較し、最も高い危険度を示す前記数値を含む前記組合せを選択することを特徴とする請求項1〜請求項5のいずれか一項に記載のアプリケーション特性解析装置。
- 前記抽出部は、前記比較部が所定の単位で比較を行う毎に前記組合せを抽出し、
前記選択部は、前記比較部が所定の単位で比較を行う毎に、前記抽出部によって抽出された複数種類の前記組合せの前記数値を比較した結果に基づいて、いずれかの前記組合せを選択し、
前記選択部によって選択された前記組合せに含まれる前記数値が所定の数値である場合に、前記比較部は、比較を行う動作を停止する
ことを特徴とする請求項1〜請求項6のいずれか一項に記載のアプリケーション特性解析装置。 - 悪性アプリケーションの挙動に関連する情報で構成される複数のパターンと、前記パターンに関連付けられ、前記悪性アプリケーションの挙動の代表的な特性を示す代表特性情報と、前記代表特性情報に関連付けられ、前記悪性アプリケーションの危険度を示す数値とを記憶する記憶部と、
アプリケーションの挙動を記録したアプリケーションログ、カーネルの挙動を記録したカーネルログ、および通信時に送信および受信されるパケットの情報を記録した通信ログのそれぞれに記録されている情報と前記複数のパターンとを比較する比較部と、
前記アプリケーションログ、前記カーネルログ、または前記通信ログに記録されている情報と一致した前記パターンに関連付けられた前記代表特性情報および前記数値の組合せを抽出する抽出部と、
前記抽出部によって複数種類の前記組合せが抽出された場合、抽出された複数種類の前記組合せの前記数値を比較した結果に基づいて、いずれかの前記組合せを選択する選択部と、
としてコンピュータを機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010228732A JP5613000B2 (ja) | 2010-10-08 | 2010-10-08 | アプリケーション特性解析装置およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010228732A JP5613000B2 (ja) | 2010-10-08 | 2010-10-08 | アプリケーション特性解析装置およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012083909A true JP2012083909A (ja) | 2012-04-26 |
JP5613000B2 JP5613000B2 (ja) | 2014-10-22 |
Family
ID=46242718
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010228732A Active JP5613000B2 (ja) | 2010-10-08 | 2010-10-08 | アプリケーション特性解析装置およびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5613000B2 (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014515538A (ja) * | 2011-06-01 | 2014-06-30 | マカフィー, インコーポレイテッド | 署名を利用せずに悪意プロセスを検出するシステムおよび方法 |
JP2016081400A (ja) * | 2014-10-21 | 2016-05-16 | 日本電信電話株式会社 | ルール逸脱アプリケーション発見装置、ルール逸脱アプリケーション発見システム及びルール逸脱アプリケーション発見方法 |
JP2016224900A (ja) * | 2015-05-27 | 2016-12-28 | 安一恒通(北京)科技有限公司 | 悪性コード検出方法及びシステム |
JP2020013532A (ja) * | 2018-06-29 | 2020-01-23 | エーオー カスペルスキー ラブAo Kaspersky Lab | コンピュータシステムにおける不正行為を検出するためのシステム及び方法 |
JPWO2019031473A1 (ja) * | 2017-08-09 | 2020-07-16 | 日本電気株式会社 | 情報選択装置、情報選択方法、及び、情報選択プログラム |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10275101A (ja) * | 1997-03-28 | 1998-10-13 | Nec Corp | ログデータ圧縮方式 |
JPH1173372A (ja) * | 1997-08-27 | 1999-03-16 | Hideo Takeda | コンピュータ・ウィルスによる不正アクセス検出方法 |
JP2006146600A (ja) * | 2004-11-19 | 2006-06-08 | Ntt Docomo Inc | 動作監視サーバ、端末装置及び動作監視システム |
JP2006155124A (ja) * | 2004-11-29 | 2006-06-15 | Savant:Kk | 監視プログラム、これを記憶したコンピュータ読み取り可能な記録媒体、並びに前記監視プログラムが格納されたサーバ及び監視装置 |
JP2007323428A (ja) * | 2006-06-01 | 2007-12-13 | Hitachi Ltd | ボット検出装置、ボット検出方法、およびプログラム |
JP2008129707A (ja) * | 2006-11-17 | 2008-06-05 | Lac Co Ltd | プログラム分析装置、プログラム分析方法、及びプログラム |
JP2009043020A (ja) * | 2007-08-08 | 2009-02-26 | Nomura Research Institute Ltd | ログ解析支援装置 |
JP2012003683A (ja) * | 2010-06-21 | 2012-01-05 | Kddi Corp | アプリケーション判定システムおよびプログラム |
JP2012008777A (ja) * | 2010-06-24 | 2012-01-12 | Kddi Corp | アプリケーション判定システムおよびプログラム |
JP2012022380A (ja) * | 2010-07-12 | 2012-02-02 | Kddi Corp | ログ抽出システムおよびプログラム |
-
2010
- 2010-10-08 JP JP2010228732A patent/JP5613000B2/ja active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10275101A (ja) * | 1997-03-28 | 1998-10-13 | Nec Corp | ログデータ圧縮方式 |
JPH1173372A (ja) * | 1997-08-27 | 1999-03-16 | Hideo Takeda | コンピュータ・ウィルスによる不正アクセス検出方法 |
JP2006146600A (ja) * | 2004-11-19 | 2006-06-08 | Ntt Docomo Inc | 動作監視サーバ、端末装置及び動作監視システム |
JP2006155124A (ja) * | 2004-11-29 | 2006-06-15 | Savant:Kk | 監視プログラム、これを記憶したコンピュータ読み取り可能な記録媒体、並びに前記監視プログラムが格納されたサーバ及び監視装置 |
JP2007323428A (ja) * | 2006-06-01 | 2007-12-13 | Hitachi Ltd | ボット検出装置、ボット検出方法、およびプログラム |
JP2008129707A (ja) * | 2006-11-17 | 2008-06-05 | Lac Co Ltd | プログラム分析装置、プログラム分析方法、及びプログラム |
JP2009043020A (ja) * | 2007-08-08 | 2009-02-26 | Nomura Research Institute Ltd | ログ解析支援装置 |
JP2012003683A (ja) * | 2010-06-21 | 2012-01-05 | Kddi Corp | アプリケーション判定システムおよびプログラム |
JP2012008777A (ja) * | 2010-06-24 | 2012-01-12 | Kddi Corp | アプリケーション判定システムおよびプログラム |
JP2012022380A (ja) * | 2010-07-12 | 2012-02-02 | Kddi Corp | ログ抽出システムおよびプログラム |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014515538A (ja) * | 2011-06-01 | 2014-06-30 | マカフィー, インコーポレイテッド | 署名を利用せずに悪意プロセスを検出するシステムおよび方法 |
US9323928B2 (en) | 2011-06-01 | 2016-04-26 | Mcafee, Inc. | System and method for non-signature based detection of malicious processes |
JP2016081400A (ja) * | 2014-10-21 | 2016-05-16 | 日本電信電話株式会社 | ルール逸脱アプリケーション発見装置、ルール逸脱アプリケーション発見システム及びルール逸脱アプリケーション発見方法 |
JP2016224900A (ja) * | 2015-05-27 | 2016-12-28 | 安一恒通(北京)科技有限公司 | 悪性コード検出方法及びシステム |
US10511617B2 (en) | 2015-05-27 | 2019-12-17 | Iyuntian Co., Ltd. | Method and system for detecting malicious code |
JPWO2019031473A1 (ja) * | 2017-08-09 | 2020-07-16 | 日本電気株式会社 | 情報選択装置、情報選択方法、及び、情報選択プログラム |
JP2020013532A (ja) * | 2018-06-29 | 2020-01-23 | エーオー カスペルスキー ラブAo Kaspersky Lab | コンピュータシステムにおける不正行為を検出するためのシステム及び方法 |
JP7264631B2 (ja) | 2018-06-29 | 2023-04-25 | エーオー カスペルスキー ラブ | コンピュータシステムにおける不正行為を検出するためのシステム及び方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5613000B2 (ja) | 2014-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Spreitzenbarth et al. | Mobile-sandbox: having a deeper look into android applications | |
Spreitzenbarth et al. | Mobile-Sandbox: combining static and dynamic analysis with machine-learning techniques | |
EP3479281B1 (en) | Method and computer system for determining a threat score | |
CN105787364B (zh) | 任务的自动化测试方法、装置及系统 | |
CN109347882B (zh) | 网页木马监测方法、装置、设备及存储介质 | |
CN110677381A (zh) | 渗透测试的方法及装置、存储介质、电子装置 | |
RU2757597C1 (ru) | Системы и способы сообщения об инцидентах компьютерной безопасности | |
CN113259392B (zh) | 一种网络安全攻防方法、装置及存储介质 | |
JP5613000B2 (ja) | アプリケーション特性解析装置およびプログラム | |
Lee et al. | Shield: an automated framework for static analysis of sdn applications | |
CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
CN103581185A (zh) | 对抗免杀测试的云查杀方法、装置及系统 | |
CN115552401A (zh) | 一种快应用检测方法、装置、设备及存储介质 | |
JP2014179025A (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
CN114780398B (zh) | 面向Cisco IOS-XE的Web命令注入漏洞检测方法 | |
JP2012022380A (ja) | ログ抽出システムおよびプログラム | |
CN110768950A (zh) | 渗透指令的发送方法及装置、存储介质、电子装置 | |
Alnaeli et al. | On the evolution of mobile computing software systems and C/C++ vulnerable code: Empirical investigation | |
CN113127875A (zh) | 一种漏洞处理方法及相关设备 | |
Mostafa et al. | Netdroid: Summarizing network behavior of android apps for network code maintenance | |
Spreitzenbarth | Dissecting the Droid: Forensic analysis of android and its malicious applications | |
Kaushik et al. | An approach for exploiting and mitigating Log4J using Log4Shell vulnerability | |
Omar | Defending cyber systems through reverse engineering of criminal malware | |
CN116074029A (zh) | 风险预测信息确定方法、装置、电子设备及存储介质 | |
JP5478381B2 (ja) | アプリケーション判定システムおよびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20130821 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130821 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140424 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140603 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140729 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20140730 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140819 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140905 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5613000 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |