JP2015106336A - Byte sequence extraction device, byte sequence extraction method, and byte sequence extraction program - Google Patents
Byte sequence extraction device, byte sequence extraction method, and byte sequence extraction program Download PDFInfo
- Publication number
- JP2015106336A JP2015106336A JP2013249034A JP2013249034A JP2015106336A JP 2015106336 A JP2015106336 A JP 2015106336A JP 2013249034 A JP2013249034 A JP 2013249034A JP 2013249034 A JP2013249034 A JP 2013249034A JP 2015106336 A JP2015106336 A JP 2015106336A
- Authority
- JP
- Japan
- Prior art keywords
- malware
- file
- byte string
- attack
- unknown
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、バイト列抽出装置、バイト列抽出方法、および、バイト列抽出プログラムに関する。 The present invention relates to a byte string extraction device, a byte string extraction method, and a byte string extraction program.
近年、情報漏えいや不正アクセス等の脅威をもたらす不正プログラム(以下、「マルウェア」と呼ぶ)が猛威を振るっている。発見されるマルウェアの数の増加も著しく、数秒に1つの新たなマルウェアが出現しているということが報告されている(非特許文献1参照)。マルウェアの脅威からコンピュータを守るために、コンピュータにインストールされたアンチウィルスソフトウェア(マルウェア検出ソフトウェア)を用いてマルウェアへの感染を未然に防ぐ、という対策が行われている。しかしながら、昨今のマルウェアは高度化しており、マルウェアの発見からマルウェア検出ソフトウェアで検知できるようになるまで数日を要する。そこで、通信データから抽出したファイルを実際に動作させてマルウェアか否かを判定し、マルウェアであると判定されたファイルに特有のバイト列を抽出してシグネチャを作成し、感染を防ぐという手法が提案されている(非特許文献2参照)。 In recent years, malicious programs (hereinafter referred to as “malware”) that cause threats such as information leaks and unauthorized access have become increasingly popular. The increase in the number of discovered malware is also remarkable, and it has been reported that one new malware appears every few seconds (see Non-Patent Document 1). In order to protect computers from malware threats, measures are taken to prevent infection with malware using anti-virus software (malware detection software) installed on the computer. However, recent malware is so sophisticated that it takes several days from the discovery of malware until it can be detected by malware detection software. Therefore, it is possible to determine whether it is malware by actually operating the file extracted from the communication data, extract a byte sequence unique to the file determined to be malware, create a signature, and prevent infection It has been proposed (see Non-Patent Document 2).
しかし、上記従来の技術には以下のような問題があった。すなわち、通信データから抽出したファイルを実際に動作させたときの振る舞いが、事前に定義されたものに合致しないファイルは、シグネチャの作成対象とならない。このため、マルウェアの検出漏れが発生するおそれがあるという問題があった。また、マルウェアと判定されたファイル全てについてシグネチャを作成し、そのシグネチャを用いて通信データからマルウェアを検出すると、通信データとのマッチングに時間がかかってしまい、スループットが低下してしまうという問題があった。 However, the above conventional technique has the following problems. That is, a file whose behavior when a file extracted from communication data is actually operated does not match a predefined one is not a signature creation target. For this reason, there was a problem that there was a risk of missing detection of malware. In addition, if a signature is created for all files that are determined to be malware and malware is detected from the communication data using the signature, matching with the communication data takes time and throughput is reduced. It was.
そこで、本発明は、前記した問題を解決し、マルウェアをもれなく検出し、かつ、検出時におけるスループットの低下を低減することを課題とする。 Therefore, an object of the present invention is to solve the above-described problems, detect all malware, and reduce a decrease in throughput during detection.
前記した課題を解決するため、本発明は、監視対象のネットワークに対する攻撃を検知した場合に、前記攻撃に関連して取得されたファイルをマルウェアであると判定する攻撃検知部と、前記攻撃検知部でマルウェアと判定されたファイルのうち、所定のマルウェア検出ソフトウェアでマルウェアであると検出されなかったファイルを未知のマルウェアのファイルと判定する未知マルウェア判定部と、マルウェア以外のファイルである良性ファイルには存在しないが、前記未知のマルウェアのファイルには存在する所定長のバイト列を抽出するバイト列抽出部とを備えることを特徴とする。 In order to solve the above-described problems, the present invention provides an attack detection unit that determines that a file acquired in association with an attack is malware when an attack on a monitored network is detected, and the attack detection unit Among the files that are determined as malware in the above, the unknown malware determination unit that determines files that are not detected as malware by the predetermined malware detection software as unknown malware files, and the benign files that are files other than malware include A byte sequence extraction unit that extracts a byte sequence of a predetermined length that does not exist but is present in the unknown malware file.
本発明によれば、マルウェアを漏れなく検出し、かつ、検出時におけるスループットの低下を低減することができる。 According to the present invention, malware can be detected without omission and a reduction in throughput during detection can be reduced.
以下、図面を参照しつつ、本発明の実施形態を、第1の実施形態から第3の実施形態に分けて説明する。図1は、各実施形態のバイト列抽出装置の構成例を示す図である。 Hereinafter, embodiments of the present invention will be described by dividing the first to third embodiments with reference to the drawings. FIG. 1 is a diagram illustrating a configuration example of a byte string extraction device according to each embodiment.
(第1の実施形態)
(概要)
第1の実施形態のバイト列抽出装置10の概要を説明する。バイト列抽出装置10は、攻撃検知部13110により監視対象のネットワークを監視し、脆弱性に対する攻撃を検知すると、未知マルウェア判定部132は、既存のマルウェア検出ソフトウェアにより不正プログラム(マルウェア)の検出を行う。ここで、未知マルウェア判定部132において、既存のマルウェア検出ソフトウェアでのマルウェア検出ができなかったファイルがあったとき、つまり未知のマルウェアのファイルを発見したとき、バイト列抽出部133は、当該ファイルを、良性ファイル(マルウェアではないことが明らかなファイル)と比較する。そして、バイト列抽出部133は、当該ファイルに、良性ファイルには存在しないバイト列があれば、当該ファイルからそのバイト列を抽出し、バイト列情報記憶部143に記憶する。
(First embodiment)
(Overview)
An outline of the byte
その後、例えば、マルウェア検出部134においてバイト列情報記憶部143に記憶されたバイト列をマルウェアのシグネチャ(特徴となるバイト列)として用い、保護対象のネットワーク上の通信データとのマッチングを行うことで、通信データからのマルウェア検出を漏れなく行うことができる。また、バイト列情報記憶部143に記憶されるバイト列は、既存のマルウェア検出ソフトウェアで検出可能なマルウェアのバイト列を含まない。よって、マルウェア検出部134が通信データとのマッチングを行う際のスループットの低下を低減できる。
After that, for example, the
(構成)
バイト列抽出装置10は、通信部11と、入出力部12と、攻撃検知部131と、未知マルウェア判定部132と、未知マルウェア記憶部141と、良性ファイル記憶部142と、バイト列抽出部133と、バイト列情報記憶部143とを備える。なお、破線で示したマルウェア検出部134は、バイト列抽出装置10に装備される場合と装備されない場合とがあり、装備される場合について後記する。
(Constitution)
The byte
通信部11は、ネットワーク経由で外部装置と通信を行うためのインタフェースを司る。また、入出力部12は、外部装置との間で各種情報の入出力を行うためのインタフェースを司る。
The
攻撃検知部131は、通信部11経由で、監視対象となるネットワーク上で所定箇所(例えば、脆弱性を有する箇所)の監視を行い、当該箇所に対する攻撃を検知する。そして、攻撃検知部131は、攻撃検知後、監視対象となるネットワーク上での攻撃に関連して取得されたファイルをマルウェアと判定する。なお、攻撃検知部131は、所定のネットワークでアクセスが確認されたURLを別のネットワークで運用している囮マシンでアクセスし、攻撃が行われるかどうかを確認してもよいし、独自に怪しそうなURLを巡回して、攻撃を検知するようにしてもよい。上記の場合は、所定のネットワークおよび別のネットワークの両方が、攻撃検知部131における監視対象のネットワークとなる。
The
未知マルウェア判定部132は、攻撃検知部131でマルウェアと判定されたファイルのうち、既存のマルウェア検出ソフトウェアでマルウェアであると検出されなかったファイルを未知のマルウェアのファイルと判定し、抽出する。抽出したファイルは、未知マルウェア記憶部141に記憶する。この未知マルウェア判定部132は、図1に例示するように、1以上のマルウェア検出ソフトウェアを備え、これらのマルウェア検出ソフトウェアにより、ファイルのマルウェアの検出を行う。未知マルウェア判定部132で用いるマルウェア検出ソフトウェアは、市販のアンチウィルス製品でもよいし、独自に定義したパターンとのマッチングにより既知のマルウェアであると検出するソフトウェアでもよい。
The unknown
なお、以下では、未知マルウェア判定部132が複数の異なるマルウェア検出ソフトウェアでマルウェアの検出を行う場合について説明するが、未知マルウェア判定部132は1つのマルウェア検出ソフトウェアでマルウェアの検出を行ってもよい。
Hereinafter, a case where the unknown
未知マルウェア記憶部141は、未知マルウェア判定部132によって抽出された未知のマルウェアのファイルを記憶する。
The unknown
良性ファイル記憶部142は、マルウェア以外のファイル(良性ファイル)を記憶する。この良性ファイルは、マルウェアではないことが明らかで無害なファイルであり、例えば、バイト列抽出装置10の管理者等により予め収集されたものである。この良性ファイルの収集方法は、例えば、フリーソフトを提供しているサイトにおいて頻繁にダウンロードされているソフトウェアの上位N個を収集する方法や、Windows(登録商標)やLinux(登録商標)といったOS(Operating System)に最初から含まれているファイルを収集する方法等がある。
The benign
バイト列抽出部133は、未知マルウェア記憶部141に記憶された未知のマルウェアのファイルから抽出したバイト列と、良性ファイル記憶部142に記憶された各良性ファイルのバイト列とを比較し、良性ファイルには含まれないが未知のマルウェアのファイルには含まれるバイト列を抽出する。抽出したバイト列は、バイト列抽出部133が、このバイト列の抽出元のファイルの情報(マルウェア情報)と対応付けてバイト列情報記憶部143に記憶する。
The byte
バイト列情報記憶部143は、バイト列抽出部133により抽出されたバイト列を、抽出元のファイルのマルウェア情報と対応付けた情報(バイト列情報)を記憶する。なお、マルウェア情報は、バイト列の抽出元のファイルの識別情報(例えば、当該ファイルのハッシュ値等)等を示した情報である。
The byte string
なお、攻撃検知部131、未知マルウェア判定部132、および、バイト列抽出部133は、バイト列抽出装置10の備えるCPU(Central Processing Unit)によるプログラム実行処理や、専用のハードウェアにより実現される。また、未知マルウェア記憶部141、良性ファイル記憶部142、および、バイト列情報記憶部143は、バイト列抽出装置10の備えるHDD(Hard Disk Drive)、RAM(Random Access Memory)等の記憶部(図示省略)の所定領域に形成される。
The
以上説明したバイト列抽出装置10は、既存のマルウェア検出ソフトウェアでは検出できないマルウェア(未知のマルウェア)についてシグネチャとなるバイト列を抽出する。よって、このバイト列をシグネチャとして用いて通信データからのマルウェア検出を行うことで、既存のマルウェア検出ソフトウェアでは検出できないマルウェア(例えば、まだ定義ファイルが用意されていない新しいマルウェア)についても漏れなく検出することができる。また、このバイト列は、既存のマルウェア検出ソフトウェアで検出できるマルウェアのバイト列は含まない。つまり、マルウェア検出のシグネチャとして用いるバイト列のデータ量を低減できるので、マルウェア検出においてシグネチャと通信データとのマッチング処理にかかる時間を低減できる。その結果、マルウェア検出時におけるスループットの低下を低減することができる。
The byte
(処理手順)
次に、バイト列抽出装置10の処理手順を説明する。まず、図2を用いて、攻撃検知部131の処理手順を説明する。図2は、図1の攻撃検知部の処理手順を示すフローチャートである。
(Processing procedure)
Next, a processing procedure of the byte
図2に示すように、攻撃検知部131は、プログラムコードにおいて脆弱性の存在する箇所の監視を行う(S1)。例えば、攻撃検知部131は、バッファオーバーフローの脆弱性を有するプログラムコードにおいて、所定量以上のデータがバッファに書き込まれるか否かを監視する。
As shown in FIG. 2, the
そして、攻撃検知部131において、脆弱性に対する攻撃が発生したと判定したとき(S2でYes)、その脆弱性に対する攻撃が行われた際に作成された一連のファイルを記憶部(図示省略)の所定領域に保存する(S3)。一方、攻撃検知部131が、脆弱性に対する攻撃が発生していないと判定したとき(S2でNo)、S1へ戻る。
When the
S3で保存された一連のファイルの中に、当該脆弱性に対する攻撃を発生させる原因となるデータを含むファイルがある場合(S4でYes)、つまり、S3で保存された一連のファイルの中に、当該脆弱性に対する攻撃を引き起こす原因となったファイルが含まれていた場合、攻撃検知部131は、その脆弱性に対する攻撃を含むファイルをマルウェアと判定する(S5)。そして、S6へ進む。
If there is a file including data that causes an attack against the vulnerability in the series of files saved in S3 (Yes in S4), that is, in the series of files saved in S3, When a file that causes an attack against the vulnerability is included, the
なお、脆弱性に対する攻撃を含むファイルは、例えば、PDF(Portable Document Format)ファイル自体にPDFファイルの読み込みアプリケーションの脆弱性を悪用するコードが埋め込まれたファイル等である。また、S3で保存された一連のファイルがいずれも当該脆弱性に対する攻撃を含まないと判定された場合(S4でNo)、S6へ進む。 The file including the attack against the vulnerability is, for example, a file in which a code that exploits the vulnerability of the PDF file reading application is embedded in the PDF (Portable Document Format) file itself. If it is determined that none of the series of files stored in S3 includes an attack against the vulnerability (No in S4), the process proceeds to S6.
S6で、攻撃検知部131は、S3で保存された一連のファイルが、攻撃が行われた際にネットワーク経由で外部から取得された実行ファイルであり、攻撃によりその実行ファイルが実行された場合(S6でYes)、当該実行ファイルをマルウェアと判定する(S7)。そして、処理を終了する。一方、S6で攻撃により実行ファイルが実行されなかった場合(S6でNo)、そのまま処理を終了する。
In S6, the
このように攻撃検知部131は、脆弱性に対する攻撃により作成された一連のファイルのうち、当該攻撃を引き起こす原因となったファイル、および、攻撃の結果取得され実行された実行ファイルを、マルウェアと判定する。なお、攻撃検知部131は、マルウェアと判定されたファイルの情報(マルウェア情報)を、記憶部(図示省略)の所定領域に記憶しておく。
As described above, the
次に、図3を用いて、未知マルウェア判定部132の処理手順を説明する。図3は、図1の未知マルウェア判定部の処理手順を示すフローチャートである。
Next, the processing procedure of the unknown
まず、未知マルウェア判定部132は、攻撃検知部131によりマルウェアと判定されたファイルに対し、マルウェア検出ソフトウェアにより未知のマルウェアか否かの判定を行う(S11)。つまり、未知マルウェア判定部132は、攻撃検知部131によりマルウェアと判定されたファイルを記憶部(図示省略)から読み出し、このファイルについて、既存のマルウェア検出ソフトウェアが既知のマルウェアと検出するか否かを判断する。ここで、当該ファイルを既知のマルウェアと判定したマルウェア検出ソフトウェアの数が所定値以下(例えば、未知マルウェア判定部132の備えるマルウェア検出ソフトウェアが全部で5つであった場合において、既知のマルウェアと判定したマルウェア検出ソフトウェアが1つ以下等)であった場合(S12でYes)、当該ファイルを未知のマルウェアのファイルと判定し(S13)、未知マルウェア記憶部141に記憶する(S15)。一方、当該ファイルを既知のマルウェアと判定したマルウェア検出ソフトウェアの数が所定値を超えていた場合(S12でNo)、未知マルウェア判定部132は、当該ファイルを既知のマルウェアと判定する(S14)。未知マルウェア判定部132は、上記の処理を攻撃検知部131によりマルウェアと判定されたファイルそれぞれに対し実行する。
First, the unknown
このように未知マルウェア判定部132は、攻撃が検知されたファイルそれぞれについて、既存のマルウェア検出ソフトウェアで既知のマルウェアであると判定できなかったファイルを未知マルウェア記憶部141に蓄積していく。
As described above, the unknown
なお、S11において、未知マルウェア判定部132がマルウェア検出ソフトウェアにより既知のマルウェアと検出した場合には、入出力部12経由で既知のマルウェアと検出した旨の通知や既知のマルウェアと判定された際の分類名等の情報を出力するようにしてもよい。
In S11, when the unknown
次に、図4を用いて、バイト列抽出部133の処理手順を説明する。図4は、図1のバイト列抽出部の処理手順を示すフローチャートである。
Next, the processing procedure of the byte
バイト列抽出部133は、未知マルウェア記憶部141に処理(バイト列抽出処理)を行っていないファイルが存在するか否かを確認する(S21)。処理を行っていないファイルが存在しない場合(S21でNo)、処理を終了する。一方、まだ処理を行っていないファイルが存在する場合(S21でYes)、バイト列抽出部133は、未知マルウェア記憶部141からまだ処理を行っていないファイルを取得する(S22)。そして、バイト列抽出部133は、取得したファイルから所定長のバイト列を抽出する(S23)。
The byte
次に、バイト列抽出部133は、S23で抽出したバイト列が、良性ファイル記憶部142のファイル(良性ファイル)中に存在するか否かを判定する(S24)。ここで、S23で抽出したバイト列が良性ファイル記憶部142に保存されているいずれのファイルにも存在しなかった場合(S24でNo)、バイト列抽出部133は、抽出したバイト列と抽出元のファイルの情報(マルウェア情報)とを対応付けたバイト列情報をバイト列情報記憶部143に記憶する(S25)。そして、S21へ戻る。
Next, the byte
一方、S23で抽出したバイト列が、良性ファイル記憶部142に記憶されるいずれかの良性ファイル中に存在する場合において(S24でYes)、当該バイト列の抽出元のファイルに、所定長のバイト列を抽出可能な箇所が他に存在すれば(S26でYes)、バイト列抽出部133は抽出する箇所を変更し(S27)、S23以降の処理を実行する。一方、当該バイト列の抽出元のファイルに、所定長のバイト列を抽出可能な箇所が他に存在しなければ(S26でNo)、S21へ戻る。
On the other hand, when the byte sequence extracted in S23 is present in any of the benign files stored in the benign file storage unit 142 (Yes in S24), a byte having a predetermined length is included in the file from which the byte sequence is extracted. If there is another place where the sequence can be extracted (Yes in S26), the byte
このようにすることで、バイト列抽出部133は、未知のマルウェアのファイルから、いずれの良性ファイルにも含まれないバイト列を抽出することができる。そして、このバイト列を、マルウェア検出のシグネチャとして用いることで、未知のマルウェアの検出を行うことができる。
By doing in this way, the byte
なお、S23で、バイト列抽出部133が抽出するバイト列については、対象となるファイル全体から抽出してもよいし、ファイルのヘッダ部を除く部分から抽出してもよい。さらに、対象となるファイルが実行コードを含むファイルの場合、当該ファイルの実行コードを含む領域から抽出してもよいし、実行コードを含まない領域から抽出してもよい。また、バイト列の抽出は、当該ファイルの抽出対象の領域の先頭から順に取り出してもよいし、任意の場所を開始箇所として取り出してもよい。任意の場所の例としては、当該ファイルの実行コードを含む領域のうち、コード実行開始箇所(Original Entry Point)等がある。
In S23, the byte string extracted by the byte
(第2の実施形態)
前記した未知マルウェア判定部132において、バイト列情報記憶部143に記憶されたバイト列のうち、マルウェア検出ソフトウェアにとって既に未知ではなくなったマルウェアのバイト列情報を削除するようにしてもよい。この場合の実施形態を第2の実施形態として説明する。図5は、第2の実施形態における未知マルウェア判定部の処理手順を説明するフローチャートである。
(Second Embodiment)
In the unknown
このバイト列情報の削除は、例えば、未知マルウェア判定部132のマルウェア検出ソフトウェアに何らかの変更があったことを契機として行われる。具体例を挙げると、マルウェア検出ソフトウェアの追加や、バージョンアップ、マルウェア検出に用いるマルウェア検出定義ファイルの変更等を契機として行われる。また、このバイト列情報の削除は、上記のほか、1日に1回等、所定期間ごとに行われてもよい。
This deletion of the byte string information is performed, for example, when there is some change in the malware detection software of the unknown
まず、未知マルウェア判定部132は、バイト列情報記憶部143に記憶されているバイト列情報からバイト列に対応付けられたマルウェア情報を取得し(S31)、このマルウェア情報に該当するファイルを未知マルウェア記憶部141から取得する(S32)。
First, the unknown
未知マルウェア判定部132は、S31で取得したファイルについて、各マルウェア検出ソフトウェアにより未知のマルウェアか否かの判定を行う(S33)。ここで、当該ファイルが既知のマルウェアである、つまり、未知のマルウェアではないと判定されたとき(S34でNo)、当該ファイルにより抽出されたバイト列に関するバイト列情報をバイト列情報記憶部143から削除する(S35)。また、未知マルウェア判定部132は、当該ファイルを未知マルウェア記憶部141から削除する(S36)。そして、処理を終了する。一方、未知マルウェア判定部132は、S31で取得したファイルについて、各マルウェア検出ソフトウェアにより未知のマルウェアであると判定されたとき(S34でYes)、処理を終了する。
The unknown
このように第2の実施形態のバイト列抽出装置10は、マルウェア検出定義ファイルのアップデート等により、既に未知のマルウェアではなくなったファイルのバイト列情報をバイト列情報記憶部143から削除する。その結果、バイト列情報記憶部143に記憶されるバイト列情報のデータ量を低減できる。したがって、このバイト列情報記憶部143に記憶されたバイト列情報のバイト列をシグネチャとして用いて通信データとのマッチングを行う際の時間を低減できる。
As described above, the byte
(第3の実施形態)
なお、バイト列抽出装置10は、図1の破線で示すマルウェア検出部134をさらに備えていてもよい。このマルウェア検出部134は、バイト列情報記憶部143に記憶されたバイト列を参照して、未知のマルウェアの検出を行う。つまり、マルウェア検出部134は、バイト列情報記憶部143に記憶されたバイト列をシグネチャとして用いて未知のマルウェアの検出を行う。
(Third embodiment)
The byte
このマルウェア検出部134の処理手順を、図6を用いて説明する。図6は、図1のマルウェア検出部の処理手順を示すフローチャートである。マルウェア検出部134は、例えば、通信部11経由で、外部装置からの通信データ(例えば、保護対象のネットワーク上の通信データ)を取得すると(S41)、取得した通信データに、バイト列情報記憶部143のバイト列情報に示されるバイト列が含まれているか否かを判定する(S42)。ここで、取得した通信データに、バイト列情報に示されるバイト列が含まれているとき(S42でYes)、マルウェア検出部134は、未知のマルウェアを検出したと判定し(S43)、その判定結果を出力する(S44)。そして、S41へ戻る。例えば、マルウェア検出部134は、当該通信データから未知のマルウェアを検出したとき、当該通信データから未知のマルウェアを検出した旨の判定結果を出力する。
The processing procedure of the
また、このマルウェア検出部134は、S44で判定結果を出力するとき、バイト列情報において当該バイト列と対応付けられているファイル(未知のマルウェアのファイル)のマルウェア情報等を入出力部12経由で外部へ出力してもよい。なお、S41で取得した通信データに、バイト列情報記憶部143のバイト列情報に示されるバイト列が含まれていないとき(S42でNo)、S41へ戻る。
Further, when the
このようにすることで、バイト列抽出装置10は、抽出したバイト列を用いて未知のマルウェアの検出をすることができる。なお、このマルウェア検出部134は、バイト列抽出装置10の外部の装置により実現されてももちろんよい。
By doing in this way, byte
なお、前記した未知マルウェア判定部132で用いるマルウェア検出ソフトウェアは、バイト列抽出装置10の管理者等が適宜設定可能である。例えば、攻撃検知部131において保護対象としているネットワーク上でマルウェア検出ソフトウェアAが用いられている場合、未知マルウェア判定部132で用いるマルウェア検出ソフトウェアもマルウェア検出ソフトウェアAを設定しておく。
Note that the malware detection software used by the unknown
このようにすることで、バイト列抽出装置10は、監視対象のネットワークで用いているマルウェア検出ソフトウェアでは検出できないマルウェアのシグネチャとなるバイト列を抽出することができる。そして、その後、マルウェア検出部134が、この抽出したバイト列を用いて当該保護対象のネットワークにおける通信データとのマッチングを行うことで、保護対象のネットワークにおけるマルウェア検出を漏れなく行うことができる。
By doing in this way, the byte
(プログラム)
また、上記実施形態に係るバイト列抽出装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、バイト列抽出装置10と同様の機能を実現するバイト列抽出プログラムを実行するコンピュータの一例を説明する。
(program)
It is also possible to create a program in which the processing executed by the byte
図7は、バイト列抽出プログラムを実行するコンピュータを示す図である。図7に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
FIG. 7 is a diagram illustrating a computer that executes a byte string extraction program. As illustrated in FIG. 7, the
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
The
ここで、図7に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えば、ハードディスクドライブ1090やメモリ1010に記憶される。
Here, as shown in FIG. 7, the hard disk drive 1090 stores, for example, an
また、バイト列抽出プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明したバイト列抽出装置10が実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。
Further, the byte string extraction program is stored in the hard disk drive 1090 as a program module in which a command executed by the
また、バイト列抽出プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
Data used for information processing by the byte string extraction program is stored as program data in, for example, the hard disk drive 1090. Then, the
なお、バイト列抽出プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、バイト列抽出プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
Note that the
10 バイト列抽出装置
11 通信部
12 入出力部
131 攻撃検知部
132 未知マルウェア判定部
133 バイト列抽出部
134 マルウェア検出部
141 未知マルウェア記憶部
142 良性ファイル記憶部
143 バイト列情報記憶部
DESCRIPTION OF
Claims (8)
前記攻撃検知部でマルウェアと判定されたファイルのうち、所定のマルウェア検出ソフトウェアでマルウェアであると検出されなかったファイルを未知のマルウェアのファイルと判定する未知マルウェア判定部と、
マルウェア以外のファイルである良性ファイルには存在しないが、前記未知のマルウェアのファイルには存在する所定長のバイト列を抽出するバイト列抽出部とを備えることを特徴とするバイト列抽出装置。 An attack detection unit that determines that a file acquired in connection with the attack is malware when an attack on the monitored network is detected;
Of the files determined to be malware by the attack detection unit, an unknown malware determination unit that determines a file that is not detected as malware by predetermined malware detection software as an unknown malware file;
A byte string extraction device comprising: a byte string extraction unit that extracts a byte string of a predetermined length that does not exist in a benign file that is a file other than malware, but exists in the unknown malware file.
前記未知マルウェア判定部は、前記攻撃検知部でマルウェアであると判定されたファイルのうち、前記マルウェアを検出した前記マルウェア検出ソフトウェアの数が所定数よりも少ないファイルを前記未知のマルウェアのファイルと判定することを特徴とする請求項1に記載のバイト列抽出装置。 The predetermined malware detection software is a plurality of different malware detection software,
The unknown malware determination unit determines, among the files determined to be malware by the attack detection unit, files whose number of the malware detection software that detected the malware is less than a predetermined number as files of the unknown malware The byte string extraction device according to claim 1, wherein:
前記未知のマルウェアと判定されたファイルを記憶する未知マルウェア記憶部と、
前記未知のマルウェアと判定されたファイルから抽出されたバイト列を記憶するバイト列情報記憶部とを備え、
前記未知マルウェア判定部は、さらに、前記未知マルウェア記憶部に記憶されたファイルそれぞれに対し、再度マルウェアの検出を行った結果、既知のマルウェアであると判定されたファイルがあったとき、前記バイト列情報記憶部のバイト列のうち、当該ファイルから抽出されたバイト列を削除することを特徴とする請求項1ないし請求項5のいずれか1項に記載のバイト列抽出装置。 The byte string extraction device further includes:
An unknown malware storage unit for storing a file determined to be the unknown malware;
A byte string information storage unit that stores a byte string extracted from the file determined to be the unknown malware,
The unknown malware determination unit further detects the malware again for each file stored in the unknown malware storage unit, and as a result, when there is a file determined to be a known malware, the byte string 6. The byte string extraction apparatus according to claim 1, wherein a byte string extracted from the file is deleted from the byte string in the information storage unit.
前記マルウェアと判定されたファイルのうち、所定のマルウェア検出ソフトウェアでマルウェアが検出されなかったファイルを未知のマルウェアのファイルと判定するステップと、
マルウェア以外のファイルである良性ファイルには存在しないが、前記未知のマルウェアのファイルには存在する所定長のバイト列を抽出するステップとをコンピュータが実行することを特徴とするバイト列抽出方法。 Determining that the file obtained in connection with the attack is malware when an attack on the monitored network is detected;
Determining a file in which malware is not detected by predetermined malware detection software among files determined to be malware as an unknown malware file;
A byte sequence extraction method, wherein a computer executes a step of extracting a predetermined length byte sequence that does not exist in a benign file that is a file other than malware but exists in the unknown malware file.
前記マルウェアと判定されたファイルのうち、所定のマルウェア検出ソフトウェアでマルウェアが検出されなかったファイルを未知のマルウェアのファイルと判定するステップと、
マルウェア以外のファイルである良性ファイルには存在しないが、前記未知のマルウェアのファイルには存在する所定長のバイト列を抽出するステップとをコンピュータに実行させることを特徴とするバイト列抽出プログラム。 Determining that the file obtained in connection with the attack is malware when an attack on the monitored network is detected;
Determining a file in which malware is not detected by predetermined malware detection software among files determined to be malware as an unknown malware file;
A byte string extraction program which causes a computer to execute a step of extracting a predetermined length byte string which is not present in a benign file which is a file other than malware but is present in the unknown malware file.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013249034A JP6084556B2 (en) | 2013-12-02 | 2013-12-02 | Byte string extraction device, byte string extraction method, and byte string extraction program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013249034A JP6084556B2 (en) | 2013-12-02 | 2013-12-02 | Byte string extraction device, byte string extraction method, and byte string extraction program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015106336A true JP2015106336A (en) | 2015-06-08 |
JP6084556B2 JP6084556B2 (en) | 2017-02-22 |
Family
ID=53436379
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013249034A Active JP6084556B2 (en) | 2013-12-02 | 2013-12-02 | Byte string extraction device, byte string extraction method, and byte string extraction program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6084556B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022219792A1 (en) * | 2021-04-15 | 2022-10-20 | 日本電信電話株式会社 | Collection device, collection method, and collection program |
JP7331679B2 (en) | 2018-12-21 | 2023-08-23 | 富士通株式会社 | Determining Information Leakage in Computer Readable Programs |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0844556A (en) * | 1994-07-27 | 1996-02-16 | Koichi Masaoka | Software structure and mechanism for security and system protection in electronic computer |
JP2004054470A (en) * | 2002-07-18 | 2004-02-19 | Sony Corp | Network security system, information processor, information processing method, and computer program |
US20080289042A1 (en) * | 2005-11-16 | 2008-11-20 | Jie Bai | Method for Identifying Unknown Virus and Deleting It |
US20120174227A1 (en) * | 2010-12-30 | 2012-07-05 | Kaspersky Lab Zao | System and Method for Detecting Unknown Malware |
-
2013
- 2013-12-02 JP JP2013249034A patent/JP6084556B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0844556A (en) * | 1994-07-27 | 1996-02-16 | Koichi Masaoka | Software structure and mechanism for security and system protection in electronic computer |
JP2004054470A (en) * | 2002-07-18 | 2004-02-19 | Sony Corp | Network security system, information processor, information processing method, and computer program |
US20080289042A1 (en) * | 2005-11-16 | 2008-11-20 | Jie Bai | Method for Identifying Unknown Virus and Deleting It |
US20120174227A1 (en) * | 2010-12-30 | 2012-07-05 | Kaspersky Lab Zao | System and Method for Detecting Unknown Malware |
Non-Patent Citations (1)
Title |
---|
JPN6016045660; 'お答えします 複数の対策ソフトでチェックしたい' 日経パソコン No.562, 20080922, p.149, 日経BP社 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7331679B2 (en) | 2018-12-21 | 2023-08-23 | 富士通株式会社 | Determining Information Leakage in Computer Readable Programs |
WO2022219792A1 (en) * | 2021-04-15 | 2022-10-20 | 日本電信電話株式会社 | Collection device, collection method, and collection program |
Also Published As
Publication number | Publication date |
---|---|
JP6084556B2 (en) | 2017-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3502943B1 (en) | Method and system for generating cognitive security intelligence for detecting and preventing malwares | |
US9853994B2 (en) | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program | |
Alazab et al. | Cybercrime: the case of obfuscated malware | |
JP4938576B2 (en) | Information collection system and information collection method | |
US20150058987A1 (en) | Detecting File Encrypting Malware | |
US20150047034A1 (en) | Composite analysis of executable content across enterprise network | |
JP6690646B2 (en) | Information processing apparatus, information processing system, information processing method, and program | |
US9058488B2 (en) | Malware detection and computer monitoring methods | |
US20160248788A1 (en) | Monitoring apparatus and method | |
US20050262567A1 (en) | Systems and methods for computer security | |
US8955138B1 (en) | Systems and methods for reevaluating apparently benign behavior on computing devices | |
US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
JP2017527864A (en) | Patch file analysis system and analysis method | |
JP2014071796A (en) | Malware detection device, malware detection system, malware detection method, and program | |
JP2010182019A (en) | Abnormality detector and program | |
WO2018146757A1 (en) | Information processing device, information processing method, and information processing program | |
JP5656266B2 (en) | Blacklist extraction apparatus, extraction method and extraction program | |
US10601867B2 (en) | Attack content analysis program, attack content analysis method, and attack content analysis apparatus | |
US20060015939A1 (en) | Method and system to protect a file system from viral infections | |
JP6084556B2 (en) | Byte string extraction device, byte string extraction method, and byte string extraction program | |
JP2008129707A (en) | Program analyzing device, program analyzing method, and program | |
JP6169497B2 (en) | Connection destination information determination device, connection destination information determination method, and program | |
CN109472139B (en) | Method and system for preventing Lesox virus from secondarily encrypting host document | |
EP3800567B1 (en) | Systems and methods for countering removal of digital forensics information by malicious software | |
JP6333763B2 (en) | Malware analysis apparatus and malware analysis method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20151001 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20151005 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160201 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161117 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161129 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170111 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170124 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170125 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6084556 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |