JP5441043B2 - プログラム、情報処理装置、及び情報処理方法 - Google Patents

プログラム、情報処理装置、及び情報処理方法 Download PDF

Info

Publication number
JP5441043B2
JP5441043B2 JP2012095411A JP2012095411A JP5441043B2 JP 5441043 B2 JP5441043 B2 JP 5441043B2 JP 2012095411 A JP2012095411 A JP 2012095411A JP 2012095411 A JP2012095411 A JP 2012095411A JP 5441043 B2 JP5441043 B2 JP 5441043B2
Authority
JP
Japan
Prior art keywords
malware
analysis
application program
information
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012095411A
Other languages
English (en)
Other versions
JP2013222422A (ja
Inventor
裕司 鵜飼
Original Assignee
株式会社Ffri
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社Ffri filed Critical 株式会社Ffri
Priority to JP2012095411A priority Critical patent/JP5441043B2/ja
Publication of JP2013222422A publication Critical patent/JP2013222422A/ja
Application granted granted Critical
Publication of JP5441043B2 publication Critical patent/JP5441043B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)

Description

本発明に係るいくつかの態様は、プログラム、情報処理装置、及び情報処理方法に関する。
近年、不正なプログラムコードがコンピュータを始めとする各種情報処理装置において実行されることにより個人情報や機密情報が流出する事件が後をたたず、社会問題となっている。このような不正、有害な動作を行うための悪意あるソフトウェアは、マルウェア(不正ソフトウェア、不正プログラム)とも呼ばれる。
マルウェアのような悪意あるソフトウェアを検出する手法は、種々考えられている。例えば特許文献1には、アプリケーションが不正であるか否かを判定した結果を示す判定結果情報をネットワーク上の装置から受信したり、アプリケーションの実行ファイルから算出したハッシュ値を暗号化した署名情報等に基づいて実行ファイルの改ざんの有無を判定したりすること等が開示されている。
特開2012−008732号公報
しかしながら、多くの正常なアプリケーションやマルウェアが日々生成される現在の状況において、個々のアプリケーションに対して署名情報や判定結果情報を用いるような特許文献1記載の手法は、署名情報や判定結果情報を日々アップデートしていく必要がある等、処理負荷が高い。
本発明のいくつかの態様は前述の課題に鑑みてなされたものであり、簡易な手法でマルウェアの検出を可能とすることのできるプログラム、情報処理装置、及び情報処理方法を提供することを目的の1つとする。
本発明に係る1のプログラムは、コンピュータを、アプリケーションプログラムに含まれ、当該アプリケーションプログラムに関する情報をオペレーションシステム(OS)へ提供するためのマニフェストファイルを読み込む読込手段と、前記マニフェストファイルに記載された各機能の使用許可情報に基づき、前記アプリケーションプログラムのマルウェアらしさを解析する演算手段ととして機能させるためのものである。
本発明の1に係る情報処理装置は、アプリケーションプログラムに含まれ、当該アプリケーションプログラムに関する情報をオペレーションシステム(OS)へ提供するためのマニフェストファイルを読み込む読込手段と、前記マニフェストファイルに記載された各機能の使用許可情報に基づき、前記アプリケーションプログラムのマルウェアらしさを解析する演算手段とを備える。
本発明の1に係る情報処理方法は、コンピュータが、アプリケーションプログラムに含まれ、当該アプリケーションプログラムに関する情報をオペレーションシステム(OS)へ提供するためのマニフェストファイルを読み込むステップと、前記マニフェストファイルに記載された各機能の使用許可情報に基づき、前記アプリケーションプログラムのマルウェアらしさを解析するステップとを行う。
尚、本発明において、「部」や「手段」、「装置」、「システム」とは、単に物理的手段を意味するものではなく、その「部」や「手段」、「装置」、「システム」が有する機能をソフトウェアによって実現する場合も含む。また、1つの「部」や「手段」、「装置」、「システム」が有する機能が2つ以上の物理的手段や装置により実現されても、2つ以上の「部」や「手段」、「装置」、「システム」の機能が1つの物理的手段や装置により実現されても良い。
本発明によれば、簡易な手法でマルウェアの検出を可能とすることのできるプログラム、情報処理装置、及び情報処理方法を提供することができる。
本発明の実施形態であるマルウェア検出エンジンの機能構成の一例を示す機能ブロック図である。 図1に示したマルウェア検出エンジンの一部の機能構成の一例を示す機能ブロック図である。 マルウェア検出エンジンの処理の一例を説明するための図である。 マルウェア検出エンジンの処理の流れの一例を示すフローチャートである。 本発明の実施形態である情報処理装置のハードウェア構成の一例を示す図である。
以下に本発明の実施形態を説明する。以下の説明及び参照する図面の記載において、同一又は類似の構成には、それぞれ同一又は類似の符号が付されている。
(実施形態)
図1乃至図5は、実施形態を説明するための図である。以下、これらの図を参照しながら、以下の流れに沿って本実施形態を説明する。まず「1」で実施形態に係るシステムの概要を、具体例を示しながら説明する。次に「2」で処理の流れを説明し、「3」で本システムが実装されうる情報処理装置のハードウェア構成の具体例を説明する。最後に、「4」以降で、本実施形態に係る効果等を説明する。
(1 概要)
(1.1 システム概要)
図1は、1以上のプログラムから構成されるマルウェア検出エンジン100の概略構成を示す図である。
本実施形態に係るマルウェア検出エンジン100は、Android OS(Operation System)上で動作するアプリケーションプログラムであるAPKファイル200が、マルウェアであるか否かを検出するためのプログラムである。ここでマルウェアとは、不正かつ有害な動作を意図して作成された悪意あるソフトウェアをいうものとする。
マルウェア検出エンジン100は、「3」で後述するように、携帯電話等の携帯情報端末やパーソナルコンピュータ、サーバ等の情報処理装置上で動作可能である。図1に示す通り、本実施形態に係るマルウェア検出エンジン100は、静的解析エンジン制御部110、動的解析エンジンログ取得部120、及び動的解析エンジン制御部130を有する。静的解析エンジン制御部110は、APKファイル200を実行せずに、APKファイル200から抽出した特徴パラメータの解析により、静的にマルウェアであるか正常なソフトウェアであるかを判別(静的解析)するためにある。一方、動的解析エンジンログ取得部120及び動的解析エンジン制御部130は、APKファイル200を、Android OSやAndroid OSのエミュレータ上で動作させ、そのログを解析することで、動的にマルウェアであるか正常なソフトウェアであるかを判別(動的解析)するためにある。
ここで、静的解析及び動的解析は、それぞれ単独で行うことも、双方を連携して行うことも考えられる。連携させる場合の例としては、例えば、APKファイル200がマルウェアであるか正常なソフトウェアであるかを静的解析で判別できなかった場合に、動的解析を行うこと等が考えられる。
静的解析エンジン制御部110は上述の通り、APKファイル200を実行させることなく、APKファイル200に含まれる各種パラメータを解析することで、当該APKファイル200がマルウェアであるか否か(マルウェアである確からしさ)を判別(検知/解析/判定)する。静的解析エンジン制御部110の構成は、図2を参照しながら「1.2」でより詳細に説明する。
動的解析エンジンログ取得部120は、Android OS又はAndroid OSのエミュレータ上でAPKファイル200を実行させた場合に、その動作等のログをレイヤ毎に動的解析エンジン制御部130へと出力する。尚、この動作ログは、随時(リアルタイムで)出力することも考えられるし、或いは一定時間毎に出力することも考えられる。
動的解析エンジン制御部130は、APKファイル200を実際に動作させた上でその挙動を監視することにより、APKファイル200がマルウェアであるか否かを判別する。動的解析エンジン制御部130の機能としては、まず、(1)Android OSのエミュレータ上でAPKファイル200を実行させる場合にはエミュレータの起動、(2)APKファイル200の起動、(3)APKファイルへのインテントの送信等をAPKファイル200に対して行う機能、等がある。それらに加えて動的解析エンジン制御部130は、動的解析エンジンログ取得部120から出力されるレイヤ毎の動作ログを受信し、当該動作ログの解析結果として、APKファイル200がマルウェアであるか否か(若しくは、マルウェアである確からしさ)を出力する機能も有する。
尚、本実施形態では、静的解析を行う静的解析エンジン制御部110と、動的解析を行う動的解析エンジンログ取得部120及び動的解析エンジン制御部130との両方をマルウェア検出エンジン100が備えるが、これに限られるものではなく、例えば、静的解析エンジン制御部110のみを備えることも考えられる。この場合、APKファイル200を動作させずにマルウェアの検出を行えるため、CPU(Central Processing Unit)やメモリ等の資源が比較的乏しい情報処理装置であっても動作が可能となる。
(1.2 静的解析エンジン制御部110の構成)
以下、図2を参照しながら、静的解析エンジン制御部110の構成を説明する。図2は、静的解析エンジン制御部110の構成を示す機能ブロック図である。
静的解析エンジン制御部110は、マニフェスト解析部111、DEX(Dalvik Executable)解析部113、ネイティブコード解析部115、及びパラメータ解析エンジン117を含む。これらの構成のうち、マニフェスト解析部111、DEX解析部113、及びネイティブコード解析部115は、APKファイル200から、特徴パラメータを抽出するものである。
ここで、APKファイル200は、アーカイブとして複数のファイルを含んでいる。より具体的には、APKファイル200はAndroidManifest.xml210(以下、マニフェストファイル210ともいう。)と、classes.dex220(以下、実行コード220ともいう。)と、native code230(以下、ネイティブファイル230ともいう。)とを含む。この他、APKファイル200は、各種画像などのファイルを含むことも可能である。
マニフェストファイル210は、APKファイル200として実装されるアプリケーションプログラムに関する各種情報を、Android OSへ提供するための、XML(Extensible Markup Language)で記述されるファイルである。例えば、アドレス帳へのアクセスの可否や電話やメール送信の可否、インターネットアクセスの可否、アクティビティ間の連携等といった各種機能の使用許可に係る情報(先述のアクティビティ間の連携も含まれるものとする)は、マニフェストファイル210に記述される。Android OSは、マニフェストファイル210の記載に従って、各種機能の使用権限をAPKファイル200に与える。マニフェストファイル210は、Android OS上で動作する全てのアプリケーションプログラム(APKファイル200)が有する。
実行コード220は、APKファイル200として実装されるアプリケーションプログラムの実行コードが格納される。ネイティブファイル230も実行コード220と同様にアプリケーションプログラムの実行コードの一部である。ネイティブファイル230の実行コード220との違いは、実行速度を向上させるために、例えばマシン語等のユーザには可読性の低い形式で記述された(変換された)点にある。尚、ネイティブファイル230は、APKファイル200に含まれないこともある。
マニフェスト解析部111は、マニフェストファイル210から、各種機能の使用許可にかかる情報をパラメータとして抽出した上で、それらの情報を1/0で表現したパラメータ情報をパラメータ解析エンジン117へと出力する。このときマニフェストファイル210を解析することにより抽出されるパラメータは、例えばパーミッション(permission)やインテント(intent)に関する情報である。Android OS上で使用可能な機能のうち、APKファイル200がどの機能の使用を求め(使用し)、どの機能の使用を求めていない(使用しない)かをマニフェスト解析部111は解析した上で、その情報を「1」又は「0」の二値で表現したパラメータ情報として出力する。マニフェスト解析部111から出力されたパラメータ情報は、パラメータ解析エンジン117のパラメータ解析117A(図2中、「パラメータ解析A」)で使用される。マニフェスト解析部111及びパラメータ解析117Aの動作については、図3を参照しながら「1.3」でより詳細に説明する。
DEX解析部113及びネイティブコード解析部115は、それぞれ実行コード220及びネイティブファイル230から、特徴パラメータを抽出してパラメータ解析エンジン117へと出力する。DEX解析部113が出力した実行コード220に係るパラメータ情報はパラメータ解析エンジン117のパラメータ解析117B(図2中、「パラメータ解析B」)で、ネイティブコード解析部115が出力したネイティブファイル230に係るパラメータ情報はパラメータ解析エンジン117のパラメータ解析117C(図2中、「パラメータ解析C」)で使用される。
パラメータ解析エンジン117は、マニフェスト解析部111、DEX解析部113、及びネイティブコード解析部115から出力されるパラメータ情報を元に、パラメータ解析117A乃至117Cを行う。パラメータ解析エンジン117は、パラメータ解析117AでAPKファイル200がマルウェア若しくは正常なソフトウェア(マルウェアではないソフトウェア。以下、「正常ソフトウェア」又は「正常プログラム」ともいう。)と判断できる場合には、パラメータ解析117Bを行わずに解析結果を静的解析結果300として出力する。パラメータ解析117Aで、APKファイル200がマルウェアであるか或いは正常ソフトウェアであるかを判断出来なかった場合には、パラメータ解析エンジン117はパラメータ解析117Bを行う。APKファイル200がマルウェア若しくは正常なソフトウェアとパラメータ解析117Bで判断できる場合には、パラメータ解析エンジン117はパラメータ解析117Bを行わずに解析結果を静的解析結果300として出力する。パラメータ解析117Bで、APKファイル200がマルウェアであるか或いは正常ソフトウェアであるかを判断できなかった場合には、パラメータ解析エンジン117はパラメータ解析117Cを行い、その結果を静的解析結果300として出力する。
このうち、パラメータ解析117Aでは、学習データ119を用いてマニフェスト解析部111から入力を受けたパラメータ情報に含まれる各パラメータを元に、マルウェアらしさを評価する。
ここで、学習データ119は、多数のマルウェア及び正常ソフトウェアのマニフェストファイル210に係るパラメータ情報を入力としたニューラルネットワークによる機械学習で得られるものである。ニューラルネットワークによる機械学習を用いることにより、例えば「パーミッションAとパーミッションBとを求めるアプリケーションは、マルウェアである可能性が高い」等といった、パラメータ間の相関も暗黙的に含むパラメータ評価が可能となる。
(1.3 マニフェストファイル210に対する解析)
以下、図3を参照しながら、マニフェストファイル210に対する解析の流れの具体例を説明する。
前述の通り、マニフェストファイル210には、アドレス帳へのアクセスの可否や電話やメール送信の可否、インターネットアクセスの可否、アクティビティ間の連携等といった各種機能の使用許可に係る情報が、XML形式で記述される。
マニフェスト解析部111は、マニフェストファイル210から、各機能の使用許可に係る情報をパラメータとして抽出し、それぞれのパラメータの使用の必要の有無を「1」又は「0」のいずれかで二値化して表現されたパラメータ情報を出力する。
このようなパラメータ情報を入力として、パラメータ解析エンジン117は、評価対象となるAPKファイル200のマルウェアらしさを、0〜100でスコアリングして評価する。パラメータ解析117Aにおける解析結果(スコアリングの結果である評価値)が0〜50のいずれかであれば、パラメータ解析エンジン117は、APKファイル200を正常なソフトウェアと判定することができる。また、解析結果の評価値が70以上であれば、パラメータ解析エンジン117は、APKファイル200をマルウェアとして判定する。一方、評価値が51〜69であれば、パラメータ解析エンジン117は、正常プログラムであるかマルウェアであるかをパラメータ解析117Bにより判別する。
パラメータ解析117Aでは、上述の通り、学習データ119が解析に用いられる。学習データは、先述の通り、収集した正常プログラムとマルウェアとをそれぞれ分類した上で、それぞれのプログラムが持つマニフェストファイル210をマニフェスト解析部111で解析することにより得られるパラメータ情報を入力としたニューラルネットワークの学習結果である。ニューラルネットワークを用いることで、人間では一見関連性を見出しにくいパラメータ間の関連性を反映した上で、マルウェアらしさを判定できるようになる。
(2 処理の流れ)
図4を参照しながら、本実施形態に係るマルウェア検出エンジン100の静的解析の処理の流れを説明する。図4は、本実施形態に係るマルウェア検出エンジン100の静的解析の処理の流れを示すフローチャートである。
尚、後述の各処理ステップは、処理内容に矛盾を生じない範囲で、任意に順番を変更して若しくは並列に実行することができ、また、各処理ステップ間に他のステップを追加しても良い。更に、便宜上1つのステップとして記載されているステップは複数のステップに分けて実行することもでき、便宜上複数に分けて記載されているステップを1ステップとして実行することもできる。
マニフェスト解析部111は、マニフェストファイル210を読込み(S401)、当該マニフェストファイル210に含まれるパーミッションやインテントに係る使用許可情報を1/0で2値化したパラメータ情報を、パラメータ解析117Aへの入力データとして作成する(S403)。
パラメータ解析エンジン117は、マニフェスト解析部111から出力されたパラメータ情報の入力を受けて、マルウェアであるか否かを判別するためのパラメータ解析117Aを、学習データ119を用いて行う(S405)。その結果、もしマルウェアらしさの評価値が50以下であれば(S405の「50以下」)、パラメータ解析エンジン117はAPKファイル200を正常プログラムと判定して、スコアリング結果を静的解析結果300として出力する。また、評価値が70以上である場合には(S405の「70以上」)、パラメータ解析エンジン117は、APKファイル200がマルウェアであるものと判定して、スコアリング結果を静的解析結果300として出力する。
一方、スコアリング結果が51乃至69である場合には(S405の「51〜69」)、パラメータ解析エンジン117は、パラメータ解析117B(及び、必要に応じてパラメータ解析117C)により、更にAPKファイル200のマルウェアらしさの解析を行う(S411)。
(3 情報処理装置の構成)
以下、図5を参照しながら、上述してきたマルウェア検出エンジン100を実行可能な情報処理装置(情報機器)の構成の一例を説明する。情報処理装置500は、例えば、パーソナルコンピュータやサーバ、携帯情報端末等である。
図5に示すように、情報処理装置500は、プロセッサ502、メモリ504、記憶装置506、入力インタフェース(I/F)508、データI/F510、通信I/F512、及び表示装置514を含む。
プロセッサ502は、メモリ504に記憶されているプログラムを実行することにより情報処理装置500における様々な処理の実行を制御する。「1」で説明したマルウェア検出エンジン100は、メモリ504に一次記憶された上で、主にプロセッサ502上で動作する。
メモリ504は、例えばRAM(Random Access Memory)等の記憶媒体である。メモリ504は、プロセッサ502によって実行されるプログラムのプログラムコードや、プログラムの実行時に必要となるデータを一時的に記憶する。例えば、メモリ504の記憶領域には、プログラム実行時に必要となるスタック領域が確保される。
記憶装置506は、例えばハードディスクやフラッシュメモリ等の不揮発性の記憶媒体である。記憶装置506は、オペレーティングシステムやマルウェア検出エンジン100を始めとした各種プログラムや、各種データ等を記憶する。記憶装置506に記憶されているプログラムやデータは、必要に応じてメモリ504にロードされ、プロセッサ502により参照される。
入力I/F508は、ユーザからの入力を受け付けるためのデバイスである。入力I/F508の具体例としては、キーボードやマウス、タッチパネル、各種センサ等がある。入力I/F508は、情報処理装置500外部に設けられることも考えられる。その場合、入力I/F508は、例えばUSB(Universal Serial Bus)等のインタフェースを介して情報処理装置500に接続される。
データI/F510は、情報処理装置500の外部からデータを入力するためのデバイスである。データI/F510の具体例としては、各種記憶媒体に記憶されているデータを読み取るためのドライブ装置等がある。データI/F510は、情報処理装置500の外部に設けられることも考えられる。その場合、データI/F510は例えばUSB等のインタフェースを介して情報処理装置500に接続される。
通信I/F512は、情報処理装置500の外部の装置との間で有線又は無線によりデータ通信するためのデバイスである。通信I/F512は、情報処理装置500の外部に設けられることも考えられる。その場合、通信I/F512は、例えばUSB等のインタフェースを介して情報処理装置500に接続される。
尚、マルウェア検出エンジン100全体、又はパラメータ解析エンジン117が有する学習データ119は、データI/F510や通信I/F512から入力された後、記憶装置506へと格納されることが考えられる。
表示装置514は、各種情報を表示するためのデバイスであり、例えば、液晶ディスプレイや有機EL(Electro−Luminescence)ディスプレイ等である。表示装置514は、情報処理装置500の外部に設けられても良い。その場合、表示装置514は、例えばディスプレイケーブル等を介して情報処理装置500に接続される。
(4 本実施形態の効果)
以上説明したように、本実施形態のマルウェア検出エンジン100は、マニフェストファイル210に対する静的なパラメータ解析117Aにより、APKファイル200のマルウェアらしさを解析している。これにより、動的な解析と比べて安全に、Androidのアプリケーションプログラムに対してマルウェアであるか否かを判別することができる。また、マニフェストファイル210に記載された使用許可情報のパラメータに基づいてマルウェアらしさを評価することで、マルウェアのパターンからマルウェアであるか否かを判別するパターンマッチングに比べて、比較的小さいデータ量でマルウェアを検出できる。
本実施形態のパラメータ解析エンジン117は、機械学習による学習データ119を用いてマルウェアらしさの評価を演算している。前述のパターンマッチングの手法では、新しいマルウェアが登場した場合には、毎回その数だけ新しいパターンをアップデートしなければマルウェアを検出できない。一方本実施形態のパラメータ解析エンジン117は、学習データ119を用いてマルウェアらしさを評価することにより、必ずしも同一のマルウェアに対する学習が反映されていない学習データ119であっても、過去に同様の使用許可を求めるパラメータを持つマルウェアがあれば、検出が可能となる。つまり、本実施形態に係るパラメータ解析エンジン117では、学習データ119を頻繁にアップデートする必要がなくなる。
本実施形態のパラメータ解析エンジン117は、パラメータ解析117Aでマルウェアであるか正常プログラムであるかを判別できなかった場合に、パラメータ解析117B及び117C、又は動的解析により、更にマルウェアらしさを評価することができる。これにより、高い精度でのマルウェア検出が可能となる。
(5 付記事項)
尚、前述の各実施形態の構成は、組み合わせたり或いは一部の構成部分を入れ替えたりしてもよい。また、本発明の構成は前述の実施形態のみに限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加えてもよい。
100・・・マルウェア検出エンジン、110・・・静的解析エンジン制御部、111・・・マニフェスト解析部、113・・・DEX解析部、115・・・ネイティブコード解析部、120・・・動的解析エンジンログ取得部、130・・・動的解析エンジン制御部、200・・・APKファイル、210・・・マニフェストファイル(AndroidManifest.xml)、220・・・実行コード(classes.dex)、230・・・ネイティブファイル、300・・・静的解析結果、500・・・情報処理装置、502・・・プロセッサ、504・・・メモリ、506・・・記憶装置、508・・・入力インタフェース、510・・・データインタフェース、512・・・通信インタフェース、514・・・表示装置

Claims (4)

  1. コンピュータを、
    アプリケーションプログラムに含まれ、当該アプリケーションプログラムに関する情報をオペレーションシステム(OS)へ提供するためのマニフェストファイルを読み込む読込手段と、
    マルウェアと正常なソフトウェアとがそれぞれ持つ前記マニフェストファイルに記載された各機能の使用許可情報に基づく学習データを用いて、前記アプリケーションプログラムのマルウェアらしさを解析する演算手段と
    として機能させるためのプログラム。
  2. 前記コンピュータを、
    前記演算手段による解析の結果、前記アプリケーションプログラムがマルウェアであるか正常なプログラムであるかを特定できない場合に、前記マニフェストファイルとは異なる情報を用いて、前記アプリケーションプログラムのマルウェアらしさを解析する手段
    として更に機能させるための請求項1記載のプログラム。
  3. アプリケーションプログラムに含まれ、当該アプリケーションプログラムに関する情報をオペレーションシステム(OS)へ提供するためのマニフェストファイルを読み込む読込手段と、
    マルウェアと正常なソフトウェアとがそれぞれ持つ前記マニフェストファイルに記載された各機能の使用許可情報に基づく学習データを用いて、前記アプリケーションプログラムのマルウェアらしさを解析する演算手段と
    を備える情報処理装置。
  4. コンピュータが、
    アプリケーションプログラムに含まれ、当該アプリケーションプログラムに関する情報をオペレーションシステム(OS)へ提供するためのマニフェストファイルを読み込むステップと、
    マルウェアと正常なソフトウェアとがそれぞれ持つ前記マニフェストファイルに記載された各機能の使用許可情報に基づく学習データを用いて、前記アプリケーションプログラムのマルウェアらしさを解析するステップと
    を行う情報処理方法。
JP2012095411A 2012-04-19 2012-04-19 プログラム、情報処理装置、及び情報処理方法 Active JP5441043B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012095411A JP5441043B2 (ja) 2012-04-19 2012-04-19 プログラム、情報処理装置、及び情報処理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012095411A JP5441043B2 (ja) 2012-04-19 2012-04-19 プログラム、情報処理装置、及び情報処理方法

Publications (2)

Publication Number Publication Date
JP2013222422A JP2013222422A (ja) 2013-10-28
JP5441043B2 true JP5441043B2 (ja) 2014-03-12

Family

ID=49593310

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012095411A Active JP5441043B2 (ja) 2012-04-19 2012-04-19 プログラム、情報処理装置、及び情報処理方法

Country Status (1)

Country Link
JP (1) JP5441043B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108256324A (zh) * 2016-12-29 2018-07-06 武汉安天信息技术有限责任公司 一种针对加固apk样本的检测方法及系统

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101402057B1 (ko) * 2012-09-19 2014-06-03 주식회사 이스트시큐리티 위험도 계산을 통한 리패키지 애플리케이션의 분석시스템 및 분석방법
EP3139297B1 (en) * 2014-06-11 2019-04-03 Nippon Telegraph and Telephone Corporation Malware determination device, malware determination system, malware determination method, and program
JP5933797B1 (ja) 2015-10-07 2016-06-15 株式会社ソリトンシステムズ ログ情報生成装置及びプログラム並びにログ情報抽出装置及びプログラム
RU2697955C2 (ru) * 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ обучения модели обнаружения вредоносных контейнеров

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011233081A (ja) * 2010-04-30 2011-11-17 Kddi Corp アプリケーション判定システムおよびプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108256324A (zh) * 2016-12-29 2018-07-06 武汉安天信息技术有限责任公司 一种针对加固apk样本的检测方法及系统

Also Published As

Publication number Publication date
JP2013222422A (ja) 2013-10-28

Similar Documents

Publication Publication Date Title
JP6138896B2 (ja) 悪質な脆弱性のあるファイルを検出する方法、装置及び端末
US8850581B2 (en) Identification of malware detection signature candidate code
KR101720686B1 (ko) 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법
US8732587B2 (en) Systems and methods for displaying trustworthiness classifications for files as visually overlaid icons
US8256000B1 (en) Method and system for identifying icons
JP5441043B2 (ja) プログラム、情報処理装置、及び情報処理方法
US10691791B2 (en) Automatic unpacking of executables
CN105095759A (zh) 文件的检测方法及装置
Arslan AndroAnalyzer: android malicious software detection based on deep learning
US20180285565A1 (en) Malware detection in applications based on presence of computer generated strings
Polakis et al. Powerslave: Analyzing the energy consumption of mobile antivirus software
US20180341770A1 (en) Anomaly detection method and anomaly detection apparatus
Sihag et al. Opcode n-gram based malware classification in android
US10275596B1 (en) Activating malicious actions within electronic documents
Yang et al. Android malware detection using hybrid analysis and machine learning technique
US10880316B2 (en) Method and system for determining initial execution of an attack
Alahy et al. Android malware detection in large dataset: smart approach
Chowdhury et al. Advanced android malware detection utilizing API calls and permissions
JP6018344B2 (ja) 動的読み込みコード解析装置、動的読み込みコード解析方法及び動的読み込みコード解析プログラム
US12001551B2 (en) Warning apparatus, control method, and program
KR102494837B1 (ko) 난독화 된 자바스크립트를 탐지하고 복호화하기 위한 방법 및 이를 위한 장치
US11882143B1 (en) Cybersecurity system and method for protecting against zero-day attacks
Qiu et al. Keep calm and know where to focus: Measuring and predicting the impact of android malware
EP4407495A1 (en) Machine learning-based malware detection for code reflection
KR102549124B1 (ko) 난독화 된 vbscript를 탐지하고 복호화하기 위한 방법 및 이를 위한 장치

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130906

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131022

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131111

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131209

R150 Certificate of patent or registration of utility model

Ref document number: 5441043

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250