JP5437977B2 - 解析システム、解析装置、解析方法及び解析プログラム - Google Patents
解析システム、解析装置、解析方法及び解析プログラム Download PDFInfo
- Publication number
- JP5437977B2 JP5437977B2 JP2010251733A JP2010251733A JP5437977B2 JP 5437977 B2 JP5437977 B2 JP 5437977B2 JP 2010251733 A JP2010251733 A JP 2010251733A JP 2010251733 A JP2010251733 A JP 2010251733A JP 5437977 B2 JP5437977 B2 JP 5437977B2
- Authority
- JP
- Japan
- Prior art keywords
- analysis
- malware
- execution trace
- unit
- malicious program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
実施例1に係る解析システム1の構成について説明する。図1は、実施例1に係る解析システム1の構成の一例を示す図である。図1に示すように、実施例1に係る解析システム1は、マルウェアの挙動を解析する解析装置100にマルウェアを動作させるマルウェア実行環境部50を内蔵している。以下では、マルウェア実行環境が解析装置100に内蔵された解析システムについて説明するが、開示の技術はこれに限定されるものではなく、例えば、マルウェア実行環境部50を備えた他の装置が解析装置100に接続される場合であってもよい。
次に、実施例1に係る解析システム1による判定処理の手順を説明する。以下では、まず、実施例1に係る解析システム1による実行トレース収集処理の手順を説明する。その後、実施例1に係る解析システム1によるマルウェア解析の終了判定処理の手順を説明する。
まず、実施例1に係る解析システムによる実行トレース収集処理の手順を説明する。図8は、実施例1に係る解析システム1による実行トレース収集処理の手順を示すフローチャートである。図8に示すように、実施例1に係る解析システム1においては、マルウェア実行環境部50に解析対象のマルウェアが設定されると(ステップS101肯定)、実行トレース収集部73が、実行トレース収集対象プロセスリストに解析対象のマルウェアを登録する(ステップS102)。
S106)。なお、実行トレース収集部73は、実行トレース収集対象プロセスの命令を常時監視する(ステップS105否定)。
次に、実施例1に係る解析システム1によるマルウェア解析の終了判定処理の手順を説明する。図9は、実施例1に係る解析システム1によるマルウェア解析の終了判定処理の手順を示すフローチャートである。図9に示すように、実施例1に係る解析システム1においては、まず、管理者が実行トレースの増加量を算出するための単位時間を設定する(ステップS201)そして、実施例1に係る解析システム1においては、管理者が解析終了を判定するための実行トレースの増加量に対する閾値と期間とを設定する(ステップS202)。
上述したように、実施例1によれば、コンピュータ内で不正な動作を行うマルウェアを実行するマルウェア実行環境部50とマルウェアの挙動を解析する解析装置100とを含む解析システム1であって、解析装置100の実行トレース収集部73が、マルウェア実行環境部50によって実行されたマルウェアがコンピュータ内で行った動作である実行トレースを収集する。そして、実行トレース解析部74が、実行トレース収集部73によって収集された実行トレースの任意の時間に対する増加量を算出する。さらに、実行トレース解析部74が、算出した増加量に基づいて、マルウェアの解析を終了させるか否かを判定する。そして、解析システム制御部75が、実行トレース解析部74によってマルウェアの解析を終了すると判定された場合に、マルウェア実行環境部50によって実行されているマルウェアの解析を終了させる。従って、実施例1に係る解析システム1は、実行トレースの増加量を監視することによって、マルウェアが動作中であるか否かを判定することができ、動作時間が異なるマルウェアを効率よく解析することを可能にする。
上述した実施例1では、マルウェア解析の終了判定機能を有する解析装置100が、マルウェア解析部72を有し、マルウェアの挙動などを解析する場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、マルウェア解析の終了判定機能のみを有する解析装置が、マルウェアの挙動などを解析する装置のマルウェア解析の終了判定を行う場合であってもよい。かかる場合には、例えば、実行トレース収集部73と、実行トレース解析部74と、解析システム制御部75と、実行トレース記憶部62とを有した装置が、マルウェアの挙動などを解析する装置に接続され、マルウェアの解析を終了するか否かを制御する。
上記した実施例1では、解析システム制御部75がマルウェア実行環境部50に対して終了信号を送信することで、マルウェアの解析を終了させる場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、解析システム制御部75が、マルウェア解析部72に対して解析を終了させる旨の終了信号を送信することで、マルウェアの解析を終了させる場合であってもよい。
上記した実施例1では、実行トレース収集部73と実行トレース解析部74とが、それぞれ実行トレース対象プロセスリストと実行済みコードリストとを記憶する場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、実行トレース対象プロセスリスト及び実行済みコードリストをそれぞれ記憶部に格納させる場合であってもよい。
例えば、各装置の分散・統合の具体的形態(例えば、図1の形態)は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合することができる。一例を挙げると、解析データ記憶部61と実行トレース記憶部62とを一つの記憶部として統合してもよく、一方、実行トレース解析部74を、実行トレースの増加量を算出する算出部と、マルウェアの解析を終了するか否かを判定する判定部とに分散してもよい。
ところで、上記実施例1では、ハードウェアロジックによって各種の処理を実現する場合を説明したが、本実施例はこれに限定されるものではなく、予め用意されたプログラムをコンピュータで実行するようにしてもよい。そこで、以下では、図10を用いて上記実施例1に示した解析装置100と同様の機能を有する解析プログラムを実行するコンピュータの一例を説明する。図10は、解析プログラムを実行するコンピュータを示す図である。
50 マルウェア実行環境部
62 実行トレース記憶部
71 応答処理部
72 マルウェア解析部
73 実行トレース収集部
74 実行トレース解析部
75 解析システム制御部
100 解析装置
Claims (7)
- コンピュータ内で不正な動作を行う不正プログラムを実行する不正プログラム実行環境と前記不正プログラムの挙動を解析する解析装置とを含む解析システムであって、
前記解析装置が、
前記不正プログラム実行環境によって実行された不正プログラムが前記コンピュータ内で行った動作である実行命令の配置されているアドレスを含む情報を収集する収集手段と、
前記収集手段によって収集された実行命令の配置されているアドレスを含む情報の任意の時間に対する増加量を算出する算出手段と、
前記算出手段によって算出された増加量に基づいて、前記不正プログラムの解析を終了させるか否かを判定する判定手段と、
前記判定手段によって前記不正プログラムの解析を終了すると判定された場合に、前記不正プログラム実行環境によって実行されている不正プログラムの解析を終了させる制御手段と、
を有することを特徴とする解析システム。 - 前記収集手段は、前記不正プログラム実行環境によって実行された不正プログラムが要求した命令と当該命令のコードが配置されている場所とを対応付けた情報を前記実行命令の配置されているアドレスを含む情報として収集することを特徴とする請求項1に記載の解析システム。
- 前記判定手段は、前記算出手段によって算出された増加量と所定の閾値とを比較し、当該増加量が一定期間所定の閾値を下回った場合に、前記不正プログラムの解析を終了させると判定することを特徴とする請求項1に記載の解析システム。
- 前記収集手段は、前記不正プログラムによって新たなプロセスが生起された場合に、当該新たなプロセスによって実行される命令と当該命令のコードが配置されている場所とを対応付けて前記実行命令の配置されているアドレスを含む情報として収集することを特徴とする請求項1に記載の解析システム。
- コンピュータ内で不正な動作を行う不正プログラムを実行する不正プログラム実行環境によって実行された不正プログラムが前記コンピュータ内で行った動作である実行命令の配置されているアドレスを含む情報を収集する収集手段と、
前記収集手段によって収集された実行命令の配置されているアドレスを含む情報の任意の時間に対する増加量を算出する算出手段と、
前記算出手段によって算出された増加量に基づいて、前記不正プログラムの解析を終了させるか否かを判定する判定手段と、
前記判定手段によって前記不正プログラムの解析を終了すると判定された場合に、前記不正プログラム実行環境によって実行されている不正プログラムの解析を終了させる制御手段と、
を有することを特徴とする解析装置。 - コンピュータ内で不正な動作を行う不正プログラムを実行する不正プログラム実行環境と前記不正プログラムの挙動を解析する解析装置とを含む解析システムに適用され、前記解析装置が実行する解析方法であって、
前記解析装置が、
前記不正プログラム実行環境によって実行された不正プログラムが前記コンピュータ内で行った動作である実行命令の配置されているアドレスを含む情報を収集する収集ステップと、
前記収集ステップによって収集された実行命令の配置されているアドレスを含む情報の任意の時間に対する増加量を算出する算出ステップと、
前記算出ステップによって算出された増加量に基づいて、前記不正プログラムの解析を終了させるか否かを判定する判定ステップと、
前記判定ステップによって前記不正プログラムの解析を終了すると判定された場合に、前記不正プログラム実行環境によって実行されている不正プログラムの解析を終了させる制御ステップと、
を含んだことを特徴とする解析方法。 - コンピュータ内で不正な動作を行う不正プログラムの挙動を解析する解析装置としてのコンピュータに実行させる解析プログラムであって、
不正プログラム実行環境によって実行された不正プログラムが前記コンピュータ内で行った動作である実行命令の配置されているアドレスを含む情報を収集する収集手順と、
前記収集手順によって収集された実行命令の配置されているアドレスを含む情報の任意の時間に対する増加量を算出する算出手順と、
前記算出手順によって算出された増加量に基づいて、前記不正プログラムの解析を終了させるか否かを判定する判定手順と、
前記判定手順によって前記不正プログラムの解析を終了すると判定された場合に、前記不正プログラム実行環境によって実行されている不正プログラムの解析を終了させる制御手順と、
を前記解析装置としてのコンピュータに実行させることを特徴とする解析プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010251733A JP5437977B2 (ja) | 2010-11-10 | 2010-11-10 | 解析システム、解析装置、解析方法及び解析プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010251733A JP5437977B2 (ja) | 2010-11-10 | 2010-11-10 | 解析システム、解析装置、解析方法及び解析プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012103893A JP2012103893A (ja) | 2012-05-31 |
JP5437977B2 true JP5437977B2 (ja) | 2014-03-12 |
Family
ID=46394212
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010251733A Active JP5437977B2 (ja) | 2010-11-10 | 2010-11-10 | 解析システム、解析装置、解析方法及び解析プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5437977B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5920169B2 (ja) * | 2012-10-22 | 2016-05-18 | 富士通株式会社 | 不正コネクション検出方法、ネットワーク監視装置及びプログラム |
JP5996481B2 (ja) * | 2013-04-18 | 2016-09-21 | 日本電信電話株式会社 | 監視装置、監視方法、および、監視プログラム |
US20150379268A1 (en) * | 2014-06-27 | 2015-12-31 | Prabhat Singh | System and method for the tracing and detection of malware |
JP6246377B2 (ja) | 2014-08-28 | 2017-12-13 | 三菱電機株式会社 | プロセス解析装置、プロセス解析方法、及びプロセス解析プログラム |
US10050798B2 (en) | 2015-02-06 | 2018-08-14 | Mitsubishi Electric Corporation | Cryptographic block identification apparatus, cryptographic block identification method, and non-transitory computer readable recording medium storing cryptographic block identification program |
JP7188208B2 (ja) * | 2019-03-20 | 2022-12-13 | 日本電気株式会社 | マルウェア解析装置、マルウェア解析方法、及び、プログラム |
-
2010
- 2010-11-10 JP JP2010251733A patent/JP5437977B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012103893A (ja) | 2012-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10599846B2 (en) | Segregating executable files exhibiting network activity | |
JP5437977B2 (ja) | 解析システム、解析装置、解析方法及び解析プログラム | |
US20120005755A1 (en) | Infection inspection system, infection inspection method, storage medium, and program | |
US20090133125A1 (en) | Method and apparatus for malware detection | |
JP6687761B2 (ja) | 結合装置、結合方法および結合プログラム | |
US9360021B2 (en) | Thermal control system based on nonlinear zonal fan operation and optimized fan power | |
US20150089655A1 (en) | System and method for detecting malware based on virtual host | |
CN101976209A (zh) | 相冲突的应用程序的适应性配置 | |
US8800040B1 (en) | Methods and systems for prioritizing the monitoring of malicious uniform resource locators for new malware variants | |
JP6711000B2 (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
JP2019079492A (ja) | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 | |
JP6282217B2 (ja) | 不正プログラム対策システムおよび不正プログラム対策方法 | |
JP6864610B2 (ja) | 特定システム、特定方法及び特定プログラム | |
JP2017208057A (ja) | 不要なソフトウェアの検出システム及び方法 | |
TWI656453B (zh) | 檢測系統及檢測方法 | |
JP2008176352A (ja) | コンピュータプログラム、コンピュータ装置、及び動作制御方法 | |
US10303876B2 (en) | Persistence probing to detect malware | |
RU2583712C2 (ru) | Система и способ обнаружения вредоносных файлов определенного типа | |
KR101983997B1 (ko) | 악성코드 검출시스템 및 검출방법 | |
JP2021077373A (ja) | 脅威検出方法及びコンピュータ装置 | |
JP5996481B2 (ja) | 監視装置、監視方法、および、監視プログラム | |
JP5456636B2 (ja) | ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム | |
KR101896679B1 (ko) | 악성코드 탐지장치 및 이의 악성코드 탐지방법 | |
JP7176630B2 (ja) | 検知装置、検知方法および検知プログラム | |
US20150006595A1 (en) | Apparatus and method for reconfiguring execution file in virtualization environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121226 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131016 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131022 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131210 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131212 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5437977 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |