JP2014071796A - マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム - Google Patents
マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム Download PDFInfo
- Publication number
- JP2014071796A JP2014071796A JP2012219244A JP2012219244A JP2014071796A JP 2014071796 A JP2014071796 A JP 2014071796A JP 2012219244 A JP2012219244 A JP 2012219244A JP 2012219244 A JP2012219244 A JP 2012219244A JP 2014071796 A JP2014071796 A JP 2014071796A
- Authority
- JP
- Japan
- Prior art keywords
- software
- malware
- operation log
- identification information
- sandbox
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【課題】Sandbox技術を検知可能なマルウェアであっても確実に検知し得る、マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラムを提供する。
【解決手段】マルウェア検知システム100は、仮想環境を利用してマルウェアを検知するため、ダウンロードしたソフトウェアを仮想環境下で実行し、ソフトウェアの識別情報及び仮想環境下での実行時の動作ログを取得する、サンドボックス装置30と、ソフトウェアを実環境下で実行する端末装置40に備えられ、且つ、ソフトウェアの識別情報及び端末装置による実環境下での実行時の動作ログを取得する、エージェント装置41と、サンドボックス装置30によって取得された識別情報及び動作ログ及びエージェント装置41によって取得された識別情報及び動作ログに基づいて、ソフトウェアがマルウェアかどうかを判定する、マルウェア検知装置50と、を備えている。
【選択図】図1
【解決手段】マルウェア検知システム100は、仮想環境を利用してマルウェアを検知するため、ダウンロードしたソフトウェアを仮想環境下で実行し、ソフトウェアの識別情報及び仮想環境下での実行時の動作ログを取得する、サンドボックス装置30と、ソフトウェアを実環境下で実行する端末装置40に備えられ、且つ、ソフトウェアの識別情報及び端末装置による実環境下での実行時の動作ログを取得する、エージェント装置41と、サンドボックス装置30によって取得された識別情報及び動作ログ及びエージェント装置41によって取得された識別情報及び動作ログに基づいて、ソフトウェアがマルウェアかどうかを判定する、マルウェア検知装置50と、を備えている。
【選択図】図1
Description
本発明は、標的型攻撃に使われるマルウェアを検知するための、マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びこれらを実現するためのプログラムに関する。
昨今、企業、官庁といった特定の組織を標的とした標的型攻撃による被害が深刻化しており、更に、その実態の把握が難しくなっている。一般に、標的型攻撃は、マルウェア(Malware:悪意のあるソフトウェア)によるものが多数であるが、最近では、ダウンローダを介して設置される多段型のマルウェアによる標準型攻撃も増加している。なお、「ダウンローダ」とは、インターネット上のホストからプログラム又は機械語コードをダウンロードするソフトウェアである。
このようなマルウェアを検知する仕組みの一つとして、Sandbox技術が知られている。Sandbox技術とは、外部に影響を及ぼすことがないように、独立及び閉鎖した仮想実行環境の中で、疑わしいファイルを実行し、最終的にマルウェアであるか否かを判断する技術である。
例えば、特許文献1は、Sandbox技術を用いてマルウェアを検出するシステムの一例を開示している。特許文献1に開示されたシステムは、検査対象のマルウェアのSandbox環境での動作ログと、実際の環境で取得された当該マルウェアの動作ログとを比較することによって、マルウェアかどうかを判断する。
しかしながら、近年、標的型攻撃に使われるマルウェアの中には、Sandbox技術を検知する新種のマルウェアが登場している。このような新種のマルウェアは、Sandbox技術で使用する仮想実行環境を検知すると、活動を中止することができるため、特許文献1に開示されたシステムを用いても、新種のマルウェアを検知することは困難である。
本発明の目的の一例は、上記問題を解消し、Sandbox技術を検知可能なマルウェアであっても確実に検知し得る、マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラムを提供することにある。
上記目的を達成するため、本発明の一側面におけるマルウェア検知装置は、仮想環境を利用してマルウェアを検知するための装置であって、
ダウンロードしたソフトウェアを仮想環境下で実行するサンドボックス装置、及びダウンロードした前記ソフトウェアを実環境下で実行する端末装置、それぞれから、前記ソフトウェアの識別情報、及び前記ソフトウェアの実行時の動作ログを受信する、情報受信部と、
前記サンドボックス装置から受信した識別情報及び動作ログと、前記端末装置から受信した識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、マルウェア判定部と、
を備えていることを特徴とする。
ダウンロードしたソフトウェアを仮想環境下で実行するサンドボックス装置、及びダウンロードした前記ソフトウェアを実環境下で実行する端末装置、それぞれから、前記ソフトウェアの識別情報、及び前記ソフトウェアの実行時の動作ログを受信する、情報受信部と、
前記サンドボックス装置から受信した識別情報及び動作ログと、前記端末装置から受信した識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、マルウェア判定部と、
を備えていることを特徴とする。
上記目的を達成するため、本発明の一側面におけるマルウェア検知システムは、仮想環境を利用してマルウェアを検知するためのシステムであって、
ダウンロードしたソフトウェアを仮想環境下で実行し、前記ソフトウェアの識別情報及び前記仮想環境下での実行時の動作ログを取得する、サンドボックス装置と、
前記ソフトウェアを実環境下で実行する端末装置に備えられ、且つ、前記ソフトウェアの識別情報及び前記端末装置による前記実環境下での実行時の動作ログを取得する、エージェント装置と、
前記サンドボックス装置によって取得された識別情報及び動作ログと、前記エージェント装置によって取得された識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、マルウェア検知装置と、
を備えていることを特徴とする。
ダウンロードしたソフトウェアを仮想環境下で実行し、前記ソフトウェアの識別情報及び前記仮想環境下での実行時の動作ログを取得する、サンドボックス装置と、
前記ソフトウェアを実環境下で実行する端末装置に備えられ、且つ、前記ソフトウェアの識別情報及び前記端末装置による前記実環境下での実行時の動作ログを取得する、エージェント装置と、
前記サンドボックス装置によって取得された識別情報及び動作ログと、前記エージェント装置によって取得された識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、マルウェア検知装置と、
を備えていることを特徴とする。
また、上記目的を達成するため、本発明の一側面におけるマルウェア検知方法は、仮想環境を利用してマルウェアを検知するための装置であって、
(a)ダウンロードしたソフトウェアを仮想環境下で実行するサンドボックス装置、及びダウンロードした前記ソフトウェアを実環境下で実行する端末装置、それぞれから、前記ソフトウェアの識別情報、及び前記ソフトウェアの実行時の動作ログを受信する、ステップと、
(b)前記サンドボックス装置から受信した識別情報及び動作ログと、前記端末装置から受信した識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、ステップと、
を有することを特徴とする。
(a)ダウンロードしたソフトウェアを仮想環境下で実行するサンドボックス装置、及びダウンロードした前記ソフトウェアを実環境下で実行する端末装置、それぞれから、前記ソフトウェアの識別情報、及び前記ソフトウェアの実行時の動作ログを受信する、ステップと、
(b)前記サンドボックス装置から受信した識別情報及び動作ログと、前記端末装置から受信した識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、ステップと、
を有することを特徴とする。
更に、上記目的を達成するため、本発明の一側面におけるプログラムは、コンピュータによって、仮想環境を利用したマルウェアの検知を行なうためのプログラムであって、
前記コンピュータに、
(a)ダウンロードしたソフトウェアを仮想環境下で実行するサンドボックス装置、及びダウンロードした前記ソフトウェアを実環境下で実行する端末装置、それぞれから、前記ソフトウェアの識別情報、及び前記ソフトウェアの実行時の動作ログを受信する、ステップと、
(b)前記サンドボックス装置から受信した識別情報及び動作ログと、前記端末装置から受信した識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、ステップと、
を実行させることを特徴とする。
前記コンピュータに、
(a)ダウンロードしたソフトウェアを仮想環境下で実行するサンドボックス装置、及びダウンロードした前記ソフトウェアを実環境下で実行する端末装置、それぞれから、前記ソフトウェアの識別情報、及び前記ソフトウェアの実行時の動作ログを受信する、ステップと、
(b)前記サンドボックス装置から受信した識別情報及び動作ログと、前記端末装置から受信した識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、ステップと、
を実行させることを特徴とする。
以上のように、本発明によれば、Sandbox技術を検知可能なマルウェアであっても確実に検知することができる。
(実施の形態)
以下、本発明の実施の形態における、マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラムについて、図1〜図7を参照しながら説明する。
以下、本発明の実施の形態における、マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラムについて、図1〜図7を参照しながら説明する。
[システム構成]
最初に、本実施の形態におけるマルウェア検知システムの構成について図1を用いて説明する。図1は、本発明の実施の形態におけるマルウェア検知システムの全体構成を示すブロック図である。
最初に、本実施の形態におけるマルウェア検知システムの構成について図1を用いて説明する。図1は、本発明の実施の形態におけるマルウェア検知システムの全体構成を示すブロック図である。
図1に示すように、本実施の形態におけるマルウェア検知システム100は、インターネット等のネットワーク12を介してサーバ10から送信されてくるソフトウェア11の中から、仮想環境を利用してマルウェアを検知するシステムである。なお、送信されてくるソフトウェア11がマルウェアである場合、マルウェアを送信するサーバ10は、マルウェアに感染したコンピュータに指令を送り、制御の中心となることから、一般にC&C(command & control)サーバと呼ばれている。
また、図1に示すように、マルウェア検知システム100は、サンドボックス装置30と、エージェント装置41と、マルウェア検知装置50とを備えている。更に、サンドボックス装置30、エージェント装置41、及びマルウェア検知装置50は、スイッチ20に接続されており、スイッチ20を介してネットワーク12に接続されている。
サンドボックス装置30は、Sandbox技術を利用した装置である。サンドボックス装置30は、サーバ10からダウンロードしたソフトウェア11を仮想環境下で実行し、ソフトウェア11の識別情報及び仮想環境下での実行時の動作ログを取得する。
エージェント装置41は、マルウェアのターゲットとなる端末装置40に備えられている。端末装置40は、サーバ10から送信されてきたソフトウェア11をダウンロードし、そして、ソフトウェア11を実環境下で実行する。また、エージェント装置41は、ソフトウェア11の識別情報、及び端末装置40によるソフトウェア11の実環境下での実行時の動作ログを取得する。
マルウェア検知装置50は、サンドボックス装置30によって取得された識別情報及び動作ログと、エージェント装置41によって取得された識別情報及び動作ログとに基づいて、ソフトウェア11がマルウェアかどうかを判定する。
このように、本実施の形態におけるマルウェア検知システム100では、対象となるソフトウェアについて、仮想環境下と実環境下との両方から、動作ログに加えて識別情報も取得される。よって、対象となるソフトウェアが、Sandbox技術を検知可能なマルウェアである場合は、識別情報は一致しているが、動作ログが不一致となった状態となるので、このようなマルウェアであっても確実に検知することができる。
以下、図2〜図6を用いて、本実施の形態におけるマルウェア検知システム100を構成する各装置について、より具体的に説明する。
[サンドボックス装置の構成]
図2は、本発明の実施の形態で用いられるサンドボックス装置の構成を示すブロック図である。図2に示すように、サンドボックス装置30は、スイッチ20のミラーポート(図2において図示せず)に接続されている。
図2は、本発明の実施の形態で用いられるサンドボックス装置の構成を示すブロック図である。図2に示すように、サンドボックス装置30は、スイッチ20のミラーポート(図2において図示せず)に接続されている。
また、図2に示すように、サンドボックス装置30は、ソフトウェア受信部31と、ハッシュ計算部32と、ソフトウェア実行部33と、動作ログ取得部34と、格納部35と、送信部36とを備えている。このうち、ソフトウェア受信部31は、ネットワーク12(図1参照)を介して送信されてくるソフトウェア11を受信する。
ハッシュ計算部32は、ソフトウェア受信部31が受信したソフトウェア11を構成するファイルから、そのハッシュ値を算出する。本実施の形態では、この算出されたハッシュ値が、ソフトウェア11の識別情報となる。また、算出されたハッシュ値は、格納部35に格納される。
また、ソフトウェア実行部33は、ソフトウェア受信部31が受信したソフトウェア11を、Sandbox技術を用いて、実行する。具体的には、ソフトウェア実行部33は、外部に悪影響が及ばないように閉ざされた仮想領域内で、ソフトウェア11のファイルを実行する。この仮想領域は、他のファイル等から隔離されるように構築されており、ソフトウェア11がマルウェアであったとしても、その悪影響が外部に及ばないようになっている。
動作ログ取得部34は、ソフトウェア実行部33によってソフトウェア11が実行されると、ソフトウェア11によって行なわれた処理(例えば、レジストリの更新、削除等)の動作ログを取得する。取得された動作ログは、格納部35に格納される。送信部36は、マルウェア検知装置50に対して、格納部35に格納されているハッシュ値と動作ログとを送信する。
また、本実施の形態では、サンドボックス装置30は、コンピュータのOS(Operating System)上で動作するプログラムによって構築されている。このため、実際には、コンピュータのCPU(Central Processing Unit)が、ソフトウェア受信部31、ハッシュ計算部32、ソフトウェア実行部33、動作ログ取得部34、及び送信部36として機能する。更に、コンピュータの記憶装置(メモリ、ハードディスク等)が、格納部35として機能する。
[エージェント装置の構成]
図3は、本発明の実施の形態で用いられるエージェント装置の構成を示すブロック図である。図3に示すように、エージェント装置41は、端末装置40の内部に構築されており、端末装置40を介して、スイッチ20に接続されている。具体的には、エージェント装置41は、端末装置40のOS42上で動作するプログラムによって構築されている。
図3は、本発明の実施の形態で用いられるエージェント装置の構成を示すブロック図である。図3に示すように、エージェント装置41は、端末装置40の内部に構築されており、端末装置40を介して、スイッチ20に接続されている。具体的には、エージェント装置41は、端末装置40のOS42上で動作するプログラムによって構築されている。
また、図3に示すように、エージェント装置41は、ソフトウェア受信部411と、ハッシュ計算部412と、ソフトウェア監視部413と、動作ログ取得部414と、格納部415と、送信部416とを備えている。このうち、ソフトウェア受信部414は、ネットワーク12(図1参照)を介して端末装置40送信されてくるソフトウェア11を受信する。
ハッシュ計算部412は、図2に示したハッシュ計算部32と同様に、ソフトウェア受信部414が受信したソフトウェア11を構成するファイルから、そのハッシュ値を算出する。ハッシュ計算部412によって算出されたハッシュ値も、サンドボックス装置30の場合と同様に、ソフトウェア11の識別情報となる。また、算出されたハッシュ値は、格納部415に格納される。
また、ソフトウェア監視部413は、ソフトウェア受信部411によって受信されたソフトウェア11を監視し、OS42によってソフトウェア11が実行されると、そのことを動作ログ取得部414に通知する。
動作ログ取得部414は、ソフトウェア監視部413からの通知を受けると、ソフトウェア11によって行なわれた処理(例えば、レジストリの更新、削除等)の動作ログを取得する。取得された動作ログは、格納部415に格納される。送信部416は、図2に示した送信部36と同様に、マルウェア検知装置50に対して、格納部415に格納されているハッシュ値と動作ログとを送信する。
上述したように、本実施の形態では、エージェント装置41は、端末装置40のOS42上で動作するプログラムによって構築されている。よって、実際には、端末装置40のCPUが、ソフトウェア受信部411、ハッシュ計算部412、ソフトウェア実行部413、動作ログ取得部414、及び送信部416として機能する。更に、コンピュータの記憶装置(メモリ、ハードディスク等)が、格納部415として機能する。
[マルウェア検知装置の構成]
図4は、本発明の実施の形態におけるマルウェア検知装置の構成を示すブロック図である。図4に示すように、マルウェア検知装置50は、情報受信部51と、サンドボックス情報データベース52と、エージェント情報データベース53と、データベース監視部54と、マルウェア判定部55とを備えている。
図4は、本発明の実施の形態におけるマルウェア検知装置の構成を示すブロック図である。図4に示すように、マルウェア検知装置50は、情報受信部51と、サンドボックス情報データベース52と、エージェント情報データベース53と、データベース監視部54と、マルウェア判定部55とを備えている。
このうち、情報受信部51は、サンドボックス装置30及び端末装置40それぞれから、ソフトウェア11の識別情報、及びソフトウェア11の実行時の動作ログを受信する。具体的には、情報受信部51は、サンドボックス装置30の送信部36によって送信されたハッシュ値及び動作ログと、エージェント装置41の送信部416によって送信されたハッシュ値及び動作ログとを、スイッチ20を介して受信する。
また、情報受信部51は、サンドボックス装置30から送信されたハッシュ値及び動作ログを、サンドボックス情報データベース52に格納する。更に、情報受信部51は、エージェント装置41(端末装置40)から送信されたハッシュ値及び動作ログを、エージェント情報データベース53に格納する。
データベース監視部54は、サンドボックス情報データベース52及びエージェント情報データベース53それぞれを常時監視する。そして、データベース監視部54は、サンドボックス情報データベース52及びエージェント情報データベース53の両方に、同じ値のハッシュ値が格納されると、そのことをマルウェア判定部55に通知する。
マルウェア判定部55は、サンドボックス装置30から受信した識別情報及び動作ログと、端末装置40から受信した識別情報及び動作ログとに基づいて、ソフトウェア11がマルウェアかどうかを判定する。
具体的には、本実施の形態では、マルウェア判定部55は、データベース監視部54からハッシュ値が一致した旨の通知を受けると、該当するファイルについて、サンドボックス装置30から受信した動作ログと、端末装置40から受信した動作ログとを比較する。そして、マルウェア判定部55は、比較の結果、両者が不一致となる場合は、ソフトウェア11はマルウェアであると判定し、両者が一致する場合は、ソフトウェア11はマルウェアでないと判定する。
また、図5は、図4に示すサンドボックス情報データベースに格納されている情報の一例を示す図である。図5に示すように、サンドボックス情報データベース52には、サンドボックス装置30にダウンロードされたソフトウェア毎に、ファイル名、ハッシュ値、動作ログ、及び詳細ログが格納されている。
図6は、図4に示すエージェント情報データベースに格納されている情報の一例を示す図である。図6に示すように、エージェント情報データベース53には、端末装置40にダウンロードされたソフトウェア毎に、ファイル名、ハッシュ値、プロセス名、及び動作ログが格納されている。
[システム動作]
次に、本発明の実施の形態におけるマルウェア検知装置及びマルウェア検知システムの動作について図7を用いて説明する。図7は、本発明の実施の形態におけるマルウェア検知システムの動作を示すシーケンス図である。以下の説明においては、適宜図1〜図6を参酌する。また、本実施の形態では、マルウェア検知装置50装置を動作させることによって、マルウェア検知方法が実施される。よって、本実施の形態におけるマルウェア検知方法の説明は、以下のマルウェア検知装置50の動作説明に代える。
次に、本発明の実施の形態におけるマルウェア検知装置及びマルウェア検知システムの動作について図7を用いて説明する。図7は、本発明の実施の形態におけるマルウェア検知システムの動作を示すシーケンス図である。以下の説明においては、適宜図1〜図6を参酌する。また、本実施の形態では、マルウェア検知装置50装置を動作させることによって、マルウェア検知方法が実施される。よって、本実施の形態におけるマルウェア検知方法の説明は、以下のマルウェア検知装置50の動作説明に代える。
最初に、図7に示すように、ソフトウェア11が、外部のサーバ10から、ネットワーク12を介して、サンドボックス装置30及び端末装置40へとダウンロードされる(ステップS1及びステップS12)。
ステップS1が実行されると、サンドボックス装置30では、ソフトウェア受信部31が、ソフトウェア11を受信する。また、ソフトウェア受信部31は、ソフトウェア11をハッシュ計算部32に送ると共に、ハッシュ計算部32に対して、ソフトウェア11のハッシュ値の計算を指示する(ステップS2)。
ステップS2が実行されると、ハッシュ計算部32は、ソフトウェア11のハッシュ値を計算し(ステップS3)、計算したハッシュ値を、格納部35に格納する(ステップS4)。
また、ソフトウェア受信部31は、ステップS2の実行後又は実行と同時に、ソフトウェア実行部33に対して、ソフトウェア11の実行を指示する(ステップS5)。ソフトウェア実行部33は、ステップS5の指示を受けると、動作ログの取得のため、動作ログ取得部34に対して、ソフトウェア11の動作ログの取得を開始するように指示を行なう(ステップS6)。また、ソフトウェア実行部33は、ソフトウェア11を仮想環境下で実行する(ステップS7)。
ステップS6が実行されると、動作ログ取得部34は、ソフトウェア11の実行時の動作ログを取得する(ステップS8)。また、動作ログ取得部34は、ソフトウェア11の動作ログを取得し終えると、取得した動作ログを格納部35に送り、そこに格納する(ステップS9)。
次に、格納部35は、ソフトウェア毎に、格納しているハッシュ値と動作ログとを組み合わせ、得られた組み合せデータを、送信部36に送る(ステップS10)。続いて、送信部36は、送られてきた組み合せデータを、マルウェア検知装置50に送信する(ステップS11)。
また、ステップS12が実行されると、エージェント装置41では、ソフトウェア受信部411が、ソフトウェア11を受信する。また、ソフトウェア受信部411は、受信したソフトウェア11をハッシュ計算部412に送ると共に、ハッシュ計算部412に対して、ソフトウェア11のハッシュ値の計算を指示する(ステップS13)。
ステップS13が実行されると、ハッシュ計算部412は、ソフトウェア11のハッシュ値を計算し(ステップS14)、計算したハッシュ値を、格納部415に格納する(ステップS15)。
また、ソフトウェア受信部411は、ステップS13の実行後又は実行と同時に、ソフトウェア監視部413に対して、ソフトウェア11の監視を開始するように指示を行なう(ステップS16)。ステップS16が実行されると、ソフトウェア監視部413は、端末装置40におけるソフトウェア11の実行を監視する(ステップS17)。そして、ソフトウェア監視部413は、ソフトウェア11の実行を検知すると、動作ログ取得部414に対して、ソフトウェア11の動作ログの取得を開始するように指示を行なう(ステップS18)。
ステップS18が実行されると、動作ログ取得部414は、ソフトウェア11の実行時の動作ログを取得する(ステップS19)。また、動作ログ取得部414は、ソフトウェア11の動作ログを取得し終えると、取得した動作ログを格納部415に送り、そこに格納する(ステップS20)。
次に、格納部415は、ソフトウェア毎に、格納しているハッシュ値と動作ログとを組み合わせ、得られた組み合せデータを、送信部416に送る(ステップS21)。続いて、送信部416は、送られてきた組み合せデータを、マルウェア検知装置50に送信する(ステップS22)。
ステップS11及びS22が実行されると、マルウェア検知装置50において、情報受信部51が、サンドボックス装置30及びエージェント装置41(端末装置40)それぞれから、ソフトウェア11のハッシュ値と動作ログとを受信する。
そして、情報受信部51は、サンドボックス装置30から送信されたハッシュ値及び動作ログを、サンドボックス情報データベース52に格納する(ステップS23)。また、情報受信部51は、エージェント装置41(端末装置40)から送信されたハッシュ値及び動作ログを、エージェント情報データベース53に格納する(ステップS24)。
データベース監視部54は、サンドボックス情報データベース52に、最初にハッシュ値及び動作ログが格納されたときから、サンドボックス情報データベース52を監視している(ステップS25)。また、データベース監視部54は、エージェント情報データベース53に、最初にハッシュ値及び動作ログが格納されたときから、エージェント情報データベース53を監視している(ステップS26)。
次に、データベース監視部54は、サンドボックス情報データベース52及びエージェント情報データベース53の両方に、同じ値のハッシュ値が格納されると、そのことをマルウェア判定部55に通知し、マルウェアの判定を指示する(ステップS27)。
次に、マルウェア判定部55は、対応するファイルについて、サンドボックス情報データベース52に格納されている動作ログと、エージェント情報データベース53に格納されている動作ログとを、比較する。そして、マルウェア判定部55は、比較結果に基づいて、ソフトウェア11がマルウェアかどうか判定する(ステップS28)。具体的には、マルウェア判定部55は、比較の結果、両者が不一致となる場合は、ソフトウェア11はマルウェアであると判定し、両者が一致する場合は、ソフトウェア11はマルウェアでないと判定する。
以上のように本実施の形態によれば、対象となるソフトウェアについて、仮想環境下と実環境下との両方における振る舞いを確認できるので、Sandbox技術を検知可能なマルウェアであっても確実に検知することが可能となる。
[プログラム]
本実施の形態におけるプログラムは、コンピュータに、図7に示すステップS23〜S28を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態におけるマルウェア検知装置50とマルウェア検知方法とを実現することができる。この場合、コンピュータのCPUは、情報受信部51、データベース監視部54、及びマルウェア判定部55として機能し、処理を行なう。更に、サンドボックス情報データベース52と、エージェント情報データベース53とは、コンピュータに備えられたハードディスク等の記憶装置によって実現できる。
本実施の形態におけるプログラムは、コンピュータに、図7に示すステップS23〜S28を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態におけるマルウェア検知装置50とマルウェア検知方法とを実現することができる。この場合、コンピュータのCPUは、情報受信部51、データベース監視部54、及びマルウェア判定部55として機能し、処理を行なう。更に、サンドボックス情報データベース52と、エージェント情報データベース53とは、コンピュータに備えられたハードディスク等の記憶装置によって実現できる。
ここで、本実施の形態におけるプログラムを実行することによって、マルウェア検知装置を実現するコンピュータについて図8を用いて説明する。図8は、本発明の実施の形態におけるマルウェア検知装置を実現するコンピュータの一例を示すブロック図である。
図8に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
また、記憶装置113の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。
データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。
上述した実施の形態の一部又は全部は、以下に記載する(付記1)〜(付記12)によって表現することができるが、以下の記載に限定されるものではない。
(付記1)
仮想環境を利用してマルウェアを検知するための装置であって、
ダウンロードしたソフトウェアを仮想環境下で実行するサンドボックス装置、及びダウンロードした前記ソフトウェアを実環境下で実行する端末装置、それぞれから、前記ソフトウェアの識別情報、及び前記ソフトウェアの実行時の動作ログを受信する、情報受信部と、
前記サンドボックス装置から受信した識別情報及び動作ログと、前記端末装置から受信した識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、マルウェア判定部と、
を備えていることを特徴とするマルウェア検知装置。
仮想環境を利用してマルウェアを検知するための装置であって、
ダウンロードしたソフトウェアを仮想環境下で実行するサンドボックス装置、及びダウンロードした前記ソフトウェアを実環境下で実行する端末装置、それぞれから、前記ソフトウェアの識別情報、及び前記ソフトウェアの実行時の動作ログを受信する、情報受信部と、
前記サンドボックス装置から受信した識別情報及び動作ログと、前記端末装置から受信した識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、マルウェア判定部と、
を備えていることを特徴とするマルウェア検知装置。
(付記2)
前記マルウェア判定部が、まず、前記サンドボックス装置から受信した識別情報と前記端末装置から受信した識別情報とが一致することを条件に、前記サンドボックス装置から受信した動作ログと前記端末装置から受信した動作ログとを比較し、比較結果に基づいて、前記ソフトウェアがマルウェアかどうかを判定する、付記1に記載のマルウェア検知装置。
前記マルウェア判定部が、まず、前記サンドボックス装置から受信した識別情報と前記端末装置から受信した識別情報とが一致することを条件に、前記サンドボックス装置から受信した動作ログと前記端末装置から受信した動作ログとを比較し、比較結果に基づいて、前記ソフトウェアがマルウェアかどうかを判定する、付記1に記載のマルウェア検知装置。
(付記3)
前記識別情報が、前記ソフトウェアを構成するファイルのハッシュ値である、付記1または3に記載のマルウェア検知装置。
前記識別情報が、前記ソフトウェアを構成するファイルのハッシュ値である、付記1または3に記載のマルウェア検知装置。
(付記4)
仮想環境を利用してマルウェアを検知するためのシステムであって、
ダウンロードしたソフトウェアを仮想環境下で実行し、前記ソフトウェアの識別情報及び前記仮想環境下での実行時の動作ログを取得する、サンドボックス装置と、
前記ソフトウェアを実環境下で実行する端末装置に備えられ、且つ、前記ソフトウェアの識別情報及び前記端末装置による前記実環境下での実行時の動作ログを取得する、エージェント装置と、
前記サンドボックス装置によって取得された識別情報及び動作ログと、前記エージェント装置によって取得された識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、マルウェア検知装置と、
を備えていることを特徴とするマルウェア検知システム。
仮想環境を利用してマルウェアを検知するためのシステムであって、
ダウンロードしたソフトウェアを仮想環境下で実行し、前記ソフトウェアの識別情報及び前記仮想環境下での実行時の動作ログを取得する、サンドボックス装置と、
前記ソフトウェアを実環境下で実行する端末装置に備えられ、且つ、前記ソフトウェアの識別情報及び前記端末装置による前記実環境下での実行時の動作ログを取得する、エージェント装置と、
前記サンドボックス装置によって取得された識別情報及び動作ログと、前記エージェント装置によって取得された識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、マルウェア検知装置と、
を備えていることを特徴とするマルウェア検知システム。
(付記5)
前記マルウェア検知装置が、まず、前記サンドボックス装置によって取得された識別情報と前記エージェント装置によって取得された識別情報とが一致することを条件に、前記サンドボックス装置によって取得された動作ログと前記エージェント装置によって取得された動作ログとを比較し、比較結果に基づいて、前記ソフトウェアがマルウェアかどうかを判定する、付記4に記載のマルウェア検知システム。
前記マルウェア検知装置が、まず、前記サンドボックス装置によって取得された識別情報と前記エージェント装置によって取得された識別情報とが一致することを条件に、前記サンドボックス装置によって取得された動作ログと前記エージェント装置によって取得された動作ログとを比較し、比較結果に基づいて、前記ソフトウェアがマルウェアかどうかを判定する、付記4に記載のマルウェア検知システム。
(付記6)
前記識別情報が、前記ソフトウェアを構成するファイルのハッシュ値である、付記4または5に記載のマルウェア検知システム。
前記識別情報が、前記ソフトウェアを構成するファイルのハッシュ値である、付記4または5に記載のマルウェア検知システム。
(付記7)
仮想環境を利用してマルウェアを検知するための装置であって、
(a)ダウンロードしたソフトウェアを仮想環境下で実行するサンドボックス装置、及びダウンロードした前記ソフトウェアを実環境下で実行する端末装置、それぞれから、前記ソフトウェアの識別情報、及び前記ソフトウェアの実行時の動作ログを受信する、ステップと、
(b)前記サンドボックス装置から受信した識別情報及び動作ログと、前記端末装置から受信した識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、ステップと、
を有することを特徴とするマルウェア検知方法。
仮想環境を利用してマルウェアを検知するための装置であって、
(a)ダウンロードしたソフトウェアを仮想環境下で実行するサンドボックス装置、及びダウンロードした前記ソフトウェアを実環境下で実行する端末装置、それぞれから、前記ソフトウェアの識別情報、及び前記ソフトウェアの実行時の動作ログを受信する、ステップと、
(b)前記サンドボックス装置から受信した識別情報及び動作ログと、前記端末装置から受信した識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、ステップと、
を有することを特徴とするマルウェア検知方法。
(付記8)
前記(b)のステップにおいて、前記サンドボックス装置から受信した識別情報と前記端末装置から受信した識別情報とが一致することを条件に、前記サンドボックス装置から受信した動作ログと前記端末装置から受信した動作ログとを比較し、比較結果に基づいて、前記ソフトウェアがマルウェアかどうかを判定する、付記7に記載のマルウェア検知方法。
前記(b)のステップにおいて、前記サンドボックス装置から受信した識別情報と前記端末装置から受信した識別情報とが一致することを条件に、前記サンドボックス装置から受信した動作ログと前記端末装置から受信した動作ログとを比較し、比較結果に基づいて、前記ソフトウェアがマルウェアかどうかを判定する、付記7に記載のマルウェア検知方法。
(付記9)
前記識別情報が、前記ソフトウェアを構成するファイルのハッシュ値である、付記7または8に記載のマルウェア検知方法。
前記識別情報が、前記ソフトウェアを構成するファイルのハッシュ値である、付記7または8に記載のマルウェア検知方法。
(付記10)
コンピュータによって、仮想環境を利用したマルウェアの検知を行なうためのプログラムであって、
前記コンピュータに、
(a)ダウンロードしたソフトウェアを仮想環境下で実行するサンドボックス装置、及びダウンロードした前記ソフトウェアを実環境下で実行する端末装置、それぞれから、前記ソフトウェアの識別情報、及び前記ソフトウェアの実行時の動作ログを受信する、ステップと、
(b)前記サンドボックス装置から受信した識別情報及び動作ログと、前記端末装置から受信した識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、ステップと、
を実行させるプログラム。
コンピュータによって、仮想環境を利用したマルウェアの検知を行なうためのプログラムであって、
前記コンピュータに、
(a)ダウンロードしたソフトウェアを仮想環境下で実行するサンドボックス装置、及びダウンロードした前記ソフトウェアを実環境下で実行する端末装置、それぞれから、前記ソフトウェアの識別情報、及び前記ソフトウェアの実行時の動作ログを受信する、ステップと、
(b)前記サンドボックス装置から受信した識別情報及び動作ログと、前記端末装置から受信した識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、ステップと、
を実行させるプログラム。
(付記11)
前記(b)のステップにおいて、前記サンドボックス装置から受信した識別情報と前記端末装置から受信した識別情報とが一致することを条件に、前記サンドボックス装置から受信した動作ログと前記端末装置から受信した動作ログとを比較し、比較結果に基づいて、前記ソフトウェアがマルウェアかどうかを判定する、付記10に記載のプログラム。
前記(b)のステップにおいて、前記サンドボックス装置から受信した識別情報と前記端末装置から受信した識別情報とが一致することを条件に、前記サンドボックス装置から受信した動作ログと前記端末装置から受信した動作ログとを比較し、比較結果に基づいて、前記ソフトウェアがマルウェアかどうかを判定する、付記10に記載のプログラム。
(付記12)
前記識別情報が、前記ソフトウェアを構成するファイルのハッシュ値である、付記10または11に記載のプログラム。
前記識別情報が、前記ソフトウェアを構成するファイルのハッシュ値である、付記10または11に記載のプログラム。
以上のように、本発明によれば、Sandbox技術を検知可能なマルウェアであっても確実に検知することができる。本発明は、マルウェアの検知が必要な全てのコンピュータシステムに有用である。
10 サーバ(C&Cサーバ)
11 ソフトウェア(マルウェア)
12 ネットワーク
20 スイッチ
30 サンドボックス装置
31 ソフトウェア受信部
32 ハッシュ計算部
33 ソフトウェア実行部
34 動作ログ取得部
35 格納部
36 送信部
40 端末装置
41 エージェント装置
42 OS
50 マルウェア検知装置
51 情報受信部
52 サンドボックス情報データベース
53 エージェント情報データベース
54 データベース監視部
55 マルウェア判定部
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
411 ソフトウェア受信部
412 ハッシュ計算部
413 ソフトウェア監視部
414 動作ログ取得部
415 格納部
416 送信部
11 ソフトウェア(マルウェア)
12 ネットワーク
20 スイッチ
30 サンドボックス装置
31 ソフトウェア受信部
32 ハッシュ計算部
33 ソフトウェア実行部
34 動作ログ取得部
35 格納部
36 送信部
40 端末装置
41 エージェント装置
42 OS
50 マルウェア検知装置
51 情報受信部
52 サンドボックス情報データベース
53 エージェント情報データベース
54 データベース監視部
55 マルウェア判定部
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
411 ソフトウェア受信部
412 ハッシュ計算部
413 ソフトウェア監視部
414 動作ログ取得部
415 格納部
416 送信部
Claims (10)
- 仮想環境を利用してマルウェアを検知するための装置であって、
ダウンロードしたソフトウェアを仮想環境下で実行するサンドボックス装置、及びダウンロードした前記ソフトウェアを実環境下で実行する端末装置、それぞれから、前記ソフトウェアの識別情報、及び前記ソフトウェアの実行時の動作ログを受信する、情報受信部と、
前記サンドボックス装置から受信した識別情報及び動作ログと、前記端末装置から受信した識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、マルウェア判定部と、
を備えていることを特徴とするマルウェア検知装置。 - 前記マルウェア判定部が、まず、前記サンドボックス装置から受信した識別情報と前記端末装置から受信した識別情報とが一致することを条件に、前記サンドボックス装置から受信した動作ログと前記端末装置から受信した動作ログとを比較し、比較結果に基づいて、前記ソフトウェアがマルウェアかどうかを判定する、請求項1に記載のマルウェア検知装置。
- 前記識別情報が、前記ソフトウェアを構成するファイルのハッシュ値である、請求項1または2に記載のマルウェア検知装置。
- 仮想環境を利用してマルウェアを検知するためのシステムであって、
ダウンロードしたソフトウェアを仮想環境下で実行し、前記ソフトウェアの識別情報及び前記仮想環境下での実行時の動作ログを取得する、サンドボックス装置と、
前記ソフトウェアを実環境下で実行する端末装置に備えられ、且つ、前記ソフトウェアの識別情報及び前記端末装置による前記実環境下での実行時の動作ログを取得する、エージェント装置と、
前記サンドボックス装置によって取得された識別情報及び動作ログと、前記エージェント装置によって取得された識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、マルウェア検知装置と、
を備えていることを特徴とするマルウェア検知システム。 - 仮想環境を利用してマルウェアを検知するための装置であって、
(a)ダウンロードしたソフトウェアを仮想環境下で実行するサンドボックス装置、及びダウンロードした前記ソフトウェアを実環境下で実行する端末装置、それぞれから、前記ソフトウェアの識別情報、及び前記ソフトウェアの実行時の動作ログを受信する、ステップと、
(b)前記サンドボックス装置から受信した識別情報及び動作ログと、前記端末装置から受信した識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、ステップと、
を有することを特徴とするマルウェア検知方法。 - 前記(b)のステップにおいて、前記サンドボックス装置から受信した識別情報と前記端末装置から受信した識別情報とが一致することを条件に、前記サンドボックス装置から受信した動作ログと前記端末装置から受信した動作ログとを比較し、比較結果に基づいて、前記ソフトウェアがマルウェアかどうかを判定する、請求項5に記載のマルウェア検知方法。
- 前記識別情報が、前記ソフトウェアを構成するファイルのハッシュ値である、請求項5または6に記載のマルウェア検知方法。
- コンピュータによって、仮想環境を利用したマルウェアの検知を行なうためのプログラムであって、
前記コンピュータに、
(a)ダウンロードしたソフトウェアを仮想環境下で実行するサンドボックス装置、及びダウンロードした前記ソフトウェアを実環境下で実行する端末装置、それぞれから、前記ソフトウェアの識別情報、及び前記ソフトウェアの実行時の動作ログを受信する、ステップと、
(b)前記サンドボックス装置から受信した識別情報及び動作ログと、前記端末装置から受信した識別情報及び動作ログとに基づいて、前記ソフトウェアがマルウェアかどうかを判定する、ステップと、
を実行させるプログラム。 - 前記(b)のステップにおいて、前記サンドボックス装置から受信した識別情報と前記端末装置から受信した識別情報とが一致することを条件に、前記サンドボックス装置から受信した動作ログと前記端末装置から受信した動作ログとを比較し、比較結果に基づいて、前記ソフトウェアがマルウェアかどうかを判定する、請求項8に記載のプログラム。
- 前記識別情報が、前記ソフトウェアを構成するファイルのハッシュ値である、請求項8または9に記載のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012219244A JP2014071796A (ja) | 2012-10-01 | 2012-10-01 | マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012219244A JP2014071796A (ja) | 2012-10-01 | 2012-10-01 | マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2014071796A true JP2014071796A (ja) | 2014-04-21 |
Family
ID=50746904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012219244A Pending JP2014071796A (ja) | 2012-10-01 | 2012-10-01 | マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2014071796A (ja) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101537088B1 (ko) * | 2014-09-02 | 2015-07-15 | 인포섹(주) | Api 호출 흐름 기반의 악성코드 탐지 시스템 및 방법 |
| JP2016031687A (ja) * | 2014-07-30 | 2016-03-07 | 株式会社日立アドバンストシステムズ | マルウェア通信制御装置 |
| EP3002702A1 (en) * | 2014-09-30 | 2016-04-06 | Juniper Networks, Inc. | Identifying an evasive malicious object based on a behavior delta |
| CN106294176A (zh) * | 2016-08-19 | 2017-01-04 | 暴风集团股份有限公司 | Mac OS系统中应用程序故障定位的方法及系统 |
| WO2018131200A1 (ja) * | 2017-01-11 | 2018-07-19 | 日本電信電話株式会社 | 解析装置、解析方法及び解析プログラム |
| CN108351936A (zh) * | 2015-11-11 | 2018-07-31 | 高通股份有限公司 | 检测虚拟机或者仿真器的程序规避 |
| JP2018142927A (ja) * | 2017-02-28 | 2018-09-13 | 沖電気工業株式会社 | マルウェア不正通信対処システム及び方法 |
| JP2019079500A (ja) * | 2017-10-19 | 2019-05-23 | エーオー カスペルスキー ラボAO Kaspersky Lab | 悪意あるファイルを検出するシステムおよび方法 |
| CN111163066A (zh) * | 2019-12-16 | 2020-05-15 | 苏州哈度软件有限公司 | 一种基于云计算的网络安全软件系统 |
| JP7428084B2 (ja) | 2020-06-10 | 2024-02-06 | 富士通株式会社 | 情報処理プログラム、情報処理装置、情報処理システムおよび情報処理方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100031353A1 (en) * | 2008-02-04 | 2010-02-04 | Microsoft Corporation | Malware Detection Using Code Analysis and Behavior Monitoring |
| JP2011014034A (ja) * | 2009-07-03 | 2011-01-20 | Kddi Corp | 処理装置およびプログラム |
| US20110225655A1 (en) * | 2010-03-15 | 2011-09-15 | F-Secure Oyj | Malware protection |
-
2012
- 2012-10-01 JP JP2012219244A patent/JP2014071796A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100031353A1 (en) * | 2008-02-04 | 2010-02-04 | Microsoft Corporation | Malware Detection Using Code Analysis and Behavior Monitoring |
| JP2011014034A (ja) * | 2009-07-03 | 2011-01-20 | Kddi Corp | 処理装置およびプログラム |
| US20110225655A1 (en) * | 2010-03-15 | 2011-09-15 | F-Secure Oyj | Malware protection |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016031687A (ja) * | 2014-07-30 | 2016-03-07 | 株式会社日立アドバンストシステムズ | マルウェア通信制御装置 |
| KR101537088B1 (ko) * | 2014-09-02 | 2015-07-15 | 인포섹(주) | Api 호출 흐름 기반의 악성코드 탐지 시스템 및 방법 |
| US9594908B2 (en) | 2014-09-30 | 2017-03-14 | Juniper Networks, Inc. | Identifying an evasive malicious object based on a behavior delta |
| US9411959B2 (en) | 2014-09-30 | 2016-08-09 | Juniper Networks, Inc. | Identifying an evasive malicious object based on a behavior delta |
| CN106161344A (zh) * | 2014-09-30 | 2016-11-23 | 瞻博网络公司 | 基于行为增量标识躲避的恶意对象 |
| US10210332B2 (en) | 2014-09-30 | 2019-02-19 | Juniper Networks, Inc. | Identifying an evasive malicious object based on a behavior delta |
| US9922193B2 (en) | 2014-09-30 | 2018-03-20 | Juniper Networks, Inc. | Identifying an evasive malicious object based on a behavior delta |
| CN106161344B (zh) * | 2014-09-30 | 2018-03-30 | 瞻博网络公司 | 基于行为增量标识躲避的恶意对象 |
| CN108268771A (zh) * | 2014-09-30 | 2018-07-10 | 瞻博网络公司 | 基于行为增量标识躲避的恶意对象 |
| EP3690692A1 (en) * | 2014-09-30 | 2020-08-05 | Juniper Networks, Inc. | Identifying an evasive malicious object based on a behavior delta |
| EP3002702A1 (en) * | 2014-09-30 | 2016-04-06 | Juniper Networks, Inc. | Identifying an evasive malicious object based on a behavior delta |
| CN108268771B (zh) * | 2014-09-30 | 2024-03-08 | 瞻博网络公司 | 用于指示恶意对象的设备和方法和非瞬态计算机可读介质 |
| CN108351936B (zh) * | 2015-11-11 | 2021-11-23 | 高通股份有限公司 | 检测虚拟机或者仿真器的程序规避 |
| CN108351936A (zh) * | 2015-11-11 | 2018-07-31 | 高通股份有限公司 | 检测虚拟机或者仿真器的程序规避 |
| JP2018534695A (ja) * | 2015-11-11 | 2018-11-22 | クアルコム,インコーポレイテッド | 仮想マシンまたはエミュレータのプログラム回避検出 |
| CN106294176A (zh) * | 2016-08-19 | 2017-01-04 | 暴风集团股份有限公司 | Mac OS系统中应用程序故障定位的方法及系统 |
| CN106294176B (zh) * | 2016-08-19 | 2018-11-06 | 暴风集团股份有限公司 | Mac OS系统中应用程序故障定位的方法及系统 |
| JPWO2018131200A1 (ja) * | 2017-01-11 | 2019-04-18 | 日本電信電話株式会社 | 解析装置、解析方法及び解析プログラム |
| EP3547193B1 (en) * | 2017-01-11 | 2021-11-24 | Nippon Telegraph and Telephone Corporation | Analysis apparatus, analysis method and analysis program |
| WO2018131200A1 (ja) * | 2017-01-11 | 2018-07-19 | 日本電信電話株式会社 | 解析装置、解析方法及び解析プログラム |
| US11163882B2 (en) | 2017-01-11 | 2021-11-02 | Nippon Telegraph And Telephone Corporation | Analysis apparatus, analysis method, and analysis program |
| JP2018142927A (ja) * | 2017-02-28 | 2018-09-13 | 沖電気工業株式会社 | マルウェア不正通信対処システム及び方法 |
| US10867039B2 (en) | 2017-10-19 | 2020-12-15 | AO Kaspersky Lab | System and method of detecting a malicious file |
| US11829473B2 (en) | 2017-10-19 | 2023-11-28 | AO Kaspersky Lab | System and method for detecting malicious files by a user computer |
| JP2019079500A (ja) * | 2017-10-19 | 2019-05-23 | エーオー カスペルスキー ラボAO Kaspersky Lab | 悪意あるファイルを検出するシステムおよび方法 |
| CN111163066A (zh) * | 2019-12-16 | 2020-05-15 | 苏州哈度软件有限公司 | 一种基于云计算的网络安全软件系统 |
| JP7428084B2 (ja) | 2020-06-10 | 2024-02-06 | 富士通株式会社 | 情報処理プログラム、情報処理装置、情報処理システムおよび情報処理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2014071796A (ja) | マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム | |
| US9596257B2 (en) | Detection and prevention of installation of malicious mobile applications | |
| US8782791B2 (en) | Computer virus detection systems and methods | |
| US10318730B2 (en) | Detection and prevention of malicious code execution using risk scoring | |
| US8719935B2 (en) | Mitigating false positives in malware detection | |
| US8918878B2 (en) | Restoration of file damage caused by malware | |
| EP3117362B1 (en) | Systems and methods for pre-installation detection of malware on mobile devices | |
| US9953164B2 (en) | Confirming a malware infection on a client device using a remote access connection tool, to identify a malicious file based on fuzz hashes | |
| US20150089655A1 (en) | System and method for detecting malware based on virtual host | |
| CN106055976B (zh) | 文件检测方法及沙箱控制器 | |
| EP2663944B1 (en) | Malware detection | |
| US9813443B1 (en) | Systems and methods for remediating the effects of malware | |
| JP2010044613A (ja) | ウイルス対策方法、コンピュータ、及びプログラム | |
| US8549626B1 (en) | Method and apparatus for securing a computer from malicious threats through generic remediation | |
| US9730076B2 (en) | Protecting mobile devices from malware | |
| US9330260B1 (en) | Detecting auto-start malware by checking its aggressive load point behaviors | |
| EP2754079B1 (en) | Malware risk scanner | |
| US10726129B2 (en) | Persistence probing to detect malware | |
| US20170331857A1 (en) | Non-transitory recording medium storing data protection program, data protection method, and data protection apparatus | |
| US10893090B2 (en) | Monitoring a process on an IoT device | |
| JP2014225302A (ja) | ウイルス検出プログラム、ウイルス検出方法、及びコンピュータ | |
| JP2013061994A (ja) | ウイルス検出プログラム、ウイルス検出方法、監視プログラム、監視方法、及びコンピュータ | |
| US20170085586A1 (en) | Information processing device, communication history analysis method, and medium | |
| KR102022168B1 (ko) | 하드웨어 태스크 스위칭을 이용한 은닉 태스크의 감지 방법 및 장치 | |
| US9607152B1 (en) | Detect encrypted program based on CPU statistics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20150123 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150908 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160712 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160809 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20170221 |