JP2014089593A - プログラム解析システム及び方法 - Google Patents
プログラム解析システム及び方法 Download PDFInfo
- Publication number
- JP2014089593A JP2014089593A JP2012239237A JP2012239237A JP2014089593A JP 2014089593 A JP2014089593 A JP 2014089593A JP 2012239237 A JP2012239237 A JP 2012239237A JP 2012239237 A JP2012239237 A JP 2012239237A JP 2014089593 A JP2014089593 A JP 2014089593A
- Authority
- JP
- Japan
- Prior art keywords
- analysis
- version
- vulnerability
- sample
- priority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Stored Programmes (AREA)
Abstract
特定のバージョンの実行環境上でのみ不正活動を顕現化する不正プログラムの効率的な解析を行い得るプログラム解析システム及び解析方法を提案する。
【解決手段】
検体が、特定の脆弱性をもつバージョンの実行環境上で不正活動を顕在化するマルウェアであるか否かを解析するプログラム解析システムに関し、それぞれ異なるバージョンの実行環境上で検体を解析する複数の検体解析装置と、検体解析装置に対して検体の解析を依頼する解析管理装置とを設け、解析管理装置が、脆弱性ごとの解析優先度をそれぞれ決定し、決定結果に基づいて、優先的に解析すべきバージョンを1又は複数選択し、選択したバージョンの実行環境を有する検体解析装置に対して検体の解析を依頼するようにした。
【選択図】 図12
Description
図1において、1は全体として本実施の形態によるプログラム解析システムを示す。このプログラム解析システム1は、1又は複数の情報処理装置3、解析管理装置4、複数の検体解析装置5及び脆弱性情報サイト6を備えて構成される。情報処理装置3、解析管理装置4及び脆弱性情報サイト6間は、WAN(World Area Network)やLAN(Local Area Network)、又は、携帯電話若しくはPHS(Personal Handyphone System)等の公衆回線網などから構成される第1の通信ネットワーク7を介して相互に接続され、解析管理装置4及び検体解析装置5は、同様にWAN、LAN、又は、携帯電話若しくはPHS等の公衆回線網などから構成される第2の通信ネットワーク8を介して相互に接続されている。
次に、プログラム解析システム1において実行される本実施の形態によるプログラム解析方式について説明する。
次に、本実施の形態によるプログラム解析方式に関連して解析管理装置4において実行される各種処理の具体的な処理内容について説明する。なお、以下においては、各種処理の処理主体を図10の各機能部(検体受信部50、脆弱性情報取得部51、使用頻度情報取得部52、解析優先脆弱性決定部53又は解析環境決定部54)として説明するが、実際上は、CPU21が対応するプログラム(検体受信プログラム30、脆弱性情報取得プログラム31、使用頻度情報取得プログラム32、解析優先脆弱性決定プログラム33及び解析環境決定プログラム34)に基づいてその処理を実行することは言うまでもない。
解析管理装置4の検体受信部50は、検体FLが情報処理装置3から送信されてくると検体受信処理を開始し、まず、その検体FLを受信する。
解析管理装置4の脆弱性情報取得部51は、定期的(例えば24時間ごと)に脆弱性情報取得処理を実行し、まず、各脆弱性情報サイト6にそれぞれアクセスし、これら脆弱性情報サイト6から解析対象の検体FLに関する脆弱性情報VIを取得し、取得した脆弱性情報を脆弱性情報データベース42に登録する。なお、脆弱性情報VIのフォーマットについては本発明では特に規定しないが、各実行環境の脆弱性識別子とその発生頻度が記述されている、テキストファイルやHTML(Hyper Text Markup Language)ファイル、XML(Extensible Markup Language)ファイルなどを対象とする。
解析管理装置4の使用頻度情報取得部52は、定期的(例えば24時間ごと)に使用頻度情報取得処理を実行し、まず、組織ネットワーク2内の各情報処理装置3から使用頻度情報UEI(図1)を取得する。使用頻度情報UEIのフォーマットは本発明では特に規定しないが、情報処理装置3が使用している実行環境のバージョンの識別子が記述されている、テキストファイルやHTMLファイル、XMLファイルなどを対象とする。
図11は、解析管理装置4の解析優先脆弱性決定部53(図10)により実行される解析優先脆弱性決定処理の処理手順を示す。解析優先脆弱性決定部53は、この図11に示す処理手順に従って、各脆弱性の解析優先度を算出し、算出した解析優先度を解析優先脆弱性データベース44(図7)に登録する。
図12は、解析管理装置4の解析環境決定部54(図10)により実行される解析環境決定処理の処理手順を示す。解析環境決定部54は、この図12に示す処理手順に従って、解析対象の検体FLの解析を依頼する検体解析装置5を決定し、決定した検体解析装置5にその検体FLの解析を依頼する。
以上の本実施の形態のプログラム解析システム1によれば、優先的に解析すべきバージョンに対応した検体解析装置5において検体が解析されるため、すべてのバージョンの実行環境を順々に試してゆく従来の解析手法と比して、検体の解析を効率良く行うことができる。かくするにつき、特定のバージョンの実行環境上でのみ不正活動を顕現化する不正プログラム(マルウェア)を効率的に解析することができる。
なお上述の実施の形態においては、図12について上述した解析環境決定処理のステップSP19において、解析対象として決定した各バージョンに対する解析依頼ARQを、解析優先度の高いバージョンから順番に、対応する検体解析装置5に順次送信し、続くステップSP20において、これらの検体解析装置5からの解析結果ARSを待つようにした場合について述べたが、本発明はこれに限らず、例えば、ステップSP19において、最も優先度が高いバージョンについての解析依頼ARQを1つのみを送信し、続くステップSP20において解析結果ARSを受信した後に、ステップSP19に戻って次に優先度が高いバージョンについての解析依頼ARQを対応する検体解析装置5に送信することを繰り返すようにしても良い。また、この際、解析結果ARSの内容が「マルウェア」であった場合(検体がマルウェアであるとの解析結果を得た場合)には、次に優先度が高いバージョンに対応する検体解析装置5への検体の解析の依頼を停止するようにしても良い。このようにすることにより、余計な解析依頼ARQの発行を省略して、プログラム解析システム1全体としての検体の解析効率をより向上させることができる。
Claims (14)
- 検体が、特定の脆弱性をもつバージョンの実行環境上で不正活動を顕在化する不正プログラムであるか否かを解析するプログラム解析システムであって、
それぞれ異なるバージョンの実行環境上で前記検体を解析する複数の検体解析装置と、
前記脆弱性ごとの解析優先度をそれぞれ決定し、決定結果に基づいて、優先的に解析すべきバージョンを1又は複数選択し、選択したバージョンの実行環境を有する前記検体解析装置に対して前記検体の解析を依頼する解析管理装置と
を備えることを特徴とするプログラム解析システム。 - 前記解析管理装置は、
前記脆弱性ごとの、他の脆弱性と比べた当該脆弱性が悪用される頻度の相対値である悪用頻度と、前記実行環境のバージョンごとの、全バージョンに対する当該バージョンが使用されている比率である使用頻度とをそれぞれ算出し、算出した前記悪用頻度及び前記使用頻度に基づいて、前記脆弱性ごとの前記解析優先度をそれぞれ決定する
ことを特徴とする請求項1に記載のプログラム解析システム。 - 前記解析管理装置は、
前記脆弱性ごとの当該脆弱性をもつ前記実行環境のバージョンを表す脆弱性情報を保持し、
前記脆弱性ごとの前記解析優先度と、前記脆弱性情報とに基づいて前記実行環境のバージョンごとの前記解析優先度の累計値を算出し、算出したバージョンごとの前記解析優先度の累計値に基づいて、優先的に解析すべきバージョンを選択する
ことを特徴とする請求項1に記載のプログラム解析システム。 - 前記解析管理装置は、
前記悪用頻度及び前記使用頻度のいずれを重視するかを決定する、予め設定された重み付けパラメータを保持し、
前記悪用頻度及び前記使用頻度と、前記重み付けパラメータとに基づいて、前記脆弱性ごとの前記解析優先度を決定する
ことを特徴とする請求項2に記載のプログラム解析システム。 - 前記解析管理装置は、
前記実行環境のバージョンごとの、全バージョンからみた当該バージョンが使用される頻度の相対値である使用頻度を算出し、
前記解析優先度の累計値が大きいバージョンから順番に、前記使用頻度の合計値が予め設定された第1の閾値を超えるバージョンまでを、優先的に解析すべきバージョンとして選択し、
選択した各バージョンのうちの前記解析優先度の累計値の大きいバージョンから順番に、当該バージョンの実行環境を有する前記検体解析装置に対して前記検体の解析を依頼する
ことを特徴とする請求項3に記載のプログラム解析システム。 - 前記解析管理装置は、
前記脆弱性ごとの、前記脆弱性全体からみた当該脆弱性が悪用される頻度の相対値である悪用頻度を算出し、
前記解析優先度の累計値が大きいバージョンから順番に、前記悪用頻度の合計値が予め設定された第2の閾値を超えるバージョンまでを、優先的に解析すべきバージョンとして選択し、
選択した各バージョンのうちの前記解析優先度の累計値の大きいバージョンから順番に、当該バージョンの実行環境を有する前記検体解析装置に対して前記検体の解析を依頼する
ことを特徴とする請求項3に記載のプログラム解析システム。 - 前記解析管理装置は、
いずれかの前記検体解析装置から前記検体が、特定の脆弱性をもつバージョンの実行環境上で不正活動を顕在化する不正プログラムであるとの解析結果を受信した場合には、当該検体の他の前記検体解析装置への解析の依頼を停止する
ことを特徴とする請求項1に記載のプログラム解析システム。 - 検体が、特定の脆弱性をもつバージョンの実行環境上で不正活動を顕在化する不正プログラムであるか否かを解析するプログラム解析システムにおけるプログラム解析方法であって、
前記解析システムは、
それぞれ異なるバージョンの実行環境上で前記検体を解析する複数の検体解析装置と、
前記検体解析装置に対して前記検体の解析を依頼する解析管理装置とを有し、
前記解析管理装置が、前記脆弱性ごとの解析優先度をそれぞれ決定する第1のステップと、
前記解析管理装置が、決定結果に基づいて、優先的に解析すべきバージョンを1又は複数選択する第2のステップと、
前記解析管理装置が、選択したバージョンの実行環境を有する前記検体解析装置に対して前記検体の解析を依頼する第3のステップと
を備えることを特徴とするプログラム解析方法。 - 前記解析管理装置は、前記第1のステップにおいて、
前記脆弱性ごとの、他の脆弱性と比べた当該脆弱性が悪用される頻度の相対値である悪用頻度と、前記実行環境のバージョンごとの、全バージョンに対する当該バージョンが使用されている比率である使用頻度とをそれぞれ算出し、算出した前記悪用頻度及び前記使用頻度に基づいて、前記脆弱性ごとの前記解析優先度をそれぞれ決定する
ことを特徴とする請求項8に記載のプログラム解析方法。 - 前記解析管理装置は、
前記脆弱性ごとの当該脆弱性をもつ前記実行環境のバージョンを表す脆弱性情報を保持し、
前記第2のステップにおいて、
前記脆弱性ごとの前記解析優先度と、前記脆弱性情報とに基づいて前記実行環境のバージョンごとの前記解析優先度の累計値を算出し、算出したバージョンごとの前記解析優先度の累計値に基づいて、優先的に解析すべきバージョンを選択する
ことを特徴とする請求項9に記載のプログラム解析方法。 - 前記解析管理装置は、
前記悪用頻度及び前記使用頻度のいずれを重視するかを決定する、予め設定された重み付けパラメータを保持し、
前記第1のステップにおいて、
前記悪用頻度及び前記使用頻度と、前記重み付けパラメータとに基づいて、前記脆弱性ごとの前記解析優先度を決定する
ことを特徴とする請求項9に記載のプログラム解析方法。 - 前記解析管理装置は、
前記第1のステップにおいて、前記実行環境のバージョンごとの、全バージョンからみた当該バージョンが使用される頻度の相対値である使用頻度を算出し、
前記第2のステップにおいて、前記解析優先度の累計値が大きいバージョンから順番に、前記使用頻度の合計値が予め設定された第1の閾値を超えるバージョンまでを、優先的に解析すべきバージョンとして選択し、
前記第3のステップにおいて、選択した各バージョンのうちの前記解析優先度の累計値の大きいバージョンから順番に、当該バージョンの実行環境を有する前記検体解析装置に対して前記検体の解析を依頼する
ことを特徴とする請求項10に記載のプログラム解析方法。 - 前記解析管理装置は、
前記第1のステップにおいて、前記脆弱性ごとの、前記脆弱性全体からみた当該脆弱性が悪用される頻度の相対値である悪用頻度を算出し、
前記第2のステップにおいて、前記解析優先度の累計値が大きいバージョンから順番に、前記悪用頻度の合計値が予め設定された第2の閾値を超えるバージョンまでを、優先的に解析すべきバージョンとして選択し、
前記第3のステップにおいて、選択した各バージョンのうちの前記解析優先度の累計値の大きいバージョンから順番に、当該バージョンの実行環境を有する前記検体解析装置に対して前記検体の解析を依頼する
ことを特徴とする請求項10に記載のプログラム解析方法。 - 前記解析管理装置は、
前記第3のステップにおいて、いずれかの前記検体解析装置から前記検体が、特定の脆弱性をもつバージョンの実行環境上で不正活動を顕在化する不正プログラムであるとの解析結果を受信した場合には、当該検体の他の前記検体解析装置への解析の依頼を停止する
ことを特徴とする請求項8に記載のプログラム解析方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012239237A JP5912074B2 (ja) | 2012-10-30 | 2012-10-30 | プログラム解析システム及び方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012239237A JP5912074B2 (ja) | 2012-10-30 | 2012-10-30 | プログラム解析システム及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014089593A true JP2014089593A (ja) | 2014-05-15 |
JP5912074B2 JP5912074B2 (ja) | 2016-04-27 |
Family
ID=50791451
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012239237A Expired - Fee Related JP5912074B2 (ja) | 2012-10-30 | 2012-10-30 | プログラム解析システム及び方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5912074B2 (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015186483A1 (ja) * | 2014-06-05 | 2015-12-10 | 株式会社日立システムズ | プログラム解析装置、プログラム解析方法及びプログラム解析システム |
WO2016121255A1 (ja) * | 2015-01-28 | 2016-08-04 | 日本電信電話株式会社 | マルウェア解析システム、マルウェア解析方法およびマルウェア解析プログラム |
JP2018045329A (ja) * | 2016-09-12 | 2018-03-22 | 株式会社日立アドバンストシステムズ | 計算機、選定方法、および選定プログラム |
JP2019053421A (ja) * | 2017-09-13 | 2019-04-04 | 富士ゼロックス株式会社 | 情報処理装置及びプログラム |
WO2021144978A1 (ja) * | 2020-01-17 | 2021-07-22 | 三菱電機株式会社 | 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11249893A (ja) * | 1997-11-21 | 1999-09-17 | Internatl Business Mach Corp <Ibm> | マクロ・ウイルスを発生する方法及びシステム |
JP2006067216A (ja) * | 2004-08-26 | 2006-03-09 | Ntt Docomo Inc | 局データ管理装置、及び、整合性チェック方法 |
US20110247072A1 (en) * | 2008-11-03 | 2011-10-06 | Stuart Gresley Staniford | Systems and Methods for Detecting Malicious PDF Network Content |
-
2012
- 2012-10-30 JP JP2012239237A patent/JP5912074B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11249893A (ja) * | 1997-11-21 | 1999-09-17 | Internatl Business Mach Corp <Ibm> | マクロ・ウイルスを発生する方法及びシステム |
JP2006067216A (ja) * | 2004-08-26 | 2006-03-09 | Ntt Docomo Inc | 局データ管理装置、及び、整合性チェック方法 |
US20110247072A1 (en) * | 2008-11-03 | 2011-10-06 | Stuart Gresley Staniford | Systems and Methods for Detecting Malicious PDF Network Content |
JP2014504765A (ja) * | 2011-01-21 | 2014-02-24 | ファイヤアイ インク | 悪意あるpdfネットワークコンテンツを検出するシステムおよび方法 |
Non-Patent Citations (1)
Title |
---|
JPN6016002172; 鉄穎,他: '多数のマルウェア検体を並列解析可能な動的解析システムの提案' コンピュータセキュリティシンポジウム2012論文集 , 20121023, pp. 728-735, 情報処理学会 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015186483A1 (ja) * | 2014-06-05 | 2015-12-10 | 株式会社日立システムズ | プログラム解析装置、プログラム解析方法及びプログラム解析システム |
JP2015230601A (ja) * | 2014-06-05 | 2015-12-21 | 株式会社日立システムズ | プログラム解析装置、プログラム解析方法及びプログラム解析システム |
WO2016121255A1 (ja) * | 2015-01-28 | 2016-08-04 | 日本電信電話株式会社 | マルウェア解析システム、マルウェア解析方法およびマルウェア解析プログラム |
JPWO2016121255A1 (ja) * | 2015-01-28 | 2017-06-01 | 日本電信電話株式会社 | マルウェア解析システム、マルウェア解析方法およびマルウェア解析プログラム |
CN107209833A (zh) * | 2015-01-28 | 2017-09-26 | 日本电信电话株式会社 | 恶意软件分析系统、恶意软件分析方法及恶意软件分析程序 |
US10645098B2 (en) | 2015-01-28 | 2020-05-05 | Nippon Telegraph And Telephone Corporation | Malware analysis system, malware analysis method, and malware analysis program |
JP2018045329A (ja) * | 2016-09-12 | 2018-03-22 | 株式会社日立アドバンストシステムズ | 計算機、選定方法、および選定プログラム |
JP2019053421A (ja) * | 2017-09-13 | 2019-04-04 | 富士ゼロックス株式会社 | 情報処理装置及びプログラム |
JP6992341B2 (ja) | 2017-09-13 | 2022-01-13 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及びプログラム |
WO2021144978A1 (ja) * | 2020-01-17 | 2021-07-22 | 三菱電機株式会社 | 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP5912074B2 (ja) | 2016-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11277423B2 (en) | Anomaly-based malicious-behavior detection | |
Bonguet et al. | A survey of denial-of-service and distributed denial of service attacks and defenses in cloud computing | |
US8805995B1 (en) | Capturing data relating to a threat | |
JP5878560B2 (ja) | 悪意あるpdfネットワークコンテンツを検出するシステムおよび方法 | |
US8479296B2 (en) | System and method for detecting unknown malware | |
EP2610776B1 (en) | Automated behavioural and static analysis using an instrumented sandbox and machine learning classification for mobile security | |
Azmoodeh et al. | Big data and internet of things security and forensics: Challenges and opportunities | |
JP5912074B2 (ja) | プログラム解析システム及び方法 | |
CN103384888A (zh) | 用于恶意软件的检测和扫描的系统和方法 | |
US8407789B1 (en) | Method and system for dynamically optimizing multiple filter/stage security systems | |
Kim et al. | WebMon: ML-and YARA-based malicious webpage detection | |
US10372907B2 (en) | System and method of detecting malicious computer systems | |
Singh et al. | Malcrawler: A crawler for seeking and crawling malicious websites | |
US8060577B1 (en) | Method and system for employing user input for file classification and malware identification | |
Marcantoni et al. | A large-scale study on the risks of the html5 webapi for mobile sensor-based attacks | |
US8364776B1 (en) | Method and system for employing user input for website classification | |
CN111177720B (zh) | 基于大数据生成威胁情报的方法、装置及可读存储介质 | |
Jain et al. | APuML: an efficient approach to detect mobile phishing webpages using machine learning | |
Wu et al. | Detection of fake IoT app based on multidimensional similarity | |
US10417414B2 (en) | Baseline calculation for firewalling | |
JP6527111B2 (ja) | 解析装置、解析方法および解析プログラム | |
Mao et al. | Toward exposing timing-based probing attacks in web applications | |
Huertas Celdrán et al. | Creation of a dataset modeling the behavior of malware affecting the confidentiality of data managed by IoT devices | |
Tanwar et al. | A Survey on the Role of Reverse Engineering in Security Attacks | |
EP3252645A1 (en) | System and method of detecting malicious computer systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150310 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151214 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160126 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160226 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160315 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160331 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5912074 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |