JP2016009308A - マルウェア検出方法、システム、装置、ユーザpc及びプログラム - Google Patents
マルウェア検出方法、システム、装置、ユーザpc及びプログラム Download PDFInfo
- Publication number
- JP2016009308A JP2016009308A JP2014129173A JP2014129173A JP2016009308A JP 2016009308 A JP2016009308 A JP 2016009308A JP 2014129173 A JP2014129173 A JP 2014129173A JP 2014129173 A JP2014129173 A JP 2014129173A JP 2016009308 A JP2016009308 A JP 2016009308A
- Authority
- JP
- Japan
- Prior art keywords
- user
- malware
- virtual environment
- false positive
- malware detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【課題】タイムボムなど、トリガーメカニズム下で起動するマルウェアを効率的に検知する。
【解決手段】マルウェアに対する実行環境を仮想的に提供するユーザPCと、ユーザPCに接続してユーザPCにおける仮想環境を制御するマルウェア検出装置とを設ける。マルウェア検出装置において、マルウェアである可能性を有する擬陽性ファイルを選択し、マルウェアがトリガーされることが想定される仮想環境を設定登録する。ユーザPCは、マルウェア検出装置の指示に基づき、擬陽性ファイルをそのユーザPC内に格納し、指定された仮想環境をそのユーザPCに設定して、異常が発生しないか異常を検出する。
【選択図】図6
【解決手段】マルウェアに対する実行環境を仮想的に提供するユーザPCと、ユーザPCに接続してユーザPCにおける仮想環境を制御するマルウェア検出装置とを設ける。マルウェア検出装置において、マルウェアである可能性を有する擬陽性ファイルを選択し、マルウェアがトリガーされることが想定される仮想環境を設定登録する。ユーザPCは、マルウェア検出装置の指示に基づき、擬陽性ファイルをそのユーザPC内に格納し、指定された仮想環境をそのユーザPCに設定して、異常が発生しないか異常を検出する。
【選択図】図6
Description
本発明は、パーソナルコンピュータ(PC:personal computer)などのコンピュータにおけるマルウェア(malware)検知技術に関し、特に、標的型攻撃タイプなどのマルウェアを予防的に検知する技術に関する。
マルウェアは、コンピュータプログラムの一種であり、コンピュータ内で実行されると、情報を盗み出したり削除したりといったユーザにとって有害な活動を行うものである。マルウェアの中でも特定のコンピュータあるいはユーザを対象とする標的型攻撃のものは、深刻な被害をもたらすことが多く、大きなセキュリティリスクとなっている。
標的攻撃型マルウェアなどのセキュリティリスクを検知し分析する技術として、非特許文献1には、標的型攻撃等のセキュリティリスクの検知・分析機能を強化したセキュリティ情報・イベント管理エンジンが示されている。このエンジンは、高度な自己相関分析によるセキュリティリスクの検知や脅威レベルの自動評価機能を備えており、ログでの長時間の変化から攻撃を検知したり、悪性サイトを効率的に発見することができる。
(報道発表資料)標的型攻撃など未知のセキュリティリスクも対応可能なセキュリティ運用基盤の構築および総合リスクマネジメントサービスのグローバル展開について,NTTコミュニケーションズ株式会社、Integralis AG、Secode AB、日本電信電話株式会社、2013年2月7日、[Online][2014年4月11日検索]、インターネット〈URL:http://www.ntt.com/release/monthNEWS/detail/pdf/20130207.pdf〉
標的型攻撃マルウェアには種々の形態のものがあるが、これらの中には、一定の日時に至ることで起動される時限爆弾式マルウェア(タイムボム(time bomb))や、一定の操作が実行されたり一定の条件が満たされることで起動されるタイプのマルウェアが存在する。こうした一定の条件、すなわちトリガーメカニズム下でのみ起動されるタイプのマルウェアを検出することは、非特許文献1に記載された方法でも困難な場合がある。このタイプのマルウェアは、ウイルスコードの特徴を比較することによるウイルス検査プログラムからの発見は非常に難しい。
そこで本発明の目的は、タイムボムなど、トリガーメカニズム下で起動するマルウェア(いわゆるロジックボム(logic bomb);論理爆弾)を効率的に検知することができるマルウェア検出方法及びシステムと、このシステムで用いられるマルウェア検出装置及びユーザPCと、を提供することにある。
本発明のマルウェア検出方法は、マルウェアに対する実行環境を仮想的に提供するユーザPCに接続してユーザPCにおける仮想環境を制御するマルウェア検出装置が、マルウェアである可能性を有する擬陽性ファイルを選択して、ユーザPCに対し、そのユーザPC内に擬陽性ファイルを保存させることと、ユーザPCが、マルウェア検出装置から受け取った擬陽性ファイルをそのユーザPC内に保存することと、マルウェア検出装置が、マルウェアがトリガーされることが想定される仮想環境を設定登録し、ユーザPCに対しそのユーザPCにおいて仮想環境を設定するように指示することと、ユーザPCが、マルウェア検出装置から指示された仮想環境をそのユーザPCに設定することと、ユーザPCにおいて異常が発生しないか異常を検出することと、を含む。
本発明のマルウェア検出システムは、マルウェアに対する実行環境を仮想的に提供するユーザPCと、ユーザPCに接続してそのユーザPCにおける仮想環境を制御するマルウェア検出装置と、を備え、マルウェア検出装置は、マルウェアである可能性を有する擬陽性ファイルを選択して、ユーザPCに対しそのユーザPC内に擬陽性ファイルを保存させる擬陽性ファイル選択部と、マルウェアがトリガーされることが想定される仮想環境を設定登録し、ユーザPCに対しそのユーザPCにおいて仮想環境を設定するように指示する仮想環境設定部と、を含み、ユーザPCは、マルウェア検出装置から擬陽性ファイルを受け取ってそのユーザPC内に保存する擬陽性ファイル受信部と、マルウェア検出装置から指示された仮想環境をそのユーザPCに設定する仮想環境設定部と、そのユーザPCにおいて異常が発生しないか異常を検出する異常検出部と、を含む。
本発明のマルウェア検出装置は、マルウェアに対する実行環境を仮想的に提供するユーザPCに接続してユーザPCでの仮想環境を制御するマルウェア検出装置であって、マルウェアである可能性を有する擬陽性ファイルを選択して、ユーザPCに対しそのユーザPC内に擬陽性ファイルを保存させる擬陽性ファイル選択部と、マルウェアがトリガーされることが想定される仮想環境を設定登録し、ユーザPCに対しそのユーザPCにおいて仮想環境を設定するように指示する仮想環境設定部と、を有する。
本発明のユーザPCは、マルウェア検出装置に接続してマルウェアに対する実行環境を仮想的に提供するユーザPCであって、マルウェア検出装置から、マルウェアである可能性を有する擬陽性ファイルを受け取って、ユーザPC内に保存する擬陽性ファイル受信部と、マルウェア検出装置から指示された仮想環境をユーザPCに設定する仮想環境設定部と、異常が発生しないか異常を検出する異常検出部と、を有する。
本発明は、マルウェア検出装置において仮想的な設定の組み合わせを自動的に大量に作成してユーザPCに設定し、ユーザPCにおいて各組み合わせごとにマルウェアの検出を行うことで、ロジックボム等のマルウェアを効率的に検出することができるようになるという効果を有する。
次に、本発明の好ましい実施の形態について、図面を参照して説明する。図1は、本発明の実施の一形態のマルウェア検出システムの全体の構成を示している。
このシステムは、マルウェアが標的とするであろうPC(以下、攻撃対象PCと呼ぶ)と同様のPCであるユーザPC11を用意し、マルウェアの疑いがあるファイルすなわち擬陽性ファイルをユーザPC11に読み込ませ、ユーザPC11の挙動を監視することで、擬陽性ファイルがマルウェアかどうかを判定するものである。ユーザPC11は、ハードウェア条件やオペレーティングシステム(OS;operating system)が攻撃対象PCと同様のものにされているが、攻撃対象PCそのものではないため、マルウェアが想定しているトリガーがそのままではユーザPC11において発生しないと考えられる。そこで、本実施形態では、攻撃対象PCの挙動をシミュレートしてマルウェアがトリガーされるようにユーザPC11の環境を仮想的に設定し、仮想的に環境が設定されたユーザPC11でマルウェアがトリガーされたことを検出するようにする。そのためこのマルウェア検出システムでは、仮想的な環境でこの擬陽性ファイルを試す1または複数のユーザPC11がネットワーク10に接続しており、このネットワーク10には、ユーザPC11での仮想的な環境全体を制御するマルウェア検出装置12も接続している。異なる多くの仮想的な環境で擬陽性ファイルを同時に試みるようにすることがマルウェアの早期発見につながるから、ユーザPC11を多数設けることが好ましい。
ネットワーク10は、擬陽性ファイルの仮想的な実行環境となるユーザPC11と、仮想的な環境全体を制御するマルウェア検出装置12とを分離するためのものであるから、物理的な実体としてのネットワークであっても、仮想的なネットワークであってもよい。したがって、論理的にユーザPC11とマルウェア検出装置12とを分離できるのであれば、同一のハードウェア装置上にユーザPC11とマルウェア検出装置12とを実装することも可能である。
マルウェア検出装置12は、擬陽性ファイルをユーザPC11に配布するとともに、ユーザPC11において一定の条件を満たしたとき(つまりイベント発生時)にマルウェアのトリガーが引かれてそのマルウェアが活動を開始した場合にそのマルウェアを検出できるようにしたものである。より具体的にはマルウェア検出装置12は、ユーザPC11においてその一定の条件(イベント)を仮想的に発生させることによってトリガーメカニズム下でマルウェア(ロジックボム)を起動させ、システム障害などの異常な挙動が起きるか否かを検証する。マルウェア検出装置12は、一定の条件のもとでシステム障害などの異常な挙動が発生したときに、その一定の条件に基づいてシステム障害等の原因分析を行う。
ユーザPC11においてマルウェアのトリガーが引かれるための一定の条件を仮想的に構成する方法として、ユーザPC11に内蔵するクロックの時刻を仮想的に一定周期で変動させたり、ユーザPC11に対してIP(internet protocol:インターネットプロトコル)アドレスを仮想的に設定したり、メールアドレスを仮想的に設定したり、仮想的なメールアドレスからのメール送信を行ったり、仮想的なメールアドレスへのメール送信を行ったり、仮想的なアカウントへのログインを行ったり、いつ・どこで・誰が・誰に・何を、というイベントのパラメータの組み合わせを仮想的に構成したりすることが挙げられる。本実施形態では、その仮想的なイベントごとに、ロジックボム型のマルウェアによるシステム障害や異常な処理等を検出し、その原因を分析する。つまり本実施形態では、ロジックボム型等のマルウェアの起動を引き起こすイベントをユーザPC11において仮想的に構成することでマルウェアを検出する。
具体的な仮想的なイベントの構成方法としては、内蔵クロックの時刻については、例えば、一定周期または象徴的な日時や時刻で未来の時刻を設定すればよい。ネットワークを構成するさまざまなノードのアドレス(IPアドレスやプロキシーのアドレス等)については、例えば、実環境のネットワークノードのアドレスに基づいて、ネットワークアドレスを仮想的に設定すればよい。「誰かの」または「誰かから」に関する情報(メールアドレスやアカウント等)については、例えば、実際に存在するメールアドレスやアカウント等に基づいて仮想的な環境で設定することができる。「誰に対して」という情報については、例えば、実際に存在するメールアドレスに基づいて、メールの送信先に設定すればよい。「何を」に関する情報としては、例えば、実在する特定のファイルであったり、いかにも実在しそうな名称のファイルに基づいて、仮想的にファイルを名称を設定すればよい。
また、ロジックボム型のマルウェアが起動される契機として、「メール送受信」のイベントが発生することや「ウェブ(web)ブラウザ閲覧履歴」の内容が一定の条件を満たす場合があることから、仮想的な環境設定として、メール送受信のイベントの発生を設定したり、指定したサイトをウェブブラウザでユーザが閲覧したかのように仮想的にウェブブラウザ閲覧履歴を設定するようにしてもよい。
なお、仮想的に環境を設定するだけでなく、実際に存在するIT(情報テクノロジー;information technology)環境すなわち実在のコンピュータ環境やネットワーク環境、システム環境をそのまま利用して日時や時刻のみを変動させることによって、マルウェアを検出してもよい。
本実施形態では、このような仮想的な設定の組み合わせを自動的に大量に作成し、各組み合わせごとにマルウェアの検出を行うことで、ロジックボム等のマルウェアを効率的に検出することができる。以下の説明において、仮想的な設定の組み合わせの一つ一つを仮想環境パターンと呼ぶ。
図2は、ユーザPC11の構成を示している。ユーザPC11は、典型的には一般的なPCであって、攻撃対象PCと同じハードウェア条件及びOS環境を有するものであり、CPU(中央処理ユニット;central processing unit)21とネットワーク10との接続のための通信インタフェース22とファイル等を格納するための記憶部23とを備えている。さらにこのユーザPC11は、マルウェアの検出のために、マルウェア検出制御部25を備えている。マルウェア検出制御部25は、マルウェア検出装置12からロジックボム型等のマルウェアである可能性を有する擬陽性ファイルを受け取って記憶部23内の指定されたフォルダ(あるいはディレクトリ)に保存する擬陽性ファイル受信部26と、マルウェア検出装置12からの指示に従ってユーザPC11のIT環境を仮想的な環境に設定する仮想環境設定部27と、仮想的な時刻から一定時間にわたり異常が発生しないか、ユーザPC11での異常を検出する異常検出部28と、異常を検出した場合はその異常な状況をレポートにしてマルウェア検出装置12に送信するレポート作成送信部19と、からなっている。
ユーザPC11においてマルウェア検出制御部25は、例えばソフトウェアによって実現することができる。したがって、マルウェア検出制御部25の機能を実現するプログラムを一般的なPCに読み込ませて実行させることにより、そのPCを上述したユーザPC11として構成できることになる。マルウェア検出制御部25の機能を実現するためのプログラムは、何らかの記録媒体を用いてPCに読み込ませてもよいし、ネットワーク10を介してマルウェア検出装置12から読み込まれるようにしてもよい。
図3は、マルウェア検出装置12の構成を示している。マルウェア検出装置12は、ハードウェアとしてはネットワーク10に接続する一般的なサーバーコンピュータとして構成されるものであって、CPU31とネットワーク10との接続のための通信インタフェース32とを備えている。さらにマルウェア検出装置12は、ユーザPC11での仮想的な環境全体を制御しマルウェアを検出するために、マルウェア検出システム制御部35を備えている。マルウェア検出システム制御部35は、擬陽性ファイルを選択し各ユーザPC11の指定したフォルダ(あるいはディレクトリ)に保存するように各ユーザPC11に指示する擬陽性ファイル選択部36と、タイムボムやロジックボムが起動しそうな仮想環境を設定登録し、各ユーザPC11にその仮想環境を設定するように指示する仮想環境設定部37と、各ユーザPC11からの異常等に関するレポートを受信してまとめるレポート受信部38と、レポート受信部38でまとめたレポートから異常の原因を分析する異常分析部39と、からなっている。
マルウェア検出装置12においてマルウェア検出システム制御部35は、マルウェア検出装置12を構成するサーバーコンピュータにおいて例えばソフトウェアによって実現することができる。したがってマルウェア検出システム制御部35を実現するプログラムを一般的なサーバー用のコンピュータに読み込ませて実行させることにより、そのコンピュータをマルウェア検出装置12として構成できることになる。マルウェア検出システム制御部35を実現するプログラムは、例えば、何らかの記録媒体を介してあるいはネットワーク経由で、サーバー用のコンピュータに読み込まれる。
図4は、仮想環境設定部37が設定する情報の例を示している。上述したように仮想的な設定の組み合わせの一つ一つを仮想環境パターンと呼ぶが、仮想環境設定部37は、1または複数の仮想環境パターンを生成する。各仮想環境パターンには相互に区別するために番号が振られており、また各ユーザPC11にも番号が振られている。図4は1番目の仮想環境パターンを示しており、ここでは各ユーザPC11の時刻情報は共通に"2014/1/1/0:00"とするが、IPアドレス、アカウント情報、パスワード情報及びメールアカウントについては、ユーザPC11ごとに異ならせて仮想的に設定することが示されている。ファイルについては、2番目と3番目のユーザPC11において同じにしている。
図5は、レポート受信部38によってまとめられるレポートの例を示している。ここに示した例のうち1番目のレポート(レポートID(識別番号)が1のレポート)では、1番目のユーザPC11において、仮想的な時刻が"2015/8/15/0:00"であってIPアドレスが"203.0.113.1"であるときに、ユーザPC11のOS環境での実行形式ファイルに感染があったことが示されている。
次に、本実施形態における処理手順について、図6を参照して説明する。
ステップ51において、マルウェア検出装置12のマルウェア検出システム制御部35での処理を開始する。まずステップ52において、擬陽性ファイル選択部36が、マルウェアの疑いがあるファイルである擬陽性ファイルを選択し、ステップ53において、仮想環境設定指示部37が仮想環境パターンを登録設定する。次にステップ54において、擬陽性ファイル選択部36が、各ユーザPC11に対し、選択された擬陽性ファイルをそのユーザPC11の指定されたフォルダあるいはディレクトリに保存するように指示する。このとき擬陽性ファイルは、ネットワーク10を介してマルウェア検出装置12から各ユーザPC11に送られ、ユーザPC11の擬陽性ファイル受信部22で受け取られる。擬陽性ファイル受信部22は、受け取った擬陽性ファイルをそのユーザPC11の指定されたフォルダあるいはディレクトリに格納する。ステップ55において、仮想環境設定指示部37が、登録された仮想環境パターンに基づき、各ユーザPC11に対し、当該ユーザPCにおいてその割り当てられた仮想環境の設定の指示を出す。このとき、仮想環境パターンは、ネットワーク10を介してマルウェア検出装置12から各ユーザPC11に送られて各ユーザPC11の仮想環境設定部27で受け取られる。
次にステップ56において、各ユーザPC11の仮想環境設定部27が、受け取った仮想環境パターンに基づいて、各々の仮想環境を設定する。これにより、各ユーザPC11は、擬陽性ファイルに実際にマルウェアが含まれているものとしてそのマルウェアがトリガーされることを待ち受けることになる。そしてステップ57において、各ユーザPC11の異常検出部28が、障害発生などの異常の有無をチェックし、レポート作成送信部29が、異常が検出された場合にレポートを作成してマルウェア検出装置12に送信する。
マルウェア検出装置12では、ステップ58において、レポート受信部38が各ユーザPC11からのレポートを受信し、異常分析部39が、報告された異常を分析し、レポートにまとめ直し、設定した仮想環境のパターンでの異常検出処理を終了する。その後、ステップ59において、次の仮想環境パターンがあるかどうかを判定し、次の仮想環境パターンが存在する場合には、ステップ60においてマルウェア検出システム制御部35で次の仮想環境パターンを設定して、ステップ54に戻り、ステップ54からステップ58までの処理を繰り返す。
一方、ステップ59において次の仮想環境パターンが存在しない場合には、ステップ61において、別の擬陽性ファイルがあるかどうかを判定し、ない場合にはそのまま処理全体を終了し、別の擬陽性ファイルが存在する場合には、ステップ62において別の擬陽性ファイルを選択した上でステップ53に戻り、ステップ53からステップ60までの処理を繰り返す。
10 ネットワーク
11 ユーザPC
12 マルウェア検出装置
21,31 CPU
22,32 通信インタフェース
23 記憶部
25 マルウェア検出制御部
26 擬陽性ファイル受信部
27 仮想環境設定部
28 異常検出部
29 レポート作成送信部
35 マルウェア検出システム制御部
36 擬陽性ファイル選択部
37 仮想環境設定指示部
38 レポート受信部
39 異常分析部
11 ユーザPC
12 マルウェア検出装置
21,31 CPU
22,32 通信インタフェース
23 記憶部
25 マルウェア検出制御部
26 擬陽性ファイル受信部
27 仮想環境設定部
28 異常検出部
29 レポート作成送信部
35 マルウェア検出システム制御部
36 擬陽性ファイル選択部
37 仮想環境設定指示部
38 レポート受信部
39 異常分析部
Claims (8)
- マルウェアを検出するマルウェア検出方法であって、
マルウェアに対する実行環境を仮想的に提供するユーザPCに接続して該ユーザPCにおける仮想環境を制御するマルウェア検出装置が、マルウェアである可能性を有する擬陽性ファイルを選択して、前記ユーザPCに対し、当該ユーザPC内に前記擬陽性ファイルを保存させることと、
前記ユーザPCが、前記マルウェア検出装置から受け取った擬陽性ファイルを当該ユーザPC内に保存することと、
前記マルウェア検出装置が、前記マルウェアがトリガーされることが想定される仮想環境を設定登録し、前記ユーザPCに対し当該ユーザPCにおいて前記仮想環境を設定するように指示することと、
前記ユーザPCが、前記マルウェア検出装置から指示された仮想環境を当該ユーザPCに設定することと、
前記ユーザPCにおいて異常が発生しないか異常を検出することと、
を含む、マルウェア検出方法。 - 前記仮想環境が、日時・時刻、ネットワークアドレス、アカウント情報、メールアドレス、ファイル情報、メール送受信のイベントの発生の設定、及び、仮想的なウェブブラウザ閲覧履歴の設定、の少なくとも一つを含む、請求項1に記載のマルウェア検出方法。
- マルウェアを検出するマルウェア検出システムであって、
マルウェアに対する実行環境を仮想的に提供するユーザPCと、
前記ユーザPCに接続して当該ユーザPCにおける仮想環境を制御するマルウェア検出装置と、
を備え、
前記マルウェア検出装置は、
マルウェアである可能性を有する擬陽性ファイルを選択して、前記ユーザPCに対し当該ユーザPC内に前記擬陽性ファイルを保存させる擬陽性ファイル選択部と、
前記マルウェアがトリガーされることが想定される仮想環境を設定登録し、前記ユーザPCに対し当該ユーザPCにおいて前記仮想環境を設定するように指示する仮想環境設定部と、
を含み、
前記ユーザPCは、
前記マルウェア検出装置から擬陽性ファイルを受け取って当該ユーザPC内に保存する擬陽性ファイル受信部と、
前記マルウェア検出装置から指示された仮想環境を当該ユーザPCに設定する仮想環境設定部と、
当該ユーザPCにおいて異常が発生しないか異常を検出する異常検出部と、
を含む、マルウェア検出システム。 - 前記仮想環境が、日時・時刻、ネットワークアドレス、アカウント情報、メールアドレス、ファイル情報、メール送受信のイベントの発生の設定、及び、仮想的なウェブブラウザ閲覧履歴の設定、の少なくとも一つを含む、請求項3に記載のマルウェア検出システム。
- マルウェアに対する実行環境を仮想的に提供するユーザPCに接続して該ユーザPCでの仮想環境を制御するマルウェア検出装置であって、
マルウェアである可能性を有する擬陽性ファイルを選択して、前記ユーザPCに対し当該ユーザPC内に前記擬陽性ファイルを保存させる擬陽性ファイル選択部と、
前記マルウェアがトリガーされることが想定される仮想環境を設定登録し、前記ユーザPCに対し当該ユーザPCにおいて前記仮想環境を設定するように指示する仮想環境設定部と、
を有するマルウェア検出装置。 - マルウェア検出装置に接続してマルウェアに対する実行環境を仮想的に提供するユーザPCであって、
前記マルウェア検出装置から、マルウェアである可能性を有する擬陽性ファイルを受け取って、前記ユーザPC内に保存する擬陽性ファイル受信部と、
マルウェア検出装置から指示された仮想環境を前記ユーザPCに設定する仮想環境設定部と、
異常が発生しないか異常を検出する異常検出部と、
を有するユーザPC。 - マルウェアに対する実行環境を仮想的に提供するユーザPCに接続して該ユーザPCでの仮想環境を制御するコンピュータを、
マルウェアである可能性を有する擬陽性ファイルを選択して、前記ユーザPCに対し当該ユーザPC内に前記擬陽性ファイルを保存させる擬陽性ファイル選択手段、
前記マルウェアがトリガーされることが想定される仮想環境を設定登録し、前記ユーザPCに対し当該ユーザPCにおいて前記仮想環境を設定するように指示する仮想環境設定手段、
として機能させるプログラム。 - マルウェア検出装置に接続してマルウェアに対する実行環境を仮想的に提供するコンピュータを
前記マルウェア検出装置から、マルウェアである可能性を有する擬陽性ファイルを受け取って、前記コンピュータ内に保存する擬陽性ファイル受信手段、
マルウェア検出装置から指示された仮想環境を前記コンピュータに設定する仮想環境設定手段、
異常が発生しないか異常を検出する異常検出手段、
として機能させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014129173A JP2016009308A (ja) | 2014-06-24 | 2014-06-24 | マルウェア検出方法、システム、装置、ユーザpc及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014129173A JP2016009308A (ja) | 2014-06-24 | 2014-06-24 | マルウェア検出方法、システム、装置、ユーザpc及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016009308A true JP2016009308A (ja) | 2016-01-18 |
Family
ID=55226832
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014129173A Pending JP2016009308A (ja) | 2014-06-24 | 2014-06-24 | マルウェア検出方法、システム、装置、ユーザpc及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2016009308A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110662634A (zh) * | 2017-05-29 | 2020-01-07 | 富兰卡爱米卡股份有限公司 | 用于控制关节型机器人的致动器的系统和方法 |
| CN111104963A (zh) * | 2019-11-22 | 2020-05-05 | 贝壳技术有限公司 | 目标用户确定方法、装置、存储介质及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008176753A (ja) * | 2007-01-22 | 2008-07-31 | National Institute Of Information & Communication Technology | データ類似性検査方法及び装置 |
| JP2012221170A (ja) * | 2011-04-07 | 2012-11-12 | Hitachi Ltd | 実行環境構築装置および実行環境構築システム |
| JP2013105366A (ja) * | 2011-11-15 | 2013-05-30 | Hitachi Ltd | プログラム解析システム及び方法 |
-
2014
- 2014-06-24 JP JP2014129173A patent/JP2016009308A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008176753A (ja) * | 2007-01-22 | 2008-07-31 | National Institute Of Information & Communication Technology | データ類似性検査方法及び装置 |
| JP2012221170A (ja) * | 2011-04-07 | 2012-11-12 | Hitachi Ltd | 実行環境構築装置および実行環境構築システム |
| JP2013105366A (ja) * | 2011-11-15 | 2013-05-30 | Hitachi Ltd | プログラム解析システム及び方法 |
Non-Patent Citations (1)
| Title |
|---|
| 瀬川達也ほか: "Man−in−the−Browser攻撃を行うマルウェアの安全な動的解析手法", 電子情報通信学会技術研究報告, vol. 第113巻,第23号, JPN6017022885, 2 May 2013 (2013-05-02), JP, pages 41 - 48, ISSN: 0003717577 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110662634A (zh) * | 2017-05-29 | 2020-01-07 | 富兰卡爱米卡股份有限公司 | 用于控制关节型机器人的致动器的系统和方法 |
| CN110662634B (zh) * | 2017-05-29 | 2022-12-23 | 富兰卡爱米卡股份有限公司 | 用于控制关节型机器人的致动器的系统和方法 |
| CN111104963A (zh) * | 2019-11-22 | 2020-05-05 | 贝壳技术有限公司 | 目标用户确定方法、装置、存储介质及电子设备 |
| CN111104963B (zh) * | 2019-11-22 | 2023-10-24 | 贝壳技术有限公司 | 目标用户确定方法、装置、存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
| US10339300B2 (en) | Advanced persistent threat and targeted malware defense | |
| US9886578B2 (en) | Malicious code infection cause-and-effect analysis | |
| US9680845B2 (en) | Detecting a malicious file infection via sandboxing | |
| US9413782B1 (en) | Malware detection using internal malware detection operations | |
| JP5599892B2 (ja) | リンクファイルを使用したマルウェアの検出およびマルウェアへの対応 | |
| Oberheide et al. | Rethinking Antivirus: Executable Analysis in the Network Cloud. | |
| US20130185800A1 (en) | Anti-virus protection for mobile devices | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| US20210194915A1 (en) | Identification of potential network vulnerability and security responses in light of real-time network risk assessment | |
| US20240045954A1 (en) | Analysis of historical network traffic to identify network vulnerabilities | |
| US20230007013A1 (en) | Visualization tool for real-time network risk assessment | |
| US10601867B2 (en) | Attack content analysis program, attack content analysis method, and attack content analysis apparatus | |
| Muhtadi et al. | Analysis of malware impact on network traffic using behavior-based detection technique | |
| US10200374B1 (en) | Techniques for detecting malicious files | |
| JP2016009308A (ja) | マルウェア検出方法、システム、装置、ユーザpc及びプログラム | |
| CN102497425A (zh) | 一种基于透明代理的恶意软件检测系统及其方法 | |
| JP4050253B2 (ja) | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム | |
| US10250625B2 (en) | Information processing device, communication history analysis method, and medium | |
| JP2017129893A (ja) | マルウェア検知方法及びシステム | |
| EP4287051A1 (en) | Arrangement and method of threat detection in a computer or computer network | |
| JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム | |
| JP2009271686A (ja) | ネットワークシステム、マルウェア検出装置、マルウェア検出方法、プログラム及び記録媒体 | |
| KR101896679B1 (ko) | 악성코드 탐지장치 및 이의 악성코드 탐지방법 | |
| KR20100068757A (ko) | 온라인 접속도구 내 악성코드 탐지 장치 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20151001 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160624 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170516 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170627 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170828 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180116 |