JP6378808B2 - 接続先情報判定装置、接続先情報判定方法、及びプログラム - Google Patents

接続先情報判定装置、接続先情報判定方法、及びプログラム Download PDF

Info

Publication number
JP6378808B2
JP6378808B2 JP2017126633A JP2017126633A JP6378808B2 JP 6378808 B2 JP6378808 B2 JP 6378808B2 JP 2017126633 A JP2017126633 A JP 2017126633A JP 2017126633 A JP2017126633 A JP 2017126633A JP 6378808 B2 JP6378808 B2 JP 6378808B2
Authority
JP
Japan
Prior art keywords
connection destination
destination information
url
program
suspicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017126633A
Other languages
English (en)
Other versions
JP2017168146A (ja
Inventor
恭之 田中
恭之 田中
充弘 畑田
充弘 畑田
隼 有川
隼 有川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2017126633A priority Critical patent/JP6378808B2/ja
Publication of JP2017168146A publication Critical patent/JP2017168146A/ja
Application granted granted Critical
Publication of JP6378808B2 publication Critical patent/JP6378808B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明は、有害な動作を行う意図で作成された悪意のあるソフトウェアであるマルウェアに関連する悪性URLを取得する技術に関するものである。
近年、様々なマルウェアが出現している。マルウェアは、特定のサーバ装置(URL)にアクセスすることでコンピュータにダウンロードされる場合が多い。あるURLにアクセスしてダウンロードされたプログラムがマルウェアであるかどうかを判断する手法として、プログラムコードを分析する静的解析を行う手法や、プログラムを実際に動作させて挙動を分析する動的解析を行う手法がある。このような解析を行って、マルウェアであると判断されたプログラムの取得元のURLは悪性URLであると判断できる。
このような悪性URLをブラックリストとして保持し、フィルタリング等に用いることでユーザを保護することができる。なお、ブラックリストの取得や維持管理に関する先行技術文献として特許文献1がある。
特開2012−118713号公報
悪性URLを取得するために、静的解析や動的解析を行う手法は解析コストが大きくなる上に、その方式上、解析により悪性であると判断されたマルウェアの取得元等しか悪性URLとしての情報を取得できない。そのため、悪性URLは日々増加しているにもかかわらず、既存技術では効率的に悪性URLを取得することができないという問題がある。
本発明は上記の点に鑑みてなされたものであり、悪性URL等の悪性接続先情報を効率的に取得することを可能とした技術を提供することを目的とする。
本発明の実施の形態によれば、ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置であって、
ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段と、
前記接続先情報格納手段に格納された複数の接続先情報のうち、動的解析によりマルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定手段と
を備えることを特徴とする接続先情報判定装置が提供される。
また、本実施の形態によれば、ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置が実行する接続先情報判定方法であって、
前記接続先情報判定装置は、ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段を備え、
前記接続先情報格納手段に格納された複数の接続先情報のうち、動的解析によりマルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定ステップ
を備えることを特徴とする接続先情報判定方法が提供される。
本発明の実施の形態によれば、悪性URL等の悪性接続先情報を効率的に取得することを可能とした技術を提供することができる。
本発明の実施の形態に係るシステムの全体構成図である。 接続先情報管理装置10の機能構成図である。 接続先情報管理装置10の動作例を示すフローチャートである。 URLリスト格納部15に格納されるURLリストの例を示す図である。 接続先情報管理装置10の動作例を示すフローチャートである。 動的解析結果を反映させた後のURLリストの例を示す図である。 URLの確認方法を示すフローチャートである。
以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。例えば、以下の実施の形態では、接続先情報管理装置10が、ハニークライアントの機能とアンチウィルスソフトの機能を備え、それぞれで被疑ファイル取得元のURLが悪性URLかどうかの判定を行うこととしているが、本発明においてこれらの機能は必須ではなく、これらのうちのいずれか又は両方を備えない構成をとることも可能である。
また、本実施の形態では、接続先を示す接続先情報としてURLを用いているが、接続先情報はURLに限られるわけではなく、その他のアドレスであってもよい。更に、本実施の形態では、悪性URLの紐付け判定のために被疑ファイルの動的解析を行うこととしているが、解析手法は動的解析に限られるわけではない。
(システム構成)
図1に、本発明の実施の形態に係るシステムの構成図を示す。図1に示すように、本実施の形態に係るシステムは、複数のWebサーバ30が存在するネットワーク20に接続先情報管理装置10が接続された構成を有している。
接続先情報管理装置10は、所定のURLに対応するWebサーバ30にアクセスし、当該URLのWebサーバ30から被疑ファイルをダウンロードし、当該被疑ファイルがマルウェアであるか否かを判定することで、URLが悪性URLか否かを判定する機能等を備える装置である。以下、接続先情報管理装置10の機能構成をより詳細に説明する。
図2に、接続先情報管理装置10の機能構成図を示す。図2に示すように、接続先情報管理装置10は、アクセス部11、被疑ファイル格納部12、マルウェア判定部13、URLリスト作成部14、URLリスト格納部15、動的解析部16、URL判定部17、URL確認制御部18を備える。各機能部の機能概要は以下のとおりである。
アクセス部11は、所定のURLにアクセスして、当該URLのアクセス先(Webサーバ等)から被疑ファイルをダウンロードし、当該被疑ファイルを被疑ファイル格納部12に格納する機能を含む。所定のURLとは、悪性URLである可能性があると考えられるURLである。例えば、迷惑メール等に付されているURLを当該所定のURLとすることができる。
本実施の形態において、被疑ファイルは実行ファイル(EXEファイル)であり、被疑プログラムと称してもよい。当該被疑ファイルがマルウェアである場合、コンピュータにおいて当該被疑ファイルが実行されることで、例えば、不正に個人情報が外部に流出したり、更なるマルウェアがダウンロードされたり等の被害を受けることになる。
また、本実施の形態において、アクセス部11はハニークライアントの機能を含む。ハニークライアントは、クライアント型ハニーポットの称してもよい。当該ハニークライアントは、上記のように所定のURLにアクセスして、当該URLのアクセス先から被疑ファイルをダウンロードし、当該被疑ファイルを被疑ファイル格納部12に格納する機能とともに、所定のURLにアクセスすることにより、Webブラウザ等の脆弱性を標的とした攻撃があった場合に、それを検知する機能を含む。本実施の形態では、アクセス部11(ハニークライアント)により、当該攻撃が検知された場合、アクセス先のURLを悪性URLであると判定する。
被疑ファイル格納部12には、アクセス部11により取得された被疑ファイルが、アクセス先のURL及びアクセス日時(=被疑ファイル取得日時)とともに格納される。
マルウェア判定部13は、予め用意されたシグニチャと被疑ファイルとのパターンマッチング等により、被疑ファイルがマルウェアであるか否かを判定する機能を有する。本実施の形態において、マルウェア判定部13は、複数種類のアンチウィルスソフトにより構成され、少なくとも1つのアンチウィルスソフトにより被疑ファイルがマルウェアであると判定された場合に、当該被疑ファイルをマルウェアであると判定する。
URLリスト作成部14は、アクセス部11によるURLへのアクセスの結果やマルウェア判定結果等の情報をURLリスト格納部15に格納することで、URLリストを作成する。URLリストの各レコードは、アクセス日時、当該アクセス日時にアクセスしたURL、アクセスにより取得された被疑ファイルの識別情報、アクセス部11(ハニークライアント)による判定結果、マルウェア判定部13による被疑ファイルのマルウェア判定結果、及び総合判定結果を含む。
本実施の形態では、被疑ファイルの識別情報は、バイナリデータである被疑ファイルのハッシュ値であるがこれに限られるものではない。
アクセス部11(ハニークライアント)による判定は、前述したように、攻撃が検知された場合、アクセス先のURLを悪性URL(「ブラック」とも呼び、以降、「B」と標記する場合がある)であると判定し、検知されない場合は正常(「ホワイト」とも呼び、以降、「W」と標記する場合がある)であると判定する。マルウェア判定部13による被疑ファイルのマルウェア判定では、前述したように、少なくとも1つのアンチウィルスソフトによりマルウェアであると判定された場合に、アクセス先のURLを悪性URL(B)であると判定し、いずれのアンチウィルスソフトでもマルウェアであると判定されない場合に、アクセス先のURLを正常(W)であると判定する。
URLリスト作成部14は、アクセス部11による判定結果とマルウェア判定部13による判定結果のいずれか又は両方がBである場合に総合判定結果をBとし、アクセス部11による判定結果とマルウェア判定部13による判定結果の両方がWである場合に総合判定結果をWとする。なお、この判定処理はURL判定部17が行うこととしてもよい。
動的解析部16は、URLリスト格納部15に格納されているURLリストにおける被疑ファイル(実行ファイル)を動作させ、その挙動を調べる動的解析を行うことで、当該被疑ファイルがマルウェアであるか否かを判定する。動的解析にはある程度の時間がかかるため、本実施の形態では、動的解析部16による動的解析を、被疑ファイルを取得する時間間隔よりも長い周期のタイミングで行うこととしている。動的解析の対象とする被疑ファイルは、例えば、当該タイミングにおける最新の被疑ファイル(直近に取得された被疑ファイル)である。
URL判定部17は、URLリスト格納部15に格納されたURLリストに対し、動的解析部16によりマルウェアであると判定された被疑ファイルに対応するURLについて、総合判定結果がWである場合に、それをBであると判定し、WをBに書き換えるとともに、動的解析部16によりマルウェアであると判定された被疑ファイルのハッシュ値と同一のハッシュ値を持つ被疑ファイルに対応するURLについて、総合判定結果がWである場合に、それをBであると判定し、WをBに書き換える。
動的解析部16によりマルウェアであると判定された被疑ファイルと、URLリスト格納部15における他の被疑ファイルが同一かどうかを、被疑ファイル格納部12に格納されている被疑ファイルを用いて、被疑ファイル(バイナリデータ)自体が同一であるかどうかを判定することで判定してもよい。
URL確認制御部18は、例えば1日に1回等の所定のタイミングで、アクセス部11に対し、URLリスト格納部15における総合判定結果がBである各URLにアクセスするよう指示し、アクセス部11によるアクセス結果に基づき、当該URLが確かにBであるか否かを確認する。本実施の形態では、アクセス部11により当該URLにアクセスでき、かつ、被疑ファイルがダウンロードでき、かつ、当該被疑ファイルのハッシュ値が、既にダウンロードされた被疑ファイルのハッシュ値(URLリストに既に存在するもの)と同一である場合に、当該URLは確かにBであると判定する。これ以外の場合でURLにアクセス可能である場合は、例えば、新たな被疑ファイルがダウンロードされたものとして、前述したように、アクセス部11とマルウェア判定部13による判定を行う。
なお、接続先情報管理装置10における各機能部は、1つの装置(コンピュータ)に備える必要はない。例えば、URLリスト格納部15、動的解析部16、及びURL判定部17を、その他の機能部とは別の装置に備えるといった構成が可能である。
本実施の形態に係る接続先情報管理装置10は、1つ又は複数のコンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、接続先情報管理装置10が有する機能は、当該コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、接続先情報管理装置10で実施される処理に対応するプログラムを実行することによって実現することが可能である。また、上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。
(接続先情報管理装置10の動作例)
以下、上記の構成を備える接続先情報管理装置10の動作例を、フローチャート等を参照して説明する。本例では、所定の周期でURLにアクセスして被疑ファイルを取得するとともに、当該所定の周期よりも長い周期で被疑ファイルの動的解析を行うこととしている。なお、URLにアクセスした際に、被疑ファイルが取得されない場合もあるが、本例では、説明を分かり易くするために、URLにアクセスする度に被疑ファイルが取得される例を説明している。また、各回においてアクセスするURLは予め準備され、アクセス部11が保持しているものとする。
<URLへのアクセスを行う際の動作例>
図3は、接続先情報管理装置10においてURLへのアクセスを行う際の動作例を示すフローチャートである。
ステップ101において、アクセス部11は、現在時刻がURLへのアクセスタイミングであるかどうかを判定し、アクセスタイミングであればステップ102に進む。
ステップ102において、アクセス部11はURLにアクセスし、被疑ファイルを取得する。また、ステップ103において、アクセス部11が、ハニークライアントの機能により、攻撃があったかどうかを判定することでアクセス先のURLがBかどうかを判定し、更に、マルウェア判定部13は、被疑ファイルがマルウェアであるかどうかを判定することでアクセス先のURLがBかどうかを判定する。URLリスト作成部14は、アクセス部11の判定結果とマルウェア判定部13の判定結果のいずれか又は両方がBである場合に、当該URLについての総合判定結果をBとする(ステップ103のYes、ステップ104)。また、URLリスト作成部14は、アクセス部11の判定結果とマルウェア判定部13の判定結果の両方がWである場合に、当該URLについての総合判定結果をWとする(ステップ103のNo、ステップ105)。
URLリスト作成部14は、上記の判定結果に基づいてURLリストのレコードをURLリスト格納部15に格納する(ステップ106)。その後、別のURLについて、ステップ101からの処理を繰り返す。
図4に、上記の処理により得られたURLリストの一例を示す。図4に示すとおり、URLリストの各レコードは、アクセス日時、当該アクセス日時にアクセスしたURL、アクセスにより取得された被疑ファイルのハッシュ値、アクセス部11(ハニークライアント)による判定結果、マルウェア判定部13による被疑ファイルのマルウェア判定結果、及び総合判定結果を含む。図4に示すとおり、アクセス部11による判定結果、及びマルウェア判定部13による判定結果のいずれかがBであれば総合判定結果はBになる。つまり、図4の例では、URL1とURL3が悪性URLである。
<動的解析を行う際の動作例>
図5は、接続先情報管理装置10の動的解析部16が被疑ファイルの動的解析を行う際の動作例を示すフローチャートである。
ステップ201において、動的解析部16は、現在時刻が動的解析タイミングであるか否かを判定し、動的解析タイミングであればステップ202に進む。
ステップ202において、動的解析部16は、URLリスト格納部15に格納されているURLリスト中から1つの被疑ファイルを選択し、当該被疑ファイルについての動的解析を実行する。
動的解析を実行する対象の被疑ファイルとして、例えば、最も直近に取得された被疑ファイルを選択することができる。また、例えば、URLリストの中で、動的解析も、後述する紐付けによる総合判定のいずれも行われていない被疑ファイルの中から最も数の多い被疑ファイル(つまり、同じハッシュ値を有する被疑ファイル群のうち、最も数の多いもの)を選択し、当該被疑ファイルの1つについて動的解析を行うこととしてもよい。
ステップ203において、URL判定部17が、動的解析結果がB(マルウェア)であるかどうかを判定し、Bである場合はステップ204に進む。Bでない場合は、ステップ201からの処理を繰り返す。
ステップ204において、URL判定部17は、URLリスト格納部15におけるURLリストに対して、動的解析部16によりマルウェアであると判定された被疑ファイルに対応するURLの総合判定結果がWであればそれをBに書き換えるとともに、動的解析部16によりマルウェアであると判定された被疑ファイルのハッシュ値と同一のハッシュ値を持つ被疑ファイルに対応するURLについても、総合判定結果がWである場合に、それをBであると判定し、WをBに書き換える。すなわち、動的解析部16によりマルウェアであると判定された被疑ファイルに直接に対応するURLのみでなく、URLリストにおいて、当該被疑ファイルに紐付くURLも悪性URLであると判定する。
図6に、動的解析結果を反映させた後のURLリストを示す。図6の例では、2013/10/2 CC時CC分CC秒の時点で最新の被疑ファイル1について動的解析を行った結果、それがマルウェアであると判定されたたため、該当のURL4の総合判定結果をWからBに書き換える。更に、被疑ファイル1のハッシュ値と同じハッシュ値である2013/10/2 AA時AA分AA秒の被疑ファイル1に対応するURL2についても総合判定結果をWからBに書き換えている。
ステップ204の後、ステップ201からの処理を繰り返す。なお、例えば、動的解析部16での判定結果がBであるURL、及び当該URLの被疑ファイルとハッシュ値が同じ被疑ファイルが取得されたURL(つまり、紐付くURL)についてはフラグを付け、フラグを付けたURLについて、以降の処理では、動的解析及び紐付け判定の対象としないこととしてもよい。また、フラグを付けたURLを後述するURLの確認の対象としてもよい。このようにしてフラグを付する場合、後述するURLの確認の処理により、フラグを付したURLがBからWになった場合には、フラグをはずすこととしてもよい。
例えば、上記の処理により得られたURLリストから、総合判定結果がBであるURLを抽出し、当該URLのリストを出力することで、ブラックリストを提供することができる。
上記の例では、アクセス部11の判定結果とマルウェア判定部13の判定結果に基づく総合判定結果を書き換えることとしているが、アクセス部11の判定とマルウェア判定部13の判定を行わないこととしてもよい。この場合、アクセス部11は定期的にURLにアクセスして被疑ファイルを取得することで、図4、図6において、アクセス部11の判定結果とマルウェア部13の判定結果を含まないURLリストを作成する。そして、あるタイミングで1つの被疑ファイルについて動的解析を行って、それがBであれば、当該被疑ファイルに対応するURL、及び紐付くURLをBとする。この手法によっても、悪性URLを効率的に検出することができる。
<URLの確認時の動作例>
図7に、接続先情報管理装置10のURL確認制御部18によるURL確認の動作のフローチャートを示す。この確認処理は、URLリストの中で、被疑ファイルが取得され、かつ、総合判定がBである各URLについて、例えば1日に1回のように定期的に実行されるものである。
悪性URLであっても、時間の経過によりURLとして機能しなくなったり、悪性でなくなったりする場合が生じる。本例のように、確認処理を行うことにより、一旦悪性であると判定したURLが確かに悪性であるか否かを的確に判断するので、URLリストにおける悪性かどうかの情報の精度を高めることができ、結果として質の高いブラックリストを提供できる。
ステップ301において、URL確認制御部18は、URLリストにおいて確認の対象とする未処理のURLがあるかどうかを判定し、対象のURLがあればステップ302に進み、なければ今回のURL確認処理を終了する。
ステップ302において、URL確認制御部18は、アクセス部11に対し、確認対象となるURLのうち1つのURLにアクセスするよう指示し、アクセス部11は当該URLへのアクセスを行う。URL確認制御部18は、当該アクセスにより得られた被疑ファイルを取得し、その識別情報であるハッシュ値を求める。
ステップ303において、URL確認制御部18は、ステップ302で得られた被疑ファイルのハッシュ値と、URLリストの該当URLに対応する被疑ファイルのハッシュ値とが同じか否かを判定する。これらが同じである場合はステップ304に進み、同じでない場合はステップ305に進む。
ステップ304において、URL確認制御部18は、該当URLは確かにBであることを確認できたことになり、総合判定結果をBのままとする。
ステップ305では、例えば、新たな被疑ファイルがダウンロードされたものとして、被疑ファイルのハッシュ値のURLリストへの記録を行うとともに、アクセス部11とマルウェア判定部13による判定を行う。すなわち、アクセス部11の判定結果とマルウェア判定部13の判定結果のいずれかがBであれば総合判定結果をBとし、それ以外であればWとする。
ステップ304、305の後、ステップ301に戻る。確認対象のURLに対し同様の処理を繰り返す。
なお、URLへのアクセスを試みた結果、URLへのアクセスができない場合(URLが生きていない場合)も発生し得るが、その場合には、当該URLはBではなくなるので、Wとする。もしくはURLが存在しない旨の情報を記録してもよい。
また、URLから被疑ファイルがダウンロードされない場合も発生し得るが、その場合には、アクセス部11(ハニークライアント)の判定結果を総合判定結果とする。
すなわち、本実施の形態では、アクセス部11により当該URLにアクセスでき、かつ、被疑ファイルがダウンロードでき、かつ、当該被疑ファイルのハッシュ値が、既にダウンロードされた被疑ファイルのハッシュ値と同一である場合に、当該URLは確かにBであると判定する。
なお、図5を参照して説明した動的解析結果に基づき、動的解析結果でBとなったURLに紐付く各URL(同じハッシュ値の被疑ファイルが得られているURL)について、図7を参照して説明した確認処理により、アクセス部11により当該URLにアクセスでき、かつ、被疑ファイルがダウンロードでき、かつ、当該被疑ファイルのハッシュ値が、既にダウンロードされた被疑ファイルのハッシュ値と同一であることが確認できた場合に、当該紐付くURLについての総合判定結果をBとすることとしてもよい。
(実施の形態のまとめ、効果等)
以上、説明したように、本実施の形態では、ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置(例:接続先情報管理装置10)であって、ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段と、前記接続先情報格納手段に格納された複数の接続先情報のうちの所定の接続先情報に対応する被疑プログラムについての解析を行う解析手段と、前記解析手段により、解析の対象とした被疑プログラムがマルウェアであると判定された場合に、前記所定の接続先情報を悪性接続先情報であると判定するとともに、前記接続先情報格納手段に格納された複数の接続先情報のうち、前記マルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定手段とを備える接続先情報判定装置が提供される。
前記接続先情報判定手段は、過去に悪性接続先情報ではないとされた接続先情報であっても、当該接続先情報が、前記マルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報である場合に、当該接続先情報を悪性接続先情報であると判定する。
前記接続先情報判定装置は、所定の接続先情報に対応するサーバ装置へのアクセスを行うことにより被疑プログラムを取得するアクセス手段と、前記アクセス手段により取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを前記接続先情報格納手段に格納する接続先情報リスト作成手段とを備えることとしてもよい。
前記アクセス手段は、例えば、前記所定の接続先情報に対応するサーバ装置へのアクセスを行うことにより受ける攻撃を検知する機能を備えており、前記アクセス手段により前記攻撃が検知された場合に、前記所定の接続先情報を悪性接続先情報であると判定する。
また、前記接続先情報判定装置は、前記所定の接続先情報に対応する被疑プログラムがマルウェアか否かを判定することにより、前記所定の接続先情報が悪性接続先情報であるか否かを判定するアンチウィルスソフトウェアの機能を有するマルウェア判定手段と、前記アクセス手段と前記マルウェア判定手段のうちの少なくとも1つにより前記所定の接続先情報が悪性接続先情報であると判定された場合に、当該所定の接続先情報が悪性接続先情報であると判定する手段とを備えてもよい。
また、前記接続先情報判定装置は、悪性接続先情報であると判定された接続先情報に対応するサーバ装置へのアクセスを行うことにより被疑ファイルを取得し、当該被疑ファイルの識別情報と、当該サーバ装置への過去のアクセスにより既に取得されている被疑ファイルの識別情報とが同一であるか否かを判定し、同一である場合に当該接続先情報は悪性接続先情報であると判定する接続先情報確認手段を備えることとしてもよい。
前記識別情報は、例えば、前記被疑プログラムのバイナリデータのハッシュ値である。また、前記解析手段による解析は、例えば、前記被疑プログラムを動作させてその挙動を解析する動的解析である。
本実施の形態によれば、被疑ファイルの動的解析によりマルウェアであると判定された被疑ファイルに紐付くURLを悪性URLであると判定することで、過去にWと判定されてブラックリストとして用いられなかったURLを復活させることができ、ブラックリストを拡大させることができる。
また、本実施の形態では、アンチウィルスソフトやハニークライアントによる判定よるりも解析コストの高い動的解析を全ての被疑ファイルに対して行うのではなく、比較的低頻度で、所定の被疑ファイルのみに対して行うこととしているので、解析コストを大きく上昇させることなく、効率的にブラックリストを拡大させることができる。
また、本実施の形態では、URL確認制御部18により、一旦悪性URLと判定されたURLについて、確かに悪性であるかどうかを定期的に確認することとしているので、精度の高いブラックリストを提供することが可能である。
明細書には以下の事項が開示されている。
(第1項)
ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置であって、
ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段と、
前記接続先情報格納手段に格納された複数の接続先情報のうちの所定の接続先情報に対応する被疑プログラムについての解析を行う解析手段と、
前記解析手段により、解析の対象とした被疑プログラムがマルウェアであると判定された場合に、前記所定の接続先情報を悪性接続先情報であると判定するとともに、前記接続先情報格納手段に格納された複数の接続先情報のうち、前記マルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定手段と
を備えることを特徴とする接続先情報判定装置。
(第2項)
前記接続先情報判定手段は、過去に悪性接続先情報ではないとされた接続先情報であっても、当該接続先情報が、前記マルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報である場合に、当該接続先情報を悪性接続先情報であると判定する
ことを特徴とする第1項に記載の接続先情報判定装置。
(第3項)
所定の接続先情報に対応するサーバ装置へのアクセスを行うことにより被疑プログラムを取得するアクセス手段と、
前記アクセス手段により取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを前記接続先情報格納手段に格納する接続先情報リスト作成手段と
を備えることを特徴とする第1項又は第2項に記載の接続先情報判定装置。
(第4項)
前記アクセス手段は、前記所定の接続先情報に対応するサーバ装置へのアクセスを行うことにより受ける攻撃を検知する機能を備えており、
前記アクセス手段により前記攻撃が検知された場合に、前記所定の接続先情報を悪性接続先情報であると判定する手段
を備えることを特徴とする第3項に記載の接続先情報判定装置。
(第5項)
前記所定の接続先情報に対応する被疑プログラムがマルウェアか否かを判定することにより、前記所定の接続先情報が悪性接続先情報であるか否かを判定するアンチウィルスソフトウェアの機能を有するマルウェア判定手段と、
前記アクセス手段と前記マルウェア判定手段のうちの少なくとも1つにより前記所定の接続先情報が悪性接続先情報であると判定された場合に、当該所定の接続先情報が悪性接続先情報であると判定する手段と
を備えることを特徴とする第4項に記載の接続先情報判定装置。
(第6項)
悪性接続先情報であると判定された接続先情報に対応するサーバ装置へのアクセスを行うことにより被疑ファイルを取得し、当該被疑ファイルの識別情報と、当該サーバ装置への過去のアクセスにより既に取得されている被疑ファイルの識別情報とが同一であるか否かを判定し、同一である場合に当該接続先情報は悪性接続先情報であると判定する接続先情報確認手段
を備えることを特徴とする第1項ないし第5項のうちいずれか1項に記載の接続先情報判定装置。
(第7項)
前記識別情報は、前記被疑プログラムのバイナリデータのハッシュ値であることを特徴とする第1項ないし第6項のうちいずれか1項に記載の接続先情報判定装置。
(第8項)
前記解析手段による解析は前記被疑プログラムを動作させてその挙動を解析する動的解析である
ことを特徴とする第1項ないし第7項のうちいずれか1項に記載の接続先情報判定装置。
(第9項)
ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置が実行する接続先情報判定方法であって、
前記接続先情報判定装置は、ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段を備え、
前記接続先情報格納手段に格納された複数の接続先情報のうちの所定の接続先情報に対応する被疑プログラムについての解析を行う解析ステップと、
前記解析ステップにより、解析の対象とした被疑プログラムがマルウェアであると判定された場合に、前記所定の接続先情報を悪性接続先情報であると判定するとともに、前記接続先情報格納手段に格納された複数の接続先情報のうち、前記マルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定ステップと
を備えることを特徴とする接続先情報判定方法。
(第10項)
コンピュータを、第1項ないし第8項のうちいずれか1項に記載の接続先情報判定装置における各手段として機能させるためのプログラム。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
10 接続先情報管理装置
11 アクセス部
12 被疑ファイル格納部
13 マルウェア判定部
14 URLリスト作成部
15 URLリスト格納部
16 動的解析部
17 URL判定部
18 URL確認制御部
20 ネットワーク
30 Webサーバ

Claims (11)

  1. ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置であって、
    ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段と、
    前記接続先情報格納手段に格納された複数の接続先情報のうち、動的解析によりマルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定手段と
    を備えることを特徴とする接続先情報判定装置。
  2. 被疑プログラムを取得する周期よりも長い周期で被疑プログラムの動的解析を行う動的解析手段
    を備えることを特徴とする請求項1に記載の接続先情報判定装置。
  3. 前記接続先情報判定手段は、過去に悪性接続先情報ではないとされた接続先情報であっても、当該接続先情報が、前記動的解析によりマルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報である場合に、当該接続先情報を悪性接続先情報であると判定する
    ことを特徴とする請求項1又は2に記載の接続先情報判定装置。
  4. 所定の接続先情報に対応するサーバ装置へのアクセスを行うことにより被疑プログラムを取得するアクセス手段と、
    前記アクセス手段により取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを前記接続先情報格納手段に格納する接続先情報リスト作成手段と
    を備えることを特徴とする請求項1ないし3のうちいずれか1項に記載の接続先情報判定装置。
  5. 前記アクセス手段は、前記所定の接続先情報に対応するサーバ装置へのアクセスを行うことにより受ける攻撃を検知する機能を備えており、
    前記アクセス手段により前記攻撃が検知された場合に、前記所定の接続先情報を悪性接続先情報であると判定する手段
    を備えることを特徴とする請求項に記載の接続先情報判定装置。
  6. 前記所定の接続先情報に対応する被疑プログラムがマルウェアか否かを判定することにより、前記所定の接続先情報が悪性接続先情報であるか否かを判定するアンチウィルスソフトウェアの機能を有するマルウェア判定手段と、
    前記アクセス手段と前記マルウェア判定手段のうちの少なくとも1つにより前記所定の接続先情報が悪性接続先情報であると判定された場合に、当該所定の接続先情報が悪性接続先情報であると判定する手段と
    を備えることを特徴とする請求項に記載の接続先情報判定装置。
  7. 悪性接続先情報であると判定された接続先情報に対応するサーバ装置へのアクセスを行うことにより被疑ファイルを取得し、当該被疑ファイルの識別情報と、当該サーバ装置への過去のアクセスにより既に取得されている被疑ファイルの識別情報とが同一であるか否かを判定し、同一である場合に当該接続先情報は悪性接続先情報であると判定する接続先情報確認手段
    を備えることを特徴とする請求項1ないしのうちいずれか1項に記載の接続先情報判定装置。
  8. 前記識別情報は、前記被疑プログラムのバイナリデータのハッシュ値であることを特徴とする請求項1ないしのうちいずれか1項に記載の接続先情報判定装置。
  9. ネットワーク上でマルウェアの配信元となる悪性の接続先を示す悪性接続先情報を判別する機能を備える接続先情報判定装置が実行する接続先情報判定方法であって、
    前記接続先情報判定装置は、ネットワークを介して取得された被疑プログラムの識別情報と、当該被疑プログラムの取得元を示す接続先情報とを格納する接続先情報格納手段を備え、
    前記接続先情報格納手段に格納された複数の接続先情報のうち、動的解析によりマルウェアと判定された被疑プログラムの識別情報と同じ識別情報を持つ被疑プログラムに対応する接続先情報を悪性接続先情報であると判定する接続先情報判定ステップ
    を備えることを特徴とする接続先情報判定方法。
  10. 被疑プログラムを取得する周期よりも長い周期で被疑プログラムの動的解析を行う動的解析ステップ
    を備えることを特徴とする請求項9に記載の接続先情報判定方法。
  11. コンピュータを、請求項1ないしのうちいずれか1項に記載の接続先情報判定装置における各手段として機能させるためのプログラム。
JP2017126633A 2017-06-28 2017-06-28 接続先情報判定装置、接続先情報判定方法、及びプログラム Active JP6378808B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017126633A JP6378808B2 (ja) 2017-06-28 2017-06-28 接続先情報判定装置、接続先情報判定方法、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017126633A JP6378808B2 (ja) 2017-06-28 2017-06-28 接続先情報判定装置、接続先情報判定方法、及びプログラム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2014003518A Division JP6169497B2 (ja) 2014-01-10 2014-01-10 接続先情報判定装置、接続先情報判定方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2017168146A JP2017168146A (ja) 2017-09-21
JP6378808B2 true JP6378808B2 (ja) 2018-08-22

Family

ID=59909087

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017126633A Active JP6378808B2 (ja) 2017-06-28 2017-06-28 接続先情報判定装置、接続先情報判定方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP6378808B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6716051B2 (ja) * 2018-07-26 2020-07-01 デジタルア−ツ株式会社 情報処理装置、情報処理方法、及び情報処理プログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9106694B2 (en) * 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
JP5118020B2 (ja) * 2005-05-05 2013-01-16 シスコ アイアンポート システムズ エルエルシー 電子メッセージ中での脅威の識別
US20090144826A2 (en) * 2005-06-30 2009-06-04 Webroot Software, Inc. Systems and Methods for Identifying Malware Distribution
JP2012083849A (ja) * 2010-10-07 2012-04-26 Hitachi Ltd マルウェア検知装置、及びその方法とプログラム
JP5465651B2 (ja) * 2010-11-30 2014-04-09 日本電信電話株式会社 リスト生成方法、リスト生成装置及びリスト生成プログラム

Also Published As

Publication number Publication date
JP2017168146A (ja) 2017-09-21

Similar Documents

Publication Publication Date Title
AU2018217323B2 (en) Methods and systems for identifying potential enterprise software threats based on visual and non-visual data
Wei et al. Deep ground truth analysis of current android malware
EP3420489B1 (en) Cybersecurity systems and techniques
US9300682B2 (en) Composite analysis of executable content across enterprise network
KR102271545B1 (ko) 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들
US20110041179A1 (en) Malware detection
Suarez-Tangil et al. Stegomalware: Playing hide and seek with malicious components in smartphone apps
US10445501B2 (en) Detecting malicious scripts
CN111163094B (zh) 网络攻击检测方法、网络攻击检测装置、电子设备和介质
CN104239798B (zh) 移动办公系统及其杀毒方法和系统中的移动端、服务器端
EP3705974B1 (en) Classification device, classification method, and classification program
JP6169497B2 (ja) 接続先情報判定装置、接続先情報判定方法、及びプログラム
CN107231364B (zh) 一种网站漏洞检测方法及装置、计算机装置及存储介质
Le Jamtel Swimming in the Monero pools
WO2019070339A1 (en) INTRUSION SURVEY
US8479289B1 (en) Method and system for minimizing the effects of rogue security software
Huang et al. A large-scale study of android malware development phenomenon on public malware submission and scanning platform
US10880316B2 (en) Method and system for determining initial execution of an attack
KR101781780B1 (ko) 다중 서버, 다중 브라우저 기반의 고속 악성 웹 사이트 탐지 시스템 및 방법
JP6378808B2 (ja) 接続先情報判定装置、接続先情報判定方法、及びプログラム
JP6478730B2 (ja) 悪性url候補取得装置、悪性url候補取得方法、及びプログラム
US20230036599A1 (en) System context database management
Al Shamsi Mapping, Exploration, and Detection Strategies for Malware Universe
Alashjaee An Integrated Framework for Android Based Mobile Device Malware Forensics
Ikinci Monkey-spider: Detecting malicious web sites

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170628

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180323

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180424

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180625

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180710

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180727

R150 Certificate of patent or registration of utility model

Ref document number: 6378808

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250