JP2017168146A - 接続先情報判定装置、接続先情報判定方法、及びプログラム - Google Patents
接続先情報判定装置、接続先情報判定方法、及びプログラム Download PDFInfo
- Publication number
- JP2017168146A JP2017168146A JP2017126633A JP2017126633A JP2017168146A JP 2017168146 A JP2017168146 A JP 2017168146A JP 2017126633 A JP2017126633 A JP 2017126633A JP 2017126633 A JP2017126633 A JP 2017126633A JP 2017168146 A JP2017168146 A JP 2017168146A
- Authority
- JP
- Japan
- Prior art keywords
- connection destination
- destination information
- url
- program
- suspicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 27
- 230000003211 malignant effect Effects 0.000 claims description 43
- 238000012790 confirmation Methods 0.000 claims description 21
- 230000002155 anti-virotic effect Effects 0.000 claims description 9
- 238000004458 analytical method Methods 0.000 description 60
- 230000006870 function Effects 0.000 description 22
- 235000012907 honey Nutrition 0.000 description 11
- 238000012545 processing Methods 0.000 description 9
- 230000006399 behavior Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000003068 static effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【解決手段】悪性接続先情報を判別する機能を備える接続先情報判定装置において、被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段と、前記接続先情報格納手段に格納された複数の接続先情報のうち、所定の被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定手段とを備える。
【選択図】図2
Description
ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段と、
前記接続先情報格納手段に格納された複数の接続先情報のうち、所定の被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定手段とを備えることを特徴とする接続先情報判定装置が提供される。
前記接続先情報判定装置は、ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段を備え、
前記接続先情報格納手段に格納された複数の接続先情報のうち、所定の被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定ステップを備えることを特徴とする接続先情報判定方法が提供される。
図1に、本発明の実施の形態に係るシステムの構成図を示す。図1に示すように、本実施の形態に係るシステムは、複数のWebサーバ30が存在するネットワーク20に接続先情報管理装置10が接続された構成を有している。
以下、上記の構成を備える接続先情報管理装置10の動作例を、フローチャート等を参照して説明する。本例では、所定の周期でURLにアクセスして被疑ファイルを取得するとともに、当該所定の周期よりも長い周期で被疑ファイルの動的解析を行うこととしている。なお、URLにアクセスした際に、被疑ファイルが取得されない場合もあるが、本例では、説明を分かり易くするために、URLにアクセスする度に被疑ファイルが取得される例を説明している。また、各回においてアクセスするURLは予め準備され、アクセス部11が保持しているものとする。
図3は、接続先情報管理装置10においてURLへのアクセスを行う際の動作例を示すフローチャートである。
図5は、接続先情報管理装置10の動的解析部16が被疑ファイルの動的解析を行う際の動作例を示すフローチャートである。
図7に、接続先情報管理装置10のURL確認制御部18によるURL確認の動作のフローチャートを示す。この確認処理は、URLリストの中で、被疑ファイルが取得され、かつ、総合判定がBである各URLについて、例えば1日に1回のように定期的に実行されるものである。
以上、説明したように、本実施の形態では、ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置(例:接続先情報管理装置10)であって、ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段と、前記接続先情報格納手段に格納された複数の接続先情報のうちの所定の接続先情報に対応する被疑プログラムについての解析を行う解析手段と、前記解析手段により、解析の対象とした被疑プログラムがマルウェアであると判定された場合に、前記所定の接続先情報を悪性接続先情報であると判定するとともに、前記接続先情報格納手段に格納された複数の接続先情報のうち、前記マルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定手段とを備える接続先情報判定装置が提供される。
(第1項)
ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置であって、
ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段と、
前記接続先情報格納手段に格納された複数の接続先情報のうちの所定の接続先情報に対応する被疑プログラムについての解析を行う解析手段と、
前記解析手段により、解析の対象とした被疑プログラムがマルウェアであると判定された場合に、前記所定の接続先情報を悪性接続先情報であると判定するとともに、前記接続先情報格納手段に格納された複数の接続先情報のうち、前記マルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定手段と
を備えることを特徴とする接続先情報判定装置。
(第2項)
前記接続先情報判定手段は、過去に悪性接続先情報ではないとされた接続先情報であっても、当該接続先情報が、前記マルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報である場合に、当該接続先情報を悪性接続先情報であると判定する
ことを特徴とする第1項に記載の接続先情報判定装置。
(第3項)
所定の接続先情報に対応するサーバ装置へのアクセスを行うことにより被疑プログラムを取得するアクセス手段と、
前記アクセス手段により取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを前記接続先情報格納手段に格納する接続先情報リスト作成手段と
を備えることを特徴とする第1項又は第2項に記載の接続先情報判定装置。
(第4項)
前記アクセス手段は、前記所定の接続先情報に対応するサーバ装置へのアクセスを行うことにより受ける攻撃を検知する機能を備えており、
前記アクセス手段により前記攻撃が検知された場合に、前記所定の接続先情報を悪性接続先情報であると判定する手段
を備えることを特徴とする第3項に記載の接続先情報判定装置。
(第5項)
前記所定の接続先情報に対応する被疑プログラムがマルウェアか否かを判定することにより、前記所定の接続先情報が悪性接続先情報であるか否かを判定するアンチウィルスソフトウェアの機能を有するマルウェア判定手段と、
前記アクセス手段と前記マルウェア判定手段のうちの少なくとも1つにより前記所定の接続先情報が悪性接続先情報であると判定された場合に、当該所定の接続先情報が悪性接続先情報であると判定する手段と
を備えることを特徴とする第4項に記載の接続先情報判定装置。
(第6項)
悪性接続先情報であると判定された接続先情報に対応するサーバ装置へのアクセスを行うことにより被疑ファイルを取得し、当該被疑ファイルの識別情報と、当該サーバ装置への過去のアクセスにより既に取得されている被疑ファイルの識別情報とが同一であるか否かを判定し、同一である場合に当該接続先情報は悪性接続先情報であると判定する接続先情報確認手段
を備えることを特徴とする第1項ないし第5項のうちいずれか1項に記載の接続先情報判定装置。
(第7項)
前記識別情報は、前記被疑プログラムのバイナリデータのハッシュ値であることを特徴とする第1項ないし第6項のうちいずれか1項に記載の接続先情報判定装置。
(第8項)
前記解析手段による解析は前記被疑プログラムを動作させてその挙動を解析する動的解析である
ことを特徴とする第1項ないし第7項のうちいずれか1項に記載の接続先情報判定装置。
(第9項)
ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置が実行する接続先情報判定方法であって、
前記接続先情報判定装置は、ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段を備え、
前記接続先情報格納手段に格納された複数の接続先情報のうちの所定の接続先情報に対応する被疑プログラムについての解析を行う解析ステップと、
前記解析ステップにより、解析の対象とした被疑プログラムがマルウェアであると判定された場合に、前記所定の接続先情報を悪性接続先情報であると判定するとともに、前記接続先情報格納手段に格納された複数の接続先情報のうち、前記マルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定ステップと
を備えることを特徴とする接続先情報判定方法。
(第10項)
コンピュータを、第1項ないし第8項のうちいずれか1項に記載の接続先情報判定装置における各手段として機能させるためのプログラム。
11 アクセス部
12 被疑ファイル格納部
13 マルウェア判定部
14 URLリスト作成部
15 URLリスト格納部
16 動的解析部
17 URL判定部
18 URL確認制御部
20 ネットワーク
30 Webサーバ
Claims (9)
- ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置であって、
ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段と、
前記接続先情報格納手段に格納された複数の接続先情報のうち、所定の被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定手段と
を備えることを特徴とする接続先情報判定装置。 - 前記接続先情報判定手段は、過去に悪性接続先情報ではないとされた接続先情報であっても、当該接続先情報が、前記所定の被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報である場合に、当該接続先情報を悪性接続先情報であると判定する
ことを特徴とする請求項1に記載の接続先情報判定装置。 - 所定の接続先情報に対応するサーバ装置へのアクセスを行うことにより被疑プログラムを取得するアクセス手段と、
前記アクセス手段により取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを前記接続先情報格納手段に格納する接続先情報リスト作成手段と
を備えることを特徴とする請求項1又は2に記載の接続先情報判定装置。 - 前記アクセス手段は、前記所定の接続先情報に対応するサーバ装置へのアクセスを行うことにより受ける攻撃を検知する機能を備えており、
前記アクセス手段により前記攻撃が検知された場合に、前記所定の接続先情報を悪性接続先情報であると判定する手段
を備えることを特徴とする請求項3に記載の接続先情報判定装置。 - 前記所定の接続先情報に対応する被疑プログラムがマルウェアか否かを判定することにより、前記所定の接続先情報が悪性接続先情報であるか否かを判定するアンチウィルスソフトウェアの機能を有するマルウェア判定手段と、
前記アクセス手段と前記マルウェア判定手段のうちの少なくとも1つにより前記所定の接続先情報が悪性接続先情報であると判定された場合に、当該所定の接続先情報が悪性接続先情報であると判定する手段と
を備えることを特徴とする請求項4に記載の接続先情報判定装置。 - 悪性接続先情報であると判定された接続先情報に対応するサーバ装置へのアクセスを行うことにより被疑ファイルを取得し、当該被疑ファイルの識別情報と、当該サーバ装置への過去のアクセスにより既に取得されている被疑ファイルの識別情報とが同一であるか否かを判定し、同一である場合に当該接続先情報は悪性接続先情報であると判定する接続先情報確認手段
を備えることを特徴とする請求項1ないし5のうちいずれか1項に記載の接続先情報判定装置。 - 前記識別情報は、前記被疑プログラムのバイナリデータのハッシュ値であることを特徴とする請求項1ないし6のうちいずれか1項に記載の接続先情報判定装置。
- ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置が実行する接続先情報判定方法であって、
前記接続先情報判定装置は、ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段を備え、
前記接続先情報格納手段に格納された複数の接続先情報のうち、所定の被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定ステップ
を備えることを特徴とする接続先情報判定方法。 - コンピュータを、請求項1ないし7のうちいずれか1項に記載の接続先情報判定装置における各手段として機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017126633A JP6378808B2 (ja) | 2017-06-28 | 2017-06-28 | 接続先情報判定装置、接続先情報判定方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017126633A JP6378808B2 (ja) | 2017-06-28 | 2017-06-28 | 接続先情報判定装置、接続先情報判定方法、及びプログラム |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014003518A Division JP6169497B2 (ja) | 2014-01-10 | 2014-01-10 | 接続先情報判定装置、接続先情報判定方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017168146A true JP2017168146A (ja) | 2017-09-21 |
JP6378808B2 JP6378808B2 (ja) | 2018-08-22 |
Family
ID=59909087
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017126633A Active JP6378808B2 (ja) | 2017-06-28 | 2017-06-28 | 接続先情報判定装置、接続先情報判定方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6378808B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112424778A (zh) * | 2018-07-26 | 2021-02-26 | 电子技巧股份有限公司 | 信息处理装置、信息处理方法、及信息处理程序 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070006310A1 (en) * | 2005-06-30 | 2007-01-04 | Piccard Paul L | Systems and methods for identifying malware distribution sites |
JP2008547067A (ja) * | 2005-05-05 | 2008-12-25 | シスコ アイアンポート システムズ エルエルシー | 参照リソースの確率的解析に基づく不要な電子メールメッセージの検出 |
US20110314546A1 (en) * | 2004-04-01 | 2011-12-22 | Ashar Aziz | Electronic Message Analysis for Malware Detection |
JP2012083849A (ja) * | 2010-10-07 | 2012-04-26 | Hitachi Ltd | マルウェア検知装置、及びその方法とプログラム |
JP2012118713A (ja) * | 2010-11-30 | 2012-06-21 | Nippon Telegr & Teleph Corp <Ntt> | リスト生成方法、リスト生成装置及びリスト生成プログラム |
-
2017
- 2017-06-28 JP JP2017126633A patent/JP6378808B2/ja active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110314546A1 (en) * | 2004-04-01 | 2011-12-22 | Ashar Aziz | Electronic Message Analysis for Malware Detection |
JP2008547067A (ja) * | 2005-05-05 | 2008-12-25 | シスコ アイアンポート システムズ エルエルシー | 参照リソースの確率的解析に基づく不要な電子メールメッセージの検出 |
US20070006310A1 (en) * | 2005-06-30 | 2007-01-04 | Piccard Paul L | Systems and methods for identifying malware distribution sites |
JP2012083849A (ja) * | 2010-10-07 | 2012-04-26 | Hitachi Ltd | マルウェア検知装置、及びその方法とプログラム |
JP2012118713A (ja) * | 2010-11-30 | 2012-06-21 | Nippon Telegr & Teleph Corp <Ntt> | リスト生成方法、リスト生成装置及びリスト生成プログラム |
Non-Patent Citations (2)
Title |
---|
八木 毅 ほか: "Webサイト向けマルウェアダウンロードサイトの生存期間監視方式", 電子情報通信学会技術研究報告, vol. Vol. 110,No. 79, JPN6016021147, 10 June 2010 (2010-06-10), JP, pages pp. 75-80 * |
畑田 充弘 ほか: "サンドボックス解析結果に基づくURLブラックリスト生成についての一検討", CSS2013コンピュータセキュリティシンポジウム2013論文集, vol. Vol.2013 No.4, JPN6017018483, 14 October 2013 (2013-10-14), JP, pages 382 - 387 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112424778A (zh) * | 2018-07-26 | 2021-02-26 | 电子技巧股份有限公司 | 信息处理装置、信息处理方法、及信息处理程序 |
Also Published As
Publication number | Publication date |
---|---|
JP6378808B2 (ja) | 2018-08-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2018217323B2 (en) | Methods and systems for identifying potential enterprise software threats based on visual and non-visual data | |
Wei et al. | Deep ground truth analysis of current android malware | |
US9953162B2 (en) | Rapid malware inspection of mobile applications | |
US9043917B2 (en) | Automatic signature generation for malicious PDF files | |
EP3420489B1 (en) | Cybersecurity systems and techniques | |
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
US20110041179A1 (en) | Malware detection | |
KR102271545B1 (ko) | 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들 | |
Suarez-Tangil et al. | Stegomalware: Playing hide and seek with malicious components in smartphone apps | |
CN107896219B (zh) | 一种网站脆弱性的检测方法、系统及相关装置 | |
US10445501B2 (en) | Detecting malicious scripts | |
WO2017012241A1 (zh) | 文件的检测方法、装置、设备及非易失性计算机存储介质 | |
CN111163094B (zh) | 网络攻击检测方法、网络攻击检测装置、电子设备和介质 | |
JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
US10735457B2 (en) | Intrusion investigation | |
Le Jamtel | Swimming in the Monero pools | |
US8479289B1 (en) | Method and system for minimizing the effects of rogue security software | |
WO2019123757A1 (ja) | 分類装置、分類方法、および、分類プログラム | |
Huang et al. | A large-scale study of android malware development phenomenon on public malware submission and scanning platform | |
JP6378808B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
US10880316B2 (en) | Method and system for determining initial execution of an attack | |
JP6478730B2 (ja) | 悪性url候補取得装置、悪性url候補取得方法、及びプログラム | |
US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
US20230036599A1 (en) | System context database management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170628 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180323 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180424 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180625 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180710 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180727 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6378808 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |