JP6263294B1 - セキュリティ製品評価装置、セキュリティ製品評価方法及びセキュリティ製品評価プログラム - Google Patents

セキュリティ製品評価装置、セキュリティ製品評価方法及びセキュリティ製品評価プログラム Download PDF

Info

Publication number
JP6263294B1
JP6263294B1 JP2017071305A JP2017071305A JP6263294B1 JP 6263294 B1 JP6263294 B1 JP 6263294B1 JP 2017071305 A JP2017071305 A JP 2017071305A JP 2017071305 A JP2017071305 A JP 2017071305A JP 6263294 B1 JP6263294 B1 JP 6263294B1
Authority
JP
Japan
Prior art keywords
malware
security
security product
electronic file
sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017071305A
Other languages
English (en)
Other versions
JP2018173805A (ja
Inventor
裕一 首藤
裕一 首藤
徹 尾形
徹 尾形
幸生 小池
幸生 小池
桑野 秀豪
秀豪 桑野
誠 岩村
誠 岩村
裕平 川古谷
裕平 川古谷
一凡 張
一凡 張
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone West Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone West Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Nippon Telegraph and Telephone West Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017071305A priority Critical patent/JP6263294B1/ja
Application granted granted Critical
Publication of JP6263294B1 publication Critical patent/JP6263294B1/ja
Publication of JP2018173805A publication Critical patent/JP2018173805A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】 未知のマルウェアを検査した際のセキュリティ製品の検知率を評価する。【解決手段】 評価対象となるセキュリティ製品20のインターネット4への接続を一定期間に渡って遮断してその更新を停止する接続遮断部22と、複数のセキュリティ製品を備えて検体を実行し、その結果を外部へ提供するマルウェア検査サイト6から一定期間の検査結果を入手し、マルウェア検査サイト6がマルウェアとして検知したセキュリティ製品の数をその時点におけるポジティブ値と定義し、更新が停止された日時以降の時点において、検体検査結果から、ポジティブ値が第1の閾値L以下であり、かつ、第2の閾値H(H>L)以上である検体をマルウェア検査サイト6から取得するマルウェア取得部24と、取得された検体をマルウェアとして記憶し、記憶されたマルウェアによってセキュリティ製品20の検体を実行する検体実行部28とを備える。【選択図】図1

Description

本発明は、セキュリティ製品評価装置、セキュリティ製品評価方法及びセキュリティ製品評価プログラムに関する。
セキュリティ製品がどの程度、正確にマルウェアを検出できるかを評価するには、シグネチャにマッチしない検体(マルウェア)を検査するときの検知率を評価する必要がある。
これらマルウェアからコンピュータを防御するためのセキュリティ対策が施された製品(以下、セキュリティ製品と称する)としては、アンチウィルスソフトやサンドボックス等がある。
また、マルウェア検査サイトとして“VirusTotal”なども知られている。これは、一般ユーザが怪しいと感じたファイルを投稿し、検査結果を回答するサイトであり、一般ユーザから投稿されたファイルはサイト内部で収集し、一部ユーザに有償/無償で提供される。
G. Himani et al. "Design and Implementation of Virtual Client Honeypot" International Journal of Advanced Research in Computer Engineering & Technology (IJARCET) 1.4, 2012, pp521-524
上述したように、セキュリティ機構によりマルウェアを検体として収集することは可能である。しかし、セキュリティ製品がシグネチャを持たない未知の検体のみを収集する、又は収集した検体のうち未知の検体を抽出することは難しいという課題があった。
本発明は上記事情に鑑み、未知のマルウェアを検査対象とすることができ、未知のマルウェアを検査した際のセキュリティ製品の検知率を評価することができるセキュリティ製品評価装置、セキュリティ製品評価方法及びセキュリティ製品評価プログラムを提供することを目的としている。
上記目的を達成するために、本発明の第1の態様は、評価対象となるセキュリティ製品のシグネチャの更新を一定期間に渡って停止する更新停止手段と、複数のセキュリティ製品を備え、または、複数のセキュリティ製品と連携して、複数の電子ファイルを当該複数のセキュリティ製品で検査させ、前記電子ファイルの各々の検査結果及び当該電子ファイル自体を外部へ提供する検体提供手段から、前記一定期間またはその一部の期間に渡って前記検体提供手段が行った検査の結果を収集し、前記検体提供手段が行った電子ファイルの検査において前記複数のセキュリティ製品のうち当該電子ファイルをマルウェアとして検知したセキュリティ製品の数を当該検査を実行した時点での当該電子ファイルのポジティブ値と定義するとき、前記収集した複数の検査結果から、前記更新が停止された日時以降のある時点における前記ポジティブ値が第1の閾値L以下である第1条件、及び、それ以降のある時点における前記ポジティブ値が第2の閾値H(H>L)以上である第2条件を満たす電子ファイルを前記検体提供手段から取得するマルウェア取得手段と、前記マルウェア取得手段で取得したマルウェアを前記評価対象となるセキュリティ製品によって検査させる検体実行手段と、を備えるセキュリティ製品評価装置である。
第2の態様は、コンピュータが実行するセキュリティ製品評価方法であって、更新停止手段により、評価対象となるセキュリティ製品のシグネチャの更新を一定期間に渡って停止し、複数のセキュリティ製品を備え、または、複数のセキュリティ製品と連携して、複数の電子ファイルを当該複数のセキュリティ製品で検査させ、前記電子ファイルの各々の検査結果及び当該電子ファイル自体を外部へ提供する検体提供手段から、前記一定期間またはその一部の期間に渡って前記検体提供手段が行った検査の結果を収集し、前記検体提供手段が行った電子ファイルの検査において前記複数のセキュリティ製品のうち当該電子ファイルをマルウェアとして検知したセキュリティ製品の数を当該検査を実行した時点での当該電子ファイルのポジティブ値と定義するとき、前記収集した複数の検査結果から、前記更新が停止された日時以降のある時点における前記ポジティブ値が第1の閾値L以下である第1条件、及び、それ以降のある時点における前記ポジティブ値が第2の閾値H(H>L)以上である第2条件を満たす電子ファイルを前記検体提供手段から取得し、取得したマルウェアを前記評価対象となるセキュリティ製品によって検査させる、ことを特徴とするセキュリティ製品評価方法である。
第3の態様は、セキュリティ製品評価装置をコンピュータで構成するためのセキュリティ製品評価プログラムである。
本発明によれば、未知のマルウェアを検査対象とすることができ、未知のマルウェアを検査した際のセキュリティ製品の検知率を評価することができる。
本発明に係るセキュリティ製品評価装置の実施形態を示すブロック図である。 実施形態の動作を示す説明図である。 実施形態における検査日とハッシュ値とポジティブ値との関係をリストにして示す説明図である。 第1実施形態の動作を説明するフローチャートである。 第2実施形態の動作を説明するフローチャートである。
<第1実施形態>
図1は本発明に係るセキュリティ製品評価装置の実施形態を示すブロック図である。
同図に示すように、このセキュリティ製品評価装置2は、インターネット4に接続されている。また、セキュリティ製品評価装置2は、インターネット4に接続されたマルウェア評価サイト6から検体となるマルウェアを入手してセキュリティ製品の検体を実行することができる。
マルウェア検査サイト6は、n種類のセキュリティ製品によってマルウェアの検査を実行し、その評価結果を提供するサイトであり、例えば、VirusTotalが該当する。ここで、n種類のセキュリティ製品のうち、何種類の製品がマルウェアとして検知したかを示す製品の数mをその時点における“ポジティブ値(POSITIVES)”として定義する。マルウェア検査サイト6は、一般ユーザから検体の投稿があるたびに、その検体をn種類のセキュリティ製品で検査し、当該検体のハッシュ値やポジティブ値を含む解析レポートを生成する。また、マルウェア検査サイト6は、必要に応じて過去に投稿された検体の再検査を行い、解析レポートを再作成することがある。マルウェア検査サイト6は、セキュリティ製品評価装置2からの要求に応じて最新の解析レポートを供給することができる。また、マルウェア検査サイト6は、セキュリティ製品評価装置2からの要求に応じて、当該要求に含まれるハッシュ値に対応する検体のファイル本体を供給することができる。
本実施形態では、一例として、n=60、すなわち、マルウェア検査サイト6が60種類のセキュリティ製品によってマルウェアの検査を実行し、その評価結果を提供するサイトであるとする。また、一例として、検査サイト6で取り扱う検体のハッシュ値はSHA256アルゴリズムにより当該検体のファイル本体から生成されるハッシュ値であるとする。
セキュリティ製品評価装置2は、評価対象となるセキュリティ製品20と、接続遮断部22と、マルウェア取得部24と、マルウェア記憶部26と、検体実行部28とを備えている。
セキュリティ製品20は、当該装置にインストールされている評価対象となるウィルス検出ソフト等で構成される。
接続遮断部22は、セキュリティ製品20の検査を実行する一定期間に渡って、セキュリティ製品20がインターネットに接続するのを遮断してセキュリティ製品の更新を停止する。
マルウェア取得部24は、インターネット4を介してマルウェア検査サイト6からポジティブ値を含む解析結果を取得する。また、マルウェア取得部24は、マルウェア検査サイト6からセキュリティ製品20の検査に使用されるマルウェアを入手してマルウェア記憶部26に記憶させる。
検体実行部28は、マルウェア記憶部26に記憶されているマルウェアを使用してセキュリティ製品20の検体を実行する。
次に、図2、図3の説明図、及び図4のフローチャートを参照して第1実施形態の動作を具体的に説明する。
先ず、評価対象となるセキュリティ製品20がインストールされている端末を所定期間、例えば、1ヶ月に渡りインターネットへの接続を遮断して当該セキュリティ製品20の更新を停止する(図4のST2)。
評価対象のセキュリティ製品のシグネチャ更新をある時点X、例えば平成28年12月31日に停止したと想定する。シグネチャを更新する方法としては、例えば、セキュリティ製品のインターネット接続を遮断するなどの方法がある。
次に、一定の期間(本実施形態では平成29年1月2日から平成29年2月1日とする)まで、毎日00時00分に、検査サイトに対し下記2種類のリクエストを送信する。
リクエスト1:リクエスト送信日前日(例えばリクエスト送信日が1月15日であれば1月14日)に初めて検査サイトに登録された検体すべての解析レポートを要求。解析レポートには当該検体のハッシュ値及びその時点でのポジティブ値を含む。
リクエスト2:リクエスト送信日前日に検査サイトで再検査が行われた検体すべての解析レポートを要求。
上記リクエスト1,2に対する検査サイト6からのレスポンスに含まれる解析レポートをもとに各検体のポジティブ値の推移を記録した表を作成する(ST6)。例えば、図3に示すような、各行にひとつの検体を対応付け、第1列にその検体のハッシュ値を記載し、第2列以降に上記期間の一日ごとのポジティブ値を記載した表を作成する。表の作成にあたっては、各検体に対応する行それぞれにおいて、当該検体の初投稿日より前の日に対応する列については空欄とし、検査が行われなかった日に対応する列には、前日に対応する列に記載のポジティブ値を記載する。
作成した図3に示すような表において、ステップST8の検体抽出処理では、下記2つの条件を満たす検体のハッシュ値を抽出する。
条件1:初投稿日時点でのポジティブ値がL以下(5以下など)
条件2:初投稿日以降のある時点でのポジティブ値がH以上(30以上など)
例えばL=5、H=30の場合、図3に枠で囲んだ検体(ハッシュ値988d1da6a6d412c8523e628492a3a245851e051f5c7d30d8f55198f44dd2821e)が抽出される(ST82,ST84)。なぜならば、当該検体の初投稿日1月2日のハッシュ値は3であるから閾値L以下であるので条件1を満たし、その後のある時点、例えば1月31日のハッシュ値が38であり、閾値H以上であるので条件2を満たすからである。
抽出されたハッシュ値をもとにマルウェア検査サイト6にリクエストを送信し、ハッシュ値に対応する検体のファイル本体を取得する(ST10)。
なお、解析レポートにファイル作成日時や(実行ファイルの場合)コンパイル日時が記載されているのであれば、検体の抽出処理において「コンパイル日時が同一の検体は一つを残してその他を抽出しない」という処理を加えてもよい。この処理は、多様な未知マルウェアに対する検知性能の評価に資する場合がある。なぜならば、例えばコンパイル時刻が(秒単位で)同一である2つの実行ファイルは、同一の実行ファイルを異なる方法で難読化処理された可能性があるからである。
このように第1実施形態によれば、評価対象のセキュリティ製品の更新を停止した日時Xの時点で未知(X以降のある時点でほとんどの製品が検知しない)であり、かつ、悪性動作を行う可能性が高い(X以降のある時点でポジティブ値がH以上)である検体を用いて製品の評価を行うので、「未知のマルウェア」実行時におけるセキュリティ製品の検知率を評価することができる。
<第2実施形態>
次に、第2実施形態について図5のフローチャートに基づいて説明する。なお、セキュリティ製品評価装置2の基本構成は第1実施形態と同様であるため、図1を援用して説明する。
例えば、1/1〜1/31の期間で、ポジティブ値が閾値L以下にはなったがその後、閾値H以上にならなかった検体でも、監視期間終盤(例えば、1/25〜1/31)でポジティブ値が上昇傾向を示しており、後に閾値Hを超えると予想されるものについては、未知の検体として抽出してもよい。
この場合、後に閾値を超えると判断する基準としては、例えば、「監視期間の末尾t日間でポジティブ値がy以上、上昇しており、かつ、監視期間終了時点(1/31)でのポジティブ値が閾値H−z(閾値Hよりもzだけ低い値)以上である」ことを基準としてもよい。t,y,zには、例えば3,10,5といった整数値を設定する。
このように、構成することによっても第1実施形態と同様の効果を奏することができる。
以上の各実施形態においては、インターネット遮断日と検体の収集日の間隔を1日としているが、本発明はこれに限定されるものではなく、2日以上であってもよい。
また、各実施形態では、マルウェア検査サイト(例えば、VirusTotalなど)6から検体(マルウェア)を入手するようにしたが、例えば、独自のハニーポットで検体の収集を行うようにしてもよい。
なお、上記実施形態は、例として提示したものであり、発明の範囲を限定することは意図していないことは勿論である。
2…セキュリティ製品評価装置、4…インターネット、6…マルウェア検査サイト、20…セキュリティ製品、22…接続遮断部、24…マルウェア取得部、26…マルウェア記憶部、28…検体実行部。

Claims (5)

  1. 評価対象となるセキュリティ製品のシグネチャの更新を一定期間に渡って停止する更新停止手段と、
    複数のセキュリティ製品を備え、または、複数のセキュリティ製品と連携して、複数の電子ファイルを前記複数のセキュリティ製品で検査させ、前記電子ファイルの各々の検査結果、及び電子ファイル自体を外部へ提供する検体提供手段から、前記一定期間またはその一部の期間に渡って前記検体提供手段が行った検査の結果を収集し、前記検体提供手段が行った電子ファイルの検査において前記複数のセキュリティ製品のうち当該電子ファイルをマルウェアとして検知したセキュリティ製品の数を当該検査を実行した時点での当該電子ファイルのポジティブ値と定義するとき、前記収集した複数の検査結果から、前記更新が停止された日時以降のある時点における前記ポジティブ値が第1の閾値L以下である第1条件、及びそれ以降のある時点における前記ポジティブ値が第2の閾値H(H>L)以上である第2条件を満たす電子ファイルを前記検体提供手段から取得するマルウェア取得手段と、
    前記マルウェア取得手段で取得したマルウェアを前記評価対象となるセキュリティ製品によって検査させる検体実行手段と、
    を備えるセキュリティ製品評価装置。
  2. 前記マルウェア取得手段は、前記第1条件、及び第2条件を満たす電子ファイルに加え、前記更新が停止された日時以降のある時点における前記ポジティブ値が第1の閾値L以下であり、かつ、前記収集した複数の検査結果から、前記検査結果の収集期間の終了時点以降にポジティブ値が第2の閾値H以上となることが予想される第3条件を満たす電子ファイルを前記検体提供手段から取得する、
    ことを特徴とする請求項1に記載のセキュリティ製品評価装置。
  3. コンピュータが実行するセキュリティ製品評価方法であって、
    更新停止手段により、評価対象となるセキュリティ製品のシグネチャの更新を一定期間に渡って停止し、
    複数のセキュリティ製品を備え、または、複数のセキュリティ製品と連携して、複数の電子ファイルを前記複数のセキュリティ製品で検査させ、前記電子ファイルの各々の検査結果及び電子ファイル自体を外部へ提供する検体提供手段から、前記一定期間またはその一部の期間に渡って前記検体提供手段が行った検査の結果を収集し、
    前記検体提供手段が行った電子ファイルの検査において前記複数のセキュリティ製品のうち当該電子ファイルをマルウェアとして検知したセキュリティ製品の数を当該検査を実行した時点での当該電子ファイルのポジティブ値と定義するとき、前記収集した複数の検査結果から、前記更新が停止された日時以降のある時点における前記ポジティブ値が第1の閾値L以下である第1条件、及び、それ以降のある時点における前記ポジティブ値が第2の閾値H(H>L)以上である第2条件を満たす電子ファイルを前記検体提供手段から取得し、
    取得したマルウェアを前記評価対象となるセキュリティ製品によって検査させる、
    ことを特徴とするセキュリティ製品評価方法。
  4. 前記第1条件、及び第2条件を満たす電子ファイルに加え、前記更新が停止された日時以降のある時点における前記ポジティブ値が第1の閾値L以下であり、かつ、前記収集した複数の検査結果から、前記検査結果の収集期間の終了時点以降にポジティブ値が第2の閾値H以上となることが予想される第3条件を満たす電子ファイルを前記検体提供手段から取得する、
    ことを特徴とする請求項3に記載のセキュリティ製品評価方法。
  5. 請求項1又は2に記載のセキュリティ製品評価装置をコンピュータで構成するためのセキュリティ製品評価プログラム。
JP2017071305A 2017-03-31 2017-03-31 セキュリティ製品評価装置、セキュリティ製品評価方法及びセキュリティ製品評価プログラム Active JP6263294B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017071305A JP6263294B1 (ja) 2017-03-31 2017-03-31 セキュリティ製品評価装置、セキュリティ製品評価方法及びセキュリティ製品評価プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017071305A JP6263294B1 (ja) 2017-03-31 2017-03-31 セキュリティ製品評価装置、セキュリティ製品評価方法及びセキュリティ製品評価プログラム

Publications (2)

Publication Number Publication Date
JP6263294B1 true JP6263294B1 (ja) 2018-01-17
JP2018173805A JP2018173805A (ja) 2018-11-08

Family

ID=60989315

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017071305A Active JP6263294B1 (ja) 2017-03-31 2017-03-31 セキュリティ製品評価装置、セキュリティ製品評価方法及びセキュリティ製品評価プログラム

Country Status (1)

Country Link
JP (1) JP6263294B1 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009110334A (ja) * 2007-10-31 2009-05-21 Mitsubishi Electric Corp 端末及びセキュリティシステム及び端末プログラム及びセキュリティ情報管理方法
JP2015531500A (ja) * 2012-08-29 2015-11-02 マイクロソフト テクノロジー ライセンシング,エルエルシー 安全なファームウェア更新

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009110334A (ja) * 2007-10-31 2009-05-21 Mitsubishi Electric Corp 端末及びセキュリティシステム及び端末プログラム及びセキュリティ情報管理方法
JP2015531500A (ja) * 2012-08-29 2015-11-02 マイクロソフト テクノロジー ライセンシング,エルエルシー 安全なファームウェア更新

Also Published As

Publication number Publication date
JP2018173805A (ja) 2018-11-08

Similar Documents

Publication Publication Date Title
EP3506139B1 (en) Malware detection in event loops
US11277423B2 (en) Anomaly-based malicious-behavior detection
Wehaibi et al. Examining the impact of self-admitted technical debt on software quality
CN103279710B (zh) Internet信息系统恶意代码的检测方法和系统
Maggi et al. Andrototal: A flexible, scalable toolbox and service for testing mobile malware detectors
JP5425699B2 (ja) 情報処理装置、テストケース生成方法、プログラムおよび記録媒体
KR101043299B1 (ko) 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체
EP3211558B1 (en) Multi-threat analyzer array system and method of use
US20150256552A1 (en) Imalicious code detection apparatus and method
US20100299754A1 (en) Identifying Security Breaches Caused by Web-Enabled Software Applications
US20090133126A1 (en) Apparatus and method for detecting dll inserted by malicious code
JP2018502351A (ja) スクリプト言語用のrasp
US8661543B2 (en) Mobile terminal having security diagnosis functionality and method of making diagnosis on security of mobile terminal
JP2017142744A (ja) 情報処理装置、ウィルス検出方法及びプログラム
CN112131571B (zh) 威胁溯源方法及相关设备
JP2010033543A (ja) ソフトウエア動作監視システム、そのクライアントコンピュータおよびサーバコンピュータ、並びに、そのプログラム
KR101256468B1 (ko) 악성 파일 진단 장치 및 방법
KR101228902B1 (ko) 클라우드 컴퓨팅 기반 악성코드 분석 지원 시스템
CN105809034A (zh) 一种恶意软件识别方法
JP6263294B1 (ja) セキュリティ製品評価装置、セキュリティ製品評価方法及びセキュリティ製品評価プログラム
US10645098B2 (en) Malware analysis system, malware analysis method, and malware analysis program
US20240160737A1 (en) Methods and apparatus determining document behavior based on the reversing engine
CN114547610A (zh) 一种文件检测方法、装置及设备
Liu et al. Are smell-based metrics actually useful in effort-aware structural change-proneness prediction? an empirical study
CN104252595A (zh) 应用程序的分析方法、装置和客户端

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171215

R150 Certificate of patent or registration of utility model

Ref document number: 6263294

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250