JP2014179025A - Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program - Google Patents

Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program Download PDF

Info

Publication number
JP2014179025A
JP2014179025A JP2013054155A JP2013054155A JP2014179025A JP 2014179025 A JP2014179025 A JP 2014179025A JP 2013054155 A JP2013054155 A JP 2013054155A JP 2013054155 A JP2013054155 A JP 2013054155A JP 2014179025 A JP2014179025 A JP 2014179025A
Authority
JP
Japan
Prior art keywords
destination information
connection destination
communication
software
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013054155A
Other languages
Japanese (ja)
Other versions
JP6050162B2 (en
Inventor
Yasuyuki Tanaka
恭之 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2013054155A priority Critical patent/JP6050162B2/en
Publication of JP2014179025A publication Critical patent/JP2014179025A/en
Application granted granted Critical
Publication of JP6050162B2 publication Critical patent/JP6050162B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a technique capable of promptly acquiring many pieces of connection destination information on malware such as a URL of a harmful server.SOLUTION: The connection destination information extraction device which has a communication function for performing communication with an external server through a network and which is disconnected from the network comprises: software execution means for executing software; communication observation means for observing connection operation to the external server by the software executed by the software execution means and acquiring communication logs associated with the connection operation; and connection destination information extraction means for extracting connection destination information on the software from the communication logs acquired by the communication observation means and storing the connection destination information in connection destination information storage means.

Description

本発明は、有害な動作を行う意図で作成された悪意のあるソフトウェアであるマルウェアの解析技術に係り、特に、マルウェアの接続先情報を取得し、当該接続先情報をブラックリストとして利用する技術に関するものである。   The present invention relates to malware analysis technology that is malicious software created with the intention of performing harmful operations, and more particularly, to technology for acquiring malware connection destination information and using the connection destination information as a blacklist. Is.

近年、様々なマルウェアが出現している。特に、実行されると、まず、C&Cサーバやダウンロードサーバへ接続するものが増えている。なお、C&Cサーバとは、マルウェアに感染してボットと化したコンピュータ群(ボットネット)に指令(Command)を送り、制御(Control)の中心となるサーバのことである。また、C&Cサーバやダウンロードサーバ等の有害なサーバのURLを悪性URLと呼ぶ。   In recent years, various malware has appeared. In particular, when it is executed, firstly, there are increasing numbers connected to C & C servers and download servers. Note that the C & C server is a server that sends a command (Command) to a computer group (botnet) infected with malware and turned into a bot, and is the center of control. In addition, URLs of harmful servers such as C & C servers and download servers are called malignant URLs.

マルウェアの接続先等を入手する既存技術として、安全な仮想環境でマルウェアを動作させ、実際に外部に接続させることで接続先等を入手する技術がある。この技術を用いマルウェアの挙動を把握するとともに、悪性URLの特定にもつなげている。このような悪性URLをブラックリストとして保持し、フィルタリング等に用いることでユーザを保護することができる。   As an existing technology for obtaining a connection destination of malware, there is a technology for obtaining a connection destination by operating the malware in a safe virtual environment and actually connecting it to the outside. This technology is used to understand the behavior of malware and to identify malicious URLs. Such a malicious URL is stored as a black list and used for filtering or the like, thereby protecting the user.

なお、効果的なフィルタリングを行うためにはブラックリストが常に最新の状態に保たれている必要があり、例えば、ブラックリストの維持管理のために特許文献1に記載された技術がある。   Note that in order to perform effective filtering, it is necessary that the black list is always kept up-to-date. For example, there is a technique described in Patent Document 1 for maintaining and managing the black list.

特開2012−118713号公報JP 2012-118713 A

しかしながら、従来からあるマルウェアの解析においては、マルウェアの挙動を調べることが主眼となっており、悪性URLの取得は付随的なものである。例えば、従来からあるマルウェアの解析では、その挙動からマルウェアを特定するシグニチャを作成し、作成したシグニチャを用いてマルウェアを検出することや、マルウェアを動作させ、実際の攻撃者サーバに接続させ、次の通信から次の新しいマルウェアを入手すること等が主に行われている。   However, in the conventional malware analysis, the main purpose is to examine the behavior of the malware, and the acquisition of a malicious URL is incidental. For example, in conventional malware analysis, a signature that identifies malware is created from its behavior, the malware is detected using the created signature, and the malware is operated and connected to the actual attacker server. The following new malware is mainly obtained from the communication.

そのため、従来から存在するブラックリストに対して、最新のものに保つ技術等を用いたとしても、そもそもの悪性URLのブラックリストの量が十分でなく、ブラックリストを利用したサービス、例えば、ユーザが悪性URLに接続することなく安全にブラウジングを可能とするようなサービスに適用した場合、ユーザを保護するのには不十分である。   For this reason, even if the technology for keeping the latest black list is used, the amount of the black list of malicious URLs is not sufficient in the first place, and the service using the black list, for example, the user When applied to a service that allows browsing safely without connecting to a malicious URL, it is insufficient to protect the user.

本発明は上記の点に鑑みてなされたものであり、有害なサーバのURL等のマルウェアの接続先情報を迅速に多く取得することを可能とした技術を提供することを目的とする。   The present invention has been made in view of the above points, and an object of the present invention is to provide a technique that can quickly acquire a large amount of malware connection destination information such as URLs of harmful servers.

上記の課題を解決するために、本発明は、ネットワークを介して外部サーバと通信を行う通信機能を備え、当該ネットワークとの接続が遮断されている接続先情報抽出装置であって、
ソフトウェアを実行するソフトウェア実行手段と、
前記ソフトウェア実行手段により実行される前記ソフトウェアによる外部サーバへの接続動作を観測し、当該接続動作に関する通信ログを取得する通信観測手段と、
前記通信観測手段により取得された通信ログから、前記ソフトウェアの接続先情報を抽出し、当該接続先情報を接続先情報格納手段に格納する接続先情報抽出手段とを備えることを特徴とする接続先情報抽出装置として構成される。 In order to solve the above-described problem, the present invention is a connection destination information extraction device that includes a communication function for communicating with an external server via a network, and is disconnected from the network.
Software execution means for executing the software;
A communication observation means for observing a connection operation to an external server by the software executed by the software execution means, and acquiring a communication log related to the connection operation;
Connection destination information extracting means for extracting connection destination information of the software from the communication log acquired by the communication observation means and storing the connection destination information in the connection destination information storage means Configured as an information extraction device.

前記通信観測手段により取得される通信ログには、例えば、前記ソフトウェアによる外部サーバへの接続通信に対する応答が届かない環境で解析することにより、当該ソフトウェアが別の複数の外部サーバへ次々と再接続を試みることによる通信のログが含まれる。   In the communication log acquired by the communication observation means, for example, by analyzing in an environment where a response to the connection communication to the external server by the software does not reach, the software is reconnected to other external servers one after another. Contains a log of communications resulting from attempts.

また、前記接続先情報抽出装置は、前記ソフトウェアから外部サーバへの接続通信を受信し、擬似的にエラー応答を返す擬似応答手段を内部に備えるか、もしくは、当該擬似応答手段と接続されることとしてもよく、その場合、前記通信観測手段により取得される通信ログには、前記ソフトウェアによる外部サーバへの接続通信に対する前記擬似応答手段によるエラー応答に起因して、当該ソフトウェアが別の外部サーバへ再接続を試みることによる通信のログが含まれる。   In addition, the connection destination information extraction device includes a pseudo response unit that receives connection communication from the software to an external server and returns a pseudo error response, or is connected to the pseudo response unit. In that case, in the communication log acquired by the communication observation unit, the software is transferred to another external server due to an error response by the pseudo response unit to the connection communication to the external server by the software. Contains a log of communication due to reconnection attempts.

前記接続先情報抽出手段は、前記通信ログから抽出した接続先情報を、ブラックリストを構成する接続先情報として前記接続先情報格納手段に格納するようにしてもよい。また、前記ソフトウェアは例えばマルウェアである。   The connection destination information extraction unit may store the connection destination information extracted from the communication log in the connection destination information storage unit as connection destination information constituting a black list. The software is malware, for example.

また、前記接続先情報抽出手段は、前記接続先情報であるURLに記述されているファイル名の拡張子に基づいて、当該接続先情報の悪性URL種別を判定するようにしてもよい。   The connection destination information extracting unit may determine the malicious URL type of the connection destination information based on an extension of a file name described in a URL that is the connection destination information.

また、本発明は、ネットワークを介して外部サーバと通信を行う通信機能を備え、当該ネットワークとの接続が遮断されている接続先情報抽出装置が実行する接続先情報抽出方法として構成することもできる。また、本発明は、ネットワークを介して外部サーバと通信を行う通信機能と、ソフトウェアを実行するソフトウェア実行手段とを備え、当該ネットワークとの接続が遮断されているコンピュータを、前記接続先情報抽出装置における前記通信観測手段、及び前記接続先情報抽出手段として機能させるための接続先情報抽出プログラムとして構成することも可能である。   The present invention can also be configured as a connection destination information extraction method that is executed by a connection destination information extraction apparatus that includes a communication function for communicating with an external server via a network and is disconnected from the network. . In addition, the present invention provides a computer having a communication function for communicating with an external server via a network and software execution means for executing software, wherein the computer disconnected from the network is connected to the connection destination information extracting device. It is also possible to configure as a connection destination information extraction program for functioning as the communication observation means and the connection destination information extraction means.

本発明によれば、有害なサーバのURL等のマルウェアの接続先情報を迅速に多く取得することが可能となる。   According to the present invention, it is possible to quickly acquire a large amount of malware connection destination information such as URLs of harmful servers.

本発明の実施の形態の概要を説明するための図である。It is a figure for demonstrating the outline | summary of embodiment of this invention. ブラックリスト抽出装置10の機能構成例1を示す図である。It is a figure which shows the function structural example 1 of the black list extraction apparatus. ブラックリスト抽出装置の機能構成例2を示す図である。It is a figure which shows the function structural example 2 of a black list extraction apparatus. 機能構成例2における動作概要を説明するための図である。FIG. 10 is a diagram for explaining an operation outline in a functional configuration example 2; URLの解析例を説明するための図である。It is a figure for demonstrating the example of analysis of URL.

以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。例えば、本実施の形態では、マルウェアの接続先情報をブラックリストを構成する接続先情報として取得することとしているが、接続先情報を抽出する対象ソフトウェアはマルウェアに限られない。例えば、本実施の形態の技術を利用して、ネットワーク上の様々なサーバに接続する特性を有するマルウェア以外のソフトウェアの接続先情報を取得し、リスト(例:ホワイトリスト、ブラックリスト)としてもよい。   Embodiments of the present invention will be described below with reference to the drawings. The embodiment described below is only an example, and the embodiment to which the present invention is applied is not limited to the following embodiment. For example, in the present embodiment, malware connection destination information is acquired as connection destination information constituting a blacklist, but target software for extracting connection destination information is not limited to malware. For example, by using the technology of the present embodiment, connection destination information of software other than malware having the characteristic of connecting to various servers on the network may be acquired and used as a list (eg, white list, black list). .

(実施の形態の概要)
近年、増加している特定のタイプのマルウェアは、攻撃の起点となるサーバを多数持っている場合が多い。本実施の形態ではこのようなマルウェアの性質を利用し、マルウェアの通信を失敗させ、再接続を促すことでマルウェアの接続先を監視し、接続先サーバのURL(=悪性URL)等のアドレスを抽出することとしている。なお、接続先サーバのアドレスとしてURLを取得することは一例であり、接続先サーバを識別する情報であればどのような情報を取得してもよい。例えば、IPアドレスでもよい。 (Outline of the embodiment)
In recent years, an increasing number of specific types of malware often have a large number of servers from which attacks start. In the present embodiment, such malware characteristics are used, the malware communication is failed, the connection destination of the malware is monitored by prompting reconnection, and the address of the connection destination server (= malignant URL) is set. We are going to extract it. Note that acquiring the URL as the address of the connection destination server is merely an example, and any information may be acquired as long as the information identifies the connection destination server. For example, an IP address may be used.

図1を参照して本実施の形態の概要を説明する。図1には、マルウェアを実行するブラックリスト抽出装置10、及び、マルウェアの実行によりブラックリスト抽出装置10が接続しようとする複数のサーバ(例:C&Cサーバ、ダウンロードサーバ)が示されている。ただし、ブラックリスト抽出装置10はネットワーク(本実施の形態ではインターネット)に接続されておらず遮断されており、サーバとの通信を行うことができない。   The outline of the present embodiment will be described with reference to FIG. FIG. 1 shows a black list extraction device 10 that executes malware and a plurality of servers (for example, a C & C server and a download server) to which the black list extraction device 10 tries to connect by executing malware. However, the blacklist extraction device 10 is not connected to the network (the Internet in the present embodiment) and is blocked, and cannot communicate with the server.

このような環境の中で、ブラックリスト抽出装置10においてマルウェアを実行させる。すると、マルウェアはまずサーバ1に接続しようとするが、ネットワーク接続されていないので、この通信は失敗となり、サーバ1からの応答をマルウェアは受信できない。つまり無応答となる。サーバ1への接続が失敗したので、マルウェアはサーバ1と異なるサーバ2への接続を試みるが、この接続も失敗に終わり、次に、サーバ3への接続を試みる。ブラックリスト抽出装置10は、このようなマルウェアの通信動作を観測し、接続先URL(図1の例ではサーバ1、2、3のURL)を抽出し、記憶手段(メモリ等)に格納する。格納された接続先URLのリストは、例えばブラックリストとして外部に出力される。   In such an environment, the black list extraction apparatus 10 executes malware. Then, the malware first tries to connect to the server 1, but since the network is not connected, this communication fails and the malware cannot receive the response from the server 1. That is, there is no response. Since the connection to the server 1 has failed, the malware tries to connect to the server 2 different from the server 1, but this connection also fails, and then tries to connect to the server 3. The blacklist extraction device 10 observes such malware communication operations, extracts connection destination URLs (URLs of servers 1, 2, and 3 in the example of FIG. 1), and stores them in storage means (memory or the like). The stored list of connection destination URLs is output to the outside as a black list, for example.

以下では、ブラックリスト抽出装置10の機能構成例をより詳細に説明する。   Hereinafter, an example of a functional configuration of the black list extraction apparatus 10 will be described in more detail.

(機能構成例1)
図2に、本実施の形態に係るブラックリスト抽出装置10の機能構成例1を示す。ブラックリスト抽出装置10は、通信機能を有するコンピュータにより実現されるものであり、図2は、そのコンピュータ内部における本実施の形態に関わる機能構成を示すものである。 (Function configuration example 1)
FIG. 2 shows a functional configuration example 1 of the blacklist extraction apparatus 10 according to the present embodiment. The blacklist extraction apparatus 10 is realized by a computer having a communication function, and FIG. 2 shows a functional configuration related to the present embodiment inside the computer.

図2に示すように、本例に係るブラックリスト抽出装置10は、マルウェア実行部11、通信機能部12、通信観測部13、接続先情報抽出部14、ブラックリスト格納部15、出力部16を備える。   As shown in FIG. 2, the blacklist extraction device 10 according to this example includes a malware execution unit 11, a communication function unit 12, a communication observation unit 13, a connection destination information extraction unit 14, a blacklist storage unit 15, and an output unit 16. Prepare.

マルウェア実行部11は、マルウェア(プログラム)を実行する機能部である。マルウェア実行部11は、例えば、マルウェアの実行後に元の状態に容易に戻せるように、仮想化ソフトウェアにより実現される仮想化環境である。また、この仮想化環境において、マルウェアが正常に動作するように、脆弱性を持つアプリケーション(例えば古いバージョンのブラウザ等)をインストールしてある環境である。ただし、マルウェア実行部11は、これに限られるわけではなく、マルウェアを実行できる機能部であればよい。   The malware execution unit 11 is a functional unit that executes malware (program). The malware execution unit 11 is, for example, a virtualization environment realized by virtualization software so that it can be easily returned to the original state after the execution of the malware. Further, in this virtual environment, an application having a vulnerability (for example, an old version browser) is installed so that the malware operates normally. However, the malware execution unit 11 is not limited to this, and may be a functional unit that can execute malware.

マルウェア実行部11においてマルウェアが実行されると、マルウェアの機能により、ダウンロードサーバやC&Cサーバ等に接続を試みるが、その動作の基はマルウェアであるので、以下では、マルウェアが実行された場合の通信動作の主体を「マルウェア」とする。   When malware is executed in the malware execution unit 11, it tries to connect to a download server, a C & C server, etc. by the function of the malware. Since the basis of the operation is malware, the communication when the malware is executed is described below. The subject of the operation is “malware”.

通信機能部12は、インターネットとの通信を行うための機能部であり、例えば、TCP/IPソフト、LANドライバ等のソフトウェア、LAN−IF等のハードウェアを含む。本実施の形態では、インターネットへの回線を接続しないが、通信機能部12(通信インタフェースと呼んでもよい)は正常であり、回線が接続されれば正常にインターネットとの通信を行うことができる状態になっている。   The communication function unit 12 is a function unit for performing communication with the Internet, and includes, for example, TCP / IP software, software such as a LAN driver, and hardware such as a LAN-IF. In this embodiment, a line to the Internet is not connected, but the communication function unit 12 (which may be referred to as a communication interface) is normal and can normally communicate with the Internet if the line is connected. It has become.

通信観測部13は、マルウェア実行部11において実行されるマルウェアの外部サーバへの接続動作を観測し、通信ログを取得し、メモリ等からなる通信ログ格納部131に格納する機能部である。接続先情報抽出部14は、通信観測部13により取得された通信ログから、接続先情報を抽出し、ブラックリストを構成する接続先情報としてブラックリスト格納部15に格納する機能部である。出力部16は、ブラックリスト格納部15に格納されたブラックリストを出力(例:表示)する機能部である。また、出力部16は、通信観測部13において観測される通信ログをリアルタイムに表示する動作を行うこともできる。   The communication observation unit 13 is a functional unit that observes the connection operation of the malware executed by the malware execution unit 11 to an external server, acquires a communication log, and stores the communication log in the communication log storage unit 131 including a memory or the like. The connection destination information extraction unit 14 is a functional unit that extracts connection destination information from the communication log acquired by the communication observation unit 13 and stores the connection destination information in the black list storage unit 15 as connection destination information constituting the black list. The output unit 16 is a functional unit that outputs (eg, displays) the blacklist stored in the blacklist storage unit 15. The output unit 16 can also perform an operation of displaying the communication log observed in the communication observation unit 13 in real time.

上記の機能構成を有するブラックリスト抽出装置10の動作は以下のとおりである。   The operation of the blacklist extraction apparatus 10 having the above-described functional configuration is as follows.

まず、例えばハニーポットにより収集されたマルウェア(検体)をマルウェア実行部11に入力し、マルウェア実行部11にマルウェアを実行させる。   First, for example, malware (specimen) collected by a honeypot is input to the malware execution unit 11 to cause the malware execution unit 11 to execute the malware.

マルウェア実行部11において実行されたマルウェアは、図1に示したように、あるサーバへの通信を行うことを試みるが、ブラックリスト抽出装置10とインターネットとを接続する回線が切断されているために、サーバからの応答はなく、無応答となる。すると、マルウェアは接続タイムアウトを起こし、次のサーバへの接続を行うが、これも無応答となる。   As shown in FIG. 1, the malware executed in the malware execution unit 11 tries to communicate with a certain server, but the line connecting the black list extraction device 10 and the Internet is disconnected. No response from the server, no response. The malware then times out the connection and connects to the next server, which is also unresponsive.

このような動作を繰り返しマルウェアに行わせ、マルウェアの通信動作を通信観測部13が観測し、通信ログを通信ログ格納部131に格納する。ここで、通信観測部13が観測するプロトコルやレイヤは、接続先を判別できるものであれば特に限定はないが、本実施の形態では、例えば、HTTPプロトコルの通信、IPプロトコルの通信等を観測し、そのログを取得する。また、例えば、SMTP等のプロトコルを観測してもよい。   Such operation is repeatedly performed by the malware, the communication observation unit 13 observes the communication operation of the malware, and the communication log is stored in the communication log storage unit 131. Here, the protocol or layer observed by the communication observation unit 13 is not particularly limited as long as the connection destination can be determined. In this embodiment, for example, HTTP protocol communication, IP protocol communication, and the like are observed. And get the log. For example, a protocol such as SMTP may be observed.

接続先情報抽出部14は、通信観測部13により取得され、通信ログ格納部131に格納された通信ログから、マルウェアの接続先情報を抽出する。この抽出は、通信ログ格納部131に通信ログが格納される毎にリアルタイムに行ってもよいし、マルウェアの再接続動作が終了した後に行ってもよい。ただし、解析時間を短縮する観点からは、リアルタイムに行うほうがよい。   The connection destination information extraction unit 14 extracts malware connection destination information from the communication log acquired by the communication observation unit 13 and stored in the communication log storage unit 131. This extraction may be performed in real time every time the communication log is stored in the communication log storage unit 131, or may be performed after the malware reconnection operation ends. However, it is better to perform in real time from the viewpoint of shortening the analysis time.

接続先情報抽出部14が抽出する情報は、マルウェアが通信を行う宛先のアドレス等の情報、及び/又は、宛先へ送信しようとした情報であり、具体的には例えば、IPアドレス、ポート番号、URL、URLパラメータ、ペイロード等である。これらの情報のうちどの情報を抽出するかは設定で変更できる。例えば、URL、URLパラメータ、及びペイロードのセットを抽出するように、接続先情報抽出部14に設定(指示)を行うことで、接続先情報抽出部14は、マルウェアが接続しようとしたサーバのURLとそのURLパラメータ、及びペイロードを抽出する。抽出された情報は、ブラックリスト格納部15に格納される。   The information extracted by the connection destination information extraction unit 14 is information such as an address of a destination with which the malware communicates and / or information that is intended to be transmitted to the destination. Specifically, for example, an IP address, a port number, URL, URL parameter, payload, etc. Which information is extracted from these information can be changed by setting. For example, by setting (instructing) the connection destination information extraction unit 14 so as to extract a set of URL, URL parameters, and payload, the connection destination information extraction unit 14 is able to connect to the URL of the server to which the malware tried to connect. And its URL parameter and payload are extracted. The extracted information is stored in the black list storage unit 15.

上記のように接続先情報抽出部14により解析(接続先情報抽出)をリアルタイムに行う場合、マルウェアの再接続の試行が停止した際に解析(接続先情報抽出)を終了することとしてよい。具体的には、例えば、接続先情報抽出部14は、一定時間以上、マルウェアによる再接続がないことを通信ログの格納状況から判断し、その場合に解析を終了する。また、接続先情報抽出部14がタイマーを有し、予め定めた1検体あたりの解析にかける上限時間に達した場合に、解析を終了することとしてもよい。また、接続先情報抽出部14は、通信ログを解析することにより、接続先が一巡したと判定した場合(例えば、接続先が一番最初の接続先と一致した場合等)に解析を終了してもよい。   When the analysis (connection destination information extraction) is performed in real time by the connection destination information extraction unit 14 as described above, the analysis (connection destination information extraction) may be terminated when the attempt to reconnect the malware is stopped. Specifically, for example, the connection destination information extraction unit 14 determines from the communication log storage state that there is no reconnection due to malware for a certain time or more, and ends the analysis in that case. In addition, the connection destination information extraction unit 14 may include a timer, and the analysis may be terminated when a predetermined upper limit time for analysis per specimen is reached. Further, the connection destination information extraction unit 14 ends the analysis when it is determined that the connection destination has completed a cycle by analyzing the communication log (for example, when the connection destination matches the first connection destination). May be.

本例のブラックリスト抽出装置10における通信観測部13、及び接続先情報抽出部14は、ブラックリスト抽出装置10として使用するコンピュータ(マルウェア実行部11と通信機能部12を含む)に、本実施の形態で説明する通信観測部13、及び接続先情報抽出部14の処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、通信観測部13、及び接続先情報抽出部14は、コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、各部で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。   The communication observation unit 13 and the connection destination information extraction unit 14 in the black list extraction device 10 of this example are connected to a computer (including the malware execution unit 11 and the communication function unit 12) used as the black list extraction device 10 according to the present embodiment. This can be realized by executing a program describing the processing contents of the communication observation unit 13 and the connection destination information extraction unit 14 described in the embodiment. That is, the communication observation unit 13 and the connection destination information extraction unit 14 execute programs corresponding to the processes executed in the respective units using hardware resources such as a CPU, a memory, and a hard disk built in the computer. It is possible to realize. The above-mentioned program can be recorded on a computer-readable recording medium (portable memory or the like), stored, or distributed. It is also possible to provide the program through a network such as the Internet or electronic mail.

また、本例のブラックリスト抽出装置10における各機能部を複数の装置に分けることとしてもよい。   In addition, each functional unit in the black list extraction device 10 of this example may be divided into a plurality of devices.

(機能構成例2)
図3に、本実施の形態に係るブラックリスト抽出装置10の機能構成例2を示す。図3に示すように、本例のブラックリスト抽出装置10は、図2に示したブラックリスト抽出装置10に、擬似応答機能部17を加えたものである。擬似応答機能部17以外の機能部は、図2に示したものと同じである。 (Function configuration example 2)
FIG. 3 shows a functional configuration example 2 of the blacklist extraction apparatus 10 according to the present embodiment. As shown in FIG. 3, the black list extraction apparatus 10 of this example is obtained by adding a pseudo response function unit 17 to the black list extraction apparatus 10 shown in FIG. The functional units other than the pseudo response functional unit 17 are the same as those shown in FIG.

擬似応答機能部17は、マルウェアからの接続通信を受け、擬似的に応答をマルウェアに返すソフトウェアにより実現される機能部である。この応答は、マルウェアに再接続動作を促すようなエラー等の応答である。この擬似応答機能部17により、機能構成例1の場合と同様に、マルウェアに再接続を行わせ、接続先情報を収集することが可能となる。   The pseudo response function unit 17 is a function unit realized by software that receives connection communication from malware and returns a response to the malware in a pseudo manner. This response is a response such as an error that prompts the malware to reconnect. As in the case of the functional configuration example 1, the pseudo response function unit 17 can cause the malware to reconnect and collect connection destination information.

なお、擬似応答機能部17を用いて擬似応答を行うよりも、機能構成例1にように、無応答としたほうが、マルウェアによる別サーバへの再接続通信を発生させやすい。   Rather than using the pseudo-response function unit 17 to perform a pseudo-response, it is easier to generate reconnection communication to another server due to malware, as in the functional configuration example 1, with no response.

擬似応答機能部17は、図3に示すようにブラックリスト抽出装置内にソフトウェアとして備えることの他、ブラックリスト抽出装置10の外部に備えられ、ブラックリスト抽出装置10と接続される装置(コンピュータ)であってもよい。   As shown in FIG. 3, the pseudo response function unit 17 is provided as software in the black list extraction device, and is also provided outside the black list extraction device 10 and connected to the black list extraction device 10 (computer). It may be.

図4に、本例における動作例を示す。図4では、擬似応答部17が、ブラックリスト抽出装置10の外部に示されているが、これは動作を説明するための便宜上のものである。図4に示すように、マルウェアは、サーバ1への接続を行うが、擬似応答部17はエラーを返すことで、マルウェアは別のサーバ2への接続を行う。ここでもエラーを返すことで、マルウェアは更に別のサーバ3への接続を行う。このような通信動作を、装置構成例1の場合と同様に、通信観測部13が観測して通信ログを取得し、更に、接続先情報抽出部14が通信ログから接続先情報を抽出する。   FIG. 4 shows an operation example in this example. In FIG. 4, the pseudo response unit 17 is shown outside the blacklist extraction apparatus 10, but this is for convenience in explaining the operation. As shown in FIG. 4, the malware connects to the server 1, but the malware responds to the pseudo response unit 17 so that the malware connects to another server 2. Again, by returning an error, the malware connects to another server 3. As in the case of the apparatus configuration example 1, such communication operation is observed by the communication observation unit 13 to acquire a communication log, and the connection destination information extraction unit 14 extracts connection destination information from the communication log.

なお、擬似応答部17が、最適な応答(無応答とするか、擬似エラー応答を返すか)を探し出す動作を行ってもよい。例えば、擬似応答部17は、マルウェア動作の最初の段階で、接続から無応答の場合の再接続までの時間(X秒)と、接続からエラー応答を行って再接続するまでの時間(Y秒)とを取得し、X>Yであれば当該マルウェアに対してはエラー応答を行うことにより解析を早くすることができるため、それ以降はエラー応答を行うこととし、X<Yであれば無応答とするようにしてもよい。   Note that the pseudo response unit 17 may perform an operation of searching for an optimal response (whether no response is made or a pseudo error response is returned). For example, the pseudo-response unit 17 has a time (X seconds) from connection to reconnection when there is no response at the initial stage of malware operation, and a time (Y seconds) from connection to error response to reconnection. ), And if X> Y, the analysis can be speeded up by sending an error response to the malware. A response may be used.

本例のブラックリスト抽出装置10における通信観測部13、接続先情報抽出部14、及び擬似応答機能部17は、ブラックリスト抽出装置10として使用するコンピュータ(マルウェア実行部11と通信機能部12を含む)に、本実施の形態で説明する通信観測部13、接続先情報抽出部14、及び擬似応答機能部17の処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、通信観測部13、接続先情報抽出部14、及び擬似応答機能部17は、コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、各部で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。   The communication observation unit 13, the connection destination information extraction unit 14, and the pseudo response function unit 17 in the black list extraction device 10 of this example include a computer (including the malware execution unit 11 and the communication function unit 12) used as the black list extraction device 10. ) Can be realized by executing a program describing the processing contents of the communication observation unit 13, the connection destination information extraction unit 14, and the pseudo response function unit 17 described in this embodiment. That is, the communication observation unit 13, the connection destination information extraction unit 14, and the pseudo response function unit 17 correspond to processing performed in each unit using hardware resources such as a CPU, a memory, and a hard disk built in the computer. It can be realized by executing a program. The above-mentioned program can be recorded on a computer-readable recording medium (portable memory or the like), stored, or distributed. It is also possible to provide the program through a network such as the Internet or electronic mail.

また、本例のブラックリスト抽出装置10における各機能部を複数の装置に分けることとしてもよい。   In addition, each functional unit in the black list extraction device 10 of this example may be divided into a plurality of devices.

(接続先情報抽出部14による解析例)
接続先情報抽出部14には、通信ログから、指定された接続先情報を抽出する機能だけでなく、以下のように、URLが悪性URLかどうかを判断することに関わる解析機能を備えてもよい。 (Example of analysis by connection destination information extraction unit 14)
The connection destination information extraction unit 14 includes not only a function of extracting designated connection destination information from the communication log but also an analysis function related to determining whether a URL is a malicious URL as follows. Good.

本実施の形態では、接続先情報抽出部14は、通信ログ(URL、URLパラメータ、ペイロード等)に基づき、マルウェアによる複数の接続先(複数ドメインへの通信)における接続先情報(URLの文字列等)を解析し、悪性URLの種類(悪性種別)や接続先情報間の類似性を判定し、判定結果等をブラックリスト格納部15に格納する。   In the present embodiment, the connection destination information extraction unit 14 is based on the communication log (URL, URL parameter, payload, etc.), and connects to the connection destination information (URL character string) at a plurality of connection destinations (communication to a plurality of domains) by malware. And the like, the similarity between the types of malicious URLs (malignant types) and the connection destination information is determined, and the determination results are stored in the blacklist storage unit 15.

例えば、通信ログから抽出したURLの中に図5(a)に示すURL(+URLパラメータ)が存在するものとする。このとき、接続先情報抽出部14は、これらのURL文字列の中の「hoge.pl?action=1」を識別する。そして、接続先情報抽出部14は、このようにスクリプトを指定したURLは、サーバに何らかのアクション(攻撃)を起こさせる攻撃URLであると判定する。また、「hoge.pl?action=1」が2つあることからこれらのURLの類似数を2と算出し、例えば、図5(a)に示すURLの各々について、URLと「攻撃URL、類似数2」とをブラックリスト格納部15に出力する。   For example, it is assumed that the URL (+ URL parameter) shown in FIG. 5A exists in the URL extracted from the communication log. At this time, the connection destination information extraction unit 14 identifies “hoge.pl?action=1” in these URL character strings. Then, the connection destination information extraction unit 14 determines that the URL specifying the script in this way is an attack URL that causes the server to perform some action (attack). Since there are two “hoge.pl?action=1”, the number of similarities between these URLs is calculated as 2, for example, for each of the URLs shown in FIG. 2 ”is output to the black list storage unit 15.

また、例えば、通信ログから抽出したURLの中に図5(b)に示すURLが存在するものとする。このとき、接続先情報抽出部14は、これらのURL文字列の中の「xxx.exe」を識別する。そして、接続先情報抽出部14は、このようにexeファイル名が記述されたURLは、マルウェアを配布するマルウェア配布URLであると判定する。また、「xxx.exe」が2つあることから類似数が2であると算出し、例えば、図5(b)に示すURLの各々について、URLと「マルウェア配布URL、類似数2」を出力する。   Further, for example, it is assumed that the URL shown in FIG. 5B exists in the URL extracted from the communication log. At this time, the connection destination information extraction unit 14 identifies “xxx.exe” in these URL character strings. Then, the connection destination information extraction unit 14 determines that the URL in which the exe file name is described in this way is a malware distribution URL for distributing malware. Also, since there are two “xxx.exe”, the number of similarities is calculated to be 2, for example, for each of the URLs shown in FIG. 5B, the URL and “malware distribution URL, number of similarities 2” are output. To do.

本例では、URL属性をURLに記述されているファイル名の拡張子で判断し、exe、zip等であればマルウェア配布URLと判定し、スクリプトや引数が指定されていれば攻撃URLであると判断しているが、これは一例に過ぎず、判断手法はこれに限られるわけではない。   In this example, the URL attribute is determined by the extension of the file name described in the URL. If exe, zip, etc., it is determined as a malware distribution URL, and if a script or argument is specified, it is an attack URL Although it is determined, this is only an example, and the determination method is not limited to this.

また、上記の類似数は、そのまま出力することとしてもよいし、予め定めた閾値以上の類似数に対応するURLのみを悪性URLとしてブラックリスト格納部15に出力してもよい。また、類似数が所定の値以下、あるいは類似数が1であるURLを悪性URLから除外する(ブラックリスト格納部15に格納しない)ようにしてもよい。   Further, the number of similarities may be output as it is, or only URLs corresponding to the number of similarities equal to or greater than a predetermined threshold may be output to the blacklist storage unit 15 as malignant URLs. Further, URLs having a similarity number equal to or less than a predetermined value or having a similarity number of 1 may be excluded from malignant URLs (not stored in the blacklist storage unit 15).

また、ホワイトリスト等がある場合(接続先情報抽出部14において記憶手段に保持)、接続先情報抽出部14は、抽出されたURLと当該リストとを比較し、正常サイトを除外し、ホワイトリストに該当しないURLをブラックリスト格納部15に格納してもよい。また、例えば、一般に多くアクセスされる正常サイトをリスト(ホワイトリスト)に登録しておき、当該リストにあるURLを悪性URLから除外してもよい。   When there is a white list or the like (stored in the storage means in the connection destination information extraction unit 14), the connection destination information extraction unit 14 compares the extracted URL with the list, excludes the normal site, URLs not corresponding to the above may be stored in the blacklist storage unit 15. For example, normal sites that are generally accessed frequently may be registered in a list (white list), and URLs in the list may be excluded from malicious URLs.

なお、抽出したURLが悪性か否かは既存技術を用いて直接的に判定することも可能である。そのような既存技術としては、例えば、クライアント型ハニーポット技術を用い、仮想環境上で実際に脆弱なブラウザでURLにアクセスさせて挙動を観察することにより、当該URLが悪性かどうかを判定する技術がある。   Note that it is also possible to directly determine whether or not the extracted URL is malicious using existing technology. As such an existing technology, for example, a technology that determines whether a URL is malicious by using a client-type honeypot technology and observing the behavior by accessing the URL with a weak browser in a virtual environment. There is.

(ブラックリストの運用例)
本実施の形態に係る技術を用いて取得されたブラックリストを、例えばユーザ端末とサーバ間の機器に適用することにより、ユーザ端末とサーバ間の通信をリアルタイムに監視し、警告や遮断等を行うことが可能となる。 (Blacklist operation example)
By applying the blacklist acquired using the technology according to the present embodiment to, for example, a device between the user terminal and the server, the communication between the user terminal and the server is monitored in real time, and a warning or blocking is performed. It becomes possible.

また、ユーザ端末にブラックリストを備え、ユーザ端末においてユーザ端末とサーバ間の通信をリアルタイムに監視し、警告や遮断等を行うこととしてもよい。   Further, the user terminal may be provided with a black list, and the communication between the user terminal and the server may be monitored in real time at the user terminal, and a warning or interruption may be performed.

また、ブラックリストにおいて、悪性URLに加えて、属性情報を付加することとしてもよい。属性情報としては、例えば、最後に悪性と判定した日時、悪性URLの種類(例:起点URL、攻撃URL、マルウェア配布URL、C&CサーバURL等)がある。また、ユーザ向け、企業向け等、用途に応じてブラックリストを変更することとしてもよい。更に、ブラックリストは適宜更新を行い、最新状態に保てるようにしてもよい。   In the black list, attribute information may be added in addition to the malicious URL. The attribute information includes, for example, the date and time when it was last determined to be malignant, and the type of malignant URL (eg, origin URL, attack URL, malware distribution URL, C & C server URL, etc.). Moreover, it is good also as changing a black list according to a use, such as for users and for companies. Further, the black list may be updated as appropriate so as to keep the latest state.

(実施の形態のまとめ、効果等)
これまでに説明したとおり、本実施の形態では、インターネットに繋がない環境でブラックリスト抽出装置においてマルウェアを実行させ、マルウェアにより発生する通信を観測し、接続先を抽出し、ブラックリストとして出力することとしている。一部のマルウェアは攻撃の起点となる入口C&Cサーバやダウンロードサーバを多数有しており、本実施の形態のように当該マルウェアによる通信を失敗させて次のサーバへの通信を観測することで、インターネット上の潜在的な悪性URL(悪性アドレス)を収集し、悪性URLのブラックリストを拡大することが可能となる。 (Summary of the embodiment, effects, etc.)
As described so far, in this embodiment, in the environment where there is no connection to the Internet, malware is executed in the blacklist extraction device, communication generated by the malware is observed, connection destinations are extracted, and the blacklist is output. It is said. Some malware has many entrance C & C servers and download servers that are the starting points of attacks, and by observing communication to the next server by failing communication by the malware as in this embodiment, Potential malicious URLs (malicious addresses) on the Internet can be collected, and the black list of malicious URLs can be expanded.

マルウェアの種類は膨大になってきており、リバースエンジニアリング等で解析を行う静的解析や、マルウェアの挙動を見ることを主眼とする従来の動的解析を用いることでは、各マルウェアについて迅速に十分な量の悪性URL等からなるブラックリストを作成することは難しい。一方、本実施の形態に係る技術を用いることにより、迅速に多量の悪性URL等からなるブラックリストを作成することが可能となる。   The number of types of malware has become enormous, and using static analysis that performs analysis by reverse engineering, etc., and conventional dynamic analysis that focuses on the behavior of malware, it is sufficient for each malware quickly. It is difficult to create a black list consisting of a large amount of malicious URLs. On the other hand, by using the technique according to the present embodiment, it is possible to quickly create a black list including a large number of malicious URLs.

つまり、本実施の形態により、ブラックリストにおける悪性URLの量を拡大でき、ブラックリストを利用した商用サービス等の精度を向上させることが可能となる。   In other words, according to the present embodiment, the amount of malicious URLs in the black list can be increased, and the accuracy of commercial services using the black list can be improved.

本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。   The present invention is not limited to the above-described embodiments, and various modifications and applications are possible within the scope of the claims.

10 ブラックリスト抽出装置
11 マルウェア実行部、
12 通信機能部
13 通信観測部
131 通信ログ格納部
14 接続先情報抽出部
15 ブラックリスト格納部
16 出力部
17 擬似応答機能部 10 Blacklist extraction device 11 Malware execution unit,
12 Communication Function Unit 13 Communication Observation Unit 131 Communication Log Storage Unit 14 Connection Destination Information Extraction Unit 15 Black List Storage Unit 16 Output Unit 17 Pseudo Response Function Unit

Claims (8)

ネットワークを介して外部サーバと通信を行う通信機能を備え、当該ネットワークとの接続が遮断されている接続先情報抽出装置であって、
ソフトウェアを実行するソフトウェア実行手段と、
前記ソフトウェア実行手段により実行される前記ソフトウェアによる外部サーバへの接続動作を観測し、当該接続動作に関する通信ログを取得する通信観測手段と、
前記通信観測手段により取得された通信ログから、前記ソフトウェアの接続先情報を抽出し、当該接続先情報を接続先情報格納手段に格納する接続先情報抽出手段と
を備えることを特徴とする接続先情報抽出装置。 A connection destination information extraction device having a communication function for communicating with an external server via a network, and being disconnected from the network,
Software execution means for executing the software;
A communication observation means for observing a connection operation to an external server by the software executed by the software execution means, and acquiring a communication log related to the connection operation;
Connection destination information extracting means for extracting the connection destination information of the software from the communication log acquired by the communication observation means and storing the connection destination information in the connection destination information storage means Information extraction device. 前記通信観測手段により取得される通信ログには、前記ソフトウェアによる外部サーバへの接続通信に対する応答がないことにより、当該ソフトウェアが別の外部サーバへ再接続を試みることによる通信のログが含まれる
ことを特徴とする請求項1に記載の接続先情報抽出装置。 The communication log acquired by the communication observing means includes a communication log when the software tries to reconnect to another external server due to no response to the connection communication to the external server by the software. The connection destination information extracting device according to claim 1, wherein: 前記接続先情報抽出装置は、前記ソフトウェアから外部サーバへの接続通信を受信し、擬似的にエラー応答を返す擬似応答手段を内部に備えるか、もしくは、当該擬似応答手段と接続されており、
前記通信観測手段により取得される通信ログには、前記ソフトウェアによる外部サーバへの接続通信に対する前記擬似応答手段によるエラー応答に起因して、当該ソフトウェアが別の外部サーバへ再接続を試みることによる通信のログが含まれる
ことを特徴とする請求項1に記載の接続先情報抽出装置。 The connection destination information extracting device includes a pseudo response unit that receives connection communication from the software to an external server and returns a pseudo error response, or is connected to the pseudo response unit,
In the communication log acquired by the communication observation unit, communication caused by the software attempting to reconnect to another external server due to an error response by the pseudo response unit with respect to connection communication to the external server by the software The connection destination information extracting device according to claim 1, wherein: 前記接続先情報抽出手段は、前記通信ログから抽出した接続先情報を、ブラックリストを構成する接続先情報として前記接続先情報格納手段に格納する
ことを特徴とする請求項1ないし3のうちいずれか1項に記載の接続先情報抽出装置。 4. The connection destination information extracting unit stores the connection destination information extracted from the communication log in the connection destination information storage unit as connection destination information constituting a black list. The connection destination information extraction device according to claim 1. 前記ソフトウェアはマルウェアであることを特徴とする請求項1ないし4のうちいずれか1項に記載の接続先情報抽出装置。   The connection information extracting apparatus according to claim 1, wherein the software is malware. 前記接続先情報抽出手段は、前記接続先情報であるURLに記述されているファイル名の拡張子に基づいて、当該接続先情報の悪性種別を判定する
ことを特徴とする請求項5に記載の接続先情報抽出装置。 The connection destination information extraction unit determines a malignant type of the connection destination information based on an extension of a file name described in a URL that is the connection destination information. Connection destination information extraction device. ネットワークを介して外部サーバと通信を行う通信機能を備え、当該ネットワークとの接続が遮断されている接続先情報抽出装置が実行する接続先情報抽出方法であって、
ソフトウェアを実行するソフトウェア実行ステップと、
前記ソフトウェア実行ステップにより実行される前記ソフトウェアによる外部サーバへの接続動作を観測し、当該接続動作に関する通信ログを取得する通信観測ステップと、
前記通信観測ステップにより取得された通信ログから、前記ソフトウェアの接続先情報を抽出し、当該接続先情報を接続先情報格納手段に格納する接続先情報抽出ステップと
を備えることを特徴とする接続先情報抽出方法。 A connection destination information extraction method executed by a connection destination information extraction device having a communication function for communicating with an external server via a network, and being disconnected from the network,
A software execution step for executing the software;
A communication observation step of observing a connection operation to an external server by the software executed by the software execution step, and acquiring a communication log related to the connection operation;
A connection destination information extracting step of extracting connection destination information of the software from the communication log acquired in the communication observation step, and storing the connection destination information in a connection destination information storage unit; Information extraction method. ネットワークを介して外部サーバと通信を行う通信機能と、ソフトウェアを実行するソフトウェア実行手段とを備え、当該ネットワークとの接続が遮断されているコンピュータを、請求項1ないし6のうちいずれか1項に記載の接続先情報抽出装置における前記通信観測手段、及び前記接続先情報抽出手段として機能させるための接続先情報抽出プログラム。   7. A computer comprising a communication function for communicating with an external server via a network and software execution means for executing software, the computer being disconnected from the network, according to any one of claims 1 to 6. A connection destination information extracting program for causing the communication observing means and the connection destination information extracting means to function in the connection destination information extracting apparatus.
JP2013054155A 2013-03-15 2013-03-15 Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program Active JP6050162B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013054155A JP6050162B2 (en) 2013-03-15 2013-03-15 Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013054155A JP6050162B2 (en) 2013-03-15 2013-03-15 Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program

Publications (2)

Publication Number Publication Date
JP2014179025A true JP2014179025A (en) 2014-09-25
JP6050162B2 JP6050162B2 (en) 2016-12-21

Family

ID=51698874

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013054155A Active JP6050162B2 (en) 2013-03-15 2013-03-15 Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program

Country Status (1)

Country Link
JP (1) JP6050162B2 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016134675A (en) * 2015-01-16 2016-07-25 Kddi株式会社 Receiver, display method and program
JP2018142927A (en) * 2017-02-28 2018-09-13 沖電気工業株式会社 System and method for addressing malware unauthorized communication
WO2020022456A1 (en) 2018-07-26 2020-01-30 デジタルアーツ株式会社 Information processing device, information processing method, and information processing program
JP2020170478A (en) * 2019-04-05 2020-10-15 デジタルア−ツ株式会社 Information processing device, information processing method, and information processing program
WO2021024532A1 (en) 2019-08-07 2021-02-11 株式会社日立製作所 Computer system and method for sharing information
JP2021073607A (en) * 2021-02-02 2021-05-13 日本電気株式会社 Malware analysis method, malware analysis device, and malware analysis system
KR102617219B1 (en) * 2023-09-09 2023-12-27 주식회사 엔키 Apparatus and method of penetration test utilizing malware

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007334536A (en) * 2006-06-14 2007-12-27 Securebrain Corp Behavior analysis system for malware
JP2009181335A (en) * 2008-01-30 2009-08-13 Nippon Telegr & Teleph Corp <Ntt> Analysis system, analysis method, and analysis program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007334536A (en) * 2006-06-14 2007-12-27 Securebrain Corp Behavior analysis system for malware
JP2009181335A (en) * 2008-01-30 2009-08-13 Nippon Telegr & Teleph Corp <Ntt> Analysis system, analysis method, and analysis program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
針生 剛男: "進化する脅威とこれからのサイバーセキュリティ", NTT技術ジャーナル, vol. 第24巻 第8号, JPN6016030156, 1 August 2012 (2012-08-01), JP, pages 13 - 17, ISSN: 0003428220 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016134675A (en) * 2015-01-16 2016-07-25 Kddi株式会社 Receiver, display method and program
JP2018142927A (en) * 2017-02-28 2018-09-13 沖電気工業株式会社 System and method for addressing malware unauthorized communication
WO2020022456A1 (en) 2018-07-26 2020-01-30 デジタルアーツ株式会社 Information processing device, information processing method, and information processing program
JP2020170478A (en) * 2019-04-05 2020-10-15 デジタルア−ツ株式会社 Information processing device, information processing method, and information processing program
WO2021024532A1 (en) 2019-08-07 2021-02-11 株式会社日立製作所 Computer system and method for sharing information
JP2021073607A (en) * 2021-02-02 2021-05-13 日本電気株式会社 Malware analysis method, malware analysis device, and malware analysis system
JP7099566B2 (en) 2021-02-02 2022-07-12 日本電気株式会社 Malware analysis method, malware analysis device and malware analysis system
KR102617219B1 (en) * 2023-09-09 2023-12-27 주식회사 엔키 Apparatus and method of penetration test utilizing malware

Also Published As

Publication number Publication date
JP6050162B2 (en) 2016-12-21

Similar Documents

Publication Publication Date Title
Akbanov et al. WannaCry ransomware: Analysis of infection, persistence, recovery prevention and propagation mechanisms
US20210029156A1 (en) Security monitoring system for internet of things (iot) device environments
US10225280B2 (en) System and method for verifying and detecting malware
JP6050162B2 (en) Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program
US10560434B2 (en) Automated honeypot provisioning system
US20190332771A1 (en) System and method for detection of malicious hypertext transfer protocol chains
RU2726032C2 (en) Systems and methods for detecting malicious programs with a domain generation algorithm (dga)
CN110704836A (en) Real-time signature-free malware detection
WO2018076697A1 (en) Method and apparatus for detecting zombie feature
US20220159023A1 (en) System and method for detecting and classifying malware
JP5739034B1 (en) Attack detection system, attack detection device, attack detection method, and attack detection program
JP5752642B2 (en) Monitoring device and monitoring method
JP2019097133A (en) Communication monitoring system and communication monitoring method
US20180212988A1 (en) System and method for detecting and classifying malware
JP6092759B2 (en) COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM
JP6592196B2 (en) Malignant event detection apparatus, malignant event detection method, and malignant event detection program
JP2024023875A (en) Inline malware detection
JP6314036B2 (en) Malware feature extraction device, malware feature extraction system, malware feature method and countermeasure instruction device
CN114070632B (en) Automatic penetration test method and device and electronic equipment
JP6333763B2 (en) Malware analysis apparatus and malware analysis method
US20170085586A1 (en) Information processing device, communication history analysis method, and medium
JP6286314B2 (en) Malware communication control device
JP6900328B2 (en) Attack type determination device, attack type determination method, and program
JP6676790B2 (en) Request control device, request control method, and request control program
JP5456636B2 (en) File collection monitoring method, file collection monitoring apparatus, and file collection monitoring program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150902

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160809

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161011

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161101

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161124

R150 Certificate of patent or registration of utility model

Ref document number: 6050162

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250