JP5081480B2 - ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 - Google Patents
ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 Download PDFInfo
- Publication number
- JP5081480B2 JP5081480B2 JP2007085598A JP2007085598A JP5081480B2 JP 5081480 B2 JP5081480 B2 JP 5081480B2 JP 2007085598 A JP2007085598 A JP 2007085598A JP 2007085598 A JP2007085598 A JP 2007085598A JP 5081480 B2 JP5081480 B2 JP 5081480B2
- Authority
- JP
- Japan
- Prior art keywords
- behavior
- software
- stack
- score
- modeling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
- G06F11/3612—Software analysis for verifying properties of programs by runtime analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
Description
H.Feng等、"Anomaly Detection Using Call Stack Information"、The proc. of IEEE Symposium on Security and Privacy 2003、 pp.62.
(ソフトウェア挙動モデル化装置)
以下において、第1実施形態に係るソフトウェア挙動モデル化装置の構成について、図面を参照しながら説明する。図1は、第1実施形態に係るソフトウェア挙動モデル化装置100の構成を示すブロック図である。
以下において、第1実施形態に係るソフトウェア挙動モデル化方法について、図面を参照しながら説明する。図4は、第1実施形態に係るソフトウェア挙動モデル化方法を示すフロー図である。なお、図4では、学習対象ソフトウェアが正常に動作することを前提として説明する。
第1実施形態に係るソフトウェア挙動モデル化装置100(ソフトウェア挙動モデル化方法)によれば、挙動モデル生成部130は、リターンアドレスの格納位置と、格納位置に応じて設定されたスコアとを用いて、学習対象ソフトウェアの挙動モデルを生成する。このように、リターンアドレスの格納位置に着目することによって、学習対象ソフトウェアの挙動のモデル化精度を高めることができる。
(ソフトウェア挙動検証装置)
以下において、第2実施形態に係るソフトウェア挙動検証装置の構成について、図面を参照しながら説明する。図5は、第2実施形態に係るソフトウェア挙動検証装置200の構成を示すブロック図である。
以下において、第2実施形態に係るソフトウェア挙動検証方法について、図面を参照しながら説明する。図7は、第2実施形態に係るソフトウェア挙動検証方法を示すフロー図である。
第2実施形態に係るソフトウェア挙動検証装置200(ソフトウェア挙動検証方法)によれば、挙動検証部240は、リターンアドレスの格納位置と、格納位置に応じて設定されたスコアとを用いて、監視対象ソフトウェアの挙動が挙動モデルから乖離しているか否かを判定する。このように、リターンアドレスの格納位置に着目することによって、監視対象ソフトウェアの挙動の検証精度を高めることができる。
本発明は上述した実施形態によって説明したが、この開示の一部をなす論述及び図面は、この発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
Claims (9)
- ソフトウェアの挙動をモデル化するソフトウェア挙動モデル化装置であって、
前記ソフトウェアの実行中に発生した特定のイベントを示すイベント情報を取得するイベント情報取得部と、
前記特定のイベントが発生した時点において、コールスタックに格納されたスタック情報を取得するスタック情報取得部と、
前記スタック情報に含まれる要素が前記コールスタックに格納されている格納位置が下位になるほど小さくなるようにスコアを設定するスコア設定部と、
前記格納位置及び前記スコアを用いて、前記特定のイベントと前記要素との関係をモデル化して、前記ソフトウェアの挙動モデルを生成するモデル生成部とを備えることを特徴とするソフトウェア挙動モデル化装置。 - 前記モデル生成部は、前記コールスタックに格納された前記要素から、前記挙動モデルの生成に用いるモデル化対象要素を抽出した上で、前記モデル化対象要素に対応する前記格納位置及び前記スコアを用いて、前記挙動モデルを生成することを特徴とする請求項1に記載のソフトウェア挙動モデル化装置。
- 前記モデル化対象要素は、前記コールスタックに格納された前記要素のうち、上位から抽出された所定数の要素であることを特徴とする請求項2に記載のソフトウェア挙動モデル化装置。
- 前記モデル化対象要素は、前記コールスタックに格納された前記要素のうち、前記スコアが所定閾値以上である要素であることを特徴とする請求項2に記載のソフトウェア挙動モデル化装置。
- 前記モデル生成部は、前記特定のイベントと前記要素の処理順序との関係をモデル化して、前記挙動モデルを生成することを特徴とする請求項1に記載のソフトウェア挙動モデル化装置。
- ソフトウェアの挙動をモデル化するソフトウェア挙動モデル化方法であって、
前記ソフトウェアの実行中に発生した特定のイベントを示すイベント情報を取得するステップAと、
前記特定のイベントが発生した時点において、コールスタックに格納されたスタック情報を取得するステップBと、
前記スタック情報に含まれる要素が前記コールスタックに格納されている格納位置が下位になるほど小さくなるようにスコアを設定するステップCと、
前記格納位置及び前記スコアを用いて、前記特定のイベントと前記要素との関係をモデル化して、前記ソフトウェアの挙動モデルを生成するステップDとを含むことを特徴とするソフトウェア挙動モデル化方法。 - ソフトウェアの挙動を検証するソフトウェア挙動検証装置であって、
前記ソフトウェアの実行中に発生した特定のイベントを示すイベント情報を取得するイベント情報取得部と、
前記特定のイベントが発生した時点において、コールスタックに格納されたスタック情報を取得するスタック情報取得部と、
前記特定のイベントと前記要素との関係が予めモデル化された挙動モデルを取得する挙動モデル取得部と、
前記イベント情報取得部によって取得された前記特定のイベント及び前記スタック情報取得部によって取得された前記スタック情報に基づいて、前記ソフトウェアの挙動が前記挙動モデルから乖離しているか否かを検証する挙動検証部とを備え、
前記挙動モデルは、前記ソフトウェアが予め正常に実行された際において、前記スタック情報に含まれる要素が前記コールスタックに格納されている位置である格納位置及び前記格納位置が下位になるほど小さくなるように設定されるスコアを用いて生成されており、
前記挙動検証部は、前記格納位置及び前記スコアに基づいて、前記ソフトウェアの挙動が前記挙動モデルから乖離しているか否かを検証することを特徴とするソフトウェア挙動検証装置。 - 前記挙動検証部は、前記スコアを累積的に加算し、累積的に加算された前記スコアに基づいて、前記ソフトウェアの異常挙動を検出することを特徴とする請求項7に記載のソフトウェア挙動検証装置。
- ソフトウェアの挙動を検証するソフトウェア挙動検証方法であって、
前記ソフトウェアの実行中に発生した特定のイベントを示すイベント情報を取得するステップAと、
前記特定のイベントが発生した時点において、コールスタックに格納されたスタック情報を取得するステップBと、
前記特定のイベントと前記要素との関係が予めモデル化された挙動モデルを取得するステップCと、
前記ステップAで取得された前記特定のイベント及び前記ステップBで取得された前記スタック情報に基づいて、前記ソフトウェアの挙動が前記挙動モデルから乖離しているか否かを検証するステップDとを含み、
前記挙動モデルは、前記ソフトウェアが予め実行された際において、前記スタック情報に含まれる要素が前記コールスタックに格納されている位置である格納位置及び前記格納位置が下位になるほど小さくなるように設定されるスコアを用いて生成されており、
前記ステップDでは、前記格納位置及び前記スコアに基づいて、前記ソフトウェアの挙動が前記挙動モデルから乖離しているか否かを検証することを特徴とするソフトウェア挙動検証方法。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007085598A JP5081480B2 (ja) | 2007-03-28 | 2007-03-28 | ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 |
PCT/JP2008/056177 WO2008117872A1 (ja) | 2007-03-28 | 2008-03-28 | ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 |
EP08739295A EP2141598A4 (en) | 2007-03-28 | 2008-03-28 | SOFTWARE BEHAVIOR MODELING DEVICE, SOFTWARE BEHAVIOR MODELING METHOD, SOFTWARE BEHAVIOR VERIFICATION DEVICE, AND SOFTWARE BEHAVIOR VERIFICATION METHOD |
CN200880010524.1A CN101652755B (zh) | 2007-03-28 | 2008-03-28 | 软件行为模型化装置、软件行为模型化方法、软件行为验证装置以及软件行为验证方法 |
US12/593,376 US8407799B2 (en) | 2007-03-28 | 2008-03-28 | Software behavior modeling device, software behavior modeling method, software behavior verification device, and software behavior verification method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007085598A JP5081480B2 (ja) | 2007-03-28 | 2007-03-28 | ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008243034A JP2008243034A (ja) | 2008-10-09 |
JP5081480B2 true JP5081480B2 (ja) | 2012-11-28 |
Family
ID=39788603
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007085598A Active JP5081480B2 (ja) | 2007-03-28 | 2007-03-28 | ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US8407799B2 (ja) |
EP (1) | EP2141598A4 (ja) |
JP (1) | JP5081480B2 (ja) |
CN (1) | CN101652755B (ja) |
WO (1) | WO2008117872A1 (ja) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8745361B2 (en) | 2008-12-02 | 2014-06-03 | Microsoft Corporation | Sandboxed execution of plug-ins |
JP4572259B1 (ja) * | 2009-04-27 | 2010-11-04 | 株式会社フォティーンフォティ技術研究所 | 情報機器、プログラム及び不正なプログラムコードの実行防止方法 |
CN103577753B (zh) * | 2012-08-01 | 2017-07-25 | 联想(北京)有限公司 | 一种提示伪装应用隐患的方法和电子设备 |
US9817742B2 (en) * | 2013-06-25 | 2017-11-14 | Dell International L.L.C. | Detecting hardware and software problems in remote systems |
CN103714456B (zh) * | 2014-01-06 | 2015-08-19 | 同济大学 | 软件行为监控验证系统 |
CN107077341B (zh) * | 2014-10-24 | 2020-07-14 | 谷歌有限责任公司 | 用于基于软件执行跟踪自动加标签的方法和系统 |
US10467409B2 (en) | 2014-12-23 | 2019-11-05 | Mcafee, Llc | Identification of malicious execution of a process |
KR20160099160A (ko) * | 2015-02-11 | 2016-08-22 | 한국전자통신연구원 | 명령어 집합의 행위 패턴을 엔-그램 방식으로 모델링하는 방법, 그 방법으로 동작하는 컴퓨팅 장치, 및 그 방법을 컴퓨팅 장치에서 실행하도록 구성되는 기록 매체에 저장된 프로그램 |
US10091076B2 (en) | 2015-08-25 | 2018-10-02 | Google Llc | Systems and methods for configuring a resource for network traffic analysis |
US10032031B1 (en) | 2015-08-27 | 2018-07-24 | Amazon Technologies, Inc. | Detecting unknown software vulnerabilities and system compromises |
US10019572B1 (en) * | 2015-08-27 | 2018-07-10 | Amazon Technologies, Inc. | Detecting malicious activities by imported software packages |
RU2651196C1 (ru) * | 2017-06-16 | 2018-04-18 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения аномальных событий по популярности свертки события |
RU2682003C1 (ru) * | 2017-11-27 | 2019-03-14 | Федеральное государственное бюджетное учреждение науки Институт системного программирования им. В.П. Иванникова Российской академии наук | Способ верификации формальной автоматной модели поведения программной системы |
JP6976365B2 (ja) * | 2020-01-24 | 2021-12-08 | 三菱電機株式会社 | 車載制御装置 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003122599A (ja) * | 2001-10-11 | 2003-04-25 | Hitachi Ltd | 計算機システムおよび計算機システムにおけるプログラム実行監視方法 |
JP2004126854A (ja) | 2002-10-01 | 2004-04-22 | Mitsubishi Electric Corp | 攻撃対策装置 |
CN1323351C (zh) * | 2003-01-23 | 2007-06-27 | 中兴通讯股份有限公司 | 一种流程状态机的实现方法 |
JP2006031109A (ja) | 2004-07-12 | 2006-02-02 | Ntt Docomo Inc | 管理システム及び管理方法 |
JP2006053788A (ja) * | 2004-08-12 | 2006-02-23 | Ntt Docomo Inc | ソフトウェア動作監視装置及びソフトウェア動作監視方法 |
US8108929B2 (en) * | 2004-10-19 | 2012-01-31 | Reflex Systems, LLC | Method and system for detecting intrusive anomalous use of a software system using multiple detection algorithms |
JP2006146600A (ja) * | 2004-11-19 | 2006-06-08 | Ntt Docomo Inc | 動作監視サーバ、端末装置及び動作監視システム |
JP4913353B2 (ja) * | 2005-03-25 | 2012-04-11 | 株式会社エヌ・ティ・ティ・ドコモ | ソフトウェア動作モデル化装置及びソフトウェア動作監視装置 |
JP2006330864A (ja) | 2005-05-24 | 2006-12-07 | Hitachi Ltd | サーバ計算機システムの制御方法 |
US7849509B2 (en) * | 2005-10-07 | 2010-12-07 | Microsoft Corporation | Detection of security vulnerabilities in computer programs |
JP4732874B2 (ja) * | 2005-11-28 | 2011-07-27 | 株式会社エヌ・ティ・ティ・ドコモ | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 |
-
2007
- 2007-03-28 JP JP2007085598A patent/JP5081480B2/ja active Active
-
2008
- 2008-03-28 CN CN200880010524.1A patent/CN101652755B/zh not_active Expired - Fee Related
- 2008-03-28 WO PCT/JP2008/056177 patent/WO2008117872A1/ja active Application Filing
- 2008-03-28 US US12/593,376 patent/US8407799B2/en not_active Expired - Fee Related
- 2008-03-28 EP EP08739295A patent/EP2141598A4/en not_active Withdrawn
Also Published As
Publication number | Publication date |
---|---|
US20110154487A1 (en) | 2011-06-23 |
JP2008243034A (ja) | 2008-10-09 |
EP2141598A4 (en) | 2012-11-21 |
CN101652755B (zh) | 2013-03-27 |
US8407799B2 (en) | 2013-03-26 |
WO2008117872A1 (ja) | 2008-10-02 |
EP2141598A1 (en) | 2010-01-06 |
CN101652755A (zh) | 2010-02-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5081480B2 (ja) | ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 | |
JP4732874B2 (ja) | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 | |
US8453244B2 (en) | Server, user device and malware detection method thereof | |
KR102238612B1 (ko) | DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체 | |
JP6432210B2 (ja) | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム | |
TW201931187A (zh) | 統一資源定位符(url)攻擊檢測方法、裝置及電子設備 | |
US20100169973A1 (en) | System and Method For Detecting Unknown Malicious Code By Analyzing Kernel Based System Actions | |
Rathnayaka et al. | An efficient approach for advanced malware analysis using memory forensic technique | |
JP5090661B2 (ja) | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 | |
RU2617654C2 (ru) | Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя | |
US9003537B2 (en) | CVSS information update by analyzing vulnerability information | |
WO2014122662A1 (en) | Method and product for providing a predictive security product and evaluating existing security products | |
JP2006527488A5 (ja) | ||
JP6557774B2 (ja) | プロセストレースを用いたグラフベースの侵入検知 | |
JP6656211B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
JP5779334B2 (ja) | 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム | |
JP6282217B2 (ja) | 不正プログラム対策システムおよび不正プログラム対策方法 | |
CN113055407A (zh) | 一种资产的风险信息确定方法、装置、设备及存储介质 | |
CN116827677A (zh) | 检测异常的系统和方法 | |
JP7019533B2 (ja) | 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム | |
CN109995751B (zh) | 上网设备标记方法、装置及存储介质、计算机设备 | |
EP2728472B1 (en) | User terminal, reliability management server, and method and program for preventing unauthorized remote operation | |
JP4913353B2 (ja) | ソフトウェア動作モデル化装置及びソフトウェア動作監視装置 | |
CN107135199B (zh) | 网页后门的检测方法和装置 | |
JP2006277414A (ja) | 異常データ検出装置、異常データ検出プログラム及び異常データ検出方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100303 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120605 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120802 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120828 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120903 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150907 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |