JP5083760B2 - マルウェアの類似性検査方法及び装置 - Google Patents
マルウェアの類似性検査方法及び装置 Download PDFInfo
- Publication number
- JP5083760B2 JP5083760B2 JP2007203281A JP2007203281A JP5083760B2 JP 5083760 B2 JP5083760 B2 JP 5083760B2 JP 2007203281 A JP2007203281 A JP 2007203281A JP 2007203281 A JP2007203281 A JP 2007203281A JP 5083760 B2 JP5083760 B2 JP 5083760B2
- Authority
- JP
- Japan
- Prior art keywords
- malware
- behavior
- information
- scanning
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
また、マルウェア・コードが実際には閉じられた(アクセスが制御された)実験環境で実行されるサンドボックス分析はその挙動を観察することができる(非特許文献19、21〜23参照)。
前述したマクロ分析とミクロ分析が研究され、多様な分析システムに配備されているが、これらの活動から得られた知識は効果的かつ効率的にリンクされておらず、セキュリティ・インシデントの根本原因の特定をさらに難しくしている。
なお、このような2つ以上のマルウェアによる挙動の類似性を検査する技術として、非特許文献24、25が開示されており、本発明出願時未公開の特許文献1、2において開示されている。
請求項1に記載の発明によれば、ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査方法を提供する。
(S1)コンピュータの第1アドレス走査情報検出手段が、第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出工程
(S2)コンピュータの第1マルウェア分析手段が、第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析工程、
(S3)コンピュータの第2アドレス走査情報検出手段が、第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出工程、
(S4)コンピュータの第2マルウェア分析手段が、第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析工程、
(S5)コンピュータの挙動比較手段が、上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較工程。
(S1)コンピュータの第1アドレス走査情報検出手段が、第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出工程、
(S02)コンピュータの第1脆弱性攻撃コード検出手段が、第1の挙動情報のうち脆弱性攻撃コードを検出して記憶手段に格納する第1脆弱性攻撃コード検出工程、
(S2)コンピュータの第1マルウェア分析手段が、第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析工程、
(S3)コンピュータの第2アドレス走査情報検出手段が、第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出工程、
(S04)コンピュータの第2脆弱性攻撃コード検出手段が、第2の挙動情報のうち脆弱性攻撃コードを検出して記憶手段に格納する第2脆弱性攻撃コード検出工程、
(S4)コンピュータの第2マルウェア分析手段が、第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析工程、
(S5)コンピュータの挙動比較手段が、上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較工程。
すなわち、請求項11に記載の発明によれば、ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査システムを提供することができる。
すなわち、本発明の特徴であるマルウェアのミクロ分析とマクロ分析の結果から相関度を求める際に従来のように走査のプロファイルを比較するだけでなく、脆弱性攻撃コード(Exploit code:脆弱性実証コードとも言う。)やマルウェア自体のコード、挙動をも比較対象とすることにより高精度の相関分析が実現できる。例えば、走査の挙動が類似した2つの異なるマルウェアに対しても、脆弱性攻撃コードやマルウェア自体のコード、挙動の相関度を求めることで正確な識別をおこなうことができる。
本発明では、走査に係る挙動(走査層)とマルウェア本体のコード及び挙動(マルウェア層)とを組み合わせ、走査層における検出にはより簡易なホストを用いてネットワーク上の広域に配備することを可能にすると共に、マルウェア層の検出には高精度なホストを設置し、さらに正確な検出に寄与することができる。
このように各層の検出用ホストをネットワーク上に段階的に配備することで、高精度なマルウェアの検出に寄与することができる。
まず、本発明の概要を説明する。本発明は、正確かつ実践的な分析をすでに提案している技術に加え、マクロ−ミクロ相関分析の精度を大幅に高めるためにマルチレイヤの観察に基づいた新規の分析方法を提案するものである。
その後、その3つの層におけるマクロ分析とミクロ分析両方からのすべての観察と分析の結果が相関アナライザによって効果的に収集され、相互に関連付けられ、その結果ネットワーク攻撃とその原因を高い精度で効果的に特定することができる。
これによって取得されるマルウェアの内部の挙動及びネットワーク挙動は、マルウェア駆除ツールやIDS(Intrusion Detection System)のためのシグネチャを生成する等の、マルウェアのさらなる活動を軽減し、防止するための処置を講じるために活用できる。
相互関連の精度を高めるために従来のシステムを高度化するものとして、本発明のマルチレイヤ観察を提案する。
図1に示すように4つのサブシステム、つまりマクロ分析システム(MacS)(10)、ミクロ分析システム(MicS)(11)、ネットワーク・マルウェア関連付けシステム(NemeSys)(12)、及びインシデント処理システム(IHS)(13)から成り立っている。
本実施例では観察のために複数の/16ダークネットと/24ダークネットがあり、その中で入信パケットだけを検知する幅広い範囲のブラックホール・センサ、TCP SYNパケットとICMPエコー要求等の特定の入信パケットに対応する低対話型センサと、マルウェア・サンプル自体を含む多様な情報を引き出すために攻撃者と多種多様な対話が可能な高対話型センサ(ハニーポット)を配備している。
これらのセキュリティ・イベントは追加分析のためにMacS(10)内の後述する多様なアナライザに送信される。MacS(10)のアナライザは、重大なセキュリティ・インシデントの初期的または予兆的事象であるインシデント候補(IC)を検出する。
例えば、変化点アナライザ(非特許文献26参照)は、特定のポート番号での走査頻度データ等の時系列データの急速な変化を検出し、IC警報(14)を発行する。IC警報(14)は、人間のオペレータが手動による詳細な分析を開始するようにIHS(13)に送信してもよい。
Takeuchi, J., Yamanishi, K.: Aunifying framework for detecting outliers and change points from non-stationarytime series data, IEEE Transactions on Knowledge and Data Engineering, Vol. 18,No. 4, pp.482 - 489, 2006年
一方、すべての分析結果(15)は相関分析のためにNemeSys(11)に送信される。さらに、本システムは、人間のオペレータが観察されたトラフィックを直感的に理解するための複数のトラフィック・ビジュアライザを配備することもできる(トラフィック・ビジュアライザについては非特許文献23参照)。
予め分析しておくマルウェアを本発明では第1のソフトウェアと呼んでいる。従って、第1のソフトウェアは他のソース(22)から取得してもよいし、インターネット(20)から収集してもよい。
MicS(12)のアナライザもIC警報(16)を発行することができる。例えば、アナライザは、未知の挙動のマルウェア検出時にそれを発行する。すべての分析結果(17)は相関分析のためにNemeSys(11)に送信される。
これは、オペレータ(30)に対してシステムの最終的な出力として発行されるインシデント・レポート(31)を作成するためのシステムでもある。
そのために本発明ではマルウェア活動が3つの層、すなわち走査層、脆弱性実行コード層、マルウェア層で観察する新しい概念を提案する。
MacS(40)では、走査及び脆弱性攻撃コードは、広範囲のネットワーク(例えばインターネット)(50)で分散されているブラックホール・センサ(51)と低対話型センサ(52)によってそれぞれ観察される。
分析結果はNemeSys(60)の相関アナライザ(61)に通知される。
設定可能サンドボックス(80)は、そのネットワーク環境が3つの焦点を当てられているネットワーク挙動、つまりブラックホール・ネットワークでの走査(ブラックホールモード)(81)、脆弱性攻撃コードの送信(低対話モード)(82)、それら自体のターゲット・ホストでのコピーを撤回するために適する高対話モード(83)の3つの実行モードを用いる。
(走査層)
走査層の役割は、広範囲のブラックホール・ネットワークでマルウェアのネットワーク走査を分析することである。マルウェアによるネットワーク走査は広範囲のブラックホール・センサによって見られるときに特徴的である。
それらがどの宛先ポート上を走査するのか、それらがソースポート番号をどのようにして選ぶのか、それらがどれほど速く走査できるのか、それらがどのようにして宛先IPアドレスを選ぶのか等の走査挙動は、観察された走査の発生元を特定するために有用な情報である。したがって、実際のネットワークの監視によって観察されるものと比較するためにサンドボックス内のそれぞれの取り込まれたマルウェアの走査を観察し、要約する。
走査アナライザ(41)(71)は未処理のパケット・データを採取し、ソースIPアドレスでそれをスライスし、ソースIPアドレスごとにパケットの基本的な統計を計算する。
次に、走査タイプと宛先ポート・セットの文字列連結の要約計算方法(MD5:MessageDigest 5)である走査シグネチャが、走査を特定するために計算される。前記の基本的な統計と走査シグネチャの集合を走査プロファイルと呼ぶ。(非特許文献24に記載)
本発明のアドレス走査情報である走査プロファイルはXMLフォーマットで出力され、記憶手段に格納される。
Suzuki, K., Baba, S., Takakura,H.: Analyzing traffic directed to unused IP address blocks, IEICE TechnicalReport, vol.105, no.530, IA2005-23, pp.25 - 30, 2006年1月
脆弱性攻撃コード層の役割は、各マルウェアがどのような種類の脆弱性攻撃コードを使用するのかを探査することである。脆弱性攻撃コードは、ターゲット脆弱性が悪用された後に実行されるシェルコードを含んでいる。
そこで各分析システム(40)(70)の脆弱性攻撃コード・アナライザ(42)(72)は、ターゲット脆弱性を活用するために必須であるシェルコード内の命令のシーケンスを検出する。
Payer, U., Teufl, P., Lamberger,M.: Hybrid engine for polymorphic shellcode detection, Detection of Intrusionsand Malware, and Vulnerability Assessment (DIMVA2005), LNCS 3548, pp 19 - 31,2005年
ASHULAはパケットのペイロードから遠隔システムの権限を握るために必須である前述された命令のシーケンスを検出し、抽出する。この命令は脆弱性攻撃コードの実際の一部であるため、脆弱性攻撃コードを検出するためのパターン・マッチングのためのIDSシグネチャとして使用することもできる。
Nogawa. H.: Shellcode detection:fight against polymorphism, The Joint Information Security Workshop on InternetMonitoring and Analysis (ISWIMA), 2006年
低対話モードサンドボックス(82)は、実行されるマルウェアからの要求に適切に答えるように構成され、それはMacS(40)内の低対話型センサ(52)と同じ挙動である。脆弱性攻撃コード・アナライザ(72)はマルウェア実行ファイルごとに抽出された命令のリストを出力する。
マルウェア伝搬の最終段階では、マルウェアのコピーをターゲット・ホスト上でダウンロードし、ホストがリブートされるときにコピーを確実に実行するようにしている。コピーは、FTP及びHTTPのようなプロトコルを使用して特定のサーバから、あるいは以前に感染したホストからダウンロードされることもある。マルウェア層ではマルウェア・アナライザ(43)(73)によってサンプル自体を分析する。
難読化のために、多くのマルウェアは従来の方法では逆アセンブルできない。難読化を克服するために、マルウェア・コード・アナライザはまず、隔離されたホストでマルウェア・サンプルを実行する。
マルウェア・コード・アナライザは、最終的にはダンプされたコードを逆アセンブルし、アセンブリコードを取得できる。アセンブリコードを読み取ることによって、Windows(登録商標) APIの呼出シーケンスを取得する。
最後に、すべての情報はコード分析レポートとして要約、XMLフォーマットで出力される。
これらのログに従って、マルウェア挙動アナライザは、所定の挙動定義に基づいたマルウェア・サンプルの顕著な挙動を抽出する。抽出された挙動は挙動分析レポートとして要約され、XMLフォーマットで出力される。
P. Baecher, M. Koetter, T. Holz,M. Dornseif, F. C. Freiling, "The Nepenthes Platform: An EfficientApproach to Collect Malware," Proceedings of Recent Advances in IntrusionDetection, 9th International Symposium, RAID 2006, pp. 165-184, 2006年 G. Portokalidis, A. Slowinska,and Herbert Bos, "Argos: an emulator for fingerprinting zero- day attacksfor advertised honeypots with automatic signature generation," Proceedingsof the 2006 EuroSys conference, pp. 15 - 27, 2006年
最後に、各マルウェアのコード分析レポート及び挙動分析レポートからなるマルウェア・レポート(94)が相関アナライザ(61)に送信される。
マルウェア・サンプルが入力されると、ファイル・アクセス、レジストリ・アクセス、及び通信を含むそれらの挙動を観察するために実験環境での入力サンプルを実行する。
設定可能サンドボックス(80)は、マルウェアを欺くためにインターネット・エミュレータと呼ばれる環境も使用する。インターネット・エミュレータは被害ホストに仮想インターネット・アクセスを提供する。
マルウェアによって生成されるすべてのパケットはインターネット・エミュレータに送られ、次にインターネット・エミュレータはそのパケットをそのポート番号の代りにそのペイロードの観察に従って適切なサービスに転送する。
被害ホストが実際のインターネット環境にあると、ブラックホール・センサによってグローバル・アドレスでの走査だけが監視できる。そのため、グローバル走査のスライスされたトラフィックが走査プロファイルを取得するために走査アナライザに送信される。
被害ホストからの結果として生じるトラフィックは、どの脆弱性攻撃コードが入力マルウェアから送達されるのかをチェックするために脆弱性攻撃コード・アナライザ(72)に入力される。
例えば、上述したArgosまたはnepenthesのようなツールを、攻撃されやすいホストをエミュレートするために設定可能サンドボックス(80)にインストールすることができる。
相関アナライザ(61)は、MacS(40)とMicS(70)のすべてのアナライザから分析結果を受け取り、それらをNemeSys(60)の図示しない外部記憶手段に格納されたマルウェア知識プール(MNOP)と呼ばれるデータベースに記憶する。相関アナライザ(61)の役割は、それらの間でリンクを検出することによりそれらを統合し、充実させるために種々の分析結果をリンクすることである。
走査を相互に関連付けるための最も簡単な方法は、プロファイルの中の走査シグネチャを比較することである。走査シグネチャは非特許文献27に開示されるような規則によって示される走査タイプと宛先ポートのセットの連結のMD5を用いるのが簡便である。
したがって、2つの走査プロファイルのシグネチャが正確に一致する場合、それは2つの走査が同じタイプであり、それらが同じポート番号に向けられていることを意味する。
脆弱性攻撃コードの相関分析は、抽出される命令を比較することによって行うことができる。走査の相互関連のケースに関しては、要約マッチングが最も容易な方法である。命令の2つのシーケンス間の類似性を測定するための方法は任意であるが、例えば上記のようにMD5を用いても同一性を照合してもよい。
2つのマルウェア・サンプルを比較する最も簡単な方法は、その要約(例えばMD5)によるものである。別の簡単な方法は、既知のマルウェアにとって効果的な方法であるが、周知のアンチウィルス・ソフトウェアを用いる方法である。特に簡便で有効な方法は、それらの分析レポートを比較することである。
上述した走査層における相互関連と同様に、マルウェア・アナライザ(43)(73)の分析結果を使用してそれらの間の類似性を算出することができる。
41 走査アナライザ
42 脆弱性攻撃コード・アナライザ
43 マルウェア・アナライザ
50 インターネット
51 ブラックホール・センサ
52 低対話型センサ
53 高対話型センサ
60 ネットワーク及びマルウェア関連付けシステム
61 相関アナライザ
70 ミクロ分析システム
71 走査アナライザ
72 脆弱性攻撃コード・アナライザ
73 マルウェア・アナライザ
80 設定可能サンドボックス
81 同、ブラックホールモード
82 同、低対話モード
83 同、高対話モード
90 走査プロファイル
91 走査プロファイル
92 脆弱性攻撃コード
93 脆弱性攻撃コード
94 マルウェア・レポート
95 マルウェア・レポート
Claims (20)
- ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査方法であって、
コンピュータの第1アドレス走査情報検出手段が、該第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出工程、
コンピュータの第1マルウェア分析手段が、該第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析工程、
コンピュータの第2アドレス走査情報検出手段が、該第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出工程、
コンピュータの第2マルウェア分析手段が、該第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析工程、
コンピュータの挙動比較手段が、上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較工程
を有することを特徴とするマルウェアの類似性検査方法。 - ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査方法であって、
コンピュータの第1アドレス走査情報検出手段が、該第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出工程、
コンピュータの第1脆弱性攻撃コード検出手段が、該第1の挙動情報のうち脆弱性攻撃コードを検出して記憶手段に格納する第1脆弱性攻撃コード検出工程、
コンピュータの第1マルウェア分析手段が、該第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析工程、
コンピュータの第2アドレス走査情報検出手段が、該第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出工程、
コンピュータの第2脆弱性攻撃コード検出手段が、該第2の挙動情報のうち脆弱性攻撃コードを検出して記憶手段に格納する第2脆弱性攻撃コード検出工程、
コンピュータの第2マルウェア分析手段が、該第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析工程、
コンピュータの挙動比較手段が、上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較工程
を有することを特徴とするマルウェアの類似性検査方法。 - 前記第1アドレス走査情報検出工程において前記第1アドレス走査情報検出手段が、及び前記第2アドレス走査情報検出工程において前記第2アドレス走査情報検出手段が、それぞれ、
各宛先ポートのアクセス回数の比率か、連続するパケットのソースポート番号間の差異の平均値か、用いられるプロトコルの比率か、TCP(Transmission Control Protocol)におけるTCPフラグの比率か、単位時間あたりのパケットの平均個数かの少なくともいずれかの統計情報を検出する
請求項1又は2に記載のマルウェアの類似性検査方法。 - 前記第1脆弱性攻撃コード検出工程において前記第1脆弱性攻撃コード検出手段が、及び前記第2脆弱性攻撃コード検出工程において前記第2脆弱性攻撃コード検出手段が、それぞれ、
脆弱性攻撃コードに含まれるシェルコード内の命令のシーケンスを検出する
請求項2に記載のマルウェアの類似性検査方法。 - 前記第1マルウェア分析工程において前記第1マルウェア分析手段が、及び前記第2マルウェア分析工程において前記第2マルウェア分析手段が、それぞれ、
マルウェア本体を逆アセンブリし、そのアセンブリコードを取得する
請求項1ないし4のいずれかに記載のマルウェアの類似性検査方法。 - 前記第1マルウェア分析工程において前記第1マルウェア分析手段が、及び前記第2マルウェア分析工程おいて前記第2マルウェア分析手段が、それぞれ、
マルウェアの実行によるファイル又はレジストリのアクセスログか、プラットフォーム上のAPI(Application Program Interface)ログか、複数のサーバへのアクセスログか、マルウェアにより生成されるパケットログかの少なくともいずれかのログを取得する
請求項1ないし5のいずれかに記載のマルウェアの類似性検査方法。 - 前記挙動比較工程においてコンピュータの挙動比較手段が、
前記第1アドレス走査情報検出手段で検出された走査シグネチャと、前記第2アドレス走査情報検出手段で検出された走査シグネチャとの同一性を照合する
請求項1ないし6のいずれかに記載のマルウェアの類似性検査方法。 - 前記挙動比較工程においてコンピュータの挙動比較手段が、
前記第1アドレス走査情報検出手段で検出された宛先ポートのポート番号の比率と、前記第2アドレス走査情報検出手段で検出された宛先ポートのポート番号の比率との類似性を相関関係式により算出する
請求項1ないし7のいずれかに記載のマルウェアの類似性検査方法。 - 前記挙動比較工程においてコンピュータの挙動比較手段が、
前記第1脆弱性攻撃コード検出手段で検出した脆弱性攻撃コードと、前記第2脆弱性攻撃コード検出手段で検出した脆弱性攻撃コードとを、それぞれ要約処理し両者の同一性を照合する
請求項2に記載のマルウェアの類似性検査方法。 - 前記挙動比較工程においてコンピュータの挙動比較手段が、
前記第1マルウェア分析手段で検出したマルウェアのコードと、前記第2マルウェア分析手段で検出したマルウェアのコードとを、それぞれ要約処理し両者の同一性を照合する
請求項1ないし9のいずれかに記載のマルウェアの類似性検査方法。 - ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査システムであって、
該第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出手段と、
該第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析手段と、
該第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出手段と、
該第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析手段と、
上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較手段と
を少なくとも備えたことを特徴とするマルウェアの類似性検査システム。 - ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査システムであって、
該第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出手段と、
該第1の挙動情報のうち脆弱性攻撃コードを検出して記憶手段に格納する第1脆弱性攻撃コード検出手段と、
該第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析手段と、
該第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出手段と、
該第2の挙動情報のうち脆弱性攻撃コードを検出して記憶手段に格納する第2脆弱性攻撃コード検出手段と、
第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析手段と、
上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較手段と
を少なくとも備えたことを特徴とするマルウェアの類似性検査システム。 - 前記第1アドレス走査情報検出手段及び前記第2アドレス走査情報検出手段が、それぞれ、
各宛先ポートのアクセス回数の比率か、連続するパケットのソースポート番号間の差異の平均値か、用いられるプロトコルの比率か、TCP(Transmission Control Protocol)におけるTCPフラグの比率か、単位時間あたりのパケットの平均個数かの少なくともいずれかの統計情報を検出する
請求項11又は12に記載のマルウェアの類似性検査システム。 - 前記第1脆弱性攻撃コード検出手段及び前記第2脆弱性攻撃コード検出手段が、それぞれ、
脆弱性攻撃コードに含まれるシェルコード内の命令のシーケンスを検出する
請求項12に記載のマルウェアの類似性検査システム。 - 前記第1マルウェア分析手段及び前記第2マルウェア分析手段が、それぞれ、
マルウェア本体を逆アセンブリし、そのアセンブリコードを取得する
請求項11ないし14のいずれかに記載のマルウェアの類似性検査システム。 - 前記第1マルウェア分析手段及び前記第2マルウェア分析手段が、それぞれ、
マルウェアの実行によるファイル又はレジストリのアクセスログか、プラットフォーム上のAPI(Application Program Interface)ログか、複数のサーバへのアクセスログか、マルウェアにより生成されるパケットログかの少なくともいずれかのログを取得する
請求項11ないし15のいずれかに記載のマルウェアの類似性検査システム。 - 前記挙動比較手段が、
前記第1アドレス走査情報検出手段で検出された走査シグネチャと、前記第2アドレス走査情報検出手段で検出された走査シグネチャとの同一性を照合する
請求項11ないし16のいずれかに記載のマルウェアの類似性検査システム。 - 前記挙動比較手段が、
前記第1アドレス走査情報検出手段で検出された宛先ポートのポート番号の比率と、前記第2アドレス走査情報検出手段で検出された宛先ポートのポート番号の比率との類似性を相関関係式により算出する
請求項11ないし17のいずれかに記載のマルウェアの類似性検査システム。 - 前記挙動比較手段が、
前記第1脆弱性攻撃コード検出手段で検出した脆弱性攻撃コードと、前記第2脆弱性攻撃コード検出手段で検出した脆弱性攻撃コードとを、それぞれ要約処理し両者の同一性を照合する
請求項12に記載のマルウェアの類似性検査システム。 - 前記挙動比較手段が、
前記第1マルウェア分析手段で検出したマルウェアのコードと、前記第2マルウェア分析手段で検出したマルウェアのコードとを、それぞれ要約処理し両者の同一性を照合する
請求項11ないし19のいずれかに記載のマルウェアの類似性検査システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007203281A JP5083760B2 (ja) | 2007-08-03 | 2007-08-03 | マルウェアの類似性検査方法及び装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007203281A JP5083760B2 (ja) | 2007-08-03 | 2007-08-03 | マルウェアの類似性検査方法及び装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009037545A JP2009037545A (ja) | 2009-02-19 |
JP5083760B2 true JP5083760B2 (ja) | 2012-11-28 |
Family
ID=40439368
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007203281A Active JP5083760B2 (ja) | 2007-08-03 | 2007-08-03 | マルウェアの類似性検査方法及び装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5083760B2 (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016015715A (ja) * | 2014-07-03 | 2016-01-28 | 韓國電子通信研究院Electronics and Telecommunications Research Institute | アクセス制御リスト抽出方法およびシステム |
US9473531B2 (en) | 2014-11-17 | 2016-10-18 | International Business Machines Corporation | Endpoint traffic profiling for early detection of malware spread |
EP3287927A1 (en) | 2016-08-26 | 2018-02-28 | Fujitsu Limited | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device |
EP3346409A1 (en) | 2017-01-05 | 2018-07-11 | Fujitsu Limited | Program, information processing apparatus and method |
EP3346408A1 (en) | 2017-01-05 | 2018-07-11 | Fujitsu Limited | Malware detection through api calls number, type and frequency analysis |
EP3346407A1 (en) | 2017-01-05 | 2018-07-11 | Fujitsu Limited | Malware detection through running process list monitoring |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5476578B2 (ja) * | 2009-01-06 | 2014-04-23 | 独立行政法人情報通信研究機構 | ネットワーク監視システム及びその方法 |
US8918876B2 (en) * | 2009-04-30 | 2014-12-23 | Telefonaktiebolaget L M Ericsson (Publ) | Deviating behaviour of a user terminal |
JP5389733B2 (ja) * | 2010-05-21 | 2014-01-15 | 日本電信電話株式会社 | 抽出装置及び抽出方法 |
JP5389734B2 (ja) * | 2010-05-21 | 2014-01-15 | 日本電信電話株式会社 | 抽出装置及び抽出方法 |
EP2626803B1 (en) | 2010-10-04 | 2017-07-05 | Panasonic Intellectual Property Management Co., Ltd. | Information processing device and method for preventing unauthorized application cooperation |
JP5739182B2 (ja) | 2011-02-04 | 2015-06-24 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 制御システム、方法およびプログラム |
JP5731223B2 (ja) | 2011-02-14 | 2015-06-10 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体 |
JP5689333B2 (ja) | 2011-02-15 | 2015-03-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体 |
US20120260304A1 (en) * | 2011-02-15 | 2012-10-11 | Webroot Inc. | Methods and apparatus for agent-based malware management |
JP5697206B2 (ja) | 2011-03-31 | 2015-04-08 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 不正アクセスに対する防御をするシステム、方法およびプログラム |
CN102955912B (zh) * | 2011-08-23 | 2013-11-20 | 腾讯科技(深圳)有限公司 | 一种程序恶意属性判别方法和服务器 |
JP2013105366A (ja) | 2011-11-15 | 2013-05-30 | Hitachi Ltd | プログラム解析システム及び方法 |
JP2013171556A (ja) | 2012-02-23 | 2013-09-02 | Hitachi Ltd | プログラム解析システム及び方法 |
CN102841999B (zh) * | 2012-07-16 | 2016-12-21 | 北京奇虎科技有限公司 | 一种文件宏病毒的检测方法和装置 |
US20150089655A1 (en) * | 2013-09-23 | 2015-03-26 | Electronics And Telecommunications Research Institute | System and method for detecting malware based on virtual host |
JP6459289B2 (ja) * | 2014-08-07 | 2019-01-30 | 日本電気株式会社 | マルウェア推定装置、マルウェア推定方法、及び、マルウェア推定プログラム |
JP6246377B2 (ja) | 2014-08-28 | 2017-12-13 | 三菱電機株式会社 | プロセス解析装置、プロセス解析方法、及びプロセス解析プログラム |
SG11201702438VA (en) | 2014-09-25 | 2017-04-27 | Nec Corp | Analysis system, analysis device, analysis method, and storage medium having analysis program recorded therein |
JP6229800B2 (ja) | 2014-09-25 | 2017-11-15 | 日本電気株式会社 | 解析システム、解析方法、及び、解析プログラム |
WO2016047110A1 (ja) | 2014-09-25 | 2016-03-31 | 日本電気株式会社 | 解析システム、解析装置、解析方法、及び、解析プログラムが記録された記録媒体 |
KR20180015640A (ko) * | 2015-05-04 | 2018-02-13 | 사이드 캄란 하산 | 컴퓨터 네트워크에서의 보안 관리를 위한 방법 및 장치 |
JP5955475B1 (ja) * | 2016-01-27 | 2016-07-20 | 三井物産セキュアディレクション株式会社 | プログラム、情報処理装置、及び情報処理方法 |
US10891379B2 (en) | 2016-04-26 | 2021-01-12 | Nec Corporation | Program analysis system, program analysis method and storage medium |
US11159538B2 (en) | 2018-01-31 | 2021-10-26 | Palo Alto Networks, Inc. | Context for malware forensics and detection |
CN112005234A (zh) * | 2018-01-31 | 2020-11-27 | 帕洛阿尔托网络公司 | 恶意软件检测的上下文剖析 |
US10764309B2 (en) | 2018-01-31 | 2020-09-01 | Palo Alto Networks, Inc. | Context profiling for malware detection |
US11956212B2 (en) | 2021-03-31 | 2024-04-09 | Palo Alto Networks, Inc. | IoT device application workload capture |
CN113761912B (zh) * | 2021-08-09 | 2024-04-16 | 国家计算机网络与信息安全管理中心 | 一种对恶意软件归属攻击组织的可解释判定方法及装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004075060A1 (ja) * | 2003-02-21 | 2004-09-02 | Tabei, Hikaru | コンピュータウィルス検出装置 |
JP2005109847A (ja) * | 2003-09-30 | 2005-04-21 | Secom Joshinetsu Co Ltd | セキュリティ管理装置 |
JP4156540B2 (ja) * | 2004-02-23 | 2008-09-24 | Kddi株式会社 | ログ分析装置、ログ分析プログラムおよび記録媒体 |
JP2007058514A (ja) * | 2005-08-24 | 2007-03-08 | Mitsubishi Electric Corp | 情報処理装置及び情報処理方法及びプログラム |
-
2007
- 2007-08-03 JP JP2007203281A patent/JP5083760B2/ja active Active
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016015715A (ja) * | 2014-07-03 | 2016-01-28 | 韓國電子通信研究院Electronics and Telecommunications Research Institute | アクセス制御リスト抽出方法およびシステム |
US9894074B2 (en) | 2014-07-03 | 2018-02-13 | Electronics And Telecommunications Research Institute | Method and system for extracting access control list |
US9473531B2 (en) | 2014-11-17 | 2016-10-18 | International Business Machines Corporation | Endpoint traffic profiling for early detection of malware spread |
US9497217B2 (en) | 2014-11-17 | 2016-11-15 | International Business Machines Corporation | Endpoint traffic profiling for early detection of malware spread |
EP3287927A1 (en) | 2016-08-26 | 2018-02-28 | Fujitsu Limited | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device |
EP3346409A1 (en) | 2017-01-05 | 2018-07-11 | Fujitsu Limited | Program, information processing apparatus and method |
EP3346408A1 (en) | 2017-01-05 | 2018-07-11 | Fujitsu Limited | Malware detection through api calls number, type and frequency analysis |
EP3346407A1 (en) | 2017-01-05 | 2018-07-11 | Fujitsu Limited | Malware detection through running process list monitoring |
Also Published As
Publication number | Publication date |
---|---|
JP2009037545A (ja) | 2009-02-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5083760B2 (ja) | マルウェアの類似性検査方法及び装置 | |
JP5440973B2 (ja) | コンピュータ検査システム、コンピュータ検査方法 | |
EP3111330B1 (en) | System and method for verifying and detecting malware | |
EP2559217B1 (en) | System and method for near-real time network attack detection, and system and method for unified detection via detection routing | |
CN105871883A (zh) | 基于攻击行为分析的高级持续性威胁检测方法 | |
Hatada et al. | Empowering anti-malware research in Japan by sharing the MWS datasets | |
Inoue et al. | Malware behavior analysis in isolated miniature network for revealing malware's network activity | |
Nakao et al. | Practical correlation analysis between scan and malware profiles against zero-day attacks based on darknet monitoring | |
CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
Mireles et al. | Extracting attack narratives from traffic datasets | |
Almarri et al. | Optimised malware detection in digital forensics | |
Nakao et al. | A novel concept of network incident analysis based on multi-layer observations of malware activities | |
Dodiya et al. | Malicious Traffic analysis using Wireshark by collection of Indicators of Compromise | |
Kim et al. | Agent-based honeynet framework for protecting servers in campus networks | |
JP2010161488A (ja) | ネットワーク監視システム及びその方法 | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
Gashi et al. | A study of the relationship between antivirus regressions and label changes | |
Liu et al. | N-victims: An approach to determine n-victims for apt investigations | |
KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
Mahajan et al. | Performance Analysis of Honeypots Against Flooding Attack | |
KR101518233B1 (ko) | 기업 내부 전산환경의 위협탐지를 위한 보안 장치 | |
Yoshioka et al. | Malware sandbox analysis for secure observation of vulnerability exploitation | |
Bhati et al. | A survey on intrusion detection tools | |
Achille et al. | Obtaining digital evidence from intrusion detection systems | |
Kohlrausch | Experiences with the noah honeynet testbed to detect new internet worms |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100802 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120312 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120321 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120518 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120605 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120731 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120821 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120828 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5083760 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150914 Year of fee payment: 3 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |