JP6169497B2 - Connection destination information determination device, connection destination information determination method, and program - Google Patents

Connection destination information determination device, connection destination information determination method, and program Download PDF

Info

Publication number
JP6169497B2
JP6169497B2 JP2014003518A JP2014003518A JP6169497B2 JP 6169497 B2 JP6169497 B2 JP 6169497B2 JP 2014003518 A JP2014003518 A JP 2014003518A JP 2014003518 A JP2014003518 A JP 2014003518A JP 6169497 B2 JP6169497 B2 JP 6169497B2
Authority
JP
Japan
Prior art keywords
connection destination
destination information
url
program
malware
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014003518A
Other languages
Japanese (ja)
Other versions
JP2015132942A (en
Inventor
恭之 田中
恭之 田中
充弘 畑田
充弘 畑田
隼 有川
隼 有川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2014003518A priority Critical patent/JP6169497B2/en
Publication of JP2015132942A publication Critical patent/JP2015132942A/en
Application granted granted Critical
Publication of JP6169497B2 publication Critical patent/JP6169497B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明は、有害な動作を行う意図で作成された悪意のあるソフトウェアであるマルウェアに関連する悪性URLを取得する技術に関するものである。   The present invention relates to a technique for acquiring a malicious URL related to malware, which is malicious software created with the intention of performing harmful operations.

近年、様々なマルウェアが出現している。マルウェアは、特定のサーバ装置(URL)にアクセスすることでコンピュータにダウンロードされる場合が多い。あるURLにアクセスしてダウンロードされたプログラムがマルウェアであるかどうかを判断する手法として、プログラムコードを分析する静的解析を行う手法や、プログラムを実際に動作させて挙動を分析する動的解析を行う手法がある。このような解析を行って、マルウェアであると判断されたプログラムの取得元のURLは悪性URLであると判断できる。   In recent years, various malware has appeared. Malware is often downloaded to a computer by accessing a specific server device (URL). As a method of judging whether a downloaded program by accessing a URL is malware, a method of performing a static analysis for analyzing a program code or a dynamic analysis for analyzing a behavior by actually operating a program There is a technique to do. By performing such an analysis, it is possible to determine that the URL from which the program determined to be malware is a malicious URL.

このような悪性URLをブラックリストとして保持し、フィルタリング等に用いることでユーザを保護することができる。なお、ブラックリストの取得や維持管理に関する先行技術文献として特許文献1がある。   Such a malicious URL is stored as a black list and used for filtering or the like, thereby protecting the user. Patent Document 1 is a prior art document related to blacklist acquisition and maintenance.

特開2012−118713号公報JP 2012-118713 A

悪性URLを取得するために、静的解析や動的解析を行う手法は解析コストが大きくなる上に、その方式上、解析により悪性であると判断されたマルウェアの取得元等しか悪性URLとしての情報を取得できない。そのため、悪性URLは日々増加しているにもかかわらず、既存技術では効率的に悪性URLを取得することができないという問題がある。   In order to acquire a malicious URL, the method of performing a static analysis or a dynamic analysis increases the analysis cost. In addition, only the acquisition source of the malware determined to be malicious by the analysis is used as the malicious URL. Information cannot be obtained. Therefore, there is a problem that the malicious technology cannot efficiently acquire the malicious URL even though the malicious URL is increasing day by day.

本発明は上記の点に鑑みてなされたものであり、悪性URL等の悪性接続先情報を効率的に取得することを可能とした技術を提供することを目的とする。   The present invention has been made in view of the above points, and an object of the present invention is to provide a technique that enables efficient acquisition of malignant connection destination information such as a malignant URL.

本発明の実施の形態によれば、ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置であって、
ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段と、
前記接続先情報格納手段に格納された複数の接続先情報のうちの所定の接続先情報に対応する被疑プログラムについての解析を行う解析手段と、
前記解析手段により、解析の対象とした被疑プログラムがマルウェアであると判定された場合に、前記所定の接続先情報を悪性接続先情報であると判定するとともに、前記接続先情報格納手段に格納された複数の接続先情報のうち、前記マルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定手段とを備えることを特徴とする接続先情報判定装置が提供される。 According to an embodiment of the present invention, there is provided a connection destination information determination device having a function of determining malignant connection destination information indicating a malignant connection destination that is a distribution source of malware on a network,
Connection destination information storage means for storing identification information of the suspicious program acquired via the network and connection destination information indicating the acquisition source of the suspicious program;
Analysis means for analyzing a suspect program corresponding to predetermined connection destination information among a plurality of connection destination information stored in the connection destination information storage means;
When the analysis unit determines that the suspicious program to be analyzed is malware, the predetermined connection destination information is determined to be malicious connection destination information and stored in the connection destination information storage unit. Connection destination information determining means for determining that the connection destination information corresponding to the suspected program having the same identification information as the identification information of the suspected program determined to be malware among the plurality of connection destination information is malignant connection destination information; There is provided a connection destination information determination apparatus characterized by comprising:

また、本実施の形態によれば、ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置が実行する接続先情報判定方法であって、
前記接続先情報判定装置は、ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段を備え、
前記接続先情報格納手段に格納された複数の接続先情報のうちの所定の接続先情報に対応する被疑プログラムについての解析を行う解析ステップと、
前記解析ステップにより、解析の対象とした被疑プログラムがマルウェアであると判定された場合に、前記所定の接続先情報を悪性接続先情報であると判定するとともに、前記接続先情報格納手段に格納された複数の接続先情報のうち、前記マルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定ステップとを備えることを特徴とする接続先情報判定方法が提供される。 Further, according to the present embodiment, there is provided a connection destination information determination method executed by a connection destination information determination apparatus having a function of determining malignant connection destination information indicating a malignant connection destination that is a malware distribution source on a network. And
The connection destination information determination device includes connection destination information storage means for storing identification information of a suspicious program acquired via a network and connection destination information indicating an acquisition source of the suspicious program,
An analysis step for analyzing a suspect program corresponding to predetermined connection destination information among a plurality of connection destination information stored in the connection destination information storage means;
When it is determined by the analysis step that the suspicious program to be analyzed is malware, the predetermined connection destination information is determined to be malignant connection destination information and stored in the connection destination information storage means. A connection destination information determining step for determining that the connection destination information corresponding to the suspected program having the same identification information as the identification information of the suspected program determined to be the malware among the plurality of connection destination information is malignant connection destination information; A connection destination information determination method is provided.

本発明の実施の形態によれば、悪性URL等の悪性接続先情報を効率的に取得することを可能とした技術を提供することができる。   According to the embodiment of the present invention, it is possible to provide a technique capable of efficiently acquiring malignant connection destination information such as a malignant URL.

本発明の実施の形態に係るシステムの全体構成図である。1 is an overall configuration diagram of a system according to an embodiment of the present invention. 接続先情報管理装置10の機能構成図である。2 is a functional configuration diagram of a connection destination information management apparatus 10. FIG. 接続先情報管理装置10の動作例を示すフローチャートである。4 is a flowchart illustrating an operation example of a connection destination information management apparatus 10. URLリスト格納部15に格納されるURLリストの例を示す図である。It is a figure which shows the example of the URL list stored in the URL list storage part 15. FIG. 接続先情報管理装置10の動作例を示すフローチャートである。4 is a flowchart illustrating an operation example of a connection destination information management apparatus 10. 動的解析結果を反映させた後のURLリストの例を示す図である。It is a figure which shows the example of the URL list after reflecting a dynamic analysis result. URLの確認方法を示すフローチャートである。It is a flowchart which shows the confirmation method of URL.

以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。例えば、以下の実施の形態では、接続先情報管理装置10が、ハニークライアントの機能とアンチウィルスソフトの機能を備え、それぞれで被疑ファイル取得元のURLが悪性URLかどうかの判定を行うこととしているが、本発明においてこれらの機能は必須ではなく、これらのうちのいずれか又は両方を備えない構成をとることも可能である。   Embodiments of the present invention will be described below with reference to the drawings. The embodiment described below is only an example, and the embodiment to which the present invention is applied is not limited to the following embodiment. For example, in the following embodiment, the connection destination information management apparatus 10 has a honey client function and an anti-virus software function, and determines whether the suspicious file acquisition source URL is a malicious URL. In the present invention, these functions are not essential, and it is possible to adopt a configuration that does not include either or both of these functions.

また、本実施の形態では、接続先を示す接続先情報としてURLを用いているが、接続先情報はURLに限られるわけではなく、その他のアドレスであってもよい。更に、本実施の形態では、悪性URLの紐付け判定のために被疑ファイルの動的解析を行うこととしているが、解析手法は動的解析に限られるわけではない。   In this embodiment, a URL is used as connection destination information indicating a connection destination. However, the connection destination information is not limited to a URL, and may be another address. Furthermore, in the present embodiment, the suspicious file is dynamically analyzed to determine the association of the malicious URL, but the analysis method is not limited to the dynamic analysis.

(システム構成)
図1に、本発明の実施の形態に係るシステムの構成図を示す。図1に示すように、本実施の形態に係るシステムは、複数のWebサーバ30が存在するネットワーク20に接続先情報管理装置10が接続された構成を有している。 (System configuration)
FIG. 1 shows a configuration diagram of a system according to an embodiment of the present invention. As shown in FIG. 1, the system according to the present embodiment has a configuration in which a connection destination information management apparatus 10 is connected to a network 20 in which a plurality of Web servers 30 exist.

接続先情報管理装置10は、所定のURLに対応するWebサーバ30にアクセスし、当該URLのWebサーバ30から被疑ファイルをダウンロードし、当該被疑ファイルがマルウェアであるか否かを判定することで、URLが悪性URLか否かを判定する機能等を備える装置である。以下、接続先情報管理装置10の機能構成をより詳細に説明する。   The connection destination information management apparatus 10 accesses the Web server 30 corresponding to the predetermined URL, downloads the suspicious file from the Web server 30 with the URL, and determines whether the suspicious file is malware. This is an apparatus having a function of determining whether a URL is a malicious URL. Hereinafter, the functional configuration of the connection destination information management apparatus 10 will be described in more detail.

図2に、接続先情報管理装置10の機能構成図を示す。図2に示すように、接続先情報管理装置10は、アクセス部11、被疑ファイル格納部12、マルウェア判定部13、URLリスト作成部14、URLリスト格納部15、動的解析部16、URL判定部17、URL確認制御部18を備える。各機能部の機能概要は以下のとおりである。   FIG. 2 shows a functional configuration diagram of the connection destination information management apparatus 10. As shown in FIG. 2, the connection destination information management apparatus 10 includes an access unit 11, a suspicious file storage unit 12, a malware determination unit 13, a URL list creation unit 14, a URL list storage unit 15, a dynamic analysis unit 16, and a URL determination. Unit 17 and URL confirmation control unit 18. The functional outline of each functional unit is as follows.

アクセス部11は、所定のURLにアクセスして、当該URLのアクセス先(Webサーバ等)から被疑ファイルをダウンロードし、当該被疑ファイルを被疑ファイル格納部12に格納する機能を含む。所定のURLとは、悪性URLである可能性があると考えられるURLである。例えば、迷惑メール等に付されているURLを当該所定のURLとすることができる。   The access unit 11 includes a function of accessing a predetermined URL, downloading a suspicious file from an access destination (such as a Web server) of the URL, and storing the suspicious file in the suspicious file storage unit 12. The predetermined URL is a URL that may be a malicious URL. For example, a URL attached to a spam mail or the like can be set as the predetermined URL.

本実施の形態において、被疑ファイルは実行ファイル(EXEファイル)であり、被疑プログラムと称してもよい。当該被疑ファイルがマルウェアである場合、コンピュータにおいて当該被疑ファイルが実行されることで、例えば、不正に個人情報が外部に流出したり、更なるマルウェアがダウンロードされたり等の被害を受けることになる。   In the present embodiment, the suspicious file is an executable file (EXE file) and may be referred to as a suspicious program. If the suspicious file is malware, the suspicious file is executed on the computer, and for example, personal information is illegally leaked to the outside or further malware is downloaded.

また、本実施の形態において、アクセス部11はハニークライアントの機能を含む。ハニークライアントは、クライアント型ハニーポットの称してもよい。当該ハニークライアントは、上記のように所定のURLにアクセスして、当該URLのアクセス先から被疑ファイルをダウンロードし、当該被疑ファイルを被疑ファイル格納部12に格納する機能とともに、所定のURLにアクセスすることにより、Webブラウザ等の脆弱性を標的とした攻撃があった場合に、それを検知する機能を含む。本実施の形態では、アクセス部11(ハニークライアント)により、当該攻撃が検知された場合、アクセス先のURLを悪性URLであると判定する。   In the present embodiment, the access unit 11 includes a honey client function. The honey client may be referred to as a client-type honeypot. The honey client accesses the predetermined URL as described above, downloads the suspicious file from the access destination of the URL, stores the suspicious file in the suspicious file storage unit 12, and accesses the predetermined URL. Thus, when there is an attack targeting a vulnerability such as a Web browser, the function of detecting it is included. In the present embodiment, when the attack is detected by the access unit 11 (honey client), the access destination URL is determined to be a malicious URL.

被疑ファイル格納部12には、アクセス部11により取得された被疑ファイルが、アクセス先のURL及びアクセス日時(=被疑ファイル取得日時)とともに格納される。   The suspicious file storage unit 12 stores the suspicious file acquired by the access unit 11 together with the URL of the access destination and the access date and time (= suspected file acquisition date and time).

マルウェア判定部13は、予め用意されたシグニチャと被疑ファイルとのパターンマッチング等により、被疑ファイルがマルウェアであるか否かを判定する機能を有する。本実施の形態において、マルウェア判定部13は、複数種類のアンチウィルスソフトにより構成され、少なくとも1つのアンチウィルスソフトにより被疑ファイルがマルウェアであると判定された場合に、当該被疑ファイルをマルウェアであると判定する。   The malware determination unit 13 has a function of determining whether or not the suspect file is malware by pattern matching between a signature prepared in advance and the suspect file. In the present embodiment, the malware determination unit 13 includes a plurality of types of anti-virus software, and determines that the suspect file is malware when the suspect file is determined to be malware by at least one anti-virus software. .

URLリスト作成部14は、アクセス部11によるURLへのアクセスの結果やマルウェア判定結果等の情報をURLリスト格納部15に格納することで、URLリストを作成する。URLリストの各レコードは、アクセス日時、当該アクセス日時にアクセスしたURL、アクセスにより取得された被疑ファイルの識別情報、アクセス部11(ハニークライアント)による判定結果、マルウェア判定部13による被疑ファイルのマルウェア判定結果、及び総合判定結果を含む。   The URL list creation unit 14 creates a URL list by storing information such as the result of accessing the URL by the access unit 11 and the malware determination result in the URL list storage unit 15. Each record in the URL list includes the access date and time, the URL accessed at the access date and time, the identification information of the suspicious file acquired by the access, the determination result by the access unit 11 (honey client), and the malware determination of the suspicious file by the malware determination unit 13 Results and comprehensive judgment results are included.

本実施の形態では、被疑ファイルの識別情報は、バイナリデータである被疑ファイルのハッシュ値であるがこれに限られるものではない。   In the present embodiment, the identification information of the suspicious file is a hash value of the suspicious file that is binary data, but is not limited thereto.

アクセス部11(ハニークライアント)による判定は、前述したように、攻撃が検知された場合、アクセス先のURLを悪性URL(「ブラック」とも呼び、以降、「B」と標記する場合がある)であると判定し、検知されない場合は正常(「ホワイト」とも呼び、以降、「W」と標記する場合がある)であると判定する。マルウェア判定部13による被疑ファイルのマルウェア判定では、前述したように、少なくとも1つのアンチウィルスソフトによりマルウェアであると判定された場合に、アクセス先のURLを悪性URL(B)であると判定し、いずれのアンチウィルスソフトでもマルウェアであると判定されない場合に、アクセス先のURLを正常(W)であると判定する。   As described above, the determination by the access unit 11 (honey client) is based on the malicious URL (also referred to as “black”, hereinafter referred to as “B”) when the attack is detected. If it is determined that there is, it is determined to be normal (also referred to as “white”, hereinafter referred to as “W”). In the malware determination of the suspicious file by the malware determination unit 13, as described above, when it is determined that the malware is malware by at least one anti-virus software, the access destination URL is determined to be a malicious URL (B). If the anti-virus software is not determined to be malware, the access destination URL is determined to be normal (W).

URLリスト作成部14は、アクセス部11による判定結果とマルウェア判定部13による判定結果のいずれか又は両方がBである場合に総合判定結果をBとし、アクセス部11による判定結果とマルウェア判定部13による判定結果の両方がWである場合に総合判定結果をWとする。なお、この判定処理はURL判定部17が行うこととしてもよい。   The URL list creation unit 14 sets the overall determination result to B when either or both of the determination result by the access unit 11 and the determination result by the malware determination unit 13 is B, and the determination result by the access unit 11 and the malware determination unit 13 When both of the determination results by are W, the comprehensive determination result is W. This determination process may be performed by the URL determination unit 17.

動的解析部16は、URLリスト格納部15に格納されているURLリストにおける被疑ファイル(実行ファイル)を動作させ、その挙動を調べる動的解析を行うことで、当該被疑ファイルがマルウェアであるか否かを判定する。動的解析にはある程度の時間がかかるため、本実施の形態では、動的解析部16による動的解析を、被疑ファイルを取得する時間間隔よりも長い周期のタイミングで行うこととしている。動的解析の対象とする被疑ファイルは、例えば、当該タイミングにおける最新の被疑ファイル(直近に取得された被疑ファイル)である。   The dynamic analysis unit 16 operates the suspicious file (executable file) in the URL list stored in the URL list storage unit 15 and performs dynamic analysis to examine its behavior, so that the suspicious file is malware. Determine whether or not. Since dynamic analysis takes a certain amount of time, in this embodiment, the dynamic analysis by the dynamic analysis unit 16 is performed at a timing longer than the time interval for acquiring the suspicious file. The suspicious file to be subjected to dynamic analysis is, for example, the latest suspicious file at the timing (the suspicious file acquired most recently).

URL判定部17は、URLリスト格納部15に格納されたURLリストに対し、動的解析部16によりマルウェアであると判定された被疑ファイルに対応するURLについて、総合判定結果がWである場合に、それをBであると判定し、WをBに書き換えるとともに、動的解析部16によりマルウェアであると判定された被疑ファイルのハッシュ値と同一のハッシュ値を持つ被疑ファイルに対応するURLについて、総合判定結果がWである場合に、それをBであると判定し、WをBに書き換える。   When the URL corresponding to the suspicious file determined to be malware by the dynamic analysis unit 16 with respect to the URL list stored in the URL list storage unit 15, the URL determination unit 17 is W when the comprehensive determination result is W. The URL corresponding to the suspicious file having the same hash value as the hash value of the suspicious file determined to be B, rewriting W to B, and determined to be malware by the dynamic analysis unit 16, When the comprehensive determination result is W, it is determined that it is B, and W is rewritten to B.

動的解析部16によりマルウェアであると判定された被疑ファイルと、URLリスト格納部15における他の被疑ファイルが同一かどうかを、被疑ファイル格納部12に格納されている被疑ファイルを用いて、被疑ファイル(バイナリデータ)自体が同一であるかどうかを判定することで判定してもよい。   Whether or not the suspicious file determined to be malware by the dynamic analysis unit 16 and the other suspicious file in the URL list storage unit 15 is the same using the suspicious file stored in the suspicious file storage unit 12 You may determine by determining whether a file (binary data) itself is the same.

URL確認制御部18は、例えば1日に1回等の所定のタイミングで、アクセス部11に対し、URLリスト格納部15における総合判定結果がBである各URLにアクセスするよう指示し、アクセス部11によるアクセス結果に基づき、当該URLが確かにBであるか否かを確認する。本実施の形態では、アクセス部11により当該URLにアクセスでき、かつ、被疑ファイルがダウンロードでき、かつ、当該被疑ファイルのハッシュ値が、既にダウンロードされた被疑ファイルのハッシュ値(URLリストに既に存在するもの)と同一である場合に、当該URLは確かにBであると判定する。これ以外の場合でURLにアクセス可能である場合は、例えば、新たな被疑ファイルがダウンロードされたものとして、前述したように、アクセス部11とマルウェア判定部13による判定を行う。   The URL confirmation control unit 18 instructs the access unit 11 to access each URL whose overall determination result is B in the URL list storage unit 15 at a predetermined timing such as once a day, for example. 11 confirms whether the URL is B or not. In the present embodiment, the URL can be accessed by the access unit 11, the suspicious file can be downloaded, and the hash value of the suspicious file already exists in the hash value of the suspicious file already downloaded (the URL list already exists). If the URL is the same, the URL is determined to be B. In other cases, when the URL is accessible, for example, the access unit 11 and the malware determination unit 13 determine that a new suspicious file has been downloaded as described above.

なお、接続先情報管理装置10における各機能部は、1つの装置(コンピュータ)に備える必要はない。例えば、URLリスト格納部15、動的解析部16、及びURL判定部17を、その他の機能部とは別の装置に備えるといった構成が可能である。   Note that each functional unit in the connection destination information management apparatus 10 does not need to be provided in one apparatus (computer). For example, a configuration in which the URL list storage unit 15, the dynamic analysis unit 16, and the URL determination unit 17 are provided in a device different from other functional units is possible.

本実施の形態に係る接続先情報管理装置10は、1つ又は複数のコンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、接続先情報管理装置10が有する機能は、当該コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、接続先情報管理装置10で実施される処理に対応するプログラムを実行することによって実現することが可能である。また、上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。   The connection destination information management apparatus 10 according to the present embodiment can be realized by causing one or a plurality of computers to execute a program describing the processing contents described in the present embodiment. That is, the function of the connection destination information management apparatus 10 executes a program corresponding to the process executed by the connection destination information management apparatus 10 using hardware resources such as a CPU, memory, and hard disk built in the computer. This can be realized by doing so. Further, the program can be recorded on a computer-readable recording medium (portable memory or the like), stored, or distributed. It is also possible to provide the program through a network such as the Internet or electronic mail.

(接続先情報管理装置10の動作例)
以下、上記の構成を備える接続先情報管理装置10の動作例を、フローチャート等を参照して説明する。本例では、所定の周期でURLにアクセスして被疑ファイルを取得するとともに、当該所定の周期よりも長い周期で被疑ファイルの動的解析を行うこととしている。なお、URLにアクセスした際に、被疑ファイルが取得されない場合もあるが、本例では、説明を分かり易くするために、URLにアクセスする度に被疑ファイルが取得される例を説明している。また、各回においてアクセスするURLは予め準備され、アクセス部11が保持しているものとする。 (Operation example of connection destination information management apparatus 10)
Hereinafter, an operation example of the connection destination information management apparatus 10 having the above configuration will be described with reference to a flowchart and the like. In this example, the suspicious file is acquired by accessing the URL at a predetermined cycle, and the suspicious file is dynamically analyzed at a cycle longer than the predetermined cycle. In some cases, the suspicious file is not acquired when the URL is accessed. In this example, however, an example in which the suspicious file is acquired every time the URL is accessed is described for easy understanding. In addition, it is assumed that the URL to be accessed at each time is prepared in advance and held by the access unit 11.

<URLへのアクセスを行う際の動作例>
図3は、接続先情報管理装置10においてURLへのアクセスを行う際の動作例を示すフローチャートである。 <Operation example when accessing URL>
FIG. 3 is a flowchart showing an operation example when accessing the URL in the connection destination information management apparatus 10.

ステップ101において、アクセス部11は、現在時刻がURLへのアクセスタイミングであるかどうかを判定し、アクセスタイミングであればステップ102に進む。   In step 101, the access unit 11 determines whether or not the current time is an access timing to the URL.

ステップ102において、アクセス部11はURLにアクセスし、被疑ファイルを取得する。また、ステップ103において、アクセス部11が、ハニークライアントの機能により、攻撃があったかどうかを判定することでアクセス先のURLがBかどうかを判定し、更に、マルウェア判定部13は、被疑ファイルがマルウェアであるかどうかを判定することでアクセス先のURLがBかどうかを判定する。URLリスト作成部14は、アクセス部11の判定結果とマルウェア判定部13の判定結果のいずれか又は両方がBである場合に、当該URLについての総合判定結果をBとする(ステップ103のYes、ステップ104)。また、URLリスト作成部14は、アクセス部11の判定結果とマルウェア判定部13の判定結果の両方がWである場合に、当該URLについての総合判定結果をWとする(ステップ103のNo、ステップ105)。   In step 102, the access unit 11 accesses the URL and acquires the suspicious file. In step 103, the access unit 11 determines whether the access destination URL is B by determining whether there is an attack by the function of the honey client. Further, the malware determination unit 13 determines whether the suspicious file is malware. It is determined whether or not the access destination URL is B. If either or both of the determination result of the access unit 11 and the determination result of the malware determination unit 13 are B, the URL list creation unit 14 sets the total determination result for the URL to B (Yes in Step 103) Step 104). In addition, when both the determination result of the access unit 11 and the determination result of the malware determination unit 13 are W, the URL list creation unit 14 sets the comprehensive determination result for the URL to W (No in step 103, step 105).

URLリスト作成部14は、上記の判定結果に基づいてURLリストのレコードをURLリスト格納部15に格納する(ステップ106)。その後、別のURLについて、ステップ101からの処理を繰り返す。   The URL list creation unit 14 stores a URL list record in the URL list storage unit 15 based on the determination result (step 106). Thereafter, the processing from step 101 is repeated for another URL.

図4に、上記の処理により得られたURLリストの一例を示す。図4に示すとおり、URLリストの各レコードは、アクセス日時、当該アクセス日時にアクセスしたURL、アクセスにより取得された被疑ファイルのハッシュ値、アクセス部11(ハニークライアント)による判定結果、マルウェア判定部13による被疑ファイルのマルウェア判定結果、及び総合判定結果を含む。図4に示すとおり、アクセス部11による判定結果、及びマルウェア判定部13による判定結果のいずれかがBであれば総合判定結果はBになる。つまり、図4の例では、URL1とURL3が悪性URLである。   FIG. 4 shows an example of the URL list obtained by the above processing. As shown in FIG. 4, each record in the URL list includes an access date and time, a URL accessed at the access date and time, a hash value of a suspicious file obtained by access, a determination result by the access unit 11 (honey client), and a malware determination unit 13. This includes the malware judgment result and the overall judgment result of the suspicious file. As shown in FIG. 4, if either of the determination result by the access unit 11 and the determination result by the malware determination unit 13 is B, the total determination result is B. That is, in the example of FIG. 4, URL1 and URL3 are malicious URLs.

<動的解析を行う際の動作例>
図5は、接続先情報管理装置10の動的解析部16が被疑ファイルの動的解析を行う際の動作例を示すフローチャートである。 <Operation example when performing dynamic analysis>
FIG. 5 is a flowchart illustrating an operation example when the dynamic analysis unit 16 of the connection destination information management apparatus 10 performs dynamic analysis of the suspicious file.

ステップ201において、動的解析部16は、現在時刻が動的解析タイミングであるか否かを判定し、動的解析タイミングであればステップ202に進む。   In step 201, the dynamic analysis unit 16 determines whether or not the current time is the dynamic analysis timing. If the current time is the dynamic analysis timing, the dynamic analysis unit 16 proceeds to step 202.

ステップ202において、動的解析部16は、URLリスト格納部15に格納されているURLリスト中から1つの被疑ファイルを選択し、当該被疑ファイルについての動的解析を実行する。   In step 202, the dynamic analysis unit 16 selects one suspicious file from the URL list stored in the URL list storage unit 15, and executes dynamic analysis on the suspicious file.

動的解析を実行する対象の被疑ファイルとして、例えば、最も直近に取得された被疑ファイルを選択することができる。また、例えば、URLリストの中で、動的解析も、後述する紐付けによる総合判定のいずれも行われていない被疑ファイルの中から最も数の多い被疑ファイル(つまり、同じハッシュ値を有する被疑ファイル群のうち、最も数の多いもの)を選択し、当該被疑ファイルの1つについて動的解析を行うこととしてもよい。   As the suspicious file to be subjected to the dynamic analysis, for example, the most recently obtained suspicious file can be selected. In addition, for example, in the URL list, the largest number of suspect files (that is, suspect files having the same hash value) from among the suspect files that have not been subjected to dynamic analysis or comprehensive determination by linking described later. It is also possible to select the one having the largest number from the group and perform dynamic analysis on one of the suspect files.

ステップ203において、URL判定部17が、動的解析結果がB(マルウェア)であるかどうかを判定し、Bである場合はステップ204に進む。Bでない場合は、ステップ201からの処理を繰り返す。   In step 203, the URL determination unit 17 determines whether or not the dynamic analysis result is B (malware). If it is B, the process proceeds to step 204. If not B, the processing from step 201 is repeated.

ステップ204において、URL判定部17は、URLリスト格納部15におけるURLリストに対して、動的解析部16によりマルウェアであると判定された被疑ファイルに対応するURLの総合判定結果がWであればそれをBに書き換えるとともに、動的解析部16によりマルウェアであると判定された被疑ファイルのハッシュ値と同一のハッシュ値を持つ被疑ファイルに対応するURLについても、総合判定結果がWである場合に、それをBであると判定し、WをBに書き換える。すなわち、動的解析部16によりマルウェアであると判定された被疑ファイルに直接に対応するURLのみでなく、URLリストにおいて、当該被疑ファイルに紐付くURLも悪性URLであると判定する。   In step 204, the URL determination unit 17 determines that the URL determination result of the URL corresponding to the suspicious file determined to be malware by the dynamic analysis unit 16 is W for the URL list in the URL list storage unit 15. When the comprehensive determination result is W for the URL corresponding to the suspicious file having the same hash value as the hash value of the suspicious file determined to be malware by the dynamic analysis unit 16 while rewriting it to B , It is determined to be B, and W is rewritten to B. That is, not only the URL directly corresponding to the suspicious file determined to be malware by the dynamic analysis unit 16 but also the URL associated with the suspicious file in the URL list is determined to be a malicious URL.

図6に、動的解析結果を反映させた後のURLリストを示す。図6の例では、2013/10/2 CC時CC分CC秒の時点で最新の被疑ファイル1について動的解析を行った結果、それがマルウェアであると判定されたたため、該当のURL4の総合判定結果をWからBに書き換える。更に、被疑ファイル1のハッシュ値と同じハッシュ値である2013/10/2 AA時AA分AA秒の被疑ファイル1に対応するURL2についても総合判定結果をWからBに書き換えている。   FIG. 6 shows a URL list after reflecting the dynamic analysis result. In the example of FIG. 6, since the dynamic analysis was performed on the latest suspected file 1 at 2013/10/2 CC time CC minute CC second, it was determined that it was malware. The determination result is rewritten from W to B. Further, the comprehensive determination result is rewritten from W to B for URL 2 corresponding to the suspect file 1 of 2013/10/2 AA hours AA minutes AA seconds, which is the same hash value as the hash value of the suspect file 1.

ステップ204の後、ステップ201からの処理を繰り返す。なお、例えば、動的解析部16での判定結果がBであるURL、及び当該URLの被疑ファイルとハッシュ値が同じ被疑ファイルが取得されたURL(つまり、紐付くURL)についてはフラグを付け、フラグを付けたURLについて、以降の処理では、動的解析及び紐付け判定の対象としないこととしてもよい。また、フラグを付けたURLを後述するURLの確認の対象としてもよい。このようにしてフラグを付する場合、後述するURLの確認の処理により、フラグを付したURLがBからWになった場合には、フラグをはずすこととしてもよい。   After step 204, the processing from step 201 is repeated. For example, a flag is assigned to a URL whose determination result in the dynamic analysis unit 16 is B, and a suspicious file having the same hash value as the suspicious file of the URL (that is, a URL to be associated), The URL to which the flag is attached may not be subjected to dynamic analysis and linking determination in the subsequent processing. Further, a URL with a flag may be a URL confirmation target described later. When the flag is attached in this way, the flag may be removed when the flagged URL is changed from B to W by the URL confirmation process described later.

例えば、上記の処理により得られたURLリストから、総合判定結果がBであるURLを抽出し、当該URLのリストを出力することで、ブラックリストを提供することができる。   For example, it is possible to provide a black list by extracting a URL whose overall determination result is B from the URL list obtained by the above processing and outputting the URL list.

上記の例では、アクセス部11の判定結果とマルウェア判定部13の判定結果に基づく総合判定結果を書き換えることとしているが、アクセス部11の判定とマルウェア判定部13の判定を行わないこととしてもよい。この場合、アクセス部11は定期的にURLにアクセスして被疑ファイルを取得することで、図4、図6において、アクセス部11の判定結果とマルウェア部13の判定結果を含まないURLリストを作成する。そして、あるタイミングで1つの被疑ファイルについて動的解析を行って、それがBであれば、当該被疑ファイルに対応するURL、及び紐付くURLをBとする。この手法によっても、悪性URLを効率的に検出することができる。   In the above example, the comprehensive determination result based on the determination result of the access unit 11 and the determination result of the malware determination unit 13 is rewritten, but the determination of the access unit 11 and the determination of the malware determination unit 13 may not be performed. . In this case, the access unit 11 periodically accesses the URL and acquires the suspicious file, thereby creating a URL list that does not include the determination result of the access unit 11 and the determination result of the malware unit 13 in FIGS. To do. Then, dynamic analysis is performed on one suspicious file at a certain timing, and if it is B, the URL corresponding to the suspicious file and the URL associated with it are set to B. This method can also detect a malicious URL efficiently.

<URLの確認時の動作例>
図7に、接続先情報管理装置10のURL確認制御部18によるURL確認の動作のフローチャートを示す。この確認処理は、URLリストの中で、被疑ファイルが取得され、かつ、総合判定がBである各URLについて、例えば1日に1回のように定期的に実行されるものである。 <Operation example when confirming URL>
FIG. 7 shows a flowchart of the URL confirmation operation by the URL confirmation control unit 18 of the connection destination information management apparatus 10. This confirmation processing is periodically executed, for example, once a day for each URL for which a suspicious file is acquired in the URL list and the overall determination is B.

悪性URLであっても、時間の経過によりURLとして機能しなくなったり、悪性でなくなったりする場合が生じる。本例のように、確認処理を行うことにより、一旦悪性であると判定したURLが確かに悪性であるか否かを的確に判断するので、URLリストにおける悪性かどうかの情報の精度を高めることができ、結果として質の高いブラックリストを提供できる。   Even if it is a malignant URL, it may not function as a URL or may not be malignant over time. As in this example, by performing the confirmation process, it is accurately determined whether or not the URL once determined to be malignant is certainly malignant, so that the accuracy of information on whether or not it is malignant in the URL list is improved. As a result, a high quality blacklist can be provided.

ステップ301において、URL確認制御部18は、URLリストにおいて確認の対象とする未処理のURLがあるかどうかを判定し、対象のURLがあればステップ302に進み、なければ今回のURL確認処理を終了する。   In step 301, the URL confirmation control unit 18 determines whether or not there is an unprocessed URL to be confirmed in the URL list. If there is a target URL, the process proceeds to step 302. If not, the URL confirmation process is performed. finish.

ステップ302において、URL確認制御部18は、アクセス部11に対し、確認対象となるURLのうち1つのURLにアクセスするよう指示し、アクセス部11は当該URLへのアクセスを行う。URL確認制御部18は、当該アクセスにより得られた被疑ファイルを取得し、その識別情報であるハッシュ値を求める。   In step 302, the URL confirmation control unit 18 instructs the access unit 11 to access one URL among URLs to be confirmed, and the access unit 11 accesses the URL. The URL confirmation control unit 18 acquires the suspicious file obtained by the access and obtains a hash value that is identification information thereof.

ステップ303において、URL確認制御部18は、ステップ302で得られた被疑ファイルのハッシュ値と、URLリストの該当URLに対応する被疑ファイルのハッシュ値とが同じか否かを判定する。これらが同じである場合はステップ304に進み、同じでない場合はステップ305に進む。   In step 303, the URL confirmation control unit 18 determines whether or not the hash value of the suspicious file obtained in step 302 is the same as the hash value of the suspicious file corresponding to the corresponding URL in the URL list. If they are the same, the process proceeds to step 304; otherwise, the process proceeds to step 305.

ステップ304において、URL確認制御部18は、該当URLは確かにBであることを確認できたことになり、総合判定結果をBのままとする。   In step 304, the URL confirmation control unit 18 has confirmed that the URL is surely B, and keeps the overall determination result as B.

ステップ305では、例えば、新たな被疑ファイルがダウンロードされたものとして、被疑ファイルのハッシュ値のURLリストへの記録を行うとともに、アクセス部11とマルウェア判定部13による判定を行う。すなわち、アクセス部11の判定結果とマルウェア判定部13の判定結果のいずれかがBであれば総合判定結果をBとし、それ以外であればWとする。   In step 305, for example, a new suspicious file is downloaded, and the hash value of the suspicious file is recorded in the URL list, and determination by the access unit 11 and the malware determination unit 13 is performed. That is, if either the determination result of the access unit 11 or the determination result of the malware determination unit 13 is B, the comprehensive determination result is B, and otherwise W.

ステップ304、305の後、ステップ301に戻る。確認対象のURLに対し同様の処理を繰り返す。   After steps 304 and 305, the process returns to step 301. Similar processing is repeated for the URL to be confirmed.

なお、URLへのアクセスを試みた結果、URLへのアクセスができない場合(URLが生きていない場合)も発生し得るが、その場合には、当該URLはBではなくなるので、Wとする。もしくはURLが存在しない旨の情報を記録してもよい。   As a result of the attempt to access the URL, there may be a case where the URL cannot be accessed (when the URL is not alive). In this case, the URL is not B, so W. Alternatively, information indicating that the URL does not exist may be recorded.

また、URLから被疑ファイルがダウンロードされない場合も発生し得るが、その場合には、アクセス部11(ハニークライアント)の判定結果を総合判定結果とする。   Moreover, although the case where a suspicious file is not downloaded from URL may also generate | occur | produce, the determination result of the access part 11 (honey client) is made into a comprehensive determination result.

すなわち、本実施の形態では、アクセス部11により当該URLにアクセスでき、かつ、被疑ファイルがダウンロードでき、かつ、当該被疑ファイルのハッシュ値が、既にダウンロードされた被疑ファイルのハッシュ値と同一である場合に、当該URLは確かにBであると判定する。   That is, in this embodiment, when the URL can be accessed by the access unit 11, the suspicious file can be downloaded, and the hash value of the suspicious file is the same as the hash value of the suspicious file that has already been downloaded. In addition, it is determined that the URL is B.

なお、図5を参照して説明した動的解析結果に基づき、動的解析結果でBとなったURLに紐付く各URL(同じハッシュ値の被疑ファイルが得られているURL)について、図7を参照して説明した確認処理により、アクセス部11により当該URLにアクセスでき、かつ、被疑ファイルがダウンロードでき、かつ、当該被疑ファイルのハッシュ値が、既にダウンロードされた被疑ファイルのハッシュ値と同一であることが確認できた場合に、当該紐付くURLについての総合判定結果をBとすることとしてもよい。   In addition, based on the dynamic analysis result described with reference to FIG. 5, for each URL (URL where a suspicious file having the same hash value is obtained) associated with the URL that is B in the dynamic analysis result, FIG. By the confirmation process described with reference to FIG. 5, the access unit 11 can access the URL, the suspicious file can be downloaded, and the hash value of the suspicious file is the same as the hash value of the suspicious file that has already been downloaded. When it is confirmed that there is a URL, the overall determination result for the associated URL may be B.

(実施の形態のまとめ、効果等)
以上、説明したように、本実施の形態では、ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置(例:接続先情報管理装置10)であって、ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段と、前記接続先情報格納手段に格納された複数の接続先情報のうちの所定の接続先情報に対応する被疑プログラムについての解析を行う解析手段と、前記解析手段により、解析の対象とした被疑プログラムがマルウェアであると判定された場合に、前記所定の接続先情報を悪性接続先情報であると判定するとともに、前記接続先情報格納手段に格納された複数の接続先情報のうち、前記マルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定手段とを備える接続先情報判定装置が提供される。 (Summary of the embodiment, effects, etc.)
As described above, in this embodiment, a connection destination information determination apparatus (for example, connection destination information management) having a function of determining malignant connection destination information indicating a malignant connection destination that is a distribution source of malware on the network. A connection destination information storage means for storing identification information of a suspicious program acquired via a network and connection destination information indicating the acquisition source of the suspicious program; and the connection destination information storage means. Analysis means for analyzing a suspicious program corresponding to predetermined connection destination information among a plurality of stored connection destination information, and the analysis means determined that the suspicious program to be analyzed is malware The predetermined connection destination information is determined as malignant connection destination information, and among the plurality of connection destination information stored in the connection destination information storage means, There is provided a connection destination information determination device comprising connection destination information determination means for determining that connection destination information corresponding to a suspicious program having the same identification information as identification information of a suspicious program determined to be malware is malignant connection destination information. The

前記接続先情報判定手段は、過去に悪性接続先情報ではないとされた接続先情報であっても、当該接続先情報が、前記マルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報である場合に、当該接続先情報を悪性接続先情報であると判定する。   The connection destination information determination means has the same identification information as the identification information of the suspicious program determined to be the malware, even if the connection destination information is determined not to be malicious connection destination information in the past. If the connection destination information corresponds to the suspicious program, the connection destination information is determined to be malicious connection destination information.

前記接続先情報判定装置は、所定の接続先情報に対応するサーバ装置へのアクセスを行うことにより被疑プログラムを取得するアクセス手段と、前記アクセス手段により取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを前記接続先情報格納手段に格納する接続先情報リスト作成手段とを備えることとしてもよい。   The connection destination information determination device includes an access unit that acquires a suspicious program by accessing a server device corresponding to predetermined connection destination information, identification information of the suspicious program acquired by the access unit, and the suspicious program A connection destination information list creating unit that stores connection destination information indicating a program acquisition source in the connection destination information storage unit may be provided.

前記アクセス手段は、例えば、前記所定の接続先情報に対応するサーバ装置へのアクセスを行うことにより受ける攻撃を検知する機能を備えており、前記アクセス手段により前記攻撃が検知された場合に、前記所定の接続先情報を悪性接続先情報であると判定する。   The access means has, for example, a function of detecting an attack received by accessing a server device corresponding to the predetermined connection destination information, and when the attack is detected by the access means, It is determined that the predetermined connection destination information is malicious connection destination information.

また、前記接続先情報判定装置は、前記所定の接続先情報に対応する被疑プログラムがマルウェアか否かを判定することにより、前記所定の接続先情報が悪性接続先情報であるか否かを判定するアンチウィルスソフトウェアの機能を有するマルウェア判定手段と、前記アクセス手段と前記マルウェア判定手段のうちの少なくとも1つにより前記所定の接続先情報が悪性接続先情報であると判定された場合に、当該所定の接続先情報が悪性接続先情報であると判定する手段とを備えてもよい。   The connection destination information determination device determines whether the predetermined connection destination information is malicious connection destination information by determining whether the suspicious program corresponding to the predetermined connection destination information is malware. Malware determination means having a function of anti-virus software, and when the predetermined connection destination information is determined to be malignant connection destination information by at least one of the access means and the malware determination means Means for determining that the connection destination information is malignant connection destination information.

また、前記接続先情報判定装置は、悪性接続先情報であると判定された接続先情報に対応するサーバ装置へのアクセスを行うことにより被疑ファイルを取得し、当該被疑ファイルの識別情報と、当該サーバ装置への過去のアクセスにより既に取得されている被疑ファイルの識別情報とが同一であるか否かを判定し、同一である場合に当該接続先情報は悪性接続先情報であると判定する接続先情報確認手段を備えることとしてもよい。   Further, the connection destination information determination device acquires a suspicious file by accessing a server device corresponding to the connection destination information determined to be malignant connection destination information, and identifies the suspicious file identification information, A connection that determines whether or not the identification information of the suspicious file already acquired by past access to the server device is the same, and determines that the connection destination information is malignant connection destination information if they are the same It is good also as providing a prior information confirmation means.

前記識別情報は、例えば、前記被疑プログラムのバイナリデータのハッシュ値である。また、前記解析手段による解析は、例えば、前記被疑プログラムを動作させてその挙動を解析する動的解析である。   The identification information is, for example, a hash value of binary data of the suspect program. The analysis by the analyzing means is, for example, dynamic analysis in which the suspected program is operated and its behavior is analyzed.

本実施の形態によれば、被疑ファイルの動的解析によりマルウェアであると判定された被疑ファイルに紐付くURLを悪性URLであると判定することで、過去にWと判定されてブラックリストとして用いられなかったURLを復活させることができ、ブラックリストを拡大させることができる。   According to the present embodiment, a URL associated with a suspicious file determined to be malware by dynamic analysis of the suspicious file is determined to be a malicious URL, so that it is determined as W in the past and used as a blacklist. URLs that were not received can be restored and the black list can be expanded.

また、本実施の形態では、アンチウィルスソフトやハニークライアントによる判定よるりも解析コストの高い動的解析を全ての被疑ファイルに対して行うのではなく、比較的低頻度で、所定の被疑ファイルのみに対して行うこととしているので、解析コストを大きく上昇させることなく、効率的にブラックリストを拡大させることができる。   In this embodiment, the analysis by the anti-virus software or the honey client is not performed for all the suspicious files with a high analysis cost. Therefore, the blacklist can be efficiently expanded without greatly increasing the analysis cost.

また、本実施の形態では、URL確認制御部18により、一旦悪性URLと判定されたURLについて、確かに悪性であるかどうかを定期的に確認することとしているので、精度の高いブラックリストを提供することが可能である。   Further, in the present embodiment, the URL confirmation control unit 18 periodically checks whether the URL once determined to be a malicious URL is surely malicious or not, so a highly accurate black list is provided. Is possible.

本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。   The present invention is not limited to the above-described embodiments, and various modifications and applications are possible within the scope of the claims.

10 接続先情報管理装置
11 アクセス部
12 被疑ファイル格納部
13 マルウェア判定部
14 URLリスト作成部
15 URLリスト格納部
16 動的解析部
17 URL判定部
18 URL確認制御部
20 ネットワーク
30 Webサーバ DESCRIPTION OF SYMBOLS 10 Connection information management apparatus 11 Access part 12 Suspicious file storage part 13 Malware determination part 14 URL list preparation part 15 URL list storage part 16 Dynamic analysis part 17 URL determination part 18 URL confirmation control part 20 Network 30 Web server

Claims (10)

ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置であって、
ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段と、
前記接続先情報格納手段に格納された複数の接続先情報のうちの所定の接続先情報に対応する被疑プログラムについての解析を行う解析手段と、
前記解析手段により、解析の対象とした被疑プログラムがマルウェアであると判定された場合に、前記所定の接続先情報を悪性接続先情報であると判定するとともに、前記接続先情報格納手段に格納された複数の接続先情報のうち、前記マルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定手段と
を備えることを特徴とする接続先情報判定装置。 A connection destination information determination device having a function of determining malignant connection destination information indicating a malignant connection destination as a malware distribution source on a network,
Connection destination information storage means for storing identification information of the suspicious program acquired via the network and connection destination information indicating the acquisition source of the suspicious program;
Analysis means for analyzing a suspect program corresponding to predetermined connection destination information among a plurality of connection destination information stored in the connection destination information storage means;
When the analysis unit determines that the suspicious program to be analyzed is malware, the predetermined connection destination information is determined to be malicious connection destination information and stored in the connection destination information storage unit. Connection destination information determining means for determining that the connection destination information corresponding to the suspected program having the same identification information as the identification information of the suspected program determined to be malware among the plurality of connection destination information is malignant connection destination information; A connection destination information determination device comprising: 前記接続先情報判定手段は、過去に悪性接続先情報ではないとされた接続先情報であっても、当該接続先情報が、前記マルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報である場合に、当該接続先情報を悪性接続先情報であると判定する
ことを特徴とする請求項1に記載の接続先情報判定装置。 The connection destination information determination means has the same identification information as the identification information of the suspicious program determined to be the malware, even if the connection destination information is determined not to be malicious connection destination information in the past. The connection destination information determination apparatus according to claim 1, wherein if the connection destination information corresponds to the suspicious program, the connection destination information is determined to be malignant connection destination information. 所定の接続先情報に対応するサーバ装置へのアクセスを行うことにより被疑プログラムを取得するアクセス手段と、
前記アクセス手段により取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを前記接続先情報格納手段に格納する接続先情報リスト作成手段と
を備えることを特徴とする請求項1又は2に記載の接続先情報判定装置。 Access means for acquiring a suspicious program by accessing a server device corresponding to predetermined connection destination information;
Connection destination information list creating means for storing identification information of the suspected program acquired by the access means and connection destination information indicating the acquisition source of the suspected program in the connection destination information storage means, The connection destination information determination device according to claim 1 or 2. 前記アクセス手段は、前記所定の接続先情報に対応するサーバ装置へのアクセスを行うことにより受ける攻撃を検知する機能を備えており、
前記アクセス手段により前記攻撃が検知された場合に、前記所定の接続先情報を悪性接続先情報であると判定する手段
を備えることを特徴とする請求項3に記載の接続先情報判定装置。 The access means has a function of detecting an attack received by accessing a server device corresponding to the predetermined connection destination information,
The connection destination information determination apparatus according to claim 3, further comprising: a unit that determines that the predetermined connection destination information is malicious connection destination information when the attack is detected by the access means. 前記所定の接続先情報に対応する被疑プログラムがマルウェアか否かを判定することにより、前記所定の接続先情報が悪性接続先情報であるか否かを判定するアンチウィルスソフトウェアの機能を有するマルウェア判定手段と、
前記アクセス手段と前記マルウェア判定手段のうちの少なくとも1つにより前記所定の接続先情報が悪性接続先情報であると判定された場合に、当該所定の接続先情報が悪性接続先情報であると判定する手段と
を備えることを特徴とする請求項4に記載の接続先情報判定装置。 Malware determination having a function of anti-virus software that determines whether or not the predetermined connection destination information is malicious connection destination information by determining whether or not the suspicious program corresponding to the predetermined connection destination information is malware Means,
When the predetermined connection destination information is determined to be malignant connection destination information by at least one of the access unit and the malware determination unit, the predetermined connection destination information is determined to be malignant connection destination information. The connection destination information determination device according to claim 4, further comprising: 悪性接続先情報であると判定された接続先情報に対応するサーバ装置へのアクセスを行うことにより被疑ファイルを取得し、当該被疑ファイルの識別情報と、当該サーバ装置への過去のアクセスにより既に取得されている被疑ファイルの識別情報とが同一であるか否かを判定し、同一である場合に当該接続先情報は悪性接続先情報であると判定する接続先情報確認手段
を備えることを特徴とする請求項1ないし5のうちいずれか1項に記載の接続先情報判定装置。 The suspicious file is acquired by accessing the server device corresponding to the connection destination information determined to be malicious connection destination information, and is already acquired by the identification information of the suspicious file and past access to the server device. It is characterized in that it comprises a connection destination information confirmation means for determining whether or not the identification information of the suspicious file being made is the same, and determining that the connection destination information is malignant connection destination information if they are the same. The connection destination information determination device according to any one of claims 1 to 5. 前記識別情報は、前記被疑プログラムのバイナリデータのハッシュ値であることを特徴とする請求項1ないし6のうちいずれか1項に記載の接続先情報判定装置。   The connection destination information determination apparatus according to claim 1, wherein the identification information is a hash value of binary data of the suspicious program. 前記解析手段による解析は前記被疑プログラムを動作させてその挙動を解析する動的解析である
ことを特徴とする請求項1ないし7のうちいずれか1項に記載の接続先情報判定装置。 The connection destination information determination apparatus according to claim 1, wherein the analysis by the analysis unit is dynamic analysis in which the suspicious program is operated to analyze its behavior. ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置が実行する接続先情報判定方法であって、
前記接続先情報判定装置は、ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段を備え、
前記接続先情報格納手段に格納された複数の接続先情報のうちの所定の接続先情報に対応する被疑プログラムについての解析を行う解析ステップと、
前記解析ステップにより、解析の対象とした被疑プログラムがマルウェアであると判定された場合に、前記所定の接続先情報を悪性接続先情報であると判定するとともに、前記接続先情報格納手段に格納された複数の接続先情報のうち、前記マルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定ステップと
を備えることを特徴とする接続先情報判定方法。 A connection destination information determination method executed by a connection destination information determination apparatus having a function of determining malignant connection destination information indicating a malignant connection destination as a malware distribution source on a network,
The connection destination information determination device includes connection destination information storage means for storing identification information of a suspicious program acquired via a network and connection destination information indicating an acquisition source of the suspicious program,
An analysis step for analyzing a suspect program corresponding to predetermined connection destination information among a plurality of connection destination information stored in the connection destination information storage means;
When it is determined by the analysis step that the suspicious program to be analyzed is malware, the predetermined connection destination information is determined to be malignant connection destination information and stored in the connection destination information storage means. A connection destination information determining step for determining that the connection destination information corresponding to the suspected program having the same identification information as the identification information of the suspected program determined to be the malware among the plurality of connection destination information is malignant connection destination information; A connection destination information determination method comprising: コンピュータを、請求項1ないし8のうちいずれか1項に記載の接続先情報判定装置における各手段として機能させるためのプログラム。   The program for functioning a computer as each means in the connecting point information determination apparatus of any one of Claims 1 thru | or 8.
JP2014003518A 2014-01-10 2014-01-10 Connection destination information determination device, connection destination information determination method, and program Active JP6169497B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014003518A JP6169497B2 (en) 2014-01-10 2014-01-10 Connection destination information determination device, connection destination information determination method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014003518A JP6169497B2 (en) 2014-01-10 2014-01-10 Connection destination information determination device, connection destination information determination method, and program

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2017126633A Division JP6378808B2 (en) 2017-06-28 2017-06-28 Connection destination information determination device, connection destination information determination method, and program

Publications (2)

Publication Number Publication Date
JP2015132942A JP2015132942A (en) 2015-07-23
JP6169497B2 true JP6169497B2 (en) 2017-07-26

Family

ID=53900096

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014003518A Active JP6169497B2 (en) 2014-01-10 2014-01-10 Connection destination information determination device, connection destination information determination method, and program

Country Status (1)

Country Link
JP (1) JP6169497B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105516114B (en) * 2015-12-01 2018-12-14 珠海市君天电子科技有限公司 Method and device for scanning vulnerability based on webpage hash value and electronic equipment
JP6527111B2 (en) * 2016-06-15 2019-06-05 日本電信電話株式会社 Analysis device, analysis method and analysis program
JP6614321B2 (en) * 2018-12-28 2019-12-04 キヤノンマーケティングジャパン株式会社 Information processing system, access relay device, control method thereof, and program
JP6955527B2 (en) * 2019-04-05 2021-10-27 デジタルア−ツ株式会社 Information processing equipment, information processing methods, and information processing programs

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9106694B2 (en) * 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
JP2012083849A (en) * 2010-10-07 2012-04-26 Hitachi Ltd Malware detector, and method and program for the same

Also Published As

Publication number Publication date
JP2015132942A (en) 2015-07-23

Similar Documents

Publication Publication Date Title
AU2018217323B2 (en) Methods and systems for identifying potential enterprise software threats based on visual and non-visual data
Wei et al. Deep ground truth analysis of current android malware
US10102372B2 (en) Behavior profiling for malware detection
EP3420489B1 (en) Cybersecurity systems and techniques
US9953162B2 (en) Rapid malware inspection of mobile applications
US9300682B2 (en) Composite analysis of executable content across enterprise network
KR102271545B1 (en) Systems and Methods for Domain Generation Algorithm (DGA) Malware Detection
CN107896219B (en) Method, system and related device for detecting website vulnerability
Suarez-Tangil et al. Stegomalware: Playing hide and seek with malicious components in smartphone apps
WO2017012241A1 (en) File inspection method, device, apparatus and non-volatile computer storage medium
US10445501B2 (en) Detecting malicious scripts
JP6169497B2 (en) Connection destination information determination device, connection destination information determination method, and program
CN107231364B (en) Website vulnerability detection method and device, computer device and storage medium
Le Jamtel Swimming in the Monero pools
WO2019070339A1 (en) Intrusion investigation
WO2019123757A1 (en) Classification device, classification method, and classification program
Huang et al. A large-scale study of android malware development phenomenon on public malware submission and scanning platform
US10880316B2 (en) Method and system for determining initial execution of an attack
JP6378808B2 (en) Connection destination information determination device, connection destination information determination method, and program
JP6478730B2 (en) Malignant URL candidate acquisition device, malignant URL candidate acquisition method, and program
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
Alashjaee An Integrated Framework for Android Based Mobile Device Malware Forensics
Hovmark et al. Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS
Reddy et al. Malware forensics
Al Shamsi Mapping, Exploration, and Detection Strategies for Malware Universe

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160705

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170530

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170628

R150 Certificate of patent or registration of utility model

Ref document number: 6169497

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250