JP2015225512A - Malware feature extraction device, malware feature extraction system, malware feature method, and countermeasure instruction device - Google Patents
Malware feature extraction device, malware feature extraction system, malware feature method, and countermeasure instruction device Download PDFInfo
- Publication number
- JP2015225512A JP2015225512A JP2014110154A JP2014110154A JP2015225512A JP 2015225512 A JP2015225512 A JP 2015225512A JP 2014110154 A JP2014110154 A JP 2014110154A JP 2014110154 A JP2014110154 A JP 2014110154A JP 2015225512 A JP2015225512 A JP 2015225512A
- Authority
- JP
- Japan
- Prior art keywords
- malware
- log
- countermeasure
- analysis
- regular file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
Description
本発明は、マルウェア特徴抽出装置、マルウェア特徴抽出システム、マルウェア特徴方法及び対策指示装置に関する。 The present invention relates to a malware feature extraction device, a malware feature extraction system, a malware feature method, and a countermeasure instruction device.
近年、標的型攻撃等の新たなサイバー攻撃が増加しており、その攻撃に使われるマルウェアも益々高度化・巧妙化している。従来からマルウェアの挙動を解析するにはリバースエンジニアリングによる静的解析や、実際にマルウェアを実行して挙動を観測する動的解析などが行われてきた。静的解析はマルウェアを逆アセンブルしたコードを1つ1つ読み解く必要があり、非常にコストのかかる作業であった。一方、動的解析はマルウェアを実際に実行させて得られたログを解析することによって静的解析のような作業量を節減することができる。マルウェアを動作させその挙動を観測する技術、そして予め正常なファイルを標準状態として保持しておき、マルウェア動作後に変化させることによってマルウェア感染を検知する技術が特許文献1に開示されている。
In recent years, new cyber attacks such as targeted attacks have increased, and malware used for such attacks has become increasingly sophisticated and sophisticated. Conventionally, in order to analyze the behavior of malware, static analysis by reverse engineering and dynamic analysis in which behavior is actually observed by executing malware have been performed. Static analysis was a very expensive task, as it was necessary to read the code that disassembled the malware one by one. On the other hand, dynamic analysis can reduce the amount of work like static analysis by analyzing logs obtained by actually executing malware.
しかしながら、近年では解析環境のOSや導入アプリケーションの複雑化によってマルウェア以外の挙動が増え、ログの量も増加傾向にあり、マルウェア本来の挙動がその中に埋もれてしまう問題があった。 However, in recent years, the behavior of non-malware has increased due to the complexity of the OS and installed applications in the analysis environment, and the amount of logs has also been increasing, and there has been a problem that the original behavior of malware is buried in it.
本発明の目的は、マルウェアを動的解析して得られたログから、マルウェア本来の挙動を効果的に抽出することができるマルウェア特徴抽出装置、マルウェア特徴抽出システム、マルウェア特徴方法及び対策指示装置を提供することにある。 An object of the present invention is to provide a malware feature extraction device, a malware feature extraction system, a malware feature method, and a countermeasure instruction device that can effectively extract the original behavior of malware from a log obtained by dynamic analysis of malware. It is to provide.
上記課題を解決するための本発明の主たる発明は、マルウェア特徴抽出システムであって、マルウェアの入力を受け付けるマルウェア受付部と、前記マルウェアでないファイルである正規ファイルを実行し、または前記正規ファイルに関係づけられたプログラムを実行することにより得られるログである正規ファイル解析ログを記憶する正規ファイル解析ログ記憶部と、前記マルウェアを実行し、または前記マルウェアに関係づけられたプログラムを実行する実行環境と、前記実行環境より得られるマルウェア解析ログを取得するログ取得部と、前記マルウェア解析ログ及び正規ファイル解析ログを比較し、前記マルウェア解析ログのうち前記正規ファイル解析ログに含まれないものを前記マルウェアに関するブラックログして抽出するブラックログ抽出部と、を備えることとする。 The main invention of the present invention for solving the above problems is a malware feature extraction system, which executes a malware reception unit that receives malware input, a regular file that is a file that is not the malware, or is related to the regular file A normal file analysis log storage unit that stores a normal file analysis log that is a log obtained by executing the attached program, an execution environment that executes the malware or executes a program related to the malware, and The malware acquisition log that is obtained from the execution environment is compared with the malware analysis log and the regular file analysis log, and the malware analysis log that is not included in the regular file analysis log is the malware. Black log to extract about bra And further comprising a Kurogu extracting unit.
その他本願が開示する課題やその解決方法については、発明の実施形態の欄及び図面により明らかにされる。 Other problems and solutions to be disclosed by the present application will be made clear by the embodiments of the invention and the drawings.
マルウェアを動的解析して得られたログから、マルウェア本来の挙動を効果的に抽出することができる。 It is possible to effectively extract the original behavior of the malware from the log obtained by dynamically analyzing the malware.
本発明を実施するための最良の形態(以降、「実施形態」という)に係るマルウェア特徴抽出システムについて、適宜図面を用いながら詳細に説明する。以下では、便宜上、各アプリケーションプログラムを実行主体として説明する。すなわち、アプリケーションプログラムがある処理を行うと説明した場合には、そのアプリケーションプログラムをコンピュータ(後述する検体投入装置11、動的解析装置12及び13、マルウェア特徴抽出装置14、対策指示装置21、対策装置31、ならびに検知装置32などが該当する。)が実行することにより実現される機能としてその処理が行われることをいうものとする。
A malware feature extraction system according to the best mode for carrying out the present invention (hereinafter referred to as “embodiment”) will be described in detail with reference to the drawings as appropriate. Hereinafter, for convenience, each application program will be described as an execution subject. That is, when it is described that an application program performs a certain process, the application program is stored in a computer (a
マルウェアとは、悪意を持って作成された不正な活動を行うための脅威の総称である。マルウェアが単独で実行可能な不正プログラムをワームといい、他の実行プログラムを利用して不正な活動を行う不正プログラムをウイルスという。なお、マルウェアはワームおよびウイルス以外にもスパイウェアやアドウェアなど様々な呼称を有する。 Malware is a collective term for threats for malicious activities created with malicious intent. A malicious program that can be executed by malware alone is called a worm, and a malicious program that performs unauthorized activities using other executable programs is called a virus. Note that malware has various names such as spyware and adware in addition to worms and viruses.
本実施形態のマルウェア特徴抽出システム10は、マルウェアの検体を解析した結果得られたログから検体の特徴を抽出しようとするものである。図1は、マルウェア特徴抽出
システム10の一構成例を示す図である。マルウェア特徴抽出システム10は、マルウェアの特徴から対策を指示する対策指示装置21と通信可能に接続され、対策指示装置21は、対策指示を受けて対策を実施するマルウェア対策システム30と通信可能に接続される。
The malware feature extraction system 10 according to the present embodiment is intended to extract a feature of a specimen from a log obtained as a result of analyzing the specimen of the malware. FIG. 1 is a diagram illustrating a configuration example of a malware feature extraction system 10. The malware feature extraction system 10 is communicably connected to a
図1において、マルウェア特徴抽出システム10は、検体投入装置11、動的解析装置12及び13、ならびにマルウェア特徴抽出装置14を含んで構成される。また、マルウェア対策システム30は、対策装置31及び検知装置32を含んで構成される。なお、動的解析装置12及び13は、図1には2つしか記載していないが、3つ以上あっても構わない。また、動的解析装置12及び13は同じ構成であり、以降の実施形態の中で入れ替えて構成しても構わない。
In FIG. 1, the malware feature extraction system 10 includes a
検体投入装置11は、動的解析装置12及び13とそれぞれ接続され、マルウェアである検体を動的解析装置12に投入して実行させ、マルウェアでないファイル(以下、正規ファイルという。)を動的解析装置13に投入して実行させる装置である。検体投入装置得11は、検体投入プログラム111及び正規ファイル生成プログラム112を保有する。検体投入プログラム111は、解析したい検体(マルウェア)を動的解析装置12に送信する。正規ファイル生成プログラム112は、投入された検体と同じ種別の正規ファイルを生成して動的解析装置13に送信する。検体投入装置11は、検体や検体の入手状況に関する検体受付情報と、正規ファイルを生成、保管する正規ファイル管理情報と、解析の解析要求状況に関する解析要求情報とを保有する。
The
動的解析装置12は、プログラムの実行環境を提供する装置である。動的解析装置12は、検体投入装置11と、マルウェア特徴抽出装置14とにそれぞれ接続され、検体投入装置11から投入された検体を実行してログを取り、このログをマルウェア特徴抽出装置14に送る。以下の説明において、「検体を実行する」とは、プログラムである検体を実行することに加え、ファイルである検体をそのファイルの種類に関連付けられているプログラムに実行させることも含む。動的解析装置12は、検体実行プログラム121及びログ取得プログラム122を保有する。検体実行プログラム121は、検体投入装置11から検体を受信し、検体を実行する。ログ取得プログラム122は、検体の挙動を観測し、観測結果を解析ログとして取得する。
The
動的解析装置13は、プログラムの実行環境を提供する装置である。動的解析装置13は、検体投入装置11と、マルウェア特徴抽出装置14とにそれぞれ接続され、検体投入装置11から投入された正規ファイルを実行してログを取り、このログをマルウェア特徴抽出装置14に送る装置である。以下の説明において、「正規ファイルを実行する」とは、プログラムである正規ファイルを実行することに加え、ファイルである正規ファイルをそのファイルの種類に関連付けられているプログラムに実行させることも含む。動的解析装置13は、検体実行プログラム131及びログ取得プログラム132を保有する。検体実行プログラム131は、検体投入装置11から正規ファイルを受信し、正規ファイルを実行する。ログ取得プログラム132は、正規ファイルの挙動を観測し、観測結果を解析ログとして取得する。
The
マルウェア特徴抽出装置14は、動的解析装置12及び13と対策指示装置21とにそれぞれ接続され、マルウェアに関するログを特定して対策指示装置21に提供する装置である。マルウェア特徴抽出装置14は、ログ収集プログラム141及びログ比較プログラム142を保有する。ログ収集プログラム141は、動的解析装置12及び13のそれぞれが取得した解析ログを収集する。ログ比較プログラム142は、動的解析装置12の解析ログと、動的解析装置13の解析ログとを比較し共通するログを、マルウェアとは関係しないログ(以下、ホワイトログという。)として保存し、動的解析装置12の解析ログ
にのみに記録された点をマルウェアに関するログ(以下、ブラックログという。)として保存する。さらに、マルウェア特徴抽出装置14は対策指示装置21と接続され、ブラックログを対策指示装置21に渡す。マルウェア特徴抽出装置14は、2つ以上の解析ログを比較するための比較条件を定義した比較用情報、ブラックログ及びホワイトログ等を保有する。
The malware
対策指示装置21は、マルウェア特徴抽出システム10のマルウェア特徴抽出装置14と対策装置31及び検知装置32とにそれぞれ接続され、脅威に対する対策ルールを生成し、対策装置31及び検知装置32に指示を行う装置である。対策指示装置21は、対策ルール生成プログラム211及び対策指示プログラム212を保有する。対策ルール生成プログラム211は、マルウェア特徴抽出装置14の保有するブラックログを取得して予め設定された対策ポリシ情報及び対策装置管理情報に基づいて対策ルールを生成する。対策指示プログラム212は、対策装置31及び検知装置32に対策ルールを適用するための対策指示を送信する。
The
対策装置31は、WebProxyやFW(ファイアウォール)、IDP(不正侵入予防システム)等のセキュリティ対策を行う装置である。対策装置31は、対策指示装置21の対策指示を受けて通信の制限(遮断、帯域制限、経路変更、認証追加)等を行う。なお、対策装置31によるセキュリティ対策には公知の技術を用いることができる。
The
検知装置32は、IDS(不正侵入検知装置)やIDP(不正侵入予防システム)、ウイルス検知装置等のセキュリティ対策を行う装置である。検知装置32は、対策指示装置21の対策指示を受けて異常の検知や、アラートの発信を行う。なお、検知装置32によるセキュリティ対策には公知の技術を用いることができる。
The
なお、図1において、各ブロック(11〜32)間を結ぶ実線は、検体の投入、ログの取得、マルウェアの特徴の取得、または対策指示に関わる通信パケットの伝達経路を示している。 In FIG. 1, a solid line connecting the blocks (11 to 32) indicates a transmission path of a communication packet related to sample input, log acquisition, malware characteristic acquisition, or countermeasure instruction.
次に、検体投入装置11の構成について図2を用いて説明する。図2は検体投入装置の構成の一例を示す図である。
Next, the configuration of the
検体投入装置11は、演算部1101、メモリ1102、入力部1103、表示部1104、通信部1105、及び記憶部1106を含むコンピュータ上に実現することができる。
The
演算部1101は、検体投入装置11の各部(1102〜1106)の制御、及び各部(1102〜1106)間の情報の伝達を司る。演算部1101は、例えば、演算処理を実行するCPU(Central Processing Unit)である。そして、このCPUが主記憶装置であるメモリ1102に、以下に説明するアプリケーションプログラムを展開して、それを実行することにより、以下に説明する処理を具現化する。メモリ1102は、RAM(Random Access Memory)により実現される。なお、アプリケーションプログラムは、記憶部1106に格納されている。
The
各アプリケーションプログラムは、予め記憶部1106に格納されていても良いし、必要なときに、図示しない外部インタフェースや通信部1105と、当該検体投入装置11が利用可能な媒体を介して、他の装置から記憶部1106に導入されてもよい。媒体とは、たとえば、外部インタフェースに着脱可能な記憶媒体、または通信媒体(すなわち有線、無線、光などのネットワーク、または当該ネットワークを伝搬する搬送波やディジタル信号)を指す。
Each application program may be stored in the
入力部1103は、キーボードやマウスなどであり、検体投入装置11を操作する操作者などによる情報入力などを受け付ける。
The
表示部1104は、CRT(Cathode Ray Tube)やLCD(Liquid Crystal Display)などであり、入力を促す画面や、演算結果を確認する画面などを表示する。
The
通信部1105は、マルウェア特徴抽出システム10内の各部(12、13、14)(図1参照)との間で情報を送受信する。
The
記憶部1106は、検体投入プログラム111、正規ファイル生成プログラム112、検体受付DB113、正規ファイル管理DB114、及び解析要求DB115を記憶している。なお、検体投入プログラム111、及び正規ファイル生成プログラム112は、アプリケーションプログラムとして、メモリ1102に展開されて、演算部1101によって実行される。
The
検体投入プログラム111は、検体であるマルウェアを図示しない利用者や、他のマルウェア提供装置から受け付けて、検体受付DB113に検体受付情報として格納する。また、後述の正規ファイル生成プログラム112から提供される正規ファイルと、検体とを、動的解析装置12、13にそれぞれ解析要求情報として送信し、要求結果を解析要求DB115に格納する。
The
正規ファイル生成プログラム112は、検体受付DB113に格納された検体ファイルと同じ種別の正規ファイルを生成する。同じ種別の正規ファイルとは、検体と同じファイルタイプ(PowerPointファイル、PDFファイル、EXEファイル等)でマルウェアでないファイルをいう。正規ファイル生成プログラム112は、後述する正規ファイル管理DB114から読み出したデータに基づいて正規ファイルを生成する。
The regular
検体受付DB113は、検体に関する検体受付情報を格納する。図3を用いて検体受付情報の一例について説明する。検体受付DB113に格納される検体受付情報は、検体ID1131、検体ファイル1132、ハッシュ値1133、入手元1134、入手者1135、入手日時1136、及び入手手段1137が含まれる。
The
検体ID1131は、動的解析装置12に投入する検体を一意に識別するための情報である。検体ファイル1132は、検体の実体であるファイルを示す情報(例えばファイル名)である。ハッシュ値1133は、検体ファイル1132が示すファイルのハッシュ値である。入手元1134は、検体ファイル1132を入手した場所を指し、例えばWeb経由で入手した場合はWebサイトのURL、メールに添付されて来たファイルはメールの送信元である。入手者1135は、検体ファイル1132が示すファイルを入手した者を指し、例えばWeb経由で入手した場合はWebサイトへのアクセス者、メールに添付されて来たファイルはメールの受信者である。入手日時1136は、検体ファイル1132が示すファイルを入手した日時である。入手手段1137は、検体ファイル1132が示すファイルを入手した手段を指し、例えばWeb経由で入手した場合は「Web」で、メールに添付されて来た場合は「メール」である。
The
正規ファイル管理DB114には、正規ファイルを生成するために検体のファイル種別を判定するためのルールが定義された(a)ファイル種別特徴情報と、ファイル種別毎に正規ファイルに関する情報が格納された(b)正規ファイルストアとが格納されている。図3を用いてファイル種別特徴情報、及び正規ファイルストアの一例について説明する。
The regular
(a)ファイル種別特徴情報にあるファイル識別ID11411は、ファイル種別を識別するための情報である。パターン特徴11412は、ファイル種別を検体ファイルの内容から識別するためのルールを定義した情報である。拡張子特徴11413は、ファイル種別を検体ファイルの拡張子から識別するためのルールを定義した情報である。説明11414は、ファイル種別の説明を記載した情報である。
(A) The
(b)正規ファイルストアにある正規ファイルID11421は、正規ファイルの種別を識別するための情報である。ファイル11422は、正規ファイルの実体であるファイルを示す情報(例えばファイル名)である。正規ファイル生成プログラム112は、正規ファイルID11421が示す形式(例えば、MSPPT形式、PDF形式など)で、最小限の内容から構成されたファイル(例えば、ヘッダ情報と空の本文データとを含むファイル)を予め生成して正規ファイルストアに登録しておくものとする。
(B) The
解析要求DB115は、解析要求情報を記憶する。解析要求情報は、動的解析装置12及び13に対して送信した要求(解析要求)に関する情報である。図3を用いて、解析要求情報の一例について説明する。解析要求情報には、解析ID1151、検体ID1152、検体投入先解析環境ID1153、正規ファイル投入先解析環境ID1154、及び解析日時1155が含まれる。
The
解析ID1151は、同一検体の解析において、解析要求を一意に識別する情報である。検体ID1152は、検体受付DB113の検体ID1131と対応する識別子である。検体投入先解析環境ID1153は、検体を解析する動的解析装置12及び13の識別子である。正規ファイル投入先解析環境ID1154は、正規ファイルを解析する動的解析装置12及び13の識別子である。解析日時1155は、検体を解析し始めた時間である。
The
次に、動的解析装置12及び13の構成について、図4を用いて説明する。図4は動的解析装置の構成の一例である。
Next, the configuration of the
動的解析装置12及び13は、演算部1201及び1301、メモリ1202及び1302、入力部1203及び1303、表示部1204及び1304、通信部1205及び1305、ならびに記憶部1206及び1306を含むコンピュータ上に実現することができる。
The
各部(1201〜1206、1301〜1306)は、検体投入装置11の各部(1101〜1106)と同じように構成されていて、以下では、差異のある部分のみ説明する。
Each part (1201 to 1206, 1301 to 1306) is configured in the same manner as each part (1101 to 1106) of the
通信部1205及び1305は、マルウェア特徴抽出システム10内の各部(11、14)(図1参照)との間で情報を送受信する。 The communication units 1205 and 1305 exchange information with each unit (11, 14) in the malware feature extraction system 10 (see FIG. 1).
記憶部1206及び1306は、検体実行プログラム121及び131、ログ取得プログラム122及び132、ならびにログ管理DB123及び133を記憶している。なお、検体実行プログラム121及び131、ならびにログ取得プログラム122及び132は、アプリケーションプログラムとして、メモリ1202及び1302に展開されて、演算部1201及び1301によって実行される。
The storage units 1206 and 1306 store
検体実行プログラム121及び131は、検体投入装置11から解析要求情報として検体と正規ファイルとをそれぞれ受け取ってそれぞれの動的解析装置12及び13上の解析
環境で実行する。検体あるいは正規ファイルが文書ファイルなどの実行形式のファイルではないファイルであった場合も、関連付けられたアプリケーションによって開かれることをもって実行とする。
The
ログ取得プログラム122及び132は、検体実行プログラム121及び131が実行した検体あるいは正規ファイルに関する挙動を監視し、解析ログとしてログ管理DB123及び133に格納する。なお、ログ取得プログラム122及び132による監視処理及びログの収集処理については公知の手法を用いるものとしてここでは説明を省略する。
The
なお、動的解析装置12及び13は、ハードウェアの構成もソフトウェアの構成も完全に同一の構成であることが好ましいが、差異があってもよい。
The
ログ管理DB123及び133には、(a)予め設定してある動的解析装置12及び13のスペックや設定内容が保存された解析環境情報と、(b)動的解析装置12及び13で検体や正規ファイルを実行して得られた観測情報としての解析ログとが格納されている。図5を用いて、解析環境情報及び解析ログ情報の一例について説明する。
The log management DBs 123 and 133 include (a) analysis environment information in which specifications and setting contents of the
(a)解析環境情報にある解析環境ID12311及び13311は、解析装置12及び13の解析環境を一意に識別するための情報である。OS12312及び13312は、動的解析装置12及び13の検体実行プログラム121及び131が検体あるいは正規ファイルを実行する解析環境のOS(Operating System)の種類に関する情報で「Windows7(登録商標)」や「Android(登録商標)」などの製品名にバージョン情報などを含めた形で指定される。表記方法としてCPE(Common Platform Enumeration)のような標準化された名称基準を利用してもよい。アーキテクチャ12313及び13313は、OSのアーキテクチャの情報で、「32bit」や「64bit」、「ARM」等が指定される。アプリケーション12314及び13314には、OSにインストールされたアプリケーションの識別子が1乃至複数指定される。CPU12315及び13315は、OSがインストールされたハードウェアに搭載されているCPUに関する情報である。メモリ12316及び13316は、ハードウェアに搭載されたメモリに関する情報である。ネットワーク12317及び13317はOSに設定されたネットワーク設定に関する情報で、IPアドレスやサブネットマスク、デフォルトゲートウェイ、DNSサーバアドレス指定などが1乃至複数指定される。エンジン12318及び13318は、検体実行プログラム121及び131の種類やバージョンを表す情報である。BIOS12319及び13319は、ハードウェアに搭載されたBIOS(BASIC Input/Output System)の種類やバージョンを表す情報である。
(A) Analysis environment IDs 12311 and 13311 in the analysis environment information are information for uniquely identifying the analysis environments of the
(b)解析ログにある解析ID12321及び13321は、動的解析装置12及び13のそれぞれの中で解析ログを一意に識別するための情報である。
(B) Analysis IDs 12321 and 13321 in the analysis log are information for uniquely identifying the analysis log in each of the
ファイル操作12322及び13322は、1乃至複数格納でき、動的解析装置12及び13の検体実行プログラム121及び131が検体あるいは正規ファイルを実行して、ログ取得プログラム122及び132が検体あるいは正規ファイルによるファイル操作に関する挙動を観測して取得した情報である。ファイル操作12322及び13322は、ファイル操作が観測された日時、ファイルに対するアクション(例えばファイル生成、削除等)、当該アクションに関するデータ(例えばファイル名、アドレス等)を格納する。
One or a plurality of file operations 12322 and 13322 can be stored, the
レジストリ操作12323及び13323は、1乃至複数格納でき、ログ取得プログラム122及び132が検体あるいは正規ファイルによりシステム設定ファイル(本実施形態ではレジストリを想定している。)に対する操作に関する挙動を観測して取得した情報
である。レジストリ操作12323及び13323は、レジストリへの操作が観測された日時、レジストリに対するアクション(例えばレジストリ生成、削除等)、当該アクションに関するデータ(例えばレジストリキー名、バリュー等)を格納する。
One or a plurality of registry operations 12323 and 13323 can be stored, and the
プロセス操作12324及び13324は、1乃至複数格納でき、ログ取得プログラム122及び132が検体あるいは正規ファイルにより行われたプロセスに関する挙動を観測して取得した情報である。プロセス操作12324及び13324は、プロセス(スレッドを含む)に関する挙動が観測された日時、プロセスに関するアクション(例えばプロセス生成、停止等)、当該アクションに関するデータ(例えばプロセス名、親プロセス等)を格納する。
One or a plurality of process operations 12324 and 13324 can be stored, and the
ネットワーク通信12325及び13325は、1乃至複数格納でき、ログ取得プログラム122、132が検体あるいは正規ファイルによるネットワーク通信に関する挙動を観測して取得した情報である。ネットワーク通信12325及び13325は、ネットワーク通信が観測された日時、ネットワーク通信に係るアクション(例えばDNSクエリ、HTTPリクエスト、NTPリクエスト、パケット送信、受信等)、当該アクションに関するデータ(例えばホスト名、URL、通信先IPアドレス、通信先ポート番号、プロトコル等)を格納する。
One or a plurality of network communications 12325 and 13325 can be stored, and information acquired by the
システム操作12326及び13326は、1乃至複数格納でき、ログ取得プログラム122及び132が当該検体あるいは当該正規ファイルによるOSの機能(ファイル及びプロセスに関するものを除く)を呼び出すシステム操作に関する挙動を観測して取得した情報である。システム操作12326及び13326は、システム操作が観測された日時、システム操作に関するアクション(例えばMUTEX生成、MUTEX参照等)、当該アクションに関するデータ(例えばMUTEX名等)を格納する。
One or a plurality of system operations 12326 and 13326 can be stored, and the
サービス操作12327及び13327は、1乃至複数格納でき、ログ取得プログラム122及び132が検体あるいは正規ファイルによるサービスに関する挙動を観測して取得した情報である。サービスとはバックグラウンドプロセスとして動作するプログラムであり、デーモンなどとも呼ばれる。サービス操作12327及び13327は、サービスに関する挙動が観測された日時、サービスに関するアクション(例えばサービス登録、サービス起動等)、当該アクションに関するデータ(例えばサービス名、引数等)を格納する。
One or a plurality of service operations 12327 and 13327 can be stored, and information acquired by the
API操作12328及び13328は、1乃至複数格納でき、ログ取得プログラム122及び132が検体あるいは正規ファイルにより呼び出された所定のAPIに関する挙動を観測して取得した情報で、APIに関する挙動が観測された日時、APIに関するアクション(例えばAPI呼び出し等)、当該アクションに関するデータ(例えば呼び出しAPI名、引数等)を格納する。
One or more API operations 12328 and 13328 can be stored, and the
次に、図6を用いて、ログ管理DB123及び133に格納される解析ログの具体例について説明する。 Next, a specific example of the analysis log stored in the log management DBs 123 and 133 will be described with reference to FIG.
解析ログには、検体解析ログ(マルウェア解析ログ)情報と正規ファイル解析ログ情報とが含まれる。検体解析ログ情報は、動的解析装置12において検体実行プログラム121が検体を実行し、ログ取得プログラム122が当該検体の挙動を監視して取得した解析ログである。検体解析ログ情報は、ログ管理DB123に記憶されることになる。一方、正規ファイル解析ログは、動的解析装置13において検体実行プログラム131が正規ファイルを実行し、ログ取得プログラム132が当該正規ファイルの挙動を監視して取得した解析ログである。正規ファイル解析ログはログ管理DB133に記憶されることになる
。
The analysis log includes sample analysis log (malware analysis log) information and regular file analysis log information. The sample analysis log information is an analysis log acquired by the
検体解析ログ情報に含まれる解析ID12331は、動的解析装置12の中で解析ログを一意に識別するための情報で、動的解析装置12が備えるログ管理DB123の解析ID12311と対応する。解析ログに含まれている検体の個々の挙動をイベント(12332〜12341)という。イベントは時刻、項目(イベントの種類)、アクション、及びデータの情報から構成される。各情報は前述した各種操作(12322〜12328)の定義に従って格納される。例えばイベント12332は、「malware.pdfというファイルが時刻00:00に実行された」ことを意味する。
The
正規ファイル解析ログ情報に含まれる解析ID13331は、動的解析装置13の中で解析ログを一意に識別するための情報で、動的解析装置13が備えるログ管理DB133の解析ID13311と対応する。解析ログに含まれている正規ファイルの個々の挙動をイベント(13332〜13336)といい、イベントは時刻、項目(イベントの種類)、アクション、及びデータの情報から構成される。各情報は前述した各種操作(13322〜13328)の定義に従って格納される。例えばイベント13332は、「sample.pdfというファイルが時刻00:00に実行された」ことを意味する。
The
次に、マルウェア特徴抽出装置14の構成について、図7を用いて説明する。図7はマルウェア特徴抽出装置の一例を示す図である。
Next, the configuration of the malware
マルウェア特徴抽出装置14は、演算部1401、メモリ1402、入力部1403、表示部1404、通信部1405、及び記憶部1406を含むコンピュータ上に実現することができる。各部(1401〜1406)は、検体投入装置11の各部(1101〜1106)と同じように構成されていて、以下では、差異のある部分のみ説明する。
The malware
通信部1405は、マルウェア特徴システム10内の各部(11〜13)(図1参照)、対策指示装置21との間で情報を送受信する。
The
記憶部1406は、ログ収集プログラム141、ログ比較プログラム142、比較用DB143、ブラックログDB144、及びホワイトログDB145を記憶している。なお、ログ収集プログラム141、及びログ比較プログラム142は、アプリケーションプログラムとして、メモリ1402に展開されて、演算部1401によって実行される。
The
ログ収集プログラム141は、動的解析装置12から解析ログを検体解析ログとして収集するとともに、動的解析装置13から解析ログを正規ファイル解析ログとして収集する。
The
ログ比較プログラム142は、ログ収集プログラム141が収集した検体解析ログと正規ファイル解析ログとを、比較用DB143(図8参照)に格納された比較ルール情報を利用して比較する。ログ比較プログラム142は、その比較結果に基づき、ブラックログとホワイトログとを生成し、それぞれブラックログDB144及びホワイトログDB145に格納する(図7参照)。
The
比較用DB143は、ログの同一性を判定するための情報を記憶する。比較用DB143には、予め設定してあるアクションに関する表現揺れを考慮した比較を実現するアクション同一視ルール情報と、データに関する表現揺れを考慮した比較を実現するデータ同一視ルール情報と、曖昧比較を実現する誤差許容ルール情報とが格納される。図8を用いて、アクション同一視ルール情報、データ同一視ルール情報、誤差許容ルール情報の一例について説明する。
The
(a)アクション同一視ルールにあるOS言語の取得(14411〜14413)は、マルウェアが自身の実行OSの言語環境が日本語であるか否かを取得する手段において、インストールされたIMEのバージョンを参照して「日本語IME」であることを確認する手段(14411)と、キーボードレイアウトが「106日本語キー」であることを確認する手段(14412)と、OSのバージョンを確認して「日本語版Windows」であることを確認する手段(14413)は、全て手段としては異なるが、言語環境を調べるという意味では同じアクションであることから、これらの異なるアクション同士の比較結果を一致とするルールである。なお、言語環境を調べるときの対象として日本語に限定するものではない。ファイルの書き込み(14414、14415)は、マルウェアがファイルを書き込む手段において、write関数を呼ぶ手段(14414)と、fput関数を呼ぶ手段(14415)は、手段としては異なるが、ファイルを書き込むという意味では同じアクションであることから、これらのアクション同士の比較結果を一致とするルールである。一定時間待機(14416、14417)は、マルウェアが一定時間活動せずに待機する手段において、sleep関数を呼ぶ手段(14416)と、getTickCount関数を呼ぶ手段(14417)は、手段としては異なるが、一定時間待機するという意味では同じアクションであることから、これらのアクション同士の比較結果を一致とするルールである。 (A) The acquisition of the OS language in the action identification rule (14411 to 14413) is the means for the malware to acquire whether or not the language environment of its execution OS is Japanese, and the version of the installed IME is A means for confirming that it is “Japanese IME” by reference (14411), a means for confirming that the keyboard layout is “106 Japanese keys” (14412), and confirming the version of the OS, “Japan The means (14413) for confirming that “the word version of Windows” is different as a means, but is the same action in the sense of examining the language environment. Therefore, a rule that matches the comparison results of these different actions. It is. Note that the language environment is not limited to Japanese. The file write (14414, 14415) means that the malware writes the file. The means (14414) for calling the write function and the means (14415) for calling the fput function are different from each other. Since the actions are the same, this is a rule that matches the comparison results of these actions. Waiting for a certain time (14416, 14417) is a means for waiting for malware to remain active for a certain period of time. The means for calling the sleep function (14416) and the means for calling the getTickCount function (14417) are different as the means. Since it is the same action in the sense of waiting for a time, it is a rule that matches the comparison results of these actions.
(b)データ同一視ルールにあるループバックアドレス14421は、データとしてIPアドレス「127.0.0.1」と「127.10.10.10」が比較された場合、値は異なるが、両方ともループバックアドレスを意味することから、これらのデータ同士の比較結果を一致とするルールである。時間14422は、データとして「3600sec」と「1hour」が比較された場合、値は異なるが、両方とも1時間を意味することから、これらのデータ同士の比較結果を一致とするルールである。完全修飾ドメイン名14423は、データとして完全修飾ドメイン名「www1.abc.com」と「www2.abc.com」とが両方とも同じIPアドレスを持つ場合、値は異なるが、両完全修飾ドメイン名と、当該完全修飾ドメイン名に関連付けられるIPアドレスは全て同じノードを意味することから、これらのデータ同士の比較結果を一致とするルールである。
(B) When the IP addresses “127.0.0.1” and “127.10.10.10” are compared as data, the
(c)誤差許容ルールにある数値14431は、数値を比較する際に設定された許容誤差の範囲内であれば比較結果を一致とするルールである。文字列14432は、文字列を比較するときに設定された比較方式により前方一致、後方一致、部分一致の条件で一致したのであれば比較結果を一致とするルールである。イベント時刻14433は、前記検体解析ログと前記正規ファイル解析ログ間のイベントを比較するときに、設定された許容時間内であれば2つのログに記録されたイベントは比較すべき組合せであると判断するルールである。
(C) The
ブラックログDB144にはブラックログが記憶され、ホワイトログDB145にはホワイトログが記憶される。図9を用いて、ブラックログDB145及びホワイトログDB145の一構成例について説明する。
The
ブラックログDB144は、解析要求DB115の解析ID1151(図3参照)に対応する解析ID1451と、検体解析ログ情報(12332〜12341)にあって正規ファイル解析ログ(13332〜13336)にはないイベント(1452〜1457)とを組としたブラックログを1乃至複数格納する。
The
ホワイトログDB145は、解析要求DB115の解析ID1151に対応する解析ID1461と、検体解析ログ(12332〜12341)と正規ファイル解析ログ(13332〜13336)の両方に存在するイベント(1462〜1455)を組としたホワ
イトログを1乃至複数格納する。
The
次に、対策指示装置21の構成について、図10を用いて説明する。図10は対策指示装置の構成の一例である。
Next, the configuration of the
対策指示装置21は、演算部2101、メモリ2102、入力部2103、表示部2104、通信部2105、及び記憶部2106を含むコンピュータ上に実現することができる。各部(2101〜2106)は、検体投入装置11の各部(1101〜1106)と同じように構成されていて、以下では、差異のある部分のみ説明する。
The
通信部2105は、マルウェア特徴システム10のマルウェア特徴抽出装置14(図1参照)、マルウェア対策システム30内の対策装置31、検知装置32との間で情報を送受信する。
The
記憶部2106は、対策ルール生成プログラム211、対策指示プログラム212、対策ポリシDB213、対策ルールDB214、及び対策装置管理DB215を記憶している。なお、対策ルール生成プログラム211及び対策指示プログラム212は、アプリケーションプログラムとして、メモリ2102に展開されて、演算部2101によって実行される。
The
対策ルール生成プログラム211は、マルウェア特徴抽出装置14のブラックログDB145(図9参照)からブラックログを取得し、取得したブラックログと、後述する対策ポリシDB213に格納された対策ポリシ情報と、を参照してマルウェアに対する対策の実施を指示する対策ルールを作成し、対策ルールDB214に対策ルールを格納する。
The countermeasure
対策指示プログラム212は、対策ルールDB214に格納された対策ルールを対策装置31もしくは検知装置32、またはその両方に送信する。
The
次に、対策ポリシDB213、対策ルールDB214、及び対策装置管理DB215については、図11を用いて、対策ポリシ情報、対策ルール情報、対策装置管理情報の一例について説明する。
Next, with respect to the
対策ポリシDB213には、対策ルールを作成するための情報である対策ポリシ情報が記憶される。対策ポリシ情報には、ポリシID2131、項目2132、アクション2133、対策場所2134、及び対策2135が含まれる。
The
ポリシID2131は、対策ポリシを一意に識別するための情報である。項目2132は、ブラックログDB144(図9参照)に格納されたイベントの項目に対応し、当該イベントに対して対策ポリシを適用するか否かを判断するために利用される。アクション2133は、ブラックログDB144に格納されたイベントのアクションに対応し、当該イベントに対して対策ポリシを適用するか否かを判断するために利用する。対策場所2134は、後述する対策装置管理DB215の対策場所2152に対応し、対策場所に応じて対策ポリシを適用するか否かを判断するために利用される。対策2135は、項目2132、アクション2133、及び対策場所2134の全ての条件が成立した場合に実施する対策を指す。
The
対策ルールDB214には、対策ルールが記憶される。対策ルールには、対策ID2141、対策装置ID2142、及び対策内容2143が含まれる。
The
対策ID2141は、対策装置31(図1参照)、検知装置32、あるいは図示されて
いない装置に指示する対策ルールを一意に識別するための情報である。対策装置ID2142は、ブラックログDB144(図9参照)に格納されたイベントに対しどの対策措置で対策を実行するかを、対策装置管理DB215の情報を基に決定した情報である。対策内容2143は、ブラックログDB144に格納されたイベントに対しどのような対策を実行するかを、対策ポリシDB213と対策装置管理DB215とを参照して決定した情報である。
The
対策装置管理DB215には、対策装置管理情報が記憶される。対策装置管理情報には、対策装置ID2151及び対策場所2152が含まれる。
The countermeasure
対策装置ID2151は、対策が実施可能な装置(対策装置31、検知装置32、あるいは図示されていない2つの端末)を識別するための情報である。対策場所2152は、各対策装置が対策を実施可能な場所を示す情報である。
The
対策装置31、及び検知装置32の構成については、図示を省略するが、各々が、アプリケーションプログラムによって種々の演算処理やキー情報の送受信を司る演算部、情報入力のための入力部、演算結果や指示を画面表示する表示部、他の装置との通信を制御する通信部、及びアプリケーションプログラム、演算に必要な情報や演算結果などを記憶する記憶部を含んでいる。
Although the illustration of the configuration of the
対策システム30内の対策装置31の対策プログラム311は、対策指示装置21の対策ルールを受信し、対策ルールの内容に従って脅威に対する対策を実施する。
The
対策システム30内の検知装置32の検知プログラム321は、対策指示装置21の対策ルールを受信し、対策ルールの内容に従って脅威の検知を実施する。
The
ここで、マルウェア特徴抽出システム20内の検体投入装置11の検体投入プログラム111と、正規ファイル生成プログラム112における処理の流れについて、図12を用いて説明する。
Here, the flow of processing in the
図12に示すように、検体投入プログラム111(図2参照)が開始されると、図示しない利用者や他のマルウェア提供装置から検体となるマルウェアを受け付けて、検体受付DB113に検体受付情報として格納する(ステップS1101)。例えば、図3に示す内容を含む(すなわち検体ファイル1132が「malware.pdf」である)検体受付情報が格納される。検体投入プログラム111は、受け付けた検体を、正規ファイルDB114に格納されている(a)ファイル種別特徴情報(図3参照)のパターン特徴11411とマッチさせてファイルの種別を判定する(ステップS1102)。例えば、malware.pdfのファイルの先頭が「%PDF」という文字列であった場合には、この文字列にマッチするパターン特徴11412に対応するファイル種別ID11411である「PDF」と判定する。次に検体投入プログラム111は、ファイル種別が絞り込めたか否かを判定する(ステップS1103)。例えば、ステップS1102によってファイル種別IDを「PDF」として絞り込めたが、仮にファイルの先頭が(a)ファイル種別特徴情報に記載のどのパターン特徴11412にも当てはまらなかった場合は、ファイル種別が絞り込めなかったことになる。ファイル種別が絞り込めなかった場合には(ステップS1103:No)、拡張子特徴からファイル種別を判定する処理に移る。具体的には、検体投入プログラム111は、検体のファイル名の拡張子部と、a)ファイル種別特徴情報の拡張子特徴11413とが対応するファイルの種別ID11411を判定する(ステップS1104)。例えば、検体のファイル名が「malware.pdf」である場合、拡張子が「pdf」であることから、ファイル種別IDとして「PDF」と判定される。これらの処理によって解析する検体のファイル種別IDが決定される(ステップ
S1105)。上述した例では、ファイル種別IDは「PDF」と決定される。
As shown in FIG. 12, when the sample insertion program 111 (see FIG. 2) is started, malware as a sample is received from a user (not shown) or another malware providing device and stored as sample reception information in the
次に、正規ファイル生成プログラム112が、決定されたファイル種別IDと同じ値の正規ファイルIDに対応するファイル11422を正規ファイル管理DB114の(b)正規ファイルストア(図3参照)から取得し、取得したファイル11422が示す正規ファイルを取得する(ステップS1106)。例えば、解析すべき検体のファイル種別IDが「PDF」である場合、(b)正規ファイルストアの正規ファイルID11421が「PDF」となるレコードのファイル11422が示す「sample.pdf」が読み込まれる。また、解析すべき検体ファイルの拡張子と、正規ファイルの拡張子とが異なる場合は、正規ファイルの拡張子を解析すべき検体ファイルの拡張子に合わせて変更する。当該正規ファイルは、正規ファイル生成プログラム112が、最小限の内容から構成される正規ファイルをその場で生成しても構わない。検体と正規ファイルが揃ったら、検体投入プログラム111は、検体を動的解析装置12に送信し、正規ファイルを動的解析装置13に送信して、解析を依頼する(ステップS1107)。なお、動的解析装置を3つ以上用意し、検体を1乃至複数の動的解析装置に、正規ファイルを1乃至複数の動的解析装置に送信しても構わない。さらに動的解析装置12及び13に検体及び正規ファイルを送信するタイミング(あるいは動的解析装置12及び13が検体及び正規ファイルを実行するタイミング)は同時であることが望ましいが、実施形態によっては1つの動的解析装置12のみを準備し、1つの動的解析装置12において2回に分けて検体と正規ファイルを解析(ログの収集)しても構わない。最後に検体投入プログラム111は、動的解析装置12及び13に送信した結果を解析要求DB115に格納する(ステップS1108)。ここでは、図3に示す内容を含む解析要求情報(解析ID1151が「REQ0001」である解析要求情報)が格納される。
Next, the regular
次に、マルウェア特徴抽出システム10内のマルウェア特徴抽出装置14のログ収集プログラム141と、ログ比較プログラム142による処理の流れについて、図13を用いて説明する。
Next, the flow of processing by the
図13に示すように、ログ収集プログラム141(図7参照)が開始されると、動的解析装置12から検体の解析結果に関する解析ログを収集し、動的解析装置13から正規ファイル解析結果に関する解析ログをそれぞれ収集する(ステップS1401)。例えば図6の例では、上段に示す検体解析ログ(解析ID12331が「REQ0001」の検体解析ログ)と、下段に示す正規ファイル解析ログ(解析ID13331が「REQ0001」の正規ファイル解析ログ)とが収集されている。動的解析装置が3以上ある場合は、それぞれから解析ログを得るようにしてもよい。
As shown in FIG. 13, when the log collection program 141 (see FIG. 7) is started, an analysis log related to the analysis result of the specimen is collected from the
次に、ログ比較プログラム142が、検体解析ログ及び正規ファイル解析ログに記録された同時刻に発生した双方のイベントを、比較用DB143(図8参照)に定義された各ルールに則って比較を行う(ステップS1402)。例えば、図6の例では、解析ID12331が「REQ0001」である検知解析ログの1つめのイベント「時刻=00:00、項目=プロセス操作、アクション=実行、データ=malware.pdf」と、当該イベントと同時刻に発生したイベント、つまり解析ID13331が「REQ0001」である正規ファイル解析ログの1つめのイベント「時刻=00:00、項目=プロセス操作、アクション=実行、データ=malware.pdf」とが比較されることになる。ここで、検体解析ログの時刻と、正規ファイル解析ログの時刻の比較においては、図8に示す比較用DB143の(c)誤差許容ルールに定義されたイベント時刻14433の値「+−3sec」に従い、「00:00」との前後3秒を同時刻とみなすことになる。
Next, the
ログ比較プログラム142は、検体解析ログと正規ファイル解析ログとが一致するか否かを判定する(ステップS1403)。上記の例では、データ「malware.pdf
」と「sample.pdf」は、比較用DB143に定義されたどの各種ルールに則って比較しても一致とならないことから、両イベントの比較結果は不一致という結果となる。一致した場合(ステップS1403:Yes)、ログ比較プログラム142は、当該検体解析ログのイベントをホワイトログDB146(図9参照)に追加する(ステップS1404)。不一致の場合(ステップS1403:No)、ログ比較プログラム142は、当該検体解析ログのイベントをブラックログDB145に追加する(ステップS1405)。上記の例では、検体解析ログの1イベント目は、不一致であったため当該検体解析ログのイベント(「時刻=00:00、項目=プロセス操作、アクション=実行、データ=malware.pdf」)はブラックログDB145に追加される。検体解析ログの全てのイベントを比較完了したかを判定し(ステップS1406)、まだ比較していないイベントがあれば(ステップS1406:No)ステップS1402に戻る。
The
"And" sample.pdf "do not match even if they are compared according to any of the various rules defined in the
例えば図6の例において、検体解析ログのイベント12332について処理を行ったところでは、まだ検体解析ログに比較していないイベントが残っているため、ステップS1402に戻り、検知解析ログの2つめのイベント12333「時刻=00:15、項目=プロセス操作、アクション=実行、データ=Acrobat Reader」と、正規ファイル解析ログの同時間帯のイベント13333「時刻=00:15、項目=プロセス操作、アクション=実行、データ=Acrobat Reader」とを比較することになる。この場合、全ての項目で一致するためステップS1403において一致判定となり、ステップS1404において図9に示すホワイトログDB146のホワイトログ情報1462に追加される。以上の処理を繰り返すことにより、ブラックログDB145のブラックログ情報には、「項目=ネットワーク通信、アクション=HTTPリクエスト、データ=www.abc.com」や、「項目=ファイル操作、アクション=作成、データ=ABC.bat」、「項目=ファイル操作、アクション=操作、データ=malware.pdf」などが追加される。
For example, in the example of FIG. 6, when the
以上のようにして、本実施形態のマルウェア特徴抽出システム10によれば、マルウェアを実行することにより得られたログ(検体解析ログ情報に含まれるイベント)のうち、正規ファイルを実行することにより得られたログ(正規ファイル解析ログ情報に含まれるイベント)に含まれていないものをブラックログとして抽出することができる。正規ファイルはマルウェアでないファイルであり、これを実行することにより得られるログ(イベント)は、マルウェアに特徴的なものではないことから、正規ファイル解析ログ情報に含まれないログ(イベント)のみを抽出することにより、マルウェアに特徴的なログを精度良く抽出することができる。また、例えばアプリケーションの起動時に設定ファイルを読み込んだり、最新のアップデータを入手したりする挙動は正規ファイルであっても行われるものであり、このような挙動についてもログは取得されることからログは膨大な量となるところ、本実施形態のマルウェア特徴抽出システム10によれば、膨大な量の解析ログから、本来得たいマルウェアの挙動の特徴を精度高く抽出することができる。したがって、解析コストを低減し、解析結果を用いた対策の迅速化を図ることが可能となり、被害予防や被害最小化を実現することができる。 As described above, according to the malware feature extraction system 10 of the present embodiment, it is obtained by executing a regular file among logs (events included in the sample analysis log information) obtained by executing malware. What is not included in the generated log (event included in the regular file analysis log information) can be extracted as a black log. Since regular files are non-malware files and the logs (events) obtained by executing them are not characteristic of malware, only logs (events) not included in the regular file analysis log information are extracted. By doing so, logs characteristic of malware can be extracted with high accuracy. In addition, for example, the behavior of reading the configuration file at the time of starting the application or obtaining the latest updater is performed even if it is a regular file. However, according to the malware feature extraction system 10 of the present embodiment, it is possible to accurately extract the behavioral characteristics of malware originally desired from a huge amount of analysis logs. Therefore, it is possible to reduce analysis costs, speed up measures using the analysis results, and realize damage prevention and damage minimization.
また、本実施形態のマルウェア特徴抽出システム10によれば、動作解析装置12及び13においてマルウェアと正規ファイルとを同時に実行することができる。例えば、ある種別のソフトウェアのアップデートが1日に1回12:00に行われるように設定されていた場合、12:00に実行されるかどうかによりソフトウェアのアップデータに係るログが得られるか否かが決定することになり、例えば正規ファイルを11:45〜11:55に実行し、マルウェアを11:55〜12:05に実行したようなときには、ソフトウェアのアップデータに関するログが検体解析ログ情報にのみ含まれるようになるが、これは正規ファイルを12:00に実行していた場合には得られるログである。そこで、本実施形態のマルウェア特徴抽出システム10のように、マルウェアと正規ファイルとを同時
に実行することにより、時刻に応じた挙動に係るログについても、正規ファイルを実行した場合に得られるものを排除して、マルウェアの挙動に特徴的なログのみを精度良く抽出することができる。
Further, according to the malware feature extraction system 10 of the present embodiment, the
また、本実施形態のマルウェア特徴抽出システム10によれば、比較用DB143に記憶されているルールに従って検体解析ログ情報のイベントと、正規ファイル解析ログ情報のイベントとの同一性を判定するようにしている。例えば、図8に示すように「インストールIMEのバージョン取得」と「キーボードレイアウトの取得」とは異なるアクションではあるものの実質的には同種のことを行っており、アクション同一視ルール情報に基づいてイベントを比較することにより、異なるアクションであっても同一視することのできるアクションについては同一と判定し、これをブラックログから排除することができる。また、例えば図8に示すように、「172.10.10.10」をループバックアドレスとして使用している場合には、「127.0.0.1」と「172.10.10.10」とは同一のアドレスと評価することが可能であり、データ同一視ルール情報に基づいてイベントを比較することにより、異なるデータであっても同じデータとみなすことのできるデータを同一と判定し、これをブラックログから排除することができる。また、例えば図8に示すように、ある数値について±30%の誤差を許容するように設定しておくことにより、マルウェアが行った数値を設定する処理と、誠意ファイルが行った数値を設定する処理とについて、誤差を許容しながらイベントを比較し、誤差の範囲内においてイベントを同一と判定し、これをブラックログから排除することができる。
Further, according to the malware feature extraction system 10 of the present embodiment, the identity between the event of the sample analysis log information and the event of the regular file analysis log information is determined according to the rules stored in the
なお、検体解析ログが複数ある場合には、検体解析ログ同士を上記処理の流れと同じように比較して全ての解析ログに一致する部分のみ抽出して解析ログとしてもよい。同様に正規ファイル解析ログが複数ある場合には、正規ファイル解析ログ同士を上記処理の流れと同じように比較して全ての解析ログに一致する部分のみ抽出して正規ファイル解析ログとしてもよい。これによって、新たに抽出した検体解析ログ、及び正規ファイル解析ログのノイズが除去され、ホワイトログ、ブラックログの精度が高まる。
また、例えば解析環境ID=「SWSM0001」及びファイル種別ID=「PDF」を条件としたホワイトログとして保管しておくことにより、次に同じ条件(解析環境ID=「SWSM0001」及びファイル種別ID=「PDF」)で検体を解析する際に、当該条件のホワイトログを読み込んで検体解析ログと比較することで、検体の解析の度に正規ファイルを生成(ステップS1106)したり、正規ファイルの解析(ステップS1107の正規ファイルの一部)を実施したりする処理を省略することもできる。
When there are a plurality of sample analysis logs, the sample analysis logs may be compared with each other in the same manner as the processing flow described above, and only a portion that matches all the analysis logs may be extracted and used as the analysis log. Similarly, when there are a plurality of regular file analysis logs, the regular file analysis logs may be compared with each other in the same manner as the processing flow described above, and only a portion that matches all the analysis logs may be extracted and used as a regular file analysis log. This removes noise from the newly extracted sample analysis log and regular file analysis log, and increases the accuracy of the white log and black log.
Further, for example, by storing as a white log on condition that analysis environment ID = “SWSM0001” and file type ID = “PDF”, the same condition (analysis environment ID = “SWSM0001” and file type ID = “ When analyzing a sample by “PDF”), a white file of the condition is read and compared with the sample analysis log, thereby generating a regular file each time the sample is analyzed (step S1106), or analyzing a regular file ( The process of performing a part of the regular file in step S1107) may be omitted.
次に、対策指示装置21の対策ルール生成プログラム211と、対策指示プログラム212における処理の流れについて、図14を用いて説明する。
Next, the flow of processing in the countermeasure
図14に示すように、対策ルール生成プログラム211(図10参照)は、マルウェア特徴抽出装置14のブラックログDB144(図9参照)よりブラックログを取得する(ステップS2101)。ここでは、図9に示すブラックログDB144の解析ID1451が「REQ0001」のイベントの中から一例としてイベント1454の「項目=ネットワーク通信、アクション=HTTPリクエスト、データ=www.abc.com/ABC.bat」を取得したとする。
As shown in FIG. 14, the countermeasure rule generation program 211 (see FIG. 10) acquires a black log from the black log DB 144 (see FIG. 9) of the malware feature extraction apparatus 14 (step S2101). Here, as an example, an event 1454 “item = network communication, action = HTTP request, data = www.abc.com / ABC.bat” is selected from the events whose
対策ルール生成プログラム211は、取得したブラックログのイベント1454の項目及びアクションと、対策ポリシDB213に記憶されている対策ポリシ情報の項目2132及びアクション2133とを照合して、一致する対策ポリシ情報の対策場所2134及び対策2135を得る(ステップS2102)。ここでは、「項目=ネットワーク通信、アクション=HTTPリクエスト」に対応する対策ポリシ情報を対策ポリシDB213から検索して得た結果として「ポリシID=PL0002、項目=ネットワーク通信、アク
ション=HTTPリクエスト、対策=アラート」を得る。
The countermeasure
対策ルール生成プログラム211は、得られた対策ポリシ情報とブラックログ情報のイベントに基づいて対策ルール情報を生成し、対策ルールDB214に格納する(ステップS2103)。例えば、対策ルール生成プログラム211は、新たな対策ルールID2141を割り当てる。対策ルール生成プログラム211は、対策ポリシ情報の対策場所2134と一致する対策場所2152を有する対策装置管理情報の対策装置ID2151を対策装置管理DB215から取得して対策装置ID2142とする。対策ルール生成プログラム211は、ブラックログのイベントのデータ及び対策ポリシ情報の対策2135に応じて対策内容2143を作成する。ここでは、イベント1454「項目=ネットワーク通信、アクション=HTTPリクエスト、データ=www.abc.com/ABC.bat」と、対策ポリシ情報「ポリシID=PL0002、項目=ネットワーク通信、アクション=HTTPリクエスト、対策場所=検知装置、対策=アラート」と、対策装置管理情報「対策装置ID=AP002、対策場所=検知装置」から、「対策ID=ACT002、対策装置=AP002、対策内容=www.abc.com/ABC.batへのHTTPリクエスト時にアラート」という対策ルール情報を得て対策ルールDB214に格納することができる。
The countermeasure
次に、対策指示プログラム212は、対策装置31向けの対策ルール情報を対策ルールDB214から取得し、対策ルール情報に基づいて対策装置31に対策を指示する(ステップS2104)。すなわち、対策指示プログラム212は、対策場所2152が「対策装置」である対策装置管理情報を対策装置管理DB215から取得し、取得した対策装置管理情報の対策装置ID2151に対応する対策ルール情報を対策ルールDB214から取得し、対策装置管理情報の対策装置ID2151が示す対策装置31に対して、対策ルール情報の対策内容2143を指示する。ここでは、対策ルールDB214から、対策装置ID2142=AP001の対策ルール情報である対策ID2141=ACT001の対策ルール情報を抽出し、対策装置ID2142=AP001が示す対策装置31に対して、対策内容2143「www.abc.comのDNSクエリを通信遮断」を指示する。
Next, the
また、対策指示プログラム212は、検知装置32向けの対策ルール情報を対策ルールDB214から取得し、対策ルール情報に基づいて検知装置32に検知を指示する(ステップS2105)。すなわち、対策指示プログラム212は、対策場所2152が「検知装置」である対策装置管理情報を対策装置管理DB215から取得し、取得した対策装置管理情報の対策装置ID2151に対応する対策ルール情報を対策ルールDB214から取得し、対策装置管理情報の対策装置ID2151が示す検知装置32に対して、対策ルール情報の対策内容2143を指示する。ここでは、対策ルールDB214から、対策装置ID2142=AP002の対策ルール情報である対策ID2141=ACT002の対策ルール情報を抽出し、対策装置ID=AP002が示す検知装置32に対して、対策内容2143「www.abc.com/ABC.batへのHTTPリクエスト時にアラート」を指示する。
Further, the
さらに図示していない端末についても、対策指示プログラム212は、端末向けの対策ルール情報を対策ルールDB214から取得し、対策ルールに基づいて端末へ指示する(ステップS2106)。すなわち、対策指示プログラム212は、対策場所2152が「端末」である対策装置管理情報を対策装置管理DB215から取得し、取得した対策装置管理情報の対策装置ID2151に対応する対策ルール情報を対策ルールDB214から取得し、対策装置管理情報の対策装置ID2151が示す端末に対して、対策ルール情報の対策内容2143を指示する。ここでは、対策ルールDBから対策装置ID=AP003又はAP004に対応する対策ルール情報を抽出し、対策装置ID=AP003又はA
P004が示す端末に対して、「ABC.batの削除」「ABC.batの実行禁止」「ABC.bat実行時にアラート」を指示する。
Further, for a terminal not shown, the
The terminal indicated by P004 is instructed to “delete ABC.bat”, “prohibit execution of ABC.bat”, and “alert when ABC.bat is executed”.
次に、本実施形態のマルウェア特徴抽出システム10、対策指示装置21及びマルウェア対策システム30の動作を、図15を用いて説明する。図15は、本実施形態のマルウェア特徴抽出システム10、対策指示装置21及びマルウェア対策システム30の動作の一例を示す図である。
Next, operations of the malware feature extraction system 10, the
図15では、マルウェアを発見した場合の対策事例について説明する。なお、図15において、検体投入装置11、動的解析装置12、動的解析装置13、マルウェア特徴抽出装置14、対策指示装置21、対策装置31、検知装置32は、図1に示したものと同様であるので、説明を省略する。
FIG. 15 illustrates a countermeasure example when malware is found. In FIG. 15, the
まず、管理者51が検体投入装置11を操作して、あるいは検体提供装置52から検体投入装置11に対してマルウェアである検体の解析を依頼する(ステップS001)。
First, the administrator 51 operates the
検体投入装置11は、依頼された検体から、同じファイル種別(実行ファイル、PDFファイルなど)のマルウェアではない正規ファイルを生成(本実施形態では予め準備された正規ファイルを正規ファイルストアから取得)する(ステップS002)。検体投入装置11は検体を動的解析装置12に送信して検体の実行を依頼する(ステップS003)。またステップS003と同時刻に検体投入装置11は動的解析装置13に正規ファイルを送信して正規ファイルの実行を依頼する(ステップS004)。
The
動的解析装置12は検体が投入されると検体を実行し(ステップS005)、その挙動を観測して検体解析ログを取得する(ステップS006)。また、動的解析装置13は正規ファイルが投入されると正規ファイルを実行し(ステップS007)、その挙動を観測して正規ファイル解析ログを取得する(ステップS008)。
The
マルウェア特徴抽出装置14は、動的解析装置12から検体解析ログを、動的解析装置13から正規ファイル解析ログをそれぞれ収集する(ステップS009)。マルウェア特徴抽出装置14は、検体解析ログと正規ファイル解析ログのイベント同士を予め定義しておいた比較ルールに則って比較して(ステップS010)、一致する部分をホワイトログ、検体解析ログにのみ現れる部分をブラックログとして抽出する(ステップS011)。ブラックログはマルウェアの特徴を示す情報となる。
The malware
対策指示装置21は、マルウェア特徴抽出装置14からブラックログを取得し(ステップS012)、予め定義しておいた対策ポリシ情報に基づいて対策ルールを生成し(ステップS013)、対策装置31、検知装置32及び端末53のそれぞれに適した対策ルールを展開する(ステップS014)。これにより、ステップS001で提供したマルウェアに固有の特徴に基づいてマルウェアに対する防御対策を施すことが可能となり、ユーザ52の利用する端末53がマルウェアに感染したとしても(ステップS015)、端末53上で直ちにマルウェアを削除したり(ステップS016)、マルウェアによってインターネット54にマルウェア通信をしようとした時には(ステップS017)、検知装置32でその通信を検知して管理者51に対してアラートを出したり(ステップS018)、対策装置31でその通信を検知して通信の遮断を行ったり(ステップS019)することができる。
The
以上のように、本実施形態の本実施形態のシステムによれば、上述のようにマルウェアに関する特徴を精度の高く表しているブラックログに基づいてマルウェアへの対策を講じることができる。したがって、マルウェアでないファイルについてまで遮断してしまうよ
うな不具合を防止することができる。
As described above, according to the system of this embodiment of the present embodiment, it is possible to take countermeasures against malware based on the black log that accurately expresses the features related to malware as described above. Therefore, it is possible to prevent a problem that blocks even non-malware files.
以上、本実施形態について説明したが、上記実施形態は本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。本発明は、その趣旨を逸脱することなく、変更、改良され得ると共に、本発明にはその等価物も含まれる。 Although the present embodiment has been described above, the above embodiment is intended to facilitate understanding of the present invention and is not intended to limit the present invention. The present invention can be changed and improved without departing from the gist thereof, and the present invention includes equivalents thereof.
例えば、本実施形態では、検体投入装置11、動的解析装置12及び13ならびにマルウェア特徴抽出装置14は、それぞれ別体のコンピュータであるものとしたが、マルウェア特徴抽出システム10を1台のコンピュータ又は複数台のハードウェアから構成される仮想的な1台のコンピュータとして実現し、検体投入装置11、動的解析装置12及び13ならびにマルウェア特徴抽出装置14の少なくともいずれかを、マルウェア特徴抽出システム10上で実行される仮想的なコンピュータとして実現するようにしてもよい。例えば動的解析装置12が備える演算部1201、メモリ1202、通信部1205、記憶部1206などをマルウェア特徴抽出システム10がエミュレートするようにすることができる。
For example, in the present embodiment, the
10 マルウェア特徴抽出システム
11 検体投入装置
12、13 動的解析装置
14 マルウェア特徴抽出装置
21 対策指示装置
30 マルウェア対策システム
31 対策装置
32 検知装置
50 インターネット
51 管理者
52 ユーザ
53 端末
54 インターネット
111 検体投入プログラム
112 正規ファイル生成プログラム
113 検体受付DB
114 正規ファイル管理DB
115 解析要求DB
121、131 検体実行プログラム
122、132 ログ取得プログラム
123、133 ログ管理DB
141 ログ収集プログラム
142 ログ比較プログラム
143 比較用DB
144 ホワイトログDB
145 ブラックログDB
211 対策ルール生成プログラム
212 対策指示プログラム
213 対策ポリシDB
214 対策ルールDB
215 対策装置管理DB
311 対策プログラム
321 検知プログラム
1101、1201、1301、1401、2101 演算部
1102、1202、1302、1402、2102 メモリ
1103、1203、1303、1403、2103 入力部
1104、1204、1304、1404、2104 表示部
1105、1205、1305、1405、2105 通信部
1106、1206、1306、1406、2106 記憶部
DESCRIPTION OF SYMBOLS 10 Malware
114 Regular file management DB
115 Analysis request DB
121, 131
141
144 White Log DB
145 Black Log DB
211 Countermeasure
214 Countermeasure DB
215 Countermeasure device management DB
311
Claims (11)
前記マルウェアでないファイルである正規ファイルを実行し、または前記正規ファイルに関係づけられたプログラムを実行することにより得られるログである正規ファイル解析ログを記憶する正規ファイル解析ログ記憶部と、
前記マルウェアを実行し、または前記マルウェアに関係づけられたプログラムを実行する実行環境と、
前記実行環境より得られるマルウェア解析ログを取得するログ取得部と、
前記マルウェア解析ログ及び正規ファイル解析ログを比較し、前記マルウェア解析ログのうち前記正規ファイル解析ログに含まれないものを前記マルウェアに関するブラックログして抽出するブラックログ抽出部と、
を備えることを特徴とするマルウェア特徴抽出システム。 A malware reception unit for receiving malware input;
A regular file analysis log storage unit that stores a regular file analysis log that is a log obtained by executing a regular file that is a file that is not the malware or by executing a program related to the regular file;
An execution environment for executing the malware or executing a program related to the malware;
A log acquisition unit for acquiring a malware analysis log obtained from the execution environment;
A black log extraction unit that compares the malware analysis log and the regular file analysis log, and extracts the malware analysis log that is not included in the regular file analysis log as a black log related to the malware;
A malware feature extraction system comprising:
前記実行環境である第1の実行環境に加えて、前記正規ファイルを実行し、または前記正規ファイルに関係づけられたプログラムを実行する第2の実行環境を備え、
前記第1及び第2の実行環境は同時に動作し、
前記ログ取得部は、前記第1及び第2の実行環境から前記マルウェア解析ログ及び前記正規ファイル解析ログを取得すること、
を特徴とするマルウェア特徴抽出システム。 The malware feature extraction system according to claim 1,
In addition to the first execution environment, which is the execution environment, a second execution environment for executing the regular file or executing a program related to the regular file is provided.
The first and second execution environments operate simultaneously;
The log acquisition unit acquires the malware analysis log and the regular file analysis log from the first and second execution environments;
Malware feature extraction system characterized by
請求項1に記載のマルウェア特徴抽出システムであって、
前記実行環境である第1の実行環境に加えて、前記正規ファイルを実行し、または前記正規ファイルに関係づけられたプログラムを実行する第2の実行環境を備え、
前記第2の実行環境において複数回、前記正規ファイルを実行し、または前記正規ファイルに関係づけられたプログラムを実行し、
前記ログ取得部は、前記第2の実行環境から複数回分のログを取得し、取得した複数回分のログに共通するログを抽出して前記正規ファイル解析ログとして前記正規ファイル解析ログ記憶部に記憶すること、
を特徴とするマルウェア特徴抽出システム。 (Corresponding to the old claim 4)
The malware feature extraction system according to claim 1,
In addition to the first execution environment, which is the execution environment, a second execution environment for executing the regular file or executing a program related to the regular file is provided.
Executing the regular file multiple times in the second execution environment or executing a program associated with the regular file;
The log acquisition unit acquires a log for a plurality of times from the second execution environment, extracts a log common to the acquired logs for a plurality of times, and stores the log in the normal file analysis log storage unit as the normal file analysis log To do,
Malware feature extraction system characterized by
ログの同一性を判定するためのルールを記憶するルール記憶部をさらに備え、
前記ログ抽出部は、前記ルールに従って前記マルウェア解析ログと前記正規ファイル解析ログとの同一性を判定すること、
を特徴とするマルウェア特徴抽出システム。 The malware feature extraction system according to claim 1,
A rule storage unit for storing a rule for determining the identity of the log;
The log extraction unit determines the identity of the malware analysis log and the regular file analysis log according to the rules;
Malware feature extraction system characterized by
前記マルウェアを対象とした対策を行う装置と通信可能に接続され、
前記ブラックログに基づいて前記マルウェアに対する対策ルールを生成する対策ルール生成部と、
前記対策ルールに従って前記マルウェアを対象とした対策を行う装置に対して指示を行う対策指示部と、
を特徴とするマルウェア特徴抽出システム。 The malware feature extraction system according to claim 1,
It is connected to be able to communicate with a device that takes measures against the malware,
A countermeasure rule generating unit that generates a countermeasure rule for the malware based on the black log;
A countermeasure instruction unit that gives instructions to a device that performs countermeasures against the malware according to the countermeasure rules;
Malware feature extraction system characterized by
マルウェアの入力を受け付けるステップと、
前記マルウェアでないファイルである正規ファイルを実行し、または前記正規ファイル
に関係づけられたプログラムを実行することにより得られるログである正規ファイル解析ログを記憶するステップと、
前記マルウェアを実行し、または前記マルウェアに関係づけられたプログラムを実行するステップと、
前記マルウェアの実行または前記マルウェアに関連づけられたプログラムの実行により得られるマルウェア解析ログを取得するステップと、
前記マルウェア解析ログ及び正規ファイル解析ログを比較し、前記マルウェア解析ログのうち前記正規ファイル解析ログに含まれないものを前記マルウェアに関するブラックログして抽出するステップと、
を実行することを特徴とするマルウェア特徴抽出方法。 Computer
Accepting malware input;
Storing a regular file analysis log that is a log obtained by executing a regular file that is a file that is not the malware, or by executing a program associated with the regular file;
Executing the malware or executing a program associated with the malware;
Obtaining a malware analysis log obtained by execution of the malware or execution of a program associated with the malware;
Comparing the malware analysis log and the regular file analysis log, and extracting the malware analysis log that is not included in the regular file analysis log as a black log related to the malware; and
A malware feature extraction method characterized by executing.
前記コンピュータは、
前記マルウェアを実行し、または前記マルウェアに関係づけられたプログラムを実行するステップと同時に、前記正規ファイルを実行し、または前記正規ファイルに関係づけられたプログラムを実行するステップと、
前記マルウェア解析ログを取得するとともに、前記正規ファイルの実行または前記正規ファイルに関連づけられたプログラムの実行により得られるログを前記正規ファイル解析ログとして取得するステップと、
をさらに実行することを特徴とするマルウェア特徴抽出方法。 The malware feature extraction method according to claim 6,
The computer
Executing the malware or executing a program associated with the malware simultaneously with executing the regular file or executing a program associated with the regular file;
Obtaining the malware analysis log and obtaining a log obtained by executing the regular file or executing a program associated with the regular file as the regular file analysis log; and
A malware feature extraction method characterized by further executing:
前記コンピュータは、
前記正規ファイルを実行し、または前記正規ファイルに関係づけられたプログラムを実行するステップを複数回行うステップと、
前記正規ファイルの実行または前記正規ファイルに関連づけられたプログラムの実行により得られる複数回のログを取得するステップと、
取得した前記複数回のログで共通するログを抽出して前記正規ファイル解析ログとして記憶するステップと、
をさらに実行することを特徴とするマルウェア特徴抽出方法。 The malware feature extraction method according to claim 6,
The computer
Executing the regular file or executing the program associated with the regular file multiple times;
Obtaining a plurality of logs obtained by executing the regular file or executing a program associated with the regular file;
Extracting a log common to the acquired multiple logs and storing it as the regular file analysis log; and
A malware feature extraction method characterized by further executing:
前記コンピュータは、ログの同一性を判定するためのルールを記憶するステップをさらに実行し、
前記コンピュータは、前記マルウェア解析ログ及び正規ファイル解析ログを比較するステップにおいて、前記ルールに従って前記マルウェア解析ログと前記正規ファイル解析ログとの同一性を判定すること、
を特徴とするマルウェア特徴抽出方法。 The malware feature extraction method according to claim 6,
The computer further executes a step of storing rules for determining log identity;
The computer, in the step of comparing the malware analysis log and the regular file analysis log, to determine the identity of the malware analysis log and the regular file analysis log according to the rules;
Malware feature extraction method characterized by
前記コンピュータは、
前記マルウェアを対象とした対策を行う装置と通信可能に接続され、
前記ブラックログに基づいて前記マルウェアに対する対策ルールを生成するステップと、
前記対策ルールに従って前記マルウェアを対象とした対策を行う装置に対して指示を行うステップと、
をさらに実行することを特徴とするマルウェア特徴抽出方法。 The malware feature extraction method according to claim 6,
The computer
It is connected to be able to communicate with a device that takes measures against the malware,
Generating a countermeasure rule against the malware based on the black log;
Instructing a device to take countermeasures against the malware according to the countermeasure rules;
A malware feature extraction method characterized by further executing:
前記対策ルールに従って前記マルウェアを対象とした対策を行う装置に対して指示を行う対策指示部と、
を備えることを特徴とする対策指示装置。 A countermeasure rule generation unit that generates a countermeasure rule for the malware based on the black log extracted by the malware feature extraction system according to claim 1;
A countermeasure instruction unit that gives instructions to a device that performs countermeasures against the malware according to the countermeasure rules;
A countermeasure instruction device comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014110154A JP6314036B2 (en) | 2014-05-28 | 2014-05-28 | Malware feature extraction device, malware feature extraction system, malware feature method and countermeasure instruction device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014110154A JP6314036B2 (en) | 2014-05-28 | 2014-05-28 | Malware feature extraction device, malware feature extraction system, malware feature method and countermeasure instruction device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015225512A true JP2015225512A (en) | 2015-12-14 |
JP6314036B2 JP6314036B2 (en) | 2018-04-18 |
Family
ID=54842205
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014110154A Active JP6314036B2 (en) | 2014-05-28 | 2014-05-28 | Malware feature extraction device, malware feature extraction system, malware feature method and countermeasure instruction device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6314036B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019225214A1 (en) * | 2018-05-21 | 2019-11-28 | 日本電信電話株式会社 | Determination method, determination device and determination program |
JPWO2021124528A1 (en) * | 2019-12-19 | 2021-06-24 | ||
WO2023042379A1 (en) * | 2021-09-17 | 2023-03-23 | 日本電気株式会社 | Attack analysis support device, attack analysis support method, and computer-readable recording medium |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002251374A (en) * | 2000-12-20 | 2002-09-06 | Fujitsu Ltd | System and method for managing information, program for permitting computer to execute method, and computer readable recording medium recording the program |
US20060075490A1 (en) * | 2004-10-01 | 2006-04-06 | Boney Matthew L | System and method for actively operating malware to generate a definition |
JP2006243878A (en) * | 2005-03-01 | 2006-09-14 | Matsushita Electric Ind Co Ltd | Unauthorized access detection system |
JP2009181335A (en) * | 2008-01-30 | 2009-08-13 | Nippon Telegr & Teleph Corp <Ntt> | Analysis system, analysis method, and analysis program |
JP2010182019A (en) * | 2009-02-04 | 2010-08-19 | Kddi Corp | Abnormality detector and program |
JP2013529335A (en) * | 2010-04-28 | 2013-07-18 | シマンテック コーポレーション | Behavior signature generation using clustering |
JP2014085772A (en) * | 2012-10-22 | 2014-05-12 | Nippon Telegr & Teleph Corp <Ntt> | Illegal program execution system, illegal program execution method, and illegal program execution program |
-
2014
- 2014-05-28 JP JP2014110154A patent/JP6314036B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002251374A (en) * | 2000-12-20 | 2002-09-06 | Fujitsu Ltd | System and method for managing information, program for permitting computer to execute method, and computer readable recording medium recording the program |
US20060075490A1 (en) * | 2004-10-01 | 2006-04-06 | Boney Matthew L | System and method for actively operating malware to generate a definition |
JP2006243878A (en) * | 2005-03-01 | 2006-09-14 | Matsushita Electric Ind Co Ltd | Unauthorized access detection system |
JP2009181335A (en) * | 2008-01-30 | 2009-08-13 | Nippon Telegr & Teleph Corp <Ntt> | Analysis system, analysis method, and analysis program |
JP2010182019A (en) * | 2009-02-04 | 2010-08-19 | Kddi Corp | Abnormality detector and program |
JP2013529335A (en) * | 2010-04-28 | 2013-07-18 | シマンテック コーポレーション | Behavior signature generation using clustering |
JP2014085772A (en) * | 2012-10-22 | 2014-05-12 | Nippon Telegr & Teleph Corp <Ntt> | Illegal program execution system, illegal program execution method, and illegal program execution program |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019225214A1 (en) * | 2018-05-21 | 2019-11-28 | 日本電信電話株式会社 | Determination method, determination device and determination program |
JPWO2019225214A1 (en) * | 2018-05-21 | 2020-12-10 | 日本電信電話株式会社 | Judgment method, judgment device and judgment program |
JPWO2021124528A1 (en) * | 2019-12-19 | 2021-06-24 | ||
WO2021124528A1 (en) * | 2019-12-19 | 2021-06-24 | 三菱電機株式会社 | Incident response assistant system, incident response assistant method, and incident response assistant program |
JP7004477B2 (en) | 2019-12-19 | 2022-01-21 | 三菱電機株式会社 | Incident Response Assistance System, Incident Response Assistance Method and Incident Response Assistance Program |
WO2023042379A1 (en) * | 2021-09-17 | 2023-03-23 | 日本電気株式会社 | Attack analysis support device, attack analysis support method, and computer-readable recording medium |
Also Published As
Publication number | Publication date |
---|---|
JP6314036B2 (en) | 2018-04-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11640472B2 (en) | Profiling of spawned processes in container images and enforcing security policies respective thereof | |
JP7046111B2 (en) | Automatic detection during malware runtime | |
US11783035B2 (en) | Multi-representational learning models for static analysis of source code | |
US10586042B2 (en) | Profiling of container images and enforcing security policies respective thereof | |
US9853994B2 (en) | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program | |
US11184374B2 (en) | Endpoint inter-process activity extraction and pattern matching | |
US11615184B2 (en) | Building multi-representational learning models for static analysis of source code | |
US10313370B2 (en) | Generating malware signatures based on developer fingerprints in debug information | |
US11636208B2 (en) | Generating models for performing inline malware detection | |
US11374946B2 (en) | Inline malware detection | |
JP6050162B2 (en) | Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program | |
JP6314036B2 (en) | Malware feature extraction device, malware feature extraction system, malware feature method and countermeasure instruction device | |
JP2024023875A (en) | Inline malware detection | |
US11966476B2 (en) | Deep application discovery and forensics for automated threat modeling | |
WO2015178002A1 (en) | Information processing device, information processing system, and communication history analysis method | |
US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
Hsu et al. | A Cloud-based Protection approach against JavaScript-based attacks to browsers | |
JP2020107335A (en) | Information processing system, server device, control method of server device, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161116 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170928 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171003 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171109 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180109 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180129 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180227 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180326 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6314036 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |