JP2015106336A - Byte sequence extraction device, byte sequence extraction method, and byte sequence extraction program - Google Patents

Byte sequence extraction device, byte sequence extraction method, and byte sequence extraction program Download PDF

Info

Publication number
JP2015106336A
JP2015106336A JP2013249034A JP2013249034A JP2015106336A JP 2015106336 A JP2015106336 A JP 2015106336A JP 2013249034 A JP2013249034 A JP 2013249034A JP 2013249034 A JP2013249034 A JP 2013249034A JP 2015106336 A JP2015106336 A JP 2015106336A
Authority
JP
Japan
Prior art keywords
malware
file
byte string
attack
unknown
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013249034A
Other languages
Japanese (ja)
Other versions
JP6084556B2 (en
Inventor
一史 青木
Kazufumi Aoki
一史 青木
剛男 針生
Takeo Hario
剛男 針生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013249034A priority Critical patent/JP6084556B2/en
Publication of JP2015106336A publication Critical patent/JP2015106336A/en
Application granted granted Critical
Publication of JP6084556B2 publication Critical patent/JP6084556B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To detect malware without fail and to decrease throughput reduction in the detection.SOLUTION: When an attack to vulnerability is detected, a byte sequence extraction device determines files acquired in relation to the attack as malware. Among the files determined as malware, a file in which malware is not detected by existent malware detection software is determined as a file of unknown malware. The byte sequence extraction device extracts a byte sequence of a predetermined length that is not present in an innocent file which is any other file than malware but is present in the file of unknown malware. The byte sequence extracted in such a manner is used as a signature of malware and matching with communication data is performed.

Description

本発明は、バイト列抽出装置、バイト列抽出方法、および、バイト列抽出プログラムに関する。   The present invention relates to a byte string extraction device, a byte string extraction method, and a byte string extraction program.

近年、情報漏えいや不正アクセス等の脅威をもたらす不正プログラム(以下、「マルウェア」と呼ぶ)が猛威を振るっている。発見されるマルウェアの数の増加も著しく、数秒に1つの新たなマルウェアが出現しているということが報告されている(非特許文献1参照)。マルウェアの脅威からコンピュータを守るために、コンピュータにインストールされたアンチウィルスソフトウェア(マルウェア検出ソフトウェア)を用いてマルウェアへの感染を未然に防ぐ、という対策が行われている。しかしながら、昨今のマルウェアは高度化しており、マルウェアの発見からマルウェア検出ソフトウェアで検知できるようになるまで数日を要する。そこで、通信データから抽出したファイルを実際に動作させてマルウェアか否かを判定し、マルウェアであると判定されたファイルに特有のバイト列を抽出してシグネチャを作成し、感染を防ぐという手法が提案されている(非特許文献2参照)。   In recent years, malicious programs (hereinafter referred to as “malware”) that cause threats such as information leaks and unauthorized access have become increasingly popular. The increase in the number of discovered malware is also remarkable, and it has been reported that one new malware appears every few seconds (see Non-Patent Document 1). In order to protect computers from malware threats, measures are taken to prevent infection with malware using anti-virus software (malware detection software) installed on the computer. However, recent malware is so sophisticated that it takes several days from the discovery of malware until it can be detected by malware detection software. Therefore, it is possible to determine whether it is malware by actually operating the file extracted from the communication data, extract a byte sequence unique to the file determined to be malware, create a signature, and prevent infection It has been proposed (see Non-Patent Document 2).

“McAfee脅威レポート:2013年第1四半期”、[online]、[平成25年9月3日検索]、インターネット<http://www.mcafee.com/japan/media/mcafeeb2b/international/japan/pdf/threatreport/threatreport13q1.pdf>“McAfee Threat Report: Q1 2013”, [online], [searched September 3, 2013], Internet <http://www.mcafee.com/japan/media/mcafeeb2b/international/japan/pdf /threatreport/threatreport13q1.pdf> “モダンマルウェアによる標的型攻撃は次世代ファイアウォールが防ぐ!”、[online]、[平成25年9月3日検索]、インターネット<http://businessnetwork.jp/Portals/0/SP/1301_paloalto/?prtext>“Next-Generation Firewall Prevents Targeted Attacks by Modern Malware!”, [Online], [Search September 3, 2013], Internet <http://businessnetwork.jp/Portals/0/SP/1301_paloalto/? prtext>

しかし、上記従来の技術には以下のような問題があった。すなわち、通信データから抽出したファイルを実際に動作させたときの振る舞いが、事前に定義されたものに合致しないファイルは、シグネチャの作成対象とならない。このため、マルウェアの検出漏れが発生するおそれがあるという問題があった。また、マルウェアと判定されたファイル全てについてシグネチャを作成し、そのシグネチャを用いて通信データからマルウェアを検出すると、通信データとのマッチングに時間がかかってしまい、スループットが低下してしまうという問題があった。   However, the above conventional technique has the following problems. That is, a file whose behavior when a file extracted from communication data is actually operated does not match a predefined one is not a signature creation target. For this reason, there was a problem that there was a risk of missing detection of malware. In addition, if a signature is created for all files that are determined to be malware and malware is detected from the communication data using the signature, matching with the communication data takes time and throughput is reduced. It was.

そこで、本発明は、前記した問題を解決し、マルウェアをもれなく検出し、かつ、検出時におけるスループットの低下を低減することを課題とする。   Therefore, an object of the present invention is to solve the above-described problems, detect all malware, and reduce a decrease in throughput during detection.

前記した課題を解決するため、本発明は、監視対象のネットワークに対する攻撃を検知した場合に、前記攻撃に関連して取得されたファイルをマルウェアであると判定する攻撃検知部と、前記攻撃検知部でマルウェアと判定されたファイルのうち、所定のマルウェア検出ソフトウェアでマルウェアであると検出されなかったファイルを未知のマルウェアのファイルと判定する未知マルウェア判定部と、マルウェア以外のファイルである良性ファイルには存在しないが、前記未知のマルウェアのファイルには存在する所定長のバイト列を抽出するバイト列抽出部とを備えることを特徴とする。   In order to solve the above-described problems, the present invention provides an attack detection unit that determines that a file acquired in association with an attack is malware when an attack on a monitored network is detected, and the attack detection unit Among the files that are determined as malware in the above, the unknown malware determination unit that determines files that are not detected as malware by the predetermined malware detection software as unknown malware files, and the benign files that are files other than malware include A byte sequence extraction unit that extracts a byte sequence of a predetermined length that does not exist but is present in the unknown malware file.

本発明によれば、マルウェアを漏れなく検出し、かつ、検出時におけるスループットの低下を低減することができる。   According to the present invention, malware can be detected without omission and a reduction in throughput during detection can be reduced.

図1は、各実施形態のバイト列抽出装置の構成例を示す図である。FIG. 1 is a diagram illustrating a configuration example of a byte string extraction device according to each embodiment. 図2は、図1の攻撃検知部の処理手順を示すフローチャートである。FIG. 2 is a flowchart showing a processing procedure of the attack detection unit of FIG. 図3は、図1の未知マルウェア判定部の処理手順を示すフローチャートである。FIG. 3 is a flowchart illustrating a processing procedure of the unknown malware determination unit in FIG. 図4は、図1のバイト列抽出部の処理手順を示すフローチャートである。FIG. 4 is a flowchart showing a processing procedure of the byte string extraction unit of FIG. 図5は、第2の実施形態における未知マルウェア判定部の処理手順を示すフローチャートである。FIG. 5 is a flowchart illustrating a processing procedure of the unknown malware determination unit in the second embodiment. 図6は、図1のマルウェア検出部の処理手順を示すフローチャートである。FIG. 6 is a flowchart showing a processing procedure of the malware detection unit of FIG. 図7は、バイト列抽出プログラムを実行するコンピュータを示す図である。FIG. 7 is a diagram illustrating a computer that executes a byte string extraction program.

以下、図面を参照しつつ、本発明の実施形態を、第1の実施形態から第3の実施形態に分けて説明する。図1は、各実施形態のバイト列抽出装置の構成例を示す図である。   Hereinafter, embodiments of the present invention will be described by dividing the first to third embodiments with reference to the drawings. FIG. 1 is a diagram illustrating a configuration example of a byte string extraction device according to each embodiment.

(第1の実施形態)
(概要)
第1の実施形態のバイト列抽出装置10の概要を説明する。バイト列抽出装置10は、攻撃検知部13110により監視対象のネットワークを監視し、脆弱性に対する攻撃を検知すると、未知マルウェア判定部132は、既存のマルウェア検出ソフトウェアにより不正プログラム(マルウェア)の検出を行う。ここで、未知マルウェア判定部132において、既存のマルウェア検出ソフトウェアでのマルウェア検出ができなかったファイルがあったとき、つまり未知のマルウェアのファイルを発見したとき、バイト列抽出部133は、当該ファイルを、良性ファイル(マルウェアではないことが明らかなファイル)と比較する。そして、バイト列抽出部133は、当該ファイルに、良性ファイルには存在しないバイト列があれば、当該ファイルからそのバイト列を抽出し、バイト列情報記憶部143に記憶する。 (First embodiment)
(Overview)
An outline of the byte string extraction device 10 of the first embodiment will be described. When the byte string extraction device 10 monitors the network to be monitored by the attack detection unit 13110 and detects an attack against the vulnerability, the unknown malware determination unit 132 detects a malicious program (malware) using the existing malware detection software. . Here, in the unknown malware determination unit 132, when there is a file that cannot be detected by the existing malware detection software, that is, when an unknown malware file is found, the byte string extraction unit 133 reads the file. Compare with benign files (files that are clearly not malware). Then, if there is a byte string that does not exist in the benign file, the byte string extraction unit 133 extracts the byte string from the file and stores it in the byte string information storage unit 143.

その後、例えば、マルウェア検出部134においてバイト列情報記憶部143に記憶されたバイト列をマルウェアのシグネチャ(特徴となるバイト列)として用い、保護対象のネットワーク上の通信データとのマッチングを行うことで、通信データからのマルウェア検出を漏れなく行うことができる。また、バイト列情報記憶部143に記憶されるバイト列は、既存のマルウェア検出ソフトウェアで検出可能なマルウェアのバイト列を含まない。よって、マルウェア検出部134が通信データとのマッチングを行う際のスループットの低下を低減できる。   After that, for example, the malware detection unit 134 uses the byte sequence stored in the byte sequence information storage unit 143 as a malware signature (characteristic byte sequence), and performs matching with communication data on the network to be protected. , Malware detection from communication data can be performed without omission. The byte string stored in the byte string information storage unit 143 does not include a malware byte string that can be detected by existing malware detection software. Therefore, it is possible to reduce a decrease in throughput when the malware detection unit 134 performs matching with communication data.

(構成)
バイト列抽出装置10は、通信部11と、入出力部12と、攻撃検知部131と、未知マルウェア判定部132と、未知マルウェア記憶部141と、良性ファイル記憶部142と、バイト列抽出部133と、バイト列情報記憶部143とを備える。なお、破線で示したマルウェア検出部134は、バイト列抽出装置10に装備される場合と装備されない場合とがあり、装備される場合について後記する。 (Constitution)
The byte string extraction device 10 includes a communication unit 11, an input / output unit 12, an attack detection unit 131, an unknown malware determination unit 132, an unknown malware storage unit 141, a benign file storage unit 142, and a byte string extraction unit 133. And a byte string information storage unit 143. Note that the malware detection unit 134 indicated by a broken line may or may not be equipped in the byte string extraction device 10 and will be described later.

通信部11は、ネットワーク経由で外部装置と通信を行うためのインタフェースを司る。また、入出力部12は、外部装置との間で各種情報の入出力を行うためのインタフェースを司る。   The communication unit 11 manages an interface for communicating with an external device via a network. The input / output unit 12 controls an interface for inputting / outputting various information to / from an external device.

攻撃検知部131は、通信部11経由で、監視対象となるネットワーク上で所定箇所(例えば、脆弱性を有する箇所)の監視を行い、当該箇所に対する攻撃を検知する。そして、攻撃検知部131は、攻撃検知後、監視対象となるネットワーク上での攻撃に関連して取得されたファイルをマルウェアと判定する。なお、攻撃検知部131は、所定のネットワークでアクセスが確認されたURLを別のネットワークで運用している囮マシンでアクセスし、攻撃が行われるかどうかを確認してもよいし、独自に怪しそうなURLを巡回して、攻撃を検知するようにしてもよい。上記の場合は、所定のネットワークおよび別のネットワークの両方が、攻撃検知部131における監視対象のネットワークとなる。   The attack detection unit 131 monitors a predetermined location (for example, a location having vulnerability) on the network to be monitored via the communication unit 11 and detects an attack on the location. Then, after detecting the attack, the attack detection unit 131 determines that the file acquired in connection with the attack on the network to be monitored is malware. Note that the attack detection unit 131 may access a URL that has been confirmed to be accessed on a predetermined network with a certain machine that is operating on another network to confirm whether or not the attack is being performed, It is also possible to detect an attack by visiting a likely URL. In the above case, both the predetermined network and another network are monitored networks in the attack detection unit 131.

未知マルウェア判定部132は、攻撃検知部131でマルウェアと判定されたファイルのうち、既存のマルウェア検出ソフトウェアでマルウェアであると検出されなかったファイルを未知のマルウェアのファイルと判定し、抽出する。抽出したファイルは、未知マルウェア記憶部141に記憶する。この未知マルウェア判定部132は、図1に例示するように、1以上のマルウェア検出ソフトウェアを備え、これらのマルウェア検出ソフトウェアにより、ファイルのマルウェアの検出を行う。未知マルウェア判定部132で用いるマルウェア検出ソフトウェアは、市販のアンチウィルス製品でもよいし、独自に定義したパターンとのマッチングにより既知のマルウェアであると検出するソフトウェアでもよい。   The unknown malware determination unit 132 determines a file that has not been detected as malware by the existing malware detection software from among the files determined as malware by the attack detection unit 131 and extracts the file as an unknown malware file. The extracted file is stored in the unknown malware storage unit 141. As illustrated in FIG. 1, the unknown malware determination unit 132 includes one or more malware detection software, and detects malware of a file using these malware detection software. The malware detection software used in the unknown malware determination unit 132 may be a commercially available anti-virus product or software that detects that it is a known malware by matching with a uniquely defined pattern.

なお、以下では、未知マルウェア判定部132が複数の異なるマルウェア検出ソフトウェアでマルウェアの検出を行う場合について説明するが、未知マルウェア判定部132は1つのマルウェア検出ソフトウェアでマルウェアの検出を行ってもよい。   Hereinafter, a case where the unknown malware determination unit 132 detects malware with a plurality of different malware detection software will be described. However, the unknown malware determination unit 132 may detect malware with a single malware detection software.

未知マルウェア記憶部141は、未知マルウェア判定部132によって抽出された未知のマルウェアのファイルを記憶する。   The unknown malware storage unit 141 stores an unknown malware file extracted by the unknown malware determination unit 132.

良性ファイル記憶部142は、マルウェア以外のファイル(良性ファイル)を記憶する。この良性ファイルは、マルウェアではないことが明らかで無害なファイルであり、例えば、バイト列抽出装置10の管理者等により予め収集されたものである。この良性ファイルの収集方法は、例えば、フリーソフトを提供しているサイトにおいて頻繁にダウンロードされているソフトウェアの上位N個を収集する方法や、Windows(登録商標)やLinux(登録商標)といったOS(Operating System)に最初から含まれているファイルを収集する方法等がある。   The benign file storage unit 142 stores files other than malware (benign files). This benign file is an obvious and harmless file that is not malware, and is collected in advance by, for example, the administrator of the byte string extraction device 10 or the like. This benign file collection method is, for example, a method of collecting the top N frequently downloaded software on a site providing free software, or an OS (such as Windows (registered trademark) or Linux (registered trademark)). There is a method of collecting files included in the Operating System) from the beginning.

バイト列抽出部133は、未知マルウェア記憶部141に記憶された未知のマルウェアのファイルから抽出したバイト列と、良性ファイル記憶部142に記憶された各良性ファイルのバイト列とを比較し、良性ファイルには含まれないが未知のマルウェアのファイルには含まれるバイト列を抽出する。抽出したバイト列は、バイト列抽出部133が、このバイト列の抽出元のファイルの情報(マルウェア情報)と対応付けてバイト列情報記憶部143に記憶する。   The byte string extraction unit 133 compares the byte string extracted from the unknown malware file stored in the unknown malware storage unit 141 with the byte string of each benign file stored in the benign file storage unit 142, and the benign file Extracts byte sequences that are not included in but unknown malware files. The byte string extraction unit 133 stores the extracted byte string in the byte string information storage unit 143 in association with the information (malware information) of the file from which the byte string is extracted.

バイト列情報記憶部143は、バイト列抽出部133により抽出されたバイト列を、抽出元のファイルのマルウェア情報と対応付けた情報(バイト列情報)を記憶する。なお、マルウェア情報は、バイト列の抽出元のファイルの識別情報(例えば、当該ファイルのハッシュ値等)等を示した情報である。   The byte string information storage unit 143 stores information (byte string information) in which the byte string extracted by the byte string extraction unit 133 is associated with the malware information of the extraction source file. The malware information is information indicating identification information (for example, a hash value of the file) of the file from which the byte string is extracted.

なお、攻撃検知部131、未知マルウェア判定部132、および、バイト列抽出部133は、バイト列抽出装置10の備えるCPU(Central Processing Unit)によるプログラム実行処理や、専用のハードウェアにより実現される。また、未知マルウェア記憶部141、良性ファイル記憶部142、および、バイト列情報記憶部143は、バイト列抽出装置10の備えるHDD(Hard Disk Drive)、RAM(Random Access Memory)等の記憶部(図示省略)の所定領域に形成される。   The attack detection unit 131, the unknown malware determination unit 132, and the byte string extraction unit 133 are realized by a program execution process by a CPU (Central Processing Unit) included in the byte string extraction device 10 or by dedicated hardware. The unknown malware storage unit 141, the benign file storage unit 142, and the byte string information storage unit 143 are storage units (illustrated) such as an HDD (Hard Disk Drive) and a RAM (Random Access Memory) included in the byte string extraction device 10. (Omitted) in a predetermined region.

以上説明したバイト列抽出装置10は、既存のマルウェア検出ソフトウェアでは検出できないマルウェア(未知のマルウェア)についてシグネチャとなるバイト列を抽出する。よって、このバイト列をシグネチャとして用いて通信データからのマルウェア検出を行うことで、既存のマルウェア検出ソフトウェアでは検出できないマルウェア(例えば、まだ定義ファイルが用意されていない新しいマルウェア)についても漏れなく検出することができる。また、このバイト列は、既存のマルウェア検出ソフトウェアで検出できるマルウェアのバイト列は含まない。つまり、マルウェア検出のシグネチャとして用いるバイト列のデータ量を低減できるので、マルウェア検出においてシグネチャと通信データとのマッチング処理にかかる時間を低減できる。その結果、マルウェア検出時におけるスループットの低下を低減することができる。   The byte string extraction device 10 described above extracts a byte string that serves as a signature for malware (unknown malware) that cannot be detected by existing malware detection software. Therefore, by using this byte sequence as a signature to detect malware from communication data, malware that cannot be detected by existing malware detection software (for example, new malware for which definition files are not yet prepared) can be detected without omission. be able to. Further, this byte string does not include a malware byte string that can be detected by existing malware detection software. That is, since the amount of data in the byte sequence used as the signature for malware detection can be reduced, the time required for matching processing between the signature and the communication data in malware detection can be reduced. As a result, it is possible to reduce a decrease in throughput when malware is detected.

(処理手順)
次に、バイト列抽出装置10の処理手順を説明する。まず、図2を用いて、攻撃検知部131の処理手順を説明する。図2は、図1の攻撃検知部の処理手順を示すフローチャートである。 (Processing procedure)
Next, a processing procedure of the byte string extraction device 10 will be described. First, the process procedure of the attack detection part 131 is demonstrated using FIG. FIG. 2 is a flowchart showing a processing procedure of the attack detection unit of FIG.

図2に示すように、攻撃検知部131は、プログラムコードにおいて脆弱性の存在する箇所の監視を行う(S1)。例えば、攻撃検知部131は、バッファオーバーフローの脆弱性を有するプログラムコードにおいて、所定量以上のデータがバッファに書き込まれるか否かを監視する。   As shown in FIG. 2, the attack detection unit 131 monitors a place where vulnerability exists in the program code (S1). For example, the attack detection unit 131 monitors whether or not a predetermined amount or more of data is written to the buffer in the program code having a buffer overflow vulnerability.

そして、攻撃検知部131において、脆弱性に対する攻撃が発生したと判定したとき(S2でYes)、その脆弱性に対する攻撃が行われた際に作成された一連のファイルを記憶部(図示省略)の所定領域に保存する(S3)。一方、攻撃検知部131が、脆弱性に対する攻撃が発生していないと判定したとき(S2でNo)、S1へ戻る。   When the attack detection unit 131 determines that an attack against the vulnerability has occurred (Yes in S2), the series of files created when the attack against the vulnerability is performed is stored in the storage unit (not shown). Save in a predetermined area (S3). On the other hand, when the attack detection unit 131 determines that an attack against the vulnerability has not occurred (No in S2), the process returns to S1.

S3で保存された一連のファイルの中に、当該脆弱性に対する攻撃を発生させる原因となるデータを含むファイルがある場合(S4でYes)、つまり、S3で保存された一連のファイルの中に、当該脆弱性に対する攻撃を引き起こす原因となったファイルが含まれていた場合、攻撃検知部131は、その脆弱性に対する攻撃を含むファイルをマルウェアと判定する(S5)。そして、S6へ進む。   If there is a file including data that causes an attack against the vulnerability in the series of files saved in S3 (Yes in S4), that is, in the series of files saved in S3, When a file that causes an attack against the vulnerability is included, the attack detection unit 131 determines that the file including the attack against the vulnerability is malware (S5). Then, the process proceeds to S6.

なお、脆弱性に対する攻撃を含むファイルは、例えば、PDF(Portable Document Format)ファイル自体にPDFファイルの読み込みアプリケーションの脆弱性を悪用するコードが埋め込まれたファイル等である。また、S3で保存された一連のファイルがいずれも当該脆弱性に対する攻撃を含まないと判定された場合(S4でNo)、S6へ進む。   The file including the attack against the vulnerability is, for example, a file in which a code that exploits the vulnerability of the PDF file reading application is embedded in the PDF (Portable Document Format) file itself. If it is determined that none of the series of files stored in S3 includes an attack against the vulnerability (No in S4), the process proceeds to S6.

S6で、攻撃検知部131は、S3で保存された一連のファイルが、攻撃が行われた際にネットワーク経由で外部から取得された実行ファイルであり、攻撃によりその実行ファイルが実行された場合(S6でYes)、当該実行ファイルをマルウェアと判定する(S7)。そして、処理を終了する。一方、S6で攻撃により実行ファイルが実行されなかった場合(S6でNo)、そのまま処理を終了する。   In S6, the attack detection unit 131, when the series of files stored in S3 is an executable file acquired from the outside via the network when the attack is performed, and the executable file is executed by the attack ( In S6, the execution file is determined to be malware (S7). Then, the process ends. On the other hand, if the executable file is not executed due to the attack in S6 (No in S6), the process is terminated.

このように攻撃検知部131は、脆弱性に対する攻撃により作成された一連のファイルのうち、当該攻撃を引き起こす原因となったファイル、および、攻撃の結果取得され実行された実行ファイルを、マルウェアと判定する。なお、攻撃検知部131は、マルウェアと判定されたファイルの情報(マルウェア情報)を、記憶部(図示省略)の所定領域に記憶しておく。   As described above, the attack detection unit 131 determines that the file causing the attack and the execution file acquired and executed as a result of the attack are determined as malware among the series of files created by the attack against the vulnerability. To do. The attack detection unit 131 stores information on the file determined as malware (malware information) in a predetermined area of a storage unit (not shown).

次に、図3を用いて、未知マルウェア判定部132の処理手順を説明する。図3は、図1の未知マルウェア判定部の処理手順を示すフローチャートである。   Next, the processing procedure of the unknown malware determination part 132 is demonstrated using FIG. FIG. 3 is a flowchart illustrating a processing procedure of the unknown malware determination unit in FIG.

まず、未知マルウェア判定部132は、攻撃検知部131によりマルウェアと判定されたファイルに対し、マルウェア検出ソフトウェアにより未知のマルウェアか否かの判定を行う(S11)。つまり、未知マルウェア判定部132は、攻撃検知部131によりマルウェアと判定されたファイルを記憶部(図示省略)から読み出し、このファイルについて、既存のマルウェア検出ソフトウェアが既知のマルウェアと検出するか否かを判断する。ここで、当該ファイルを既知のマルウェアと判定したマルウェア検出ソフトウェアの数が所定値以下(例えば、未知マルウェア判定部132の備えるマルウェア検出ソフトウェアが全部で5つであった場合において、既知のマルウェアと判定したマルウェア検出ソフトウェアが1つ以下等)であった場合(S12でYes)、当該ファイルを未知のマルウェアのファイルと判定し(S13)、未知マルウェア記憶部141に記憶する(S15)。一方、当該ファイルを既知のマルウェアと判定したマルウェア検出ソフトウェアの数が所定値を超えていた場合(S12でNo)、未知マルウェア判定部132は、当該ファイルを既知のマルウェアと判定する(S14)。未知マルウェア判定部132は、上記の処理を攻撃検知部131によりマルウェアと判定されたファイルそれぞれに対し実行する。   First, the unknown malware determination unit 132 determines whether or not the file is determined as malware by the attack detection unit 131 by the malware detection software (S11). That is, the unknown malware determination unit 132 reads a file determined as malware by the attack detection unit 131 from the storage unit (not shown), and determines whether or not the existing malware detection software detects the known malware for this file. to decide. Here, the number of malware detection software that has determined that the file is known malware is equal to or less than a predetermined value (for example, when the number of malware detection software included in the unknown malware determination unit 132 is five in total, it is determined as known malware). If the number of detected malware is one or less (Yes in S12), the file is determined to be an unknown malware file (S13) and stored in the unknown malware storage unit 141 (S15). On the other hand, when the number of malware detection software that has determined that the file is known malware exceeds a predetermined value (No in S12), the unknown malware determination unit 132 determines that the file is known malware (S14). The unknown malware determination unit 132 executes the above process for each file determined as malware by the attack detection unit 131.

このように未知マルウェア判定部132は、攻撃が検知されたファイルそれぞれについて、既存のマルウェア検出ソフトウェアで既知のマルウェアであると判定できなかったファイルを未知マルウェア記憶部141に蓄積していく。   As described above, the unknown malware determination unit 132 accumulates, in the unknown malware storage unit 141, files that cannot be determined to be known malware by the existing malware detection software for each of the files in which the attack is detected.

なお、S11において、未知マルウェア判定部132がマルウェア検出ソフトウェアにより既知のマルウェアと検出した場合には、入出力部12経由で既知のマルウェアと検出した旨の通知や既知のマルウェアと判定された際の分類名等の情報を出力するようにしてもよい。   In S11, when the unknown malware determination unit 132 detects a known malware by the malware detection software, a notification that the known malware has been detected via the input / output unit 12 or a known malware is determined. Information such as a classification name may be output.

次に、図4を用いて、バイト列抽出部133の処理手順を説明する。図4は、図1のバイト列抽出部の処理手順を示すフローチャートである。   Next, the processing procedure of the byte string extraction unit 133 will be described with reference to FIG. FIG. 4 is a flowchart showing a processing procedure of the byte string extraction unit of FIG.

バイト列抽出部133は、未知マルウェア記憶部141に処理(バイト列抽出処理)を行っていないファイルが存在するか否かを確認する(S21)。処理を行っていないファイルが存在しない場合(S21でNo)、処理を終了する。一方、まだ処理を行っていないファイルが存在する場合(S21でYes)、バイト列抽出部133は、未知マルウェア記憶部141からまだ処理を行っていないファイルを取得する(S22)。そして、バイト列抽出部133は、取得したファイルから所定長のバイト列を抽出する(S23)。   The byte string extraction unit 133 checks whether there is a file that has not been processed (byte string extraction process) in the unknown malware storage unit 141 (S21). If there is no file that has not been processed (No in S21), the process ends. On the other hand, when there is a file that has not been processed yet (Yes in S21), the byte string extraction unit 133 acquires a file that has not yet been processed from the unknown malware storage unit 141 (S22). Then, the byte string extraction unit 133 extracts a byte string having a predetermined length from the acquired file (S23).

次に、バイト列抽出部133は、S23で抽出したバイト列が、良性ファイル記憶部142のファイル(良性ファイル)中に存在するか否かを判定する(S24)。ここで、S23で抽出したバイト列が良性ファイル記憶部142に保存されているいずれのファイルにも存在しなかった場合(S24でNo)、バイト列抽出部133は、抽出したバイト列と抽出元のファイルの情報(マルウェア情報)とを対応付けたバイト列情報をバイト列情報記憶部143に記憶する(S25)。そして、S21へ戻る。   Next, the byte string extraction unit 133 determines whether or not the byte string extracted in S23 exists in the file (benign file) of the benign file storage unit 142 (S24). If the byte sequence extracted in S23 does not exist in any file stored in the benign file storage unit 142 (No in S24), the byte sequence extraction unit 133 extracts the extracted byte sequence and the extraction source. Byte string information associated with the file information (malware information) is stored in the byte string information storage unit 143 (S25). Then, the process returns to S21.

一方、S23で抽出したバイト列が、良性ファイル記憶部142に記憶されるいずれかの良性ファイル中に存在する場合において(S24でYes)、当該バイト列の抽出元のファイルに、所定長のバイト列を抽出可能な箇所が他に存在すれば(S26でYes)、バイト列抽出部133は抽出する箇所を変更し(S27)、S23以降の処理を実行する。一方、当該バイト列の抽出元のファイルに、所定長のバイト列を抽出可能な箇所が他に存在しなければ(S26でNo)、S21へ戻る。   On the other hand, when the byte sequence extracted in S23 is present in any of the benign files stored in the benign file storage unit 142 (Yes in S24), a byte having a predetermined length is included in the file from which the byte sequence is extracted. If there is another place where the sequence can be extracted (Yes in S26), the byte sequence extraction unit 133 changes the location to be extracted (S27), and executes the processing after S23. On the other hand, if there is no other place where a byte string of a predetermined length can be extracted (No in S26), the process returns to S21.

このようにすることで、バイト列抽出部133は、未知のマルウェアのファイルから、いずれの良性ファイルにも含まれないバイト列を抽出することができる。そして、このバイト列を、マルウェア検出のシグネチャとして用いることで、未知のマルウェアの検出を行うことができる。   By doing in this way, the byte sequence extraction part 133 can extract the byte sequence which is not contained in any benign file from the file of unknown malware. Then, by using this byte string as a signature for malware detection, unknown malware can be detected.

なお、S23で、バイト列抽出部133が抽出するバイト列については、対象となるファイル全体から抽出してもよいし、ファイルのヘッダ部を除く部分から抽出してもよい。さらに、対象となるファイルが実行コードを含むファイルの場合、当該ファイルの実行コードを含む領域から抽出してもよいし、実行コードを含まない領域から抽出してもよい。また、バイト列の抽出は、当該ファイルの抽出対象の領域の先頭から順に取り出してもよいし、任意の場所を開始箇所として取り出してもよい。任意の場所の例としては、当該ファイルの実行コードを含む領域のうち、コード実行開始箇所(Original Entry Point)等がある。   In S23, the byte string extracted by the byte string extraction unit 133 may be extracted from the entire target file, or may be extracted from a portion excluding the header portion of the file. Further, when the target file is a file including an execution code, the file may be extracted from an area including the execution code of the file or may be extracted from an area not including the execution code. The byte string may be extracted in order from the beginning of the extraction target area of the file, or an arbitrary location may be extracted as a start location. As an example of the arbitrary place, there is a code execution start point (Original Entry Point) in an area including the execution code of the file.

(第2の実施形態)
前記した未知マルウェア判定部132において、バイト列情報記憶部143に記憶されたバイト列のうち、マルウェア検出ソフトウェアにとって既に未知ではなくなったマルウェアのバイト列情報を削除するようにしてもよい。この場合の実施形態を第2の実施形態として説明する。図5は、第2の実施形態における未知マルウェア判定部の処理手順を説明するフローチャートである。 (Second Embodiment)
In the unknown malware determination unit 132 described above, the byte sequence information of malware that is no longer unknown to the malware detection software among the byte sequences stored in the byte sequence information storage unit 143 may be deleted. An embodiment in this case will be described as a second embodiment. FIG. 5 is a flowchart for explaining the processing procedure of the unknown malware determination unit in the second embodiment.

このバイト列情報の削除は、例えば、未知マルウェア判定部132のマルウェア検出ソフトウェアに何らかの変更があったことを契機として行われる。具体例を挙げると、マルウェア検出ソフトウェアの追加や、バージョンアップ、マルウェア検出に用いるマルウェア検出定義ファイルの変更等を契機として行われる。また、このバイト列情報の削除は、上記のほか、1日に1回等、所定期間ごとに行われてもよい。   This deletion of the byte string information is performed, for example, when there is some change in the malware detection software of the unknown malware determination unit 132. As a specific example, it is triggered by the addition of malware detection software, version upgrade, change of a malware detection definition file used for malware detection, or the like. In addition to the above, deletion of this byte string information may be performed every predetermined period, such as once a day.

まず、未知マルウェア判定部132は、バイト列情報記憶部143に記憶されているバイト列情報からバイト列に対応付けられたマルウェア情報を取得し(S31)、このマルウェア情報に該当するファイルを未知マルウェア記憶部141から取得する(S32)。   First, the unknown malware determination unit 132 acquires malware information associated with the byte sequence from the byte sequence information stored in the byte sequence information storage unit 143 (S31), and identifies a file corresponding to the malware information as an unknown malware. Obtained from the storage unit 141 (S32).

未知マルウェア判定部132は、S31で取得したファイルについて、各マルウェア検出ソフトウェアにより未知のマルウェアか否かの判定を行う(S33)。ここで、当該ファイルが既知のマルウェアである、つまり、未知のマルウェアではないと判定されたとき(S34でNo)、当該ファイルにより抽出されたバイト列に関するバイト列情報をバイト列情報記憶部143から削除する(S35)。また、未知マルウェア判定部132は、当該ファイルを未知マルウェア記憶部141から削除する(S36)。そして、処理を終了する。一方、未知マルウェア判定部132は、S31で取得したファイルについて、各マルウェア検出ソフトウェアにより未知のマルウェアであると判定されたとき(S34でYes)、処理を終了する。   The unknown malware determination unit 132 determines whether or not the file acquired in S31 is unknown malware by each malware detection software (S33). Here, when it is determined that the file is a known malware, that is, it is not an unknown malware (No in S34), byte sequence information regarding the byte sequence extracted by the file is obtained from the byte sequence information storage unit 143. Delete (S35). The unknown malware determination unit 132 deletes the file from the unknown malware storage unit 141 (S36). Then, the process ends. On the other hand, when the unknown malware determination unit 132 determines that the file acquired in S31 is unknown malware by each malware detection software (Yes in S34), the process ends.

このように第2の実施形態のバイト列抽出装置10は、マルウェア検出定義ファイルのアップデート等により、既に未知のマルウェアではなくなったファイルのバイト列情報をバイト列情報記憶部143から削除する。その結果、バイト列情報記憶部143に記憶されるバイト列情報のデータ量を低減できる。したがって、このバイト列情報記憶部143に記憶されたバイト列情報のバイト列をシグネチャとして用いて通信データとのマッチングを行う際の時間を低減できる。   As described above, the byte string extraction device 10 of the second exemplary embodiment deletes byte string information of a file that is no longer unknown malware from the byte string information storage unit 143 by updating the malware detection definition file or the like. As a result, the data amount of the byte string information stored in the byte string information storage unit 143 can be reduced. Therefore, it is possible to reduce the time when matching with communication data using the byte string of the byte string information stored in the byte string information storage unit 143 as a signature.

(第3の実施形態)
なお、バイト列抽出装置10は、図1の破線で示すマルウェア検出部134をさらに備えていてもよい。このマルウェア検出部134は、バイト列情報記憶部143に記憶されたバイト列を参照して、未知のマルウェアの検出を行う。つまり、マルウェア検出部134は、バイト列情報記憶部143に記憶されたバイト列をシグネチャとして用いて未知のマルウェアの検出を行う。 (Third embodiment)
The byte string extraction device 10 may further include a malware detection unit 134 indicated by a broken line in FIG. The malware detection unit 134 refers to the byte string stored in the byte string information storage unit 143 to detect unknown malware. That is, the malware detection unit 134 detects unknown malware by using the byte sequence stored in the byte sequence information storage unit 143 as a signature.

このマルウェア検出部134の処理手順を、図6を用いて説明する。図6は、図1のマルウェア検出部の処理手順を示すフローチャートである。マルウェア検出部134は、例えば、通信部11経由で、外部装置からの通信データ(例えば、保護対象のネットワーク上の通信データ)を取得すると(S41)、取得した通信データに、バイト列情報記憶部143のバイト列情報に示されるバイト列が含まれているか否かを判定する(S42)。ここで、取得した通信データに、バイト列情報に示されるバイト列が含まれているとき(S42でYes)、マルウェア検出部134は、未知のマルウェアを検出したと判定し(S43)、その判定結果を出力する(S44)。そして、S41へ戻る。例えば、マルウェア検出部134は、当該通信データから未知のマルウェアを検出したとき、当該通信データから未知のマルウェアを検出した旨の判定結果を出力する。   The processing procedure of the malware detection unit 134 will be described with reference to FIG. FIG. 6 is a flowchart showing a processing procedure of the malware detection unit of FIG. For example, when the malware detection unit 134 acquires communication data (for example, communication data on the network to be protected) from the external device via the communication unit 11 (S41), the byte data information storage unit is added to the acquired communication data. It is determined whether or not the byte string indicated by the byte string information 143 is included (S42). Here, when the acquired communication data includes the byte string indicated by the byte string information (Yes in S42), the malware detection unit 134 determines that an unknown malware has been detected (S43), and the determination The result is output (S44). Then, the process returns to S41. For example, when the malware detection unit 134 detects unknown malware from the communication data, the malware detection unit 134 outputs a determination result indicating that the unknown malware is detected from the communication data.

また、このマルウェア検出部134は、S44で判定結果を出力するとき、バイト列情報において当該バイト列と対応付けられているファイル(未知のマルウェアのファイル)のマルウェア情報等を入出力部12経由で外部へ出力してもよい。なお、S41で取得した通信データに、バイト列情報記憶部143のバイト列情報に示されるバイト列が含まれていないとき(S42でNo)、S41へ戻る。   Further, when the malware detection unit 134 outputs the determination result in S44, the malware information of the file (unknown malware file) associated with the byte sequence in the byte sequence information is transmitted via the input / output unit 12. You may output to the outside. When the communication data acquired in S41 does not include the byte string indicated by the byte string information in the byte string information storage unit 143 (No in S42), the process returns to S41.

このようにすることで、バイト列抽出装置10は、抽出したバイト列を用いて未知のマルウェアの検出をすることができる。なお、このマルウェア検出部134は、バイト列抽出装置10の外部の装置により実現されてももちろんよい。   By doing in this way, byte sequence extraction device 10 can detect unknown malware using the extracted byte sequence. Of course, the malware detection unit 134 may be realized by a device external to the byte string extraction device 10.

なお、前記した未知マルウェア判定部132で用いるマルウェア検出ソフトウェアは、バイト列抽出装置10の管理者等が適宜設定可能である。例えば、攻撃検知部131において保護対象としているネットワーク上でマルウェア検出ソフトウェアAが用いられている場合、未知マルウェア判定部132で用いるマルウェア検出ソフトウェアもマルウェア検出ソフトウェアAを設定しておく。   Note that the malware detection software used by the unknown malware determination unit 132 can be set as appropriate by the administrator of the byte string extraction device 10 or the like. For example, when the malware detection software A is used on the network that is the protection target in the attack detection unit 131, the malware detection software used by the unknown malware determination unit 132 is also set as the malware detection software A.

このようにすることで、バイト列抽出装置10は、監視対象のネットワークで用いているマルウェア検出ソフトウェアでは検出できないマルウェアのシグネチャとなるバイト列を抽出することができる。そして、その後、マルウェア検出部134が、この抽出したバイト列を用いて当該保護対象のネットワークにおける通信データとのマッチングを行うことで、保護対象のネットワークにおけるマルウェア検出を漏れなく行うことができる。   By doing in this way, the byte sequence extraction apparatus 10 can extract the byte sequence used as the malware signature which cannot be detected by the malware detection software used in the monitored network. After that, the malware detection unit 134 performs matching with the communication data in the protection target network using the extracted byte string, so that the malware detection in the protection target network can be performed without omission.

(プログラム)
また、上記実施形態に係るバイト列抽出装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、バイト列抽出装置10と同様の機能を実現するバイト列抽出プログラムを実行するコンピュータの一例を説明する。 (program)
It is also possible to create a program in which the processing executed by the byte string extraction device 10 according to the above embodiment is described in a language that can be executed by a computer. In this case, the same effect as the above-described embodiment can be obtained by the computer executing the program. Further, such a program may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read by a computer and executed to execute the same processing as in the above embodiment. An example of a computer that executes a byte string extraction program that implements the same function as the byte string extraction device 10 will be described below.

図7は、バイト列抽出プログラムを実行するコンピュータを示す図である。図7に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。   FIG. 7 is a diagram illustrating a computer that executes a byte string extraction program. As illustrated in FIG. 7, the computer 1000 includes, for example, a memory 1010, a CPU 1020, a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network interface 1070. These units are connected by a bus 1080.

メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。   The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM 1012. The ROM 1011 stores a boot program such as BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1090. The disk drive interface 1040 is connected to the disk drive 1100. A removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1100, for example. For example, a mouse 1110 and a keyboard 1120 are connected to the serial port interface 1050. For example, a display 1130 is connected to the video adapter 1060.

ここで、図7に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えば、ハードディスクドライブ1090やメモリ1010に記憶される。   Here, as shown in FIG. 7, the hard disk drive 1090 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. Each table described in the above embodiment is stored in, for example, the hard disk drive 1090 or the memory 1010.

また、バイト列抽出プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明したバイト列抽出装置10が実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。   Further, the byte string extraction program is stored in the hard disk drive 1090 as a program module in which a command executed by the computer 1000 is described, for example. Specifically, a program module describing each process executed by the byte string extraction device 10 described in the above embodiment is stored in the hard disk drive 1090.

また、バイト列抽出プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。   Data used for information processing by the byte string extraction program is stored as program data in, for example, the hard disk drive 1090. Then, the CPU 1020 reads out the program module 1093 and the program data 1094 stored in the hard disk drive 1090 to the RAM 1012 as necessary, and executes the above-described procedures.

なお、バイト列抽出プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、バイト列抽出プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。   Note that the program module 1093 and the program data 1094 related to the byte string extraction program are not limited to being stored in the hard disk drive 1090. For example, the program module 1093 and the program data 1094 are stored in a removable storage medium, and the CPU 1020 via the disk drive 1100 or the like It may be read out. Alternatively, the program module 1093 and the program data 1094 related to the byte string extraction program are stored in another computer connected via a network such as a LAN (Local Area Network) or a WAN (Wide Area Network), and the network interface 1070 is stored. Via the CPU 1020.

10 バイト列抽出装置
11 通信部
12 入出力部
131 攻撃検知部
132 未知マルウェア判定部
133 バイト列抽出部
134 マルウェア検出部
141 未知マルウェア記憶部
142 良性ファイル記憶部
143 バイト列情報記憶部 DESCRIPTION OF SYMBOLS 10 Byte string extraction apparatus 11 Communication part 12 Input / output part 131 Attack detection part 132 Unknown malware determination part 133 Byte string extraction part 134 Malware detection part 141 Unknown malware storage part 142 Benign file storage part 143 Byte string information storage part

Claims (8)

監視対象のネットワークに対する攻撃を検知した場合に、前記攻撃に関連して取得されたファイルをマルウェアであると判定する攻撃検知部と、
前記攻撃検知部でマルウェアと判定されたファイルのうち、所定のマルウェア検出ソフトウェアでマルウェアであると検出されなかったファイルを未知のマルウェアのファイルと判定する未知マルウェア判定部と、
マルウェア以外のファイルである良性ファイルには存在しないが、前記未知のマルウェアのファイルには存在する所定長のバイト列を抽出するバイト列抽出部とを備えることを特徴とするバイト列抽出装置。 An attack detection unit that determines that a file acquired in connection with the attack is malware when an attack on the monitored network is detected;
Of the files determined to be malware by the attack detection unit, an unknown malware determination unit that determines a file that is not detected as malware by predetermined malware detection software as an unknown malware file;
A byte string extraction device comprising: a byte string extraction unit that extracts a byte string of a predetermined length that does not exist in a benign file that is a file other than malware, but exists in the unknown malware file. 前記所定のマルウェア検出ソフトウェアは、複数の異なるマルウェア検出ソフトウェアであり、
前記未知マルウェア判定部は、前記攻撃検知部でマルウェアであると判定されたファイルのうち、前記マルウェアを検出した前記マルウェア検出ソフトウェアの数が所定数よりも少ないファイルを前記未知のマルウェアのファイルと判定することを特徴とする請求項1に記載のバイト列抽出装置。 The predetermined malware detection software is a plurality of different malware detection software,
The unknown malware determination unit determines, among the files determined to be malware by the attack detection unit, files whose number of the malware detection software that detected the malware is less than a predetermined number as files of the unknown malware The byte string extraction device according to claim 1, wherein: 前記所定のマルウェア検出ソフトウェアは、保護対象となる所定のネットワーク内で利用されているマルウェア検出ソフトウェアと同じマルウェア検出ソフトウェアであることを特徴とする請求項1または請求項2に記載のバイト列抽出装置。   The byte string extraction device according to claim 1 or 2, wherein the predetermined malware detection software is the same malware detection software as the malware detection software used in a predetermined network to be protected. . 前記攻撃検知部は、前記攻撃を検知した場合に、当該攻撃によって実行することとなったファイルをマルウェアであると判定することを特徴とする請求項1ないし請求項3のいずれか1項に記載のバイト列抽出装置。   4. The attack detection unit according to claim 1, wherein when detecting the attack, the attack detection unit determines that the file executed due to the attack is malware. Byte string extractor. 前記攻撃検知部は、前記攻撃を検知した場合に、当該攻撃を引き起こす原因となったファイルをマルウェアであると判定することを特徴とする請求項1ないし請求項3のいずれか1項に記載のバイト列抽出装置。   The said attack detection part determines that the file which caused the said attack is malware when the said attack is detected, The Claim 1 thru | or 3 characterized by the above-mentioned. Byte string extractor. 前記バイト列抽出装置は、さらに、
前記未知のマルウェアと判定されたファイルを記憶する未知マルウェア記憶部と、
前記未知のマルウェアと判定されたファイルから抽出されたバイト列を記憶するバイト列情報記憶部とを備え、
前記未知マルウェア判定部は、さらに、前記未知マルウェア記憶部に記憶されたファイルそれぞれに対し、再度マルウェアの検出を行った結果、既知のマルウェアであると判定されたファイルがあったとき、前記バイト列情報記憶部のバイト列のうち、当該ファイルから抽出されたバイト列を削除することを特徴とする請求項1ないし請求項5のいずれか1項に記載のバイト列抽出装置。 The byte string extraction device further includes:
An unknown malware storage unit for storing a file determined to be the unknown malware;
A byte string information storage unit that stores a byte string extracted from the file determined to be the unknown malware,
The unknown malware determination unit further detects the malware again for each file stored in the unknown malware storage unit, and as a result, when there is a file determined to be a known malware, the byte string 6. The byte string extraction apparatus according to claim 1, wherein a byte string extracted from the file is deleted from the byte string in the information storage unit. 監視対象のネットワークに対する攻撃を検知した場合に、前記攻撃に関連して取得されたファイルをマルウェアであると判定するステップと、
前記マルウェアと判定されたファイルのうち、所定のマルウェア検出ソフトウェアでマルウェアが検出されなかったファイルを未知のマルウェアのファイルと判定するステップと、
マルウェア以外のファイルである良性ファイルには存在しないが、前記未知のマルウェアのファイルには存在する所定長のバイト列を抽出するステップとをコンピュータが実行することを特徴とするバイト列抽出方法。 Determining that the file obtained in connection with the attack is malware when an attack on the monitored network is detected;
Determining a file in which malware is not detected by predetermined malware detection software among files determined to be malware as an unknown malware file;
A byte sequence extraction method, wherein a computer executes a step of extracting a predetermined length byte sequence that does not exist in a benign file that is a file other than malware but exists in the unknown malware file. 監視対象のネットワークに対する攻撃を検知した場合に、前記攻撃に関連して取得されたファイルをマルウェアであると判定するステップと、
前記マルウェアと判定されたファイルのうち、所定のマルウェア検出ソフトウェアでマルウェアが検出されなかったファイルを未知のマルウェアのファイルと判定するステップと、
マルウェア以外のファイルである良性ファイルには存在しないが、前記未知のマルウェアのファイルには存在する所定長のバイト列を抽出するステップとをコンピュータに実行させることを特徴とするバイト列抽出プログラム。 Determining that the file obtained in connection with the attack is malware when an attack on the monitored network is detected;
Determining a file in which malware is not detected by predetermined malware detection software among files determined to be malware as an unknown malware file;
A byte string extraction program which causes a computer to execute a step of extracting a predetermined length byte string which is not present in a benign file which is a file other than malware but is present in the unknown malware file.
JP2013249034A 2013-12-02 2013-12-02 Byte string extraction device, byte string extraction method, and byte string extraction program Active JP6084556B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013249034A JP6084556B2 (en) 2013-12-02 2013-12-02 Byte string extraction device, byte string extraction method, and byte string extraction program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013249034A JP6084556B2 (en) 2013-12-02 2013-12-02 Byte string extraction device, byte string extraction method, and byte string extraction program

Publications (2)

Publication Number Publication Date
JP2015106336A true JP2015106336A (en) 2015-06-08
JP6084556B2 JP6084556B2 (en) 2017-02-22

Family

ID=53436379

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013249034A Active JP6084556B2 (en) 2013-12-02 2013-12-02 Byte string extraction device, byte string extraction method, and byte string extraction program

Country Status (1)

Country Link
JP (1) JP6084556B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022219792A1 (en) * 2021-04-15 2022-10-20 日本電信電話株式会社 Collection device, collection method, and collection program
JP7331679B2 (en) 2018-12-21 2023-08-23 富士通株式会社 Determining Information Leakage in Computer Readable Programs

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0844556A (en) * 1994-07-27 1996-02-16 Koichi Masaoka Software structure and mechanism for security and system protection in electronic computer
JP2004054470A (en) * 2002-07-18 2004-02-19 Sony Corp Network security system, information processor, information processing method, and computer program
US20080289042A1 (en) * 2005-11-16 2008-11-20 Jie Bai Method for Identifying Unknown Virus and Deleting It
US20120174227A1 (en) * 2010-12-30 2012-07-05 Kaspersky Lab Zao System and Method for Detecting Unknown Malware

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0844556A (en) * 1994-07-27 1996-02-16 Koichi Masaoka Software structure and mechanism for security and system protection in electronic computer
JP2004054470A (en) * 2002-07-18 2004-02-19 Sony Corp Network security system, information processor, information processing method, and computer program
US20080289042A1 (en) * 2005-11-16 2008-11-20 Jie Bai Method for Identifying Unknown Virus and Deleting It
US20120174227A1 (en) * 2010-12-30 2012-07-05 Kaspersky Lab Zao System and Method for Detecting Unknown Malware

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6016045660; 'お答えします 複数の対策ソフトでチェックしたい' 日経パソコン No.562, 20080922, p.149, 日経BP社 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7331679B2 (en) 2018-12-21 2023-08-23 富士通株式会社 Determining Information Leakage in Computer Readable Programs
WO2022219792A1 (en) * 2021-04-15 2022-10-20 日本電信電話株式会社 Collection device, collection method, and collection program

Also Published As

Publication number Publication date
JP6084556B2 (en) 2017-02-22

Similar Documents

Publication Publication Date Title
EP3502943B1 (en) Method and system for generating cognitive security intelligence for detecting and preventing malwares
US9853994B2 (en) Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program
Alazab et al. Cybercrime: the case of obfuscated malware
JP4938576B2 (en) Information collection system and information collection method
US20150058987A1 (en) Detecting File Encrypting Malware
US20150047034A1 (en) Composite analysis of executable content across enterprise network
JP6690646B2 (en) Information processing apparatus, information processing system, information processing method, and program
US9058488B2 (en) Malware detection and computer monitoring methods
US20160248788A1 (en) Monitoring apparatus and method
US20050262567A1 (en) Systems and methods for computer security
US8955138B1 (en) Systems and methods for reevaluating apparently benign behavior on computing devices
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
JP2017527864A (en) Patch file analysis system and analysis method
JP2014071796A (en) Malware detection device, malware detection system, malware detection method, and program
JP2010182019A (en) Abnormality detector and program
WO2018146757A1 (en) Information processing device, information processing method, and information processing program
JP5656266B2 (en) Blacklist extraction apparatus, extraction method and extraction program
US10601867B2 (en) Attack content analysis program, attack content analysis method, and attack content analysis apparatus
US20060015939A1 (en) Method and system to protect a file system from viral infections
JP6084556B2 (en) Byte string extraction device, byte string extraction method, and byte string extraction program
JP2008129707A (en) Program analyzing device, program analyzing method, and program
JP6169497B2 (en) Connection destination information determination device, connection destination information determination method, and program
CN109472139B (en) Method and system for preventing Lesox virus from secondarily encrypting host document
EP3800567B1 (en) Systems and methods for countering removal of digital forensics information by malicious software
JP6333763B2 (en) Malware analysis apparatus and malware analysis method

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20151001

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20151005

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160201

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161129

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170124

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170125

R150 Certificate of patent or registration of utility model

Ref document number: 6084556

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150