JP2017142744A - Information processing apparatus, virus detection method, and program - Google Patents

Information processing apparatus, virus detection method, and program Download PDF

Info

Publication number
JP2017142744A
JP2017142744A JP2016025099A JP2016025099A JP2017142744A JP 2017142744 A JP2017142744 A JP 2017142744A JP 2016025099 A JP2016025099 A JP 2016025099A JP 2016025099 A JP2016025099 A JP 2016025099A JP 2017142744 A JP2017142744 A JP 2017142744A
Authority
JP
Japan
Prior art keywords
virus
target file
action
possibility
processing apparatus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016025099A
Other languages
Japanese (ja)
Other versions
JP6711000B2 (en
Inventor
建一 王
Jian-Yi Wang
建一 王
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2016025099A priority Critical patent/JP6711000B2/en
Publication of JP2017142744A publication Critical patent/JP2017142744A/en
Application granted granted Critical
Publication of JP6711000B2 publication Critical patent/JP6711000B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

PROBLEM TO BE SOLVED: To improve the accuracy of detecting unknown virus.SOLUTION: An information processing apparatus 100 includes: a storage unit 110 for storing a behavior list 111 formed by associating a plurality of behaviors 112 showing a part of behaviors of virus with weighted values 113 indicating probability of virus; a detection unit 130 which detects behaviors included in the behavior list 111, out of the behaviors of a target file to be executed on a virtual machine 120; a calculation unit 140 which calculates virus probability information indicating the probability of virus of the target file, by use of the weighted values 113 associated with the detected behaviors 112; and a determination unit 150 which determines a degree of virus of the target file, on the basis of the virus probability information.SELECTED DRAWING: Figure 1

Description

本発明は、情報処理装置、ウィルス検出方法及びプログラムに関し、特に、ウィルスを検出するための情報処理装置、ウィルス検出方法及びプログラムに関する。   The present invention relates to an information processing device, a virus detection method, and a program, and more particularly, to an information processing device, a virus detection method, and a program for detecting a virus.

コンピュータウィルスの検出技術としては、シグネチャベースのウィルス検出技術(パターンマッチング検査)、静的及び動的なヒューリスティック検査等がある。シグネチャベースのウィルス検出技術は、収集したウィルスのサンプルをパターンファイルとして予め登録しておき、検査対象ファイルをパターンファイルとマッチングすることで、ウィルスを検出するものである。   Computer virus detection techniques include signature-based virus detection techniques (pattern matching inspection), static and dynamic heuristic inspections, and the like. The signature-based virus detection technique detects a virus by registering a collected virus sample in advance as a pattern file and matching the inspection target file with the pattern file.

また、静的(スタティック)ヒューリスティック検査は、検査対象コードを実行せずに、予め登録された挙動と、検査対象コードとの比較を行うことでウィルスを検出するものである。また、動的(ダイナミック)ヒューリスティック検査は、サンドボックス又は仮想マシン上で検査対象コードを実行し、特定の動作を監視することで、ウィルスを検出するものである。   In addition, the static heuristic inspection detects a virus by comparing a behavior registered in advance with the inspection target code without executing the inspection target code. The dynamic heuristic inspection detects viruses by executing inspection target code on a sandbox or a virtual machine and monitoring a specific operation.

特許文献1には、これらの検査を用いて、メールサーバで受信したメールの添付ファイルのウィルスを検査する技術について開示されている。特許文献1では、まず、添付ファイルにパターンマッチング検査を行い、ウィルスが検出されなければ、スタティックヒューリスティック検査を行い、そこでもウィルスが検出されなければ、さらに、ダイナミックヒューリスティック検査を行うものである。特に、ダイナミックヒューリスティック検査でウィルスが検出された場合には、添付ファイルから特徴を抽出し、パターンファイルへのフィードバックを行うものである。   Patent Document 1 discloses a technique for inspecting a virus attached to a mail received by a mail server using these inspections. In Patent Document 1, first, a pattern matching inspection is performed on an attached file. If no virus is detected, a static heuristic inspection is performed. If no virus is detected there, a dynamic heuristic inspection is further performed. In particular, when a virus is detected by dynamic heuristic inspection, a feature is extracted from the attached file, and feedback to the pattern file is performed.

特許第4145582号公報Japanese Patent No. 4145582

ここで、上述した特許文献1では、未知のウィルスの検出精度が低いという問題点がある。まず、シグネチャベースのウィルス検出技術は、ウィルスシグネチャを抽出するために、ウィルスのサンプルを収集する必要がある。近年では、ウィルスやトロイ型の急速な拡大と伴い、それに対するサンプルの収集及び分析作業が増加している。そして、シグネチャベースのウィルス検出技術には、固有なヒステリシス性を有する。   Here, the above-described Patent Document 1 has a problem that the detection accuracy of an unknown virus is low. First, signature-based virus detection technology needs to collect a sample of viruses in order to extract a virus signature. In recent years, with the rapid expansion of viruses and trojans, sample collection and analysis work has increased. The signature-based virus detection technique has an inherent hysteresis characteristic.

そこで、特許文献1では固有なヒステリシス性の対策として、ヒューリスティック検査が用いられているが、特許文献1で監視対象となる動作は、外部へのメール送信やファイルの改竄等であり、単に監視対象の動作であるか否かによりウィルスか否かを検出しているに過ぎない。ところが、外部へのメール送信やファイルの編集という動作自体は、正常な動作も含むため、個別の動作だけではウィルスであるか否かの判断には不十分である。特に、未知のウィルスの場合、本来は正常な動作であってもその組み合わせや実行順序や回数によりウィルスとなり得るものもある。例えば、ユーザが入力したパスワードや個人情報を記録することだけでは悪意のある動作とは言えない。しかし、パスワードを記録する動作の後に、記録したパスワードを外部へメール送信する動作があった場合には、悪意のある動作、つまりウィルスである可能性が高いといえる。   Therefore, in Patent Document 1, heuristic inspection is used as a countermeasure against the inherent hysteresis, but the operation to be monitored in Patent Document 1 is e-mail transmission to the outside, falsification of a file, and the like. It is only detected whether it is a virus or not based on whether or not it is an operation. However, operations such as external mail transmission and file editing also include normal operations, so that individual operations alone are insufficient to determine whether or not a virus is present. In particular, in the case of an unknown virus, there is a virus that can be a virus depending on the combination, execution order, and number of times even if the operation is originally normal. For example, simply recording a password or personal information entered by a user is not a malicious operation. However, if there is an operation for sending the recorded password by e-mail after the operation for recording the password, it can be said that there is a high possibility of a malicious operation, that is, a virus.

本発明は、このような問題点を解決するためになされたものであり、未知のウィルスの検出精度を向上するための情報処理装置、ウィルス検出方法及びプログラムを提供することを目的とする。   The present invention has been made to solve such problems, and an object thereof is to provide an information processing apparatus, a virus detection method, and a program for improving the detection accuracy of an unknown virus.

本発明の第1の態様にかかる情報処理装置は、
ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リストを記憶する記憶部と、
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備える。 An information processing apparatus according to a first aspect of the present invention includes:
A storage unit that stores an action list in which a plurality of actions indicating a part of the action of the virus are associated with a weighting value indicating the possibility of the virus;
A detection unit for detecting an action included in the action list among the actions by the target file executed on the virtual machine;
A calculation unit that calculates virus possibility information indicating a virus possibility of the target file by using the weighting value associated with each detected action;
A determination unit for determining a virus degree of the target file based on the virus possibility information;
Is provided.

本発明の第2の態様にかかるウィルス検出方法は、
対象ファイルを仮想マシン上で実行し、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する。 The virus detection method according to the second aspect of the present invention includes:
Run the target file on the virtual machine,
Among each action by the target file, detect what is included in the action list in which a plurality of actions indicating a part of the virus action and a weighting value indicating the possibility of the virus are associated,
Using the weighting value associated with each detected action, the virus possibility information indicating the virus possibility of the target file is calculated,
The degree of virus of the target file is determined based on the virus possibility information.

本発明の第3の態様にかかるウィルス検出プログラムは、
対象ファイルを仮想マシン上で実行する処理と、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
をコンピュータに実行させる。 The virus detection program according to the third aspect of the present invention includes:
Processing to execute the target file on the virtual machine;
A process for detecting an action included in an action list in which a plurality of actions indicating a part of a virus action and a weighting value indicating a possibility of a virus are associated with each other according to the target file;
A process of calculating virus possibility information indicating the possibility of virus of the target file using the weighting value associated with each detected action;
A process of determining a virus level of the target file based on the virus possibility information;
Is executed on the computer.

本発明により、未知のウィルスの検出精度を向上するための情報処理装置、ウィルス検出方法及びプログラムを提供することができる。   According to the present invention, it is possible to provide an information processing apparatus, a virus detection method, and a program for improving the detection accuracy of an unknown virus.

本発明の実施の形態1にかかる情報処理装置の構成を示すブロック図である。It is a block diagram which shows the structure of the information processing apparatus concerning Embodiment 1 of this invention. 本発明の実施の形態1にかかるウィルス検出方法の流れを説明するためのフローチャートである。It is a flowchart for demonstrating the flow of the virus detection method concerning Embodiment 1 of this invention. 本発明の実施の形態2にかかる情報システムの全体構成を示すブロック図である。It is a block diagram which shows the whole structure of the information system concerning Embodiment 2 of this invention. 本発明の実施の形態2にかかるウィルススキャンサーバの構成を示すブロック図である。It is a block diagram which shows the structure of the virus scan server concerning Embodiment 2 of this invention. 本発明の実施の形態2にかかる行動リストの例を示す図である。It is a figure which shows the example of the action list | wrist concerning Embodiment 2 of this invention. 本発明の実施の形態2にかかるウィルス検出方法の流れを説明するためのフローチャートである。It is a flowchart for demonstrating the flow of the virus detection method concerning Embodiment 2 of this invention. 本発明の実施の形態2にかかるウィルス実行検査の流れを説明するためのフローチャートである。It is a flowchart for demonstrating the flow of the virus execution inspection concerning Embodiment 2 of this invention. 本発明の実施の形態2にかかるウィルス実行検査の概念を説明するための図である。It is a figure for demonstrating the concept of the virus execution inspection concerning Embodiment 2 of this invention.

以下では、本発明を適用した具体的な実施の形態について、図面を参照しながら詳細に説明する。各図面において、同一要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略する。   Hereinafter, specific embodiments to which the present invention is applied will be described in detail with reference to the drawings. In the drawings, the same elements are denoted by the same reference numerals, and redundant description will be omitted as necessary for the sake of clarity.

<実施の形態1>
図1は、本発明の実施の形態1にかかる情報処理装置100の構成を示すブロック図である。情報処理装置100は、記憶部110と、仮想マシン120と、検出部130と、算出部140と、判定部150とを備える。記憶部110は、行動リスト111を記憶する。行動リスト111は、複数の行動112と複数の重み付け値113とを対応付けた情報である。 <Embodiment 1>
FIG. 1 is a block diagram showing a configuration of the information processing apparatus 100 according to the first embodiment of the present invention. The information processing apparatus 100 includes a storage unit 110, a virtual machine 120, a detection unit 130, a calculation unit 140, and a determination unit 150. The storage unit 110 stores an action list 111. The action list 111 is information in which a plurality of actions 112 are associated with a plurality of weight values 113.

行動112とは、ウィルスの動作の一部を示すものである。行動112は、例えば、プログラムにより実行されるファンクションコードや、それらを組み合わせて特定の処理(パスワードの記録、メールの送信)を示す情報である。つまり、行動112は単独では、コンピュータウィルスとはいえないものである。また、過去の複数のコンピュータウィルスの動作を複数の個別の行動の分割したものを用いても構わない。   The action 112 indicates a part of the operation of the virus. The action 112 is, for example, function code executed by a program and information indicating a specific process (password recording, mail transmission) by combining them. That is, the action 112 alone cannot be said to be a computer virus. Moreover, you may use what divided | segmented the operation | movement of several past computer viruses into several individual action.

また、重み付け値113とは、コンピュータウィルスの可能性を示す数値情報である。例えば、ウィルスの確率であってもよい。   The weight value 113 is numerical information indicating the possibility of a computer virus. For example, it may be a virus probability.

仮想マシン120は、情報処理装置100内で動作するホストエミュレータであり、対象ファイルを実行可能である。検出部130は、仮想マシン120上で実行される対象ファイルによる各行動のうち、行動リスト111内に含まれるものを検出する。すなわち、検出部130は、仮想マシン120上で実行される対象ファイル内の行動(処理、動作)を監視し、行動リスト111内に含まれるものがあれば、検出する。算出部140は、検出された各行動112に対応付けられた重み付け値113を用いて、対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する。ウィルス可能性情報とは、重み付け値113に所定の統計処理等の演算を行った結果である。判定部150は、ウィルス可能性情報に基づいて、対象ファイルのウィルスの度合いを判定する。ウィルスの度合いとは、例えば、対象ファイルがウィルスであるか否かや、ウィルスの可能性を示す確率、ウィルスに該当する可能性のある対象ファイル内の記述(コード)の提示等であってもよい。   The virtual machine 120 is a host emulator that operates in the information processing apparatus 100 and can execute a target file. The detection unit 130 detects the actions included in the action list 111 among the actions by the target file executed on the virtual machine 120. That is, the detection unit 130 monitors actions (processes and operations) in the target file executed on the virtual machine 120 and detects any included in the action list 111. The calculation unit 140 uses the weighting value 113 associated with each detected action 112 to calculate virus possibility information indicating the virus possibility of the target file. The virus possibility information is a result obtained by performing calculation such as predetermined statistical processing on the weight value 113. The determination unit 150 determines the virus level of the target file based on the virus possibility information. The degree of virus is, for example, whether or not the target file is a virus, the probability indicating the possibility of a virus, the presentation of a description (code) in the target file that may fall under the virus, etc. Good.

図2は、本発明の実施の形態1にかかるウィルス検出方法の流れを説明するためのフローチャートである。まず、情報処理装置100は、対象ファイルを仮想マシン120上で実行する(S11)。次に、検出部130は、対象ファイルによる各行動のうち、行動リスト111内に含まれる行動112を検出する(S12)。そして、算出部140は、行動リスト111から、検出された各行動に対応付けられた重み付け値を読み出し、読み出した重み付け値を用いて、対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する(S13)。その後、判定部150は、ウィルス可能性情報に基づいて、対象ファイルのウィルスの度合いを判定する(S14)。   FIG. 2 is a flowchart for explaining the flow of the virus detection method according to the first embodiment of the present invention. First, the information processing apparatus 100 executes the target file on the virtual machine 120 (S11). Next, the detection part 130 detects the action 112 contained in the action list 111 among each action by a target file (S12). Then, the calculation unit 140 reads a weight value associated with each detected action from the action list 111, and calculates virus possibility information indicating the possibility of a virus in the target file using the read weight value. (S13). Thereafter, the determination unit 150 determines the virus level of the target file based on the virus possibility information (S14).

このように、本実施の形態1では、対象ファイル内の複数の行動について、予め登録された行動リスト内の行動とマッチングを行い、マッチングされた行動に対応付けられた重み付け値を用いて、ウィルスの可能性を判定するものである。そのため、対象ファイル内の単独の行動だけではウィルスに該当しなくても、複数の行動の組み合わせ等によっては、ウィルスの可能性のあるものを検出でき、未知のウィルスの検出精度を向上することができる。   As described above, in the first embodiment, for a plurality of actions in the target file, matching is performed with actions in a pre-registered action list, and a weighting value associated with the matched action is used. The possibility of this is determined. Therefore, even if a single action in the target file does not correspond to a virus, depending on the combination of multiple actions, it is possible to detect a possible virus and improve the detection accuracy of an unknown virus. it can.

<実施の形態2>
本実施の形態2は、上述した実施の形態1の具体的な実施例である。図3は、本発明の実施の形態2にかかる情報システムの全体構成を示すブロック図である。情報システムには、端末群1と、ウィルススキャンサーバ2と、NW機器群3とが含まれる。端末群1には、複数の端末11〜16が含まれ、各端末は、ウィルススキャンサーバ2と通信回線により接続されている。また、NW機器群3には、複数のNW機器31〜33が含まれ、各NW機器は、ウィルススキャンサーバ2と通信回線により接続されている。つまり、ウィルススキャンサーバ2は、端末群1とNW機器群3の間に配置されている。そして、ウィルススキャンサーバ2は、外部のネットワーク(インターネット等)からNW機器群3を経由して端末群1へ転送されるファイルについて、事前にウィルス検査を行うものである。 <Embodiment 2>
The second embodiment is a specific example of the first embodiment described above. FIG. 3 is a block diagram showing an overall configuration of the information system according to the second exemplary embodiment of the present invention. The information system includes a terminal group 1, a virus scan server 2, and an NW device group 3. The terminal group 1 includes a plurality of terminals 11 to 16, and each terminal is connected to the virus scan server 2 through a communication line. The NW device group 3 includes a plurality of NW devices 31 to 33, and each NW device is connected to the virus scan server 2 via a communication line. That is, the virus scan server 2 is arranged between the terminal group 1 and the NW device group 3. The virus scan server 2 performs a virus check on a file transferred from an external network (such as the Internet) to the terminal group 1 via the NW device group 3 in advance.

図4は、本発明の実施の形態2にかかるウィルススキャンサーバ2の構成を示すブロック図である。ウィルススキャンサーバ2は、上述した情報処理装置100の一例であり、分析部21と、HASH計算部22と、ウィルススキャン部23と、ウィルス実行部24と、データ処理部25と、記憶部26とを備える。記憶部26は、上述した記憶部110の一例であり、ブラックリスト261と、HASH値262と、行動リスト263とを記憶する。ブラックリスト261には、公知のコンピュータウィルス(マルウェア等)の配布元として知られるURLが記録されたファイルである。つまり、ブラックリスト261には、ウィルスの可能性の高いファイルの取得元が記録されている。ブラックリスト261には、通常、2以上のURLが記録されている。HASH値262は、公知のマルウェア等から作成されたハッシュ値である。尚、HASH値262は、2以上のマルウェアのハッシュ値が含まれていてもよい。また、ブラックリスト261やHASH値262は、パターンファイルとして保持されていてもよい。行動リスト263は、上述した行動リスト111の一例である。   FIG. 4 is a block diagram showing a configuration of the virus scan server 2 according to the second exemplary embodiment of the present invention. The virus scan server 2 is an example of the information processing apparatus 100 described above, and includes an analysis unit 21, a HASH calculation unit 22, a virus scan unit 23, a virus execution unit 24, a data processing unit 25, and a storage unit 26. Is provided. The storage unit 26 is an example of the storage unit 110 described above, and stores a black list 261, a HASH value 262, and an action list 263. The black list 261 is a file in which URLs known as distribution sources of known computer viruses (malware or the like) are recorded. That is, the black list 261 records the acquisition source of a file having a high possibility of a virus. In the black list 261, two or more URLs are normally recorded. The HASH value 262 is a hash value created from a known malware or the like. The HASH value 262 may include two or more hash values of malware. Further, the black list 261 and the HASH value 262 may be held as a pattern file. The behavior list 263 is an example of the behavior list 111 described above.

分析部21は、インターネットを介してダウンロードされたウィルス検査対象のファイル(以下、対象ファイル)をNW機器群3から取得する。また、分析部21は、対象ファイルの取得元がブラックリスト261に含まれるか否かの判定を行う。HASH計算部22は、対象ファイルのHASH値を計算し、HASH値262と比較する。ウィルススキャン部23は、対象ファイルについてウィルススキャンを実行する。特に、ウィルススキャン部23は、条件に応じてディープインスペクション又はクイックインスペクションを実行する。すなわち、ウィルススキャン部23は、対象ファイルの取得元がブラックリスト261に含まれる場合に、当該対象ファイルについてディープインスペクションを実行し、当該取得元がブラックリスト261に含まれない場合に、クイックインスペクションを実行する。   The analysis unit 21 acquires from the NW device group 3 a virus inspection target file (hereinafter, “target file”) downloaded via the Internet. The analysis unit 21 determines whether the acquisition source of the target file is included in the black list 261. The HASH calculation unit 22 calculates the HASH value of the target file and compares it with the HASH value 262. The virus scanning unit 23 performs virus scanning on the target file. In particular, the virus scanning unit 23 performs deep inspection or quick inspection depending on conditions. That is, the virus scanning unit 23 performs deep inspection on the target file when the acquisition source of the target file is included in the black list 261, and performs quick inspection when the acquisition source is not included in the black list 261. Run.

尚、ディープインスペクションでは、対象ファイルについて詳細なウィルス検査が行われる。一方、クイックインスペクションでは、対象ファイルについて簡易なウィルス検査が行われる。そのため、ディープインスペクションは、クイックインスペクションと比べて、検出精度が高く、一方で、処理負荷が高く、実行時間が長い。   In the deep inspection, a detailed virus inspection is performed on the target file. On the other hand, in the quick inspection, a simple virus inspection is performed on the target file. Therefore, deep inspection has higher detection accuracy than quick inspection, but has a high processing load and a long execution time.

ウィルス実行部24は、上述した仮想マシン120、検出部130、算出部140及び判定部150の一例である。ウィルス実行部24は、複数の仮想マシン(VM)24−1〜24−4を含む。尚、ウィルス実行部24は、少なくとも1以上の仮想マシンを備えていればよい。ウィルス実行部24は、所定の条件を満たす場合に、対象ファイルについて行動分析として、後述するウィルス実行検査を行い、対象ファイルのウィルスの度合いを判定する。   The virus execution unit 24 is an example of the virtual machine 120, the detection unit 130, the calculation unit 140, and the determination unit 150 described above. The virus execution unit 24 includes a plurality of virtual machines (VM) 24-1 to 24-4. The virus execution unit 24 only needs to include at least one virtual machine. When a predetermined condition is satisfied, the virus execution unit 24 performs a virus execution inspection described later as behavior analysis for the target file, and determines the virus level of the target file.

データ処理部25は、ウィルススキャン部23やウィルス実行部24の結果に基づき、対象ファイルの処理を行う。すなわち、データ処理部25は、対象ファイルが正常な場合には、本来の転送先の端末へ対象ファイルを転送する。一方、データ処理部25は、対象ファイルがウィルスであると判定された場合、対象ファイルを削除等の駆除を行う。   The data processing unit 25 processes the target file based on the results of the virus scanning unit 23 and the virus execution unit 24. That is, when the target file is normal, the data processing unit 25 transfers the target file to the original transfer destination terminal. On the other hand, when it is determined that the target file is a virus, the data processing unit 25 performs removal such as deleting the target file.

図5は、本発明の実施の形態2にかかる行動リスト263の例を示す図である。行動リスト263は、単独の行動ではウィルスではないが、複数の行動の組み合わせによりウィルスとなる可能性がある行動(悪意の可能性がある行動)について登録された情報である。ここでは、各行動(小項目)について大項目に分類しているが、分類の仕方はこれに限定されない。また、各小項目には、重み付け値が設定されている。   FIG. 5 is a diagram showing an example of the action list 263 according to the second embodiment of the present invention. The action list 263 is information registered for actions (behavior that may be malicious) that are not viruses in a single action but may become a virus by a combination of a plurality of actions. Here, each action (small item) is classified into a large item, but the way of classification is not limited to this. A weight value is set for each small item.

以下に、大項目ごとに行動の説明をする。
(I)隠す行動:ファイルを隠す、サービスを隠す、レジストリを隠す、ポートを隠す、プロセスを隠す等の行動が挙げられる。例えば、「ファイルを隠す」とは、フォルダ内に保存されているファイルの属性を変更して、一般ユーザに対しては非表示にする処理を示す。また、「プロセスを隠す」とは、例えば、対象ファイルの実行に起因して、何らかのプロセスをプロセス監視ツール上で認識できないようにする処理を示す。 The following describes the behavior for each major item.
(I) Hiding behavior: actions such as hiding files, hiding services, hiding registries, hiding ports, hiding processes, etc. For example, “hide a file” indicates a process of changing the attribute of a file stored in a folder and hiding it from a general user. “Hide process” refers to, for example, processing for preventing any process from being recognized on the process monitoring tool due to execution of the target file.

(II)内容改ざん行動:ファイルの作成、移動及び削除、ファイル名の変更、ファイル内容の修正、ファイルを開く、ファイル種類の変更等の行動が挙げられる。「ファイルの作成等」は、単独では悪意があるとはいえないが、他の行動との組合せでウィルスである可能性がある。   (II) Contents tampering actions: actions such as creating, moving and deleting files, changing file names, modifying file contents, opening files, changing file types, and the like. “File creation etc.” is not malicious by itself, but may be a virus in combination with other actions.

(III)スタンドアップ行動:システムの再起動、自身の機能を自動的に起動させる設定等の行動が挙げられる。これらは、目標ホストにウイルスインプラントを行い、自動的に再起動させる可能性がある行動である。例えば、ダウンロードしたファイルが実行された際に、以後、自動的に再起動させるような設定を行う。自動的に再起動させるような設定とは、例えば、タスクスケジューラへの登録や、OS起動時のアプリケーションの自動起動リストへの追加等が挙げられる。   (III) Stand-up action: Actions such as restarting the system and setting for automatically starting up its own functions can be mentioned. These are actions that may cause the target host to virus implant and automatically reboot. For example, when the downloaded file is executed, settings are made so that it is automatically restarted thereafter. Examples of the setting for restarting automatically include registration in the task scheduler and addition of an application to the automatic start list when the OS is started.

(IV)ネットワーク行動:メールを送信、ポートのスキャンと監視、特定のドメインへのリクエストとレスポンス、外部IPとの接続等の行動が挙げられる。これらは、回数が多いことや、特定の宛先に繰り返しアクセスする場合などに、ウィルスである可能性がある。   (IV) Network behavior: Behaviors such as sending mail, scanning and monitoring ports, requests and responses to a specific domain, connection to external IP, etc. These may be viruses when they are frequently accessed or when a specific destination is repeatedly accessed.

(V)感染行動:対象ファイルの実行に伴い、自己のファイル又は他のファイルを変化させる行動が挙げられる。例えば、拡張子がexe,bat,scr,docx等である対象ファイルを実行した場合に、ファイル形式が変更/変換されること、対象ファイル自身の内容が更新されること、他のファイルの内容が更新されること等を検出する。これらの行動により、ウィルス感染する可能性があるためである。   (V) Infection behavior: Behavior that changes its own file or another file as the target file is executed. For example, when a target file with an extension of exe, bat, scr, docx, etc. is executed, the file format is changed / converted, the contents of the target file itself are updated, and the contents of other files are It detects that it is updated. This is because these actions may cause virus infection.

(VI)呼び起こす行動:特定の行動を触発して、関連のサービス又はプロセスを自動的に実行する行動が挙げられる。例えば、ボタンを押下した際に、バックグランドで、パスワード等の機密情報や個人情報の抽出する処理があった場合には、ウィルスの確率が高まるといえる。そのため、ボタン等の押下処理と機密情報の記録処理とが組み合わさった場合には、ウィルスの可能性があるといえる。   (VI) Actions to evoke: Actions that trigger specific actions and automatically execute related services or processes. For example, it can be said that the probability of a virus increases if there is a process of extracting confidential information such as a password or personal information in the background when the button is pressed. Therefore, it can be said that there is a possibility of a virus when the pressing process of a button or the like and the recording process of confidential information are combined.

(VII)散布行動:他のホスト又は他のフォルダにファイルをコピー又は情報を転送する等の行動が挙げられる。単独では不正とはいえないが、対象ファイルの実行に伴い何らかのファイルがコピー等されることは、ウィルスの可能性があり得るためである。   (VII) Scattering behavior: Behavior such as copying a file or transferring information to another host or another folder. Although it cannot be said that it is illegal alone, copying a file or the like as the target file is executed may be a virus.

(VIII)ファイアウォールを閉じる行動:ファイアウォールが自動終了する行動が挙げられる。対象ファイルの実行に伴いファイアウォールのプロセスが終了させられた場合には、ウィルスの可能性が高まるためである。   (VIII) Action of closing the firewall: An action of automatically closing the firewall is mentioned. This is because if the firewall process is terminated along with the execution of the target file, the possibility of a virus increases.

(IX)指定されたプロセス終了行動:キープロセス、セキュリティーサービスを自動終了する等の行動が挙げられる。特に、対象ファイルの実行に伴いアンチウィルスソフトが終了させられた場合には、ウィルスの可能性が高まるためである。   (IX) Designated process termination behavior: Examples include behaviors such as automatically terminating key processes and security services. In particular, if the anti-virus software is terminated with the execution of the target file, the possibility of a virus increases.

以上は、本実施の形態2にかかる行動リスト263の一例に過ぎず、また、重み付け値も例示に過ぎない。   The above is only an example of the action list 263 according to the second embodiment, and the weighting value is only an example.

図6は、本発明の実施の形態2にかかるウィルス検出方法の流れを説明するためのフローチャートである。まず、分析部21は、対象ファイルを取得する(S101)。次に、分析部21は、対象ファイルの取得元のURLがブラックリスト261に存在するか否かを判定する(S102)。取得元のURLがブラックリスト261に存在しない場合(S102でNO)、HASH計算部22は、対象ファイルのHASH値を計算する(S103)。そして、HASH計算部22は、計算したHASH値と記憶部26に記憶されたHASH値262とが一致するか否かを判定する(S104)。   FIG. 6 is a flowchart for explaining the flow of the virus detection method according to the second embodiment of the present invention. First, the analysis unit 21 acquires a target file (S101). Next, the analysis unit 21 determines whether the URL from which the target file is acquired exists in the black list 261 (S102). If the acquisition source URL does not exist in the black list 261 (NO in S102), the HASH calculation unit 22 calculates the HASH value of the target file (S103). Then, the HASH calculation unit 22 determines whether or not the calculated HASH value matches the HASH value 262 stored in the storage unit 26 (S104).

ステップS102でYESの場合、又は、ステップS104でYESの場合、ウィルススキャン部23は、対象ファイルについてディープインスペクションを実行する(S105)。一方、ステップS104でNOの場合、ウィルススキャン部23は、対象ファイルについてクイックインスペクションを実行する(S106)。   If YES in step S102 or YES in step S104, the virus scanning unit 23 performs deep inspection on the target file (S105). On the other hand, if NO in step S104, the virus scanning unit 23 performs quick inspection on the target file (S106).

ステップS105又はS106の後、ウィルススキャン部23は、ウィルスが検出されたか否かを判定する(S107)。ウィルスが検出されなかった場合、ウィルススキャン部23は、対象ファイルをウィルス実行部24に転送する。そして、ウィルス実行部24は、対象ファイルについてウィルス実行検査を行う(S108)。   After step S105 or S106, the virus scanning unit 23 determines whether or not a virus is detected (S107). If no virus is detected, the virus scanning unit 23 transfers the target file to the virus execution unit 24. Then, the virus execution unit 24 performs virus execution inspection on the target file (S108).

図7は、本発明の実施の形態2にかかるウィルス実行検査の流れを説明するためのフローチャートである。ウィルス実行部24は、VM24−1上で、対象ファイルを実行する(S201)。尚、使用する仮想マシンは、VM24−2〜24−4であっても構わない。   FIG. 7 is a flowchart for explaining a flow of the virus execution inspection according to the second embodiment of the present invention. The virus execution unit 24 executes the target file on the VM 24-1 (S201). The virtual machines to be used may be VMs 24-2 to 24-4.

次に、ウィルス実行部24は、対象ファイル内の行動kを検出する(S202)。例えば、対象ファイルの実行に伴い発生するイベントやOSのファンクションコール等を監視することにより検出する。そして、ウィルス実行部24は、検出した行動kが行動リスト263内に存在するか否かを判定する(S203)。存在する場合、ウィルス実行部24は、行動kの重み付け値Bkを計算する(S204)。尚、図5のように行動リスト263に予め重み付け値が設定されている場合、ウィルス実行部24は、行動リスト263から行動kに対応付けられた重み付け値を読み出す。   Next, the virus execution unit 24 detects an action k in the target file (S202). For example, it is detected by monitoring an event that occurs when the target file is executed, an OS function call, or the like. Then, the virus execution unit 24 determines whether or not the detected action k exists in the action list 263 (S203). If it exists, the virus execution unit 24 calculates the weighting value Bk of the action k (S204). If a weighting value is set in advance in the action list 263 as shown in FIG. 5, the virus execution unit 24 reads the weighting value associated with the action k from the action list 263.

ここで、重み付け値Bkの計算の仕方又は定義の仕方について説明する。まず、行動リスト263の小項目数を[1,n]とし、小項目kに対する重要度をSkとする。ここで、Skは正の整数とし、ユーザが行動に対して任意に設定するものとする。また、複数のサンプルウィルスの中で、行動kがヒットする確率をLkとする。尚、Lkは、予め算出されているものとする。そして、重み付け値Bkを以下の式(1)により算出する。つまり、重み付け値Bkは、複数のサンプルウィルスにおいて行動リスト内の行動が実行される度合いLkに基づく値といえる。

Figure 2017142744
尚、行動リスト263に予めSk及びLkを設定しておくことで、ステップS204においてBkを計算してもよい。または、予め全ての行動kについてBkを算出しておき、行動リスト263に予めBkを設定してもよい。 Here, how to calculate or define the weighting value Bk will be described. First, the number of small items in the action list 263 is [1, n], and the importance for the small item k is Sk. Here, Sk is a positive integer and is arbitrarily set by the user for the action. Also, let Lk be the probability that action k will hit among a plurality of sample viruses. Note that Lk is calculated in advance. Then, the weighting value Bk is calculated by the following equation (1). That is, the weighting value Bk can be said to be a value based on the degree Lk that the behavior in the behavior list is executed in a plurality of sample viruses.
Figure 2017142744
 Note that Bk may be calculated in step S204 by setting Sk and Lk in the action list 263 in advance. Alternatively, Bk may be calculated for all actions k in advance, and Bk may be set in the action list 263 in advance.

ステップS204の後、ウィルス実行部24は、対象ファイルの実行が終了したか否かを判定する(S205)。すなわち、対象ファイル内の全ての行動を検出し終えたか否かを判定する。対象ファイルが実行中の場合、ウィルス実行部24は、対象ファイル内の次の行動kを検出する(S206)。そして、以降、対象ファイルの実行終了までステップS203〜S206を繰り返す。   After step S204, the virus execution unit 24 determines whether or not the execution of the target file has ended (S205). That is, it is determined whether or not all actions in the target file have been detected. If the target file is being executed, the virus execution unit 24 detects the next action k in the target file (S206). Thereafter, steps S203 to S206 are repeated until the execution of the target file is completed.

ステップS205でNOの場合、つまり、対象ファイルの実行が終了した場合、ウィルス実行部24は、検出された全行動kの重み付け値をBkの合計TBを計算する(S207)。例えば、以下の式(2)によりTBを計算する。

Figure 2017142744
対象ファイルが実行終了か否かを判定する(S202)。尚、行動リスト263内の行動のうち対象ファイル内に存在しない行動における重み付け値Bkを「0」として計算する。 In the case of NO in step S205, that is, when the execution of the target file is completed, the virus execution unit 24 calculates the total TB of the weights Bk of all detected actions k (S207). For example, TB is calculated by the following equation (2).
Figure 2017142744
 It is determined whether or not the target file has been executed (S202). In addition, the weighting value Bk in the action not existing in the target file among the actions in the action list 263 is calculated as “0”.

そして、ウィルス実行部24は、合計TBが閾値thより大きいか否かを判定する(S208)。合計TBが閾値thより大きい場合、ウィルス実行部24は、対象ファイルがウィルスと判定する(S209)。一方、合計TBが閾値th以下の場合、ウィルス実行部24は、対象ファイルがウィルスではないと判定する(S210)。その後、図6のステップS110へ進む。   Then, the virus execution unit 24 determines whether or not the total TB is larger than the threshold value th (S208). If the total TB is greater than the threshold th, the virus execution unit 24 determines that the target file is a virus (S209). On the other hand, when the total TB is equal to or less than the threshold th, the virus execution unit 24 determines that the target file is not a virus (S210). Then, it progresses to step S110 of FIG.

続いて、ウィルス実行部24は、ウィルスが検出されたか否かを判定する(S110)。ウィルス実行部24は、図7の結果により判定する。ステップS107でYES又は、ステップS110でYESの場合、ウィルス実行部24は、対象ファイルをデータ処理部25へ転送し、データ処理部25は、対象ファイルを削除する(S109)。一方、ステップS110でNOの場合、ウィルス実行部24は、対象ファイルをデータ処理部25へ転送し、データ処理部25は、対象ファイルを本来の端末へ転送する(S111)。   Subsequently, the virus execution unit 24 determines whether a virus is detected (S110). The virus execution unit 24 makes a determination based on the result of FIG. If YES in step S107 or YES in step S110, the virus execution unit 24 transfers the target file to the data processing unit 25, and the data processing unit 25 deletes the target file (S109). On the other hand, if NO in step S110, the virus execution unit 24 transfers the target file to the data processing unit 25, and the data processing unit 25 transfers the target file to the original terminal (S111).

図8は、本発明の実施の形態2にかかるウィルス実行検査の概念を説明するための図である。   FIG. 8 is a diagram for explaining the concept of the virus execution inspection according to the second embodiment of the present invention.

以上のように、本実施の形態2では、対象ファイルについて公知のウィルスについてのブラックリストやHASH値との比較により予めウィルスの検出を行い、その際、検出された場合にのみディープインスペクションを行うものである。このように、事前のブラックリストやHASH値の検査により、ウィルススキャンのレベルを分けることで、公知のウィルスの処理を効率化できる。   As described above, in the second embodiment, a virus is detected in advance by comparing the target file with a black list or HASH value for known viruses, and deep inspection is performed only when the virus is detected. It is. In this way, the known virus processing can be made more efficient by dividing the level of virus scanning by checking the black list and HASH value in advance.

さらに、ウィルス実行部24(検出部)は、ディープインスペクション又はクイックインスペクションの結果、ウィルスが検出されなかった場合に、仮想マシン上で対象ファイルの実行を行うものである。そのため、未知のウィルスに対してのみ、より処理負荷の高い、ヒューリスティック検査を行うことで、精度良く、かつ、処理効率を高めることができる。   Further, the virus execution unit 24 (detection unit) executes the target file on the virtual machine when no virus is detected as a result of the deep inspection or the quick inspection. Therefore, it is possible to improve the processing efficiency with high accuracy by performing a heuristic inspection with a higher processing load only on an unknown virus.

また、ウィルススキャンサーバ2は、複数の仮想マシンを有することが望ましい。そして、ウィルス実行部24は、異なる対象ファイルについて、異なる仮想マシン上で並列に実行を行う。例えば、ウィルス実行部24をクラウドコンピューティングにより実現することができる。これにより、ウィルス検出処理を効率化することができる。特に、図3のように、端末群1にファイルがダウンロードされる前に、ウィルス検出を行う場合には、通信のボトルネックを解消でき、より効果的である。   The virus scan server 2 preferably has a plurality of virtual machines. The virus execution unit 24 executes different target files in parallel on different virtual machines. For example, the virus execution unit 24 can be realized by cloud computing. Thereby, the virus detection process can be made efficient. In particular, as shown in FIG. 3, when virus detection is performed before a file is downloaded to the terminal group 1, communication bottlenecks can be eliminated, which is more effective.

尚、上述した合計TBは、ウィルス可能性情報の一例に過ぎない。そのため、行動リスト263の定義の仕方によっては、小項目の組み合わせ、順序、繰り返しの回数等により重み付け値を定義することもできる。これにより、検出精度をより向上させることができる。   The total TB described above is merely an example of virus possibility information. Therefore, depending on how the action list 263 is defined, a weighting value can be defined by a combination, order, number of repetitions, and the like of small items. Thereby, detection accuracy can be improved more.

<その他の実施の形態>
尚、上述した実施の形態は、クラウドコンピューティング以外にも適用可能である。また、上述した図6及び図7の処理の流れは一例であり、本実施の形態はこれらに限定されない。 <Other embodiments>
Note that the above-described embodiment can be applied to other than cloud computing. Moreover, the flow of the process of FIG.6 and FIG.7 mentioned above is an example, and this Embodiment is not limited to these.

なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。   Note that the present invention is not limited to the above-described embodiment, and can be changed as appropriate without departing from the spirit of the present invention.

また、上述の実施の形態では、本発明をハードウェアの構成として説明したが、本発明は、これに限定されるものではない。本発明は、任意の処理を、CPU(Central Processing Unit)にコンピュータプログラムを実行させることにより実現することも可能である。   In the above-described embodiments, the present invention has been described as a hardware configuration, but the present invention is not limited to this. The present invention can also realize arbitrary processing by causing a CPU (Central Processing Unit) to execute a computer program.

上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、DVD(Digital Versatile Disc)、BD(Blu-ray(登録商標) Disc)、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。   In the above example, the program can be stored and supplied to a computer using various types of non-transitory computer readable media. Non-transitory computer readable media include various types of tangible storage media. Examples of non-transitory computer-readable media include magnetic recording media (for example, flexible disks, magnetic tapes, hard disk drives), magneto-optical recording media (for example, magneto-optical disks), CD-ROMs (Read Only Memory), CD-Rs, CD-R / W, DVD (Digital Versatile Disc), BD (Blu-ray (registered trademark) Disc), semiconductor memory (for example, mask ROM, PROM (Programmable ROM), EPROM (Erasable PROM), flash ROM, RAM ( Random Access Memory)). The program may also be supplied to the computer by various types of transitory computer readable media. Examples of transitory computer readable media include electrical signals, optical signals, and electromagnetic waves. The temporary computer-readable medium can supply the program to the computer via a wired communication path such as an electric wire and an optical fiber, or a wireless communication path.

上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
(付記1)
ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リストを記憶する記憶部と、
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備える情報処理装置。
(付記2)
前記算出部は、前記対象ファイルについて、前記検出された全ての行動に前記重み付け値を合計して、前記ウィルス可能性情報を算出する
付記1に記載の情報処理装置。
(付記3)
前記記憶部は、ウィルスの可能性の高いファイルの取得元を記録したブラックリストをさらに記憶し、
前記対象ファイルの取得元が前記ブラックリストに含まれる場合に、当該対象ファイルについてディープインスペクションを実行し、当該取得元が前記ブラックリストに含まれない場合に、クイックインスペクションを実行するウィルススキャン部をさらに備える、
付記1又は2に記載の情報処理装置。
(付記4)
前記検出部は、
前記ディープインスペクション又は前記クイックインスペクションの結果、ウィルスが検出されなかった場合に、前記仮想マシン上で前記対象ファイルの実行を行う
付記3に記載の情報処理装置。
(付記5)
前記情報処理装置は、前記仮想マシンを複数有し、
前記検出部は、異なる前記対象ファイルについて、異なる前記仮想マシン上で並列に実行を行う
付記1乃至4のいずれか1項に記載の情報処理装置。
(付記6)
前記重み付け値は、複数のサンプルウィルスにおいて前記行動リスト内の行動が実行される度合いに基づく値である
付記1乃至5のいずれか1項に記載の情報処理装置。
(付記7)
前記判定部は、
前記ウィルス可能性情報が所定の閾値を上回る場合に、前記対象ファイルをウィルスとして判定する
付記2に記載の情報処理装置。
(付記8)
対象ファイルを仮想マシン上で実行し、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する
ウィルス検出方法。
(付記9)
対象ファイルを仮想マシン上で実行する処理と、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
を前記コンピュータに実行させるウィルス検出プログラム。 A part or all of the above embodiments can be described as in the following supplementary notes, but is not limited thereto.
(Appendix 1)
A storage unit that stores an action list in which a plurality of actions indicating a part of the action of the virus are associated with a weighting value indicating the possibility of the virus;
A detection unit for detecting an action included in the action list among the actions by the target file executed on the virtual machine;
A calculation unit that calculates virus possibility information indicating a virus possibility of the target file by using the weighting value associated with each detected action;
A determination unit for determining a virus degree of the target file based on the virus possibility information;
An information processing apparatus comprising:
(Appendix 2)
The information processing apparatus according to claim 1, wherein the calculation unit calculates the virus possibility information by adding the weighting values to all the detected actions for the target file.
(Appendix 3)
The storage unit further stores a black list that records an acquisition source of a file having a high possibility of a virus,
A virus scanning unit that performs deep inspection on the target file when the acquisition source of the target file is included in the black list, and that performs quick inspection when the acquisition source is not included in the black list; Prepare
The information processing apparatus according to appendix 1 or 2.
(Appendix 4)
The detector is
The information processing apparatus according to appendix 3, wherein when the virus is not detected as a result of the deep inspection or the quick inspection, the target file is executed on the virtual machine.
(Appendix 5)
The information processing apparatus includes a plurality of the virtual machines,
The information processing apparatus according to any one of claims 1 to 4, wherein the detection unit executes the different target files in parallel on the different virtual machines.
(Appendix 6)
The information processing apparatus according to any one of claims 1 to 5, wherein the weighting value is a value based on a degree of execution of an action in the action list in a plurality of sample viruses.
(Appendix 7)
The determination unit
The information processing apparatus according to claim 2, wherein the target file is determined as a virus when the virus possibility information exceeds a predetermined threshold.
(Appendix 8)
Run the target file on the virtual machine,
Among each action by the target file, detect what is included in the action list in which a plurality of actions indicating a part of the virus action and a weighting value indicating the possibility of the virus are associated,
Using the weighting value associated with each detected action, the virus possibility information indicating the virus possibility of the target file is calculated,
A virus detection method for determining a virus level of the target file based on the virus possibility information.
(Appendix 9)
Processing to execute the target file on the virtual machine;
A process for detecting an action included in an action list in which a plurality of actions indicating a part of a virus action and a weighting value indicating a possibility of a virus are associated with each other according to the target file;
A process of calculating virus possibility information indicating the possibility of virus of the target file using the weighting value associated with each detected action;
A process of determining a virus level of the target file based on the virus possibility information;
Virus detection program for causing the computer to execute

100 情報処理装置
110 記憶部
111 行動リスト
112 行動
113 重み付け値
120 仮想マシン
130 検出部
140 算出部
150 判定部
1 端末群
11〜16 端末
2 ウィルススキャンサーバ
3 NW機器群
31〜33 NW機器
21 分析部
22 HASH計算部
23 ウィルススキャン部
24 ウィルス実行部
25 データ処理部
26 記憶部
261 ブラックリスト
262 HASH値
263 行動リスト DESCRIPTION OF SYMBOLS 100 Information processing apparatus 110 Storage part 111 Action list 112 Action 113 Weighted value 120 Virtual machine 130 Detection part 140 Calculation part 150 Judgment part 1 Terminal group 11-16 Terminal 2 Virus scan server 3 NW equipment group 31-33 NW equipment 21 Analysis part 22 HASH calculation unit 23 Virus scanning unit 24 Virus execution unit 25 Data processing unit 26 Storage unit 261 Black list 262 HASH value 263 Action list

Claims (9)

ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リストを記憶する記憶部と、
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備える情報処理装置。 A storage unit that stores an action list in which a plurality of actions indicating a part of the action of the virus are associated with a weighting value indicating the possibility of the virus;
A detection unit for detecting an action included in the action list among the actions by the target file executed on the virtual machine;
A calculation unit that calculates virus possibility information indicating a virus possibility of the target file by using the weighting value associated with each detected action;
A determination unit for determining a virus degree of the target file based on the virus possibility information;
An information processing apparatus comprising: 前記算出部は、前記対象ファイルについて、前記検出された全ての行動に前記重み付け値を合計して、前記ウィルス可能性情報を算出する
請求項1に記載の情報処理装置。 The information processing apparatus according to claim 1, wherein the calculation unit calculates the virus possibility information by adding the weighting values to all the detected actions for the target file. 前記記憶部は、ウィルスの可能性の高いファイルの取得元を記録したブラックリストをさらに記憶し、
前記対象ファイルの取得元が前記ブラックリストに含まれる場合に、当該対象ファイルについてディープインスペクションを実行し、当該取得元が前記ブラックリストに含まれない場合に、クイックインスペクションを実行するウィルススキャン部をさらに備える、
請求項1又は2に記載の情報処理装置。 The storage unit further stores a black list that records an acquisition source of a file having a high possibility of a virus,
A virus scanning unit that performs deep inspection on the target file when the acquisition source of the target file is included in the black list, and that performs quick inspection when the acquisition source is not included in the black list; Prepare
The information processing apparatus according to claim 1 or 2. 前記検出部は、
前記ディープインスペクション又は前記クイックインスペクションの結果、ウィルスが検出されなかった場合に、前記仮想マシン上で前記対象ファイルの実行を行う
請求項3に記載の情報処理装置。 The detector is
The information processing apparatus according to claim 3, wherein when the virus is not detected as a result of the deep inspection or the quick inspection, the target file is executed on the virtual machine. 前記情報処理装置は、前記仮想マシンを複数有し、
前記検出部は、異なる前記対象ファイルについて、異なる前記仮想マシン上で並列に実行を行う
請求項1乃至4のいずれか1項に記載の情報処理装置。 The information processing apparatus includes a plurality of the virtual machines,
The information processing apparatus according to any one of claims 1 to 4, wherein the detection unit executes the different target files in parallel on different virtual machines. 前記重み付け値は、複数のサンプルウィルスにおいて前記行動リスト内の行動が実行される度合いに基づく値である
請求項1乃至5のいずれか1項に記載の情報処理装置。 The information processing apparatus according to any one of claims 1 to 5, wherein the weighting value is a value based on a degree to which an action in the action list is executed in a plurality of sample viruses. 前記判定部は、
前記ウィルス可能性情報が所定の閾値を上回る場合に、前記対象ファイルをウィルスとして判定する
請求項2に記載の情報処理装置。 The determination unit
The information processing apparatus according to claim 2, wherein when the virus possibility information exceeds a predetermined threshold, the target file is determined as a virus. 対象ファイルを仮想マシン上で実行し、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する
ウィルス検出方法。 Run the target file on the virtual machine,
Among each action by the target file, detect what is included in the action list in which a plurality of actions indicating a part of the virus action and a weighting value indicating the possibility of the virus are associated,
Using the weighting value associated with each detected action, the virus possibility information indicating the virus possibility of the target file is calculated,
A virus detection method for determining a virus level of the target file based on the virus possibility information. 対象ファイルを仮想マシン上で実行する処理と、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
を前記コンピュータに実行させるウィルス検出プログラム。 Processing to execute the target file on the virtual machine;
A process for detecting an action included in an action list in which a plurality of actions indicating a part of a virus action and a weighting value indicating a possibility of a virus are associated with each other according to the target file;
A process of calculating virus possibility information indicating the possibility of virus of the target file using the weighting value associated with each detected action;
A process of determining a virus level of the target file based on the virus possibility information;
Virus detection program for causing the computer to execute
JP2016025099A 2016-02-12 2016-02-12 Information processing apparatus, virus detection method, and program Active JP6711000B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016025099A JP6711000B2 (en) 2016-02-12 2016-02-12 Information processing apparatus, virus detection method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016025099A JP6711000B2 (en) 2016-02-12 2016-02-12 Information processing apparatus, virus detection method, and program

Publications (2)

Publication Number Publication Date
JP2017142744A true JP2017142744A (en) 2017-08-17
JP6711000B2 JP6711000B2 (en) 2020-06-17

Family

ID=59627340

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016025099A Active JP6711000B2 (en) 2016-02-12 2016-02-12 Information processing apparatus, virus detection method, and program

Country Status (1)

Country Link
JP (1) JP6711000B2 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019152912A (en) * 2018-02-28 2019-09-12 沖電気工業株式会社 Unauthorized communication handling system and method
WO2019180804A1 (en) * 2018-03-20 2019-09-26 株式会社Pfu Information processing device, communication type discrimination method, and program
JP2020149390A (en) * 2019-03-14 2020-09-17 三菱電機株式会社 Cyber attack detector
CN112580041A (en) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 Malicious program detection method and device, storage medium and computer equipment
CN112580043A (en) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 Virtual machine-based virus killing method and device, storage medium and computer equipment
CN112580042A (en) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 Malicious program resisting method and device, storage medium and computer equipment
CN112580025A (en) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 Virtual machine-based poison reporting method and device, storage medium and computer equipment
CN116680696A (en) * 2023-08-04 2023-09-01 深圳市科力锐科技有限公司 Virus program detection method, device and system

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007537626A (en) * 2004-04-19 2007-12-20 ザ・リージェンツ・オブ・ザ・ユニバーシティ・オブ・カリフォルニア Programmable hardware for deep packet filtering
JP2009223908A (en) * 2001-04-16 2009-10-01 Xaxon R & D Corp Computer virus check device and semiconductor integrated circuit
JP2011530121A (en) * 2008-08-05 2011-12-15 北京金山▲軟▼件有限公司 Method and system for filtering and monitoring program behavior
JP2013524336A (en) * 2010-03-30 2013-06-17 アンラブ,インコーポレイテッド Mobile communication terminal having behavior-based malicious code diagnosis function and diagnosis method thereof
JP2014225302A (en) * 2014-09-08 2014-12-04 富士通株式会社 Virus detection program, virus detection method, and computer
WO2015137249A1 (en) * 2014-03-13 2015-09-17 日本電信電話株式会社 Monitoring device, monitoring method, and monitoring program
WO2015152748A1 (en) * 2013-07-05 2015-10-08 Bitdefender Ipr Management Ltd Process evaluation for malware detection in virtual machines
JP2015230601A (en) * 2014-06-05 2015-12-21 株式会社日立システムズ Program analysis device, program analysis method, and program analysis system

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009223908A (en) * 2001-04-16 2009-10-01 Xaxon R & D Corp Computer virus check device and semiconductor integrated circuit
JP2007537626A (en) * 2004-04-19 2007-12-20 ザ・リージェンツ・オブ・ザ・ユニバーシティ・オブ・カリフォルニア Programmable hardware for deep packet filtering
JP2011530121A (en) * 2008-08-05 2011-12-15 北京金山▲軟▼件有限公司 Method and system for filtering and monitoring program behavior
JP2013524336A (en) * 2010-03-30 2013-06-17 アンラブ,インコーポレイテッド Mobile communication terminal having behavior-based malicious code diagnosis function and diagnosis method thereof
WO2015152748A1 (en) * 2013-07-05 2015-10-08 Bitdefender Ipr Management Ltd Process evaluation for malware detection in virtual machines
JP2016526730A (en) * 2013-07-05 2016-09-05 ビットディフェンダー アイピーアール マネジメント リミテッド Process evaluation for malware detection in virtual machines
WO2015137249A1 (en) * 2014-03-13 2015-09-17 日本電信電話株式会社 Monitoring device, monitoring method, and monitoring program
JP2015230601A (en) * 2014-06-05 2015-12-21 株式会社日立システムズ Program analysis device, program analysis method, and program analysis system
JP2014225302A (en) * 2014-09-08 2014-12-04 富士通株式会社 Virus detection program, virus detection method, and computer

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019152912A (en) * 2018-02-28 2019-09-12 沖電気工業株式会社 Unauthorized communication handling system and method
JP7102780B2 (en) 2018-02-28 2022-07-20 沖電気工業株式会社 Unauthorized communication countermeasure system and method
WO2019180804A1 (en) * 2018-03-20 2019-09-26 株式会社Pfu Information processing device, communication type discrimination method, and program
JP2020149390A (en) * 2019-03-14 2020-09-17 三菱電機株式会社 Cyber attack detector
JP7202932B2 (en) 2019-03-14 2023-01-12 三菱電機株式会社 Cyber attack detection device
CN112580025A (en) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 Virtual machine-based poison reporting method and device, storage medium and computer equipment
CN112580042A (en) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 Malicious program resisting method and device, storage medium and computer equipment
CN112580043A (en) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 Virtual machine-based virus killing method and device, storage medium and computer equipment
CN112580041A (en) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 Malicious program detection method and device, storage medium and computer equipment
CN112580041B (en) * 2019-09-30 2023-07-07 奇安信安全技术(珠海)有限公司 Malicious program detection method and device, storage medium and computer equipment
CN112580043B (en) * 2019-09-30 2023-08-01 奇安信安全技术(珠海)有限公司 Virtual machine-based disinfection method and device, storage medium and computer equipment
CN112580042B (en) * 2019-09-30 2024-02-02 奇安信安全技术(珠海)有限公司 Method and device for combating malicious programs, storage medium and computer equipment
CN116680696A (en) * 2023-08-04 2023-09-01 深圳市科力锐科技有限公司 Virus program detection method, device and system
CN116680696B (en) * 2023-08-04 2024-02-13 深圳市科力锐科技有限公司 Virus program detection method, device and system

Also Published As

Publication number Publication date
JP6711000B2 (en) 2020-06-17

Similar Documents

Publication Publication Date Title
JP6711000B2 (en) Information processing apparatus, virus detection method, and program
Arshad et al. SAMADroid: a novel 3-level hybrid malware detection model for android operating system
US10210332B2 (en) Identifying an evasive malicious object based on a behavior delta
US11356467B2 (en) Log analysis device, log analysis method, and log analysis program
CN110383278A (en) The system and method for calculating event for detecting malice
CN109586282B (en) Power grid unknown threat detection system and method
KR101043299B1 (en) Method, system and computer readable recording medium for detecting exploit code
TW201712586A (en) Method and system for analyzing malicious code, data processing apparatus and electronic apparatus
CN102664875A (en) Malicious code type detection method based on cloud mode
JP6717206B2 (en) Anti-malware device, anti-malware system, anti-malware method, and anti-malware program
US20200125728A1 (en) Data-driven identification of malicious files using machine learning and an ensemble of malware detection procedures
US11270001B2 (en) Classification apparatus, classification method, and classification program
US11797668B2 (en) Sample data generation apparatus, sample data generation method, and computer readable medium
CN112084497A (en) Method and device for detecting malicious program of embedded Linux system
RU2531565C2 (en) System and method for analysing file launch events for determining safety ranking thereof
US8938807B1 (en) Malware removal without virus pattern
Yang et al. Detecting android malware with intensive feature engineering
US11321453B2 (en) Method and system for detecting and classifying malware based on families
KR101988747B1 (en) Ransomware dectecting method and apparatus based on machine learning through hybrid analysis
JP4050253B2 (en) Computer virus information collection apparatus, computer virus information collection method, and program
KR101880689B1 (en) Apparatus and method for detecting malicious code
KR101942442B1 (en) System and method for inspecting malicious code
WO2022137883A1 (en) Attack information generation device, control method, and non-transitory computer-readable medium
Alsmadi et al. Behavioral-based malware clustering and classification
KR101726360B1 (en) Method and server for generating suffix tree, method and server for detecting malicious code with using suffix tree

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190110

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191031

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191112

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191219

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200428

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200511

R150 Certificate of patent or registration of utility model

Ref document number: 6711000

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150