JP2016009405A - 攻撃コード検出装置、攻撃コード検出方法、及びプログラム - Google Patents
攻撃コード検出装置、攻撃コード検出方法、及びプログラム Download PDFInfo
- Publication number
- JP2016009405A JP2016009405A JP2014130741A JP2014130741A JP2016009405A JP 2016009405 A JP2016009405 A JP 2016009405A JP 2014130741 A JP2014130741 A JP 2014130741A JP 2014130741 A JP2014130741 A JP 2014130741A JP 2016009405 A JP2016009405 A JP 2016009405A
- Authority
- JP
- Japan
- Prior art keywords
- code
- attack code
- attack
- partial data
- evaluation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
Abstract
【解決手段】入力データから攻撃コードを検出する攻撃コード検出装置において、前記入力データの中から、所定のデータ長の部分データ列を複数取り出す取得手段と、前記複数の部分データ列について、各部分データ列の数値が所定の範囲に集中する度合を評価する評価手段と、前記評価手段による評価結果に基づいて、前記入力データにおける前記攻撃コードの検出結果を出力する出力手段とを備える。
【選択図】図3
Description
前記入力データの中から、所定のデータ長の部分データ列を複数取り出す取得手段と、
前記複数の部分データ列について、各部分データ列の数値が所定の範囲に集中する度合を評価する評価手段と、
前記評価手段による評価結果に基づいて、前記入力データにおける前記攻撃コードの検出結果を出力する出力手段とを備える攻撃コード検出装置が提供される。
前記入力データの中から、所定のデータ長の部分データ列を複数取り出す取得ステップと、
前記複数の部分データ列について、各部分データ列の数値が所定の範囲に集中する度合を評価する評価ステップと、
前記評価ステップによる評価結果に基づいて、前記入力データにおける前記攻撃コードの検出結果を出力する出力ステップとを備える攻撃コード検出方法が提供される。
本発明の実施の形態では、文書ファイルからROPコードを静的に特定する技術が提供されるが、当該技術の理解を促進するために、まず、既存の攻撃コードと防御メカニズム、及びその回避手法等について説明する。
図2に、ROPコード等の悪性コードを含む悪性文書ファイルの内容例を示す。図2に示す悪性文書ファイル内のROP(SEH含む)コード部は、前記のようにDEP回避や安定動作を目的とし、後続する復号コード部の外に配置され、復号コードの実行権を付与する。ROPコードは復号コード部の外に配置されることから暗号化されない。ただし、ROPコードは100Byte程度、SEHコードは10Byte程度であり、SEHコードについては短いため特徴を捕らえるのは困難と考えられることから、本実施の形態では、静的解析によりROPコードの特徴を捕らえることで、文書ファイルにおけるROPコードの有無を判定し、文書ファイルが悪性文書ファイルであるか否かを判定することとしている。このように、ROPコードは復号コード内に含めることはできず平文で現れることから、静的解析で高速に検出することが可能である。
図3に、本発明の実施の形態に係る悪性文書ファイル検出装置100の機能構成図を示す。悪性文書ファイル検出装置100は、オフラインで設置し、検査対象の文書ファイル(入力データ)を手動で入力することにより悪性文書ファイルの検出することとしてもよいし、ネットワーク上に設置し、ネットワーク上で文書ファイルを取得することで悪性文書ファイルの検出を行うこととしてもよい。なお、悪性文書ファイル検出装置100を攻撃コード検出装置と称してもよい。また、本実施の形態の「文書ファイル」は特定の種類に限定されず、どのようなものでもよい。また、攻撃コード検出の対象は文書ファイルに限られず、本発明に係る技術により、任意の入力データから攻撃コードを検出できる。
本実施の形態における攻撃コード判定部103における処理内容は、ROPコードの内部構成と密接に関連するため、ここでROPコードの内部構成について説明する。
攻撃コード検出部103は、文書ファイルの中から上記のような特徴を検出することにより、ROPコードの有無を判定する処理を行う。
以上、説明したように、本実施の形態により、入力データから攻撃コードを検出する攻撃コード検出装置であって、前記入力データの中から、所定のデータ長の部分データ列を複数取り出す取得手段と、前記複数の部分データ列について、各部分データ列の数値が所定の範囲に集中する度合を評価する評価手段と、前記評価手段による評価結果に基づいて、前記入力データにおける前記攻撃コードの検出結果を出力する出力手段とを備える攻撃コード検出装置が提供される。
101 文書ファイル入力部
102 文書ファイル格納部
103 攻撃コード判定部
104 判定結果出力部
Claims (8)
- 入力データから攻撃コードを検出する攻撃コード検出装置であって、
前記入力データの中から、所定のデータ長の部分データ列を複数取り出す取得手段と、
前記複数の部分データ列について、各部分データ列の数値が所定の範囲に集中する度合を評価する評価手段と、
前記評価手段による評価結果に基づいて、前記入力データにおける前記攻撃コードの検出結果を出力する出力手段と
を備えることを特徴とする攻撃コード検出装置。 - 前記評価手段は、前記複数の部分データ列について、特定の数値に該当する部分データ列が存在するか否かについて更に評価を行う
ことを特徴とする請求項1に記載の攻撃コード検出装置。 - 前記特定の数値は、メモリにおけるコードの実行権を制御する所定の関数の引数である
ことを特徴とする請求項2に記載の攻撃コード検出装置。 - 前記評価手段は、前記各部分データ列の数値が所定の範囲に集中する度合の評価として、部分データ列間の差分の大きさが所定の閾値よりも小さいか否かの評価を行う
ことを特徴とする請求項1ないし3のうちいずれか1項に記載の攻撃コード検出装置。 - 前記評価手段は、前記取得手段により取得される部分データ列が、コンピュータのメモリ空間におけるユーザ領域外のアドレスを示す場合に、当該部分データ列を前記評価の対象外とする
ことを特徴とする請求項1ないし4のうちいずれか1項に記載の攻撃コード検出装置。 - 前記攻撃コードはROPコードであることを特徴とする請求項1ないし5のうちいずれか1項に記載の攻撃コード検出装置。
- コンピュータを、請求項1ないし6のうちいずれか1項における攻撃コード検出装置における各手段として機能させるためのプログラム。
- 入力データから攻撃コードを検出する攻撃コード検出装置が実行する攻撃コード検出方法であって、
前記入力データの中から、所定のデータ長の部分データ列を複数取り出す取得ステップと、
前記複数の部分データ列について、各部分データ列の数値が所定の範囲に集中する度合を評価する評価ステップと、
前記評価ステップによる評価結果に基づいて、前記入力データにおける前記攻撃コードの検出結果を出力する出力ステップと
を備えることを特徴とする攻撃コード検出方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014130741A JP6297425B2 (ja) | 2014-06-25 | 2014-06-25 | 攻撃コード検出装置、攻撃コード検出方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014130741A JP6297425B2 (ja) | 2014-06-25 | 2014-06-25 | 攻撃コード検出装置、攻撃コード検出方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016009405A true JP2016009405A (ja) | 2016-01-18 |
JP6297425B2 JP6297425B2 (ja) | 2018-03-20 |
Family
ID=55226900
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014130741A Active JP6297425B2 (ja) | 2014-06-25 | 2014-06-25 | 攻撃コード検出装置、攻撃コード検出方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6297425B2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017130583A1 (ja) * | 2016-01-27 | 2017-08-03 | 優太 竹田 | 処理システム、処理方法及びプログラム |
WO2017146094A1 (ja) * | 2016-02-24 | 2017-08-31 | 日本電信電話株式会社 | 攻撃コード検知装置、攻撃コード検知方法及び攻撃コード検知プログラム |
KR20190043300A (ko) * | 2017-10-18 | 2019-04-26 | 서울여자대학교 산학협력단 | 코드 재사용 취약점 스캐닝 진단장치 및 방법 |
CN115102748A (zh) * | 2022-06-16 | 2022-09-23 | 中国电信股份有限公司 | 漏洞检测方法及装置、存储介质及电子设备 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015127906A (ja) * | 2013-12-27 | 2015-07-09 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 異常検出装置、異常検出方法、及び異常検出プログラム |
-
2014
- 2014-06-25 JP JP2014130741A patent/JP6297425B2/ja active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015127906A (ja) * | 2013-12-27 | 2015-07-09 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 異常検出装置、異常検出方法、及び異常検出プログラム |
Non-Patent Citations (1)
Title |
---|
田中 恭之: "攻撃コードの特徴からみた対策の検討", 2014年 暗号と情報セキュリティシンポジウム, JPN6017042857, 21 January 2014 (2014-01-21), pages 1 - 8 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017130583A1 (ja) * | 2016-01-27 | 2017-08-03 | 優太 竹田 | 処理システム、処理方法及びプログラム |
JPWO2017130583A1 (ja) * | 2016-01-27 | 2018-08-09 | 優太 竹田 | 処理システム、処理方法及びプログラム |
US10754944B2 (en) | 2016-01-27 | 2020-08-25 | Yuta TAKEDA | Processing system, and processing method and program |
WO2017146094A1 (ja) * | 2016-02-24 | 2017-08-31 | 日本電信電話株式会社 | 攻撃コード検知装置、攻撃コード検知方法及び攻撃コード検知プログラム |
JPWO2017146094A1 (ja) * | 2016-02-24 | 2018-07-12 | 日本電信電話株式会社 | 攻撃コード検知装置、攻撃コード検知方法及び攻撃コード検知プログラム |
US10878091B2 (en) | 2016-02-24 | 2020-12-29 | Nippon Telegraph And Telephone Corporation | Attack code detection device, attack code detection method, and attack code detection program |
KR20190043300A (ko) * | 2017-10-18 | 2019-04-26 | 서울여자대학교 산학협력단 | 코드 재사용 취약점 스캐닝 진단장치 및 방법 |
KR102028251B1 (ko) * | 2017-10-18 | 2019-10-02 | 서울여자대학교 산학협력단 | 코드 재사용 취약점 스캐닝 진단장치 및 방법 |
CN115102748A (zh) * | 2022-06-16 | 2022-09-23 | 中国电信股份有限公司 | 漏洞检测方法及装置、存储介质及电子设备 |
CN115102748B (zh) * | 2022-06-16 | 2023-09-22 | 中国电信股份有限公司 | 漏洞检测方法及装置、存储介质及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
JP6297425B2 (ja) | 2018-03-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6346632B2 (ja) | モバイルデバイスでの悪質なファイルを検出するシステム及び方法 | |
JP2022133461A (ja) | カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護 | |
US9135443B2 (en) | Identifying malicious threads | |
US8533835B2 (en) | Method and system for rapid signature search over encrypted content | |
Wicherski | peHash: A Novel Approach to Fast Malware Clustering. | |
Wang et al. | Virus detection using data mining techinques | |
JP5265061B1 (ja) | 悪意のあるファイル検査装置及び方法 | |
JP6277224B2 (ja) | 仮想スタックマシンで実行可能な有害なファイルを検出するためのシステムおよび方法 | |
US20190149570A1 (en) | Log analysis device, log analysis method, and log analysis program | |
JP2019505943A (ja) | サイバーセキュリティシステムおよび技術 | |
Zakeri et al. | A static heuristic approach to detecting malware targets | |
Muralidharan et al. | File packing from the malware perspective: Techniques, analysis approaches, and directions for enhancements | |
JP6000465B2 (ja) | プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法 | |
KR20070118074A (ko) | 외래 코드 검출을 위한 시스템 및 방법 | |
JP6297425B2 (ja) | 攻撃コード検出装置、攻撃コード検出方法、及びプログラム | |
KR101646096B1 (ko) | 메모리 분석을 통한 비실행 파일의 악성 여부 검사 방법 및 장치 | |
JP2010092174A (ja) | 不正検知方法、不正検知装置、不正検知プログラムおよび情報処理システム | |
Gandotra et al. | Integrated framework for classification of malwares | |
US20220138319A1 (en) | Apparatus for detecting unknown malware using variable opcode sequence and method using the same | |
JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
KR101327865B1 (ko) | 악성코드에 감염된 홈페이지 탐지 장치 및 방법 | |
CN111767540A (zh) | Jart恶意软件自动化分析方法、装置和计算机可读存储介质 | |
Chen et al. | Shellcode detector for malicious document hunting | |
CN106446686B (zh) | 恶意文档的检测方法及装置 | |
JP6207392B2 (ja) | 異常検出装置、異常検出方法、及び異常検出プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170209 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171025 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171114 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180115 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180130 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180221 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6297425 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |