JP6454617B2 - Malware operating environment estimation method, apparatus and system thereof - Google Patents
Malware operating environment estimation method, apparatus and system thereof Download PDFInfo
- Publication number
- JP6454617B2 JP6454617B2 JP2015152662A JP2015152662A JP6454617B2 JP 6454617 B2 JP6454617 B2 JP 6454617B2 JP 2015152662 A JP2015152662 A JP 2015152662A JP 2015152662 A JP2015152662 A JP 2015152662A JP 6454617 B2 JP6454617 B2 JP 6454617B2
- Authority
- JP
- Japan
- Prior art keywords
- malware
- operating environment
- estimation
- information
- environment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、マルウェア動作環境推定方法、その装置およびシステムに関するものである。 The present invention relates to a malware operating environment estimation method, an apparatus thereof, and a system.
近年、企業等の組織において、コンピュータウイルス等のマルウェアの脅威が増大しており、組織の機密情報等を守るためにもマルウェアへの対策が急務となっている。マルウェアは日々新しいものが出現しており、組織の入口でマルウェアの侵入を防止することは難しく、マルウェアが組織内に侵入している前提での対策が重要になる。このような対策として、マルウェアの挙動を明らかにし、その挙動に応じて対策を行うというものがある。 In recent years, the threat of malware such as computer viruses has increased in organizations such as corporations, and countermeasures against malware are urgently required to protect confidential information of organizations. New malware appears every day, and it is difficult to prevent the intrusion of malware at the entrance of the organization, and it is important to take measures on the premise that the malware has entered the organization. As such a measure, there is a method of clarifying the behavior of malware and taking a measure according to the behavior.
マルウェアの挙動を明らかにする技術としては、特許文献1に記載されているような動的解析技術がある。これは、マルウェアを解析環境で実際に動作させ、ファイルアクセスやネットワークアクセス、API(Application Interface)呼び出し等の活動を記録することでその挙動を明らかにする技術である。特許文献1に記載の技術では、動的解析を行ったプログラムがマルウェアであるか、悪意のある活動を行ったかどうかを判定し、出力する機能を有している。
As a technique for clarifying the behavior of malware, there is a dynamic analysis technique as described in
特許文献1に記載の技術を用いれば、ある環境でマルウェアが悪意のある活動を行ったことは特定できる。しかしながら、マルウェアが悪意のある活動を行う要因となった環境の情報を特定することはできない。このため、多くのコンピュータを有する組織において、対策対象のコンピュータを絞ることによりマルウェア対策の費用を削減できるが、どのような環境のコンピュータを対策対象とすればよいかが特定できない。
If the technique described in
そこで、本発明の目的は、マルウェアの動作環境を推定することにある。 Therefore, an object of the present invention is to estimate the operating environment of malware.
本発明に係る代表的なマルウェア動作環境推定方法は、複数の解析システムのそれぞれから前記マルウェアの挙動に関する情報を取得して、前記取得した情報に関連する動作環境の要素を抽出し、前記複数の解析システムの全てに対して、前記抽出した動作環境の要素の組み合わせを生成し、前記複数の解析システムの全てに対して、前記マルウェアの稼動状況の情報を取得し、前記動作環境の要素の組み合わせの1つを前記複数の解析システムのそれぞれが含むか否かの情報と、前記複数の解析システムのそれぞれで前記マルウェアが稼働したか否かの情報とに基づいて、前記マルウェアの動作環境を推定することを特徴とする。 A typical malware operating environment estimation method according to the present invention acquires information on the behavior of the malware from each of a plurality of analysis systems, extracts elements of the operating environment related to the acquired information, and A combination of elements of the extracted operating environment is generated for all of the analysis systems, information on the operating status of the malware is acquired for all of the plurality of analysis systems, and a combination of the elements of the operating environment is obtained. Based on information on whether each of the plurality of analysis systems includes one of the above and information on whether the malware has been operated on each of the plurality of analysis systems, the operating environment of the malware is estimated It is characterized by doing.
本発明によれば、マルウェアの動作環境を推定することができる。 According to the present invention, the operating environment of malware can be estimated.
以下、本発明を実施するための形態(実施例)を、図を参照して詳細に説明する。 DESCRIPTION OF EMBODIMENTS Hereinafter, modes (examples) for carrying out the present invention will be described in detail with reference to the drawings.
図1はネットワークシステム100の例を示す図である。ネットワークシステム100はマルウェア動作環境推定装置101、クライアント端末102、マルウェア解析システム104から構成され、それぞれネットワーク103を介して接続される。クライアント端末102はネットワークシステム100内に複数存在していてもよい。
FIG. 1 is a diagram illustrating an example of a
マルウェア解析システム104は、ネットワークシステム100内でマルウェアを解析するシステムであり、ネットワーク103を介して解析レポートをマルウェア動作環境推定装置101へ送信する。マルウェア解析システム104は複数存在し、複数のマルウェア解析システム104の中のそれぞれは解析環境を有する。解析環境は複数の環境から構成されており、OS(Operating System)の種類や実行しているアプリケーションプログラム等であって、図7を用いて後で説明する。
The
複数のマルウェア解析システム104の中のそれぞれの解析環境は、その解析環境の一部が同じであってもよいし、その解析環境の一部が異なってもよい。ただし、複数のマルウェア解析システム104のそれぞれの解析環境は、その解析環境の一部が少しずつ異なり、解析環境のバリエーションの多い方が、マルウェアの動作環境の推定の精度が向上する。
Each analysis environment in the plurality of
解析レポートは、マルウェアのファイル名等のマルウェアそのものに関するマルウェア情報、特定のAPIを呼び出した等のマルウェアの挙動の情報、解析レポートを生成したマルウェア解析システム104の解析環境の情報を含んでもよい。解析レポートは、マルウェアの動作しなかった環境である情報を含んでもよい。これらのマルウェア情報と解析環境の情報とマルウェアの動作しなかった環境である情報とは、特定の環境におけるマルウェアの稼動を表すため、マルウェアの稼動判定結果とみなすことができる。
The analysis report may include malware information related to the malware itself such as the file name of the malware, information on the behavior of the malware such as calling a specific API, and information on the analysis environment of the
解析レポートは、解析環境の情報として、具体的なOSの種類等の情報はなくてもよく、解析環境を識別するための情報である解析環境識別子を含んでもよい。マルウェア情報については図11を用いて後で説明し、マルウェアの挙動の情報は図5を用いて後で説明し、解析環境の情報は図7を用いて後で説明する。複数のマルウェア解析システム104は解析レポートをそれぞれ送信するため、まとめると解析レポート群となる。
The analysis report may not include specific information such as the type of OS as the analysis environment information, and may include an analysis environment identifier that is information for identifying the analysis environment. The malware information will be described later with reference to FIG. 11, the behavior information of the malware will be described later with reference to FIG. 5, and the analysis environment information will be described later with reference to FIG. Since the plurality of
図示を省略するが、マルウェア動作環境推定装置101を運用する組織内のその他のコンピュータ機器やネットワーク装置、マルウェア動作環境推定装置101を管理する管理者が利用するコンピュータ等がネットワーク103に接続されていてもよい。
Although not shown, other computer devices or network devices in the organization that operates the malware operating
図2は、マルウェア動作環境推定装置101のハードウェアの例を示す図である。マルウェア動作環境推定装置101は、通信装置201、入力装置202、表示装置203、演算装置204、メモリ205、および、記憶装置206を備える。
FIG. 2 is a diagram illustrating an example of hardware of the malware operating
通信装置201は、ネットワークカード等のネットワークインタフェースである。通信装置201は、ネットワーク103を介して他の装置からデータを受信し、受信したデータを演算装置204へ送る。そして、通信装置201は、演算装置204によって生成されたデータを、ネットワーク103を介して他の装置へ送信する。
The
入力装置202は、キーボードまたはマウス等の装置であり、管理者による情報の入力を受け付けるための装置である。表示装置203は、LCD(Liquid Crystal Display)等の装置であり、管理者に情報を出力するための装置である。
The
記憶装置206は、ハードディスク等の装置であり、演算装置204が実行するプログラムおよび演算装置204が使用するデータ等を格納する。メモリ205は、一時的にデータ等が読み出される記憶領域であり、記憶装置206に格納されたプログラムやデータ等がメモリ205に読み出されてもよいし、メモリ205に格納されたデータ等が記憶装置206に書き込まれてもよい。
The
演算装置204は、記憶装置206あるいはメモリ205に格納されたプログラムを実行し、マルウェア動作環境推定装置101に備わる各装置を制御する。演算装置204は、入力装置202および表示装置203を制御し、入力装置202から入力されたデータを受け付け、表示装置203へデータを出力する。記憶装置206に格納されるプログラムは、演算装置204によって、記憶装置206からメモリ205に読み出され、メモリ205に格納されて実行されてもよい。
The
演算装置204は、プログラムを記憶装置206から読み出すが、他の例として、CD(Compact Disc)もしくはDVD(Digital Versatile Disc)等の光学記録媒体、MO(Magneto−Optical Disc)等の光磁気記録媒体、テープ媒体、磁気記録媒体、または、半導体メモリ等の記録媒体からプログラムを読み出してもよい。また他の例として、他の装置から、通信媒体を介して、プログラムを読み出してもよい。通信媒体とは、ネットワークまたはこれらを伝搬するディジタル信号または搬送波を示す。
The
図1に示すクライアント端末102のハードウェアは、図2に示すマルウェア動作環境推定装置101と同じハードウェアであるか、それに相当するハードウェアを有する。このため、クライアント端末102のハードウェアの具体的な説明は省略する。
The hardware of the
図3は、マルウェア動作環境推定装置101の構成の例を示す図である。マルウェア動作環境推定装置101は、環境要素抽出部301、環境要素抽出ロジックDB(Data Base)302、環境情報生成部303、解析環境情報DB304、動作環境推定処理部305、処理モジュールDB306、出力処理部307、マルウェア動作環境履歴DB308から構成される。これらの各部は、演算装置204がプログラムを実行することにより実現されてもよい。
FIG. 3 is a diagram illustrating an example of the configuration of the malware operating
環境要素抽出部301は、1以上のマルウェアの解析レポートからなるマルウェアの解析レポート群を入力とし、環境要素抽出ロジックDB302に格納されている抽出ロジックと入力された解析レポート群とのマッチングを行い、マッチする際には環境要素抽出ロジックDB302内の情報に従って、解析環境情報DB304内に格納された情報から抽出すべき要素を抽出要素として出力する。
The environment
ここで、マルウェアの解析レポートとは、例えば特許文献1に記載されているような技術でマルウェアを解析した結果得られる、既に説明したマルウェアの挙動に関する情報であり、解析対象の環境内におけるマルウェアのファイルアクセス(読み込み、書き込み、作成、削除等)の記録、レジストリアクセス(読み込み、書き込み、追加、削除等)の記録、ネットワークアクセス(アクセス先、送受信情報等)の記録、API呼出記録(呼び出したAPI、与えられたパラメータ、返り値等)の情報のうち1種類以上の情報を含むものである。
Here, the malware analysis report is information on the behavior of malware already described, which is obtained as a result of analyzing the malware using a technique such as that described in
環境情報生成部303は、環境要素抽出部301の出力である抽出要素を入力として呼び出され、抽出要素に含まれる情報と解析環境情報DB304に格納されている情報をもとに動作環境の推定処理で使用する動作環境推定用解析環境情報を生成して出力する。
The environment
動作環境推定処理部305は、環境情報生成部303の出力である動作環境推定用解析環境情報およびマルウェアの稼動判定結果を入力として呼び出され、処理モジュールDB306に格納された処理モジュールに従って入力された情報を処理し、マルウェアが動作する環境の推定結果を動作環境推定結果としてマルウェア動作環境履歴DB308に記録するとともに、動作環境推定結果を出力する。
The operating environment
動作環境推定処理部305で使用するマルウェアの稼動判定結果は、解析環境情報DB304で環境情報が定義されている環境のうち複数の環境におけるマルウェアの稼動判定結果である。ある環境でマルウェアが稼動したかどうかの判定は、例えば特許文献1に記載の技術に代表されるマルウェアの動的解析の結果として出力される判定結果を利用してもよいし、動的解析の結果得られるマルウェアの挙動レポートを別途解析して取得してもよい。
The malware operation determination result used in the operation environment
マルウェアの稼動判定結果の取得の処理はこれらに限定されず、ネットワーク103を介して受信した解析レポートから直接に取得してもよいし、ネットワーク103を介して受信した解析レポートから環境情報生成部303経由で取得してもよいし、他の処理により取得してもよい。
The process of acquiring the malware operation determination result is not limited to these, and may be acquired directly from the analysis report received via the
出力処理部307では、動作環境推定処理部305の出力である動作環境推定結果を入力として、マルウェア動作環境推定装置101の利用者(管理者)に動作環境推定結果を表示する、動作環境推定結果をシステム管理者にメールで連絡する、他のシステムに対して動作環境推定結果を自動的に入力する、といった処理を実施する。
The
図4は、環境要素抽出部301の処理の例を示すフローチャートである。環境要素抽出部301は、解析レポートに含まれるマルウェアの挙動等の情報から、それに関連する具体的な動作環境の要素を特定して抽出するものである。まず、環境要素抽出部301はステップS401で、入力として解析レポート群を取得する。続いてステップS402で全ての解析レポートを処理したかどうか判定し、全ての解析レポートを処理していないと判定した場合にはステップS403に進み、未処理の解析レポートを一つ取得して、対象の解析レポートとする。
FIG. 4 is a flowchart illustrating an example of processing performed by the environment
環境要素抽出部301はステップS404で、環境要素抽出ロジックDB302から抽出ロジックのリストを取得する。ステップS405で全ての抽出ロジックを処理済みかどうか判定し、全ての抽出ロジック処理済みであると判定しない場合には、ステップS406に進む。ステップS406では、未処理の抽出ロジックを一つ取得して、対象の抽出ロジックとする。
In step S404, the environment
環境要素抽出部301はステップS407で、対象解析レポート内に対象抽出ロジックの条件にマッチする挙動が存在しているかどうか判定する。存在していると判定した場合にはステップS408に進み、抽出要素に対象抽出ロジックの追加要素および優先度の情報を追加しステップS409に進む。ステップS407で対象抽出ロジックの条件にマッチする挙動が対象解析レポート内に存在しない場合には、ステップS409に進む。ステップS409では対象抽出ロジックを処理済みと設定し、ステップS405に戻る。
In step S407, the environment
環境要素抽出部301はステップS405で、全ての環境要素抽出ロジックが処理済みに設定されていると判定した場合には、ステップS410に進み対象解析レポートを処理済みと設定し、ステップS402に戻る。ステップS402で全ての解析レポートが処理済みであると判定した場合には、ステップS411で抽出要素を出力して処理を終了する。
If the environment
また、環境要素抽出部301の処理で出力の際、抽出要素に含まれなかった環境要素について何らかの形で優先度を設定し出力させるような構成としてもよい。これにより、例えば、マルウェアの動作に影響を与えるが解析レポートには現れない要素がある場合に、これを動作環境の候補とすることができる。その際の優先度は、事前に設定しておいてもよいし、抽出要素に含まれる環境要素とその優先度から機械的に決定してもよい。
Moreover, it is good also as a structure which sets and outputs a priority with respect to the environmental element which was not contained in the extraction element at the time of output by the process of the environmental
図5は、環境要素抽出ロジックDB302の例を示す説明図である。環境要素抽出ロジックDB302は番号欄501、条件欄502、追加要素欄503、優先度欄504から構成される。番号欄501の情報は抽出ロジックを一意に定めるための識別子であり、図5の例では表の1行が1つの抽出ロジックである。条件欄502の情報は追加要素欄503および優先度欄504の情報を環境要素抽出部301の出力に加えるかどうかを判定するためのマルウェアの解析レポートに含まれる情報の条件を示している。
FIG. 5 is an explanatory diagram showing an example of the environment element
ここで、条件欄502の情報には、図5に示すような、特定のAPIを呼び出したか否か、特定のファイルにアクセスしたか否か、特定のファイルを実行したか否か、ネットワークアクセスを行ったか否か、特定の設定に関係する情報を参照したか否か、といった情報が含まれる。また、複数の条件を全て満たしているか否か(AND条件)や複数の条件のうちいずれか一つが満たされたか否か(OR条件)といった情報が設定されてもよい。
Here, in the information in the
なお、図5の例は説明のために、条件欄502の情報を文章で表現したが、例えばログファイルの文字コード列や、特定のコード等であってもよく、マルウェア解析システム104と環境要素抽出部301との間で共通する情報の形式であればよい。
In the example of FIG. 5, the information in the
追加要素欄503および優先度欄504の情報は、マルウェア解析レポートに含まれるマルウェアの挙動が条件欄502の条件を満たした場合に使われる情報であり、追加要素欄503の情報は環境要素抽出部301の出力情報に追加する環境要素であり、優先度欄504の情報は、追加要素欄503の情報に対する優先度である。なお、追加要素欄503は、1つだけでなく複数の情報が含まれてもよい。環境要素抽出ロジックDB302の情報は事前に設定されていてもよい。
The information in the
図6は、環境情報生成部303の処理の例を示すフローチャートである。環境情報生成部303は、環境要素抽出部301で抽出された動作環境が実際にマルウェアの記録された動作環境に限定されるため、その限定された動作環境のパターンを拡張した動作環境の情報を生成する。まず、環境情報生成部303はステップS601で、環境要素抽出部301の出力である抽出要素を取得し、ステップS602で解析環境情報DB304から解析環境情報を取得する。取得した抽出要素には、既に説明したように追加要素欄503の情報が含まれる。
FIG. 6 is a flowchart illustrating an example of processing of the environment
環境情報生成部303はステップS603で、解析環境情報DB304から取得した解析環境情報のうち、解析環境識別子と、取得した抽出要素に一致する列の情報を抽出し、それらにより動作環境推定用解析環境情報を生成する。解析環境識別子と列については図7を用いて後で説明する。ステップS603により、実際にマルウェアの記録された動作環境の情報が生成される。
In step S603, the environment
マルウェアの動作する環境が、例えば特定のOSと特定のアプリケーションの両方がそろった環境であるかもしれないし、特定のOSか特定のアプリケーションのいずれか一方の環境であるかもしれないし、これら以外であるかもしないため、以下のステップS604からステップS606では、実際にマルウェアの記録された動作環境の情報に基づいて、可能な限り多くの環境情報を生成する。 The environment in which the malware operates may be, for example, an environment having both a specific OS and a specific application, or may be an environment of either a specific OS or a specific application, or any other environment. Therefore, in the following steps S604 to S606, as much environment information as possible is generated based on the information of the operating environment where the malware is actually recorded.
環境情報生成部303はステップS604で、動作環境推定用解析環境情報の解析環境識別子以外の各列に対して、NOT演算を行った列を新たに動作環境推定用解析環境情報の列として追加する。ステップS605で動作環境推定用解析環境情報の解析環境識別子以外の列に関し、全ての2つの列の組み合わせのAND演算を行った結果を新たに動作環境推定用解析環境情報の列として追加する。
In step S604, the environment
さらに、環境情報生成部303はステップS606で、動作環境推定用解析環境情報の解析環境識別子以外の列に関し、全ての2つの列の組み合わせのOR演算を行った結果を新たに動作環境推定用解析環境情報の列として追加する。最後にステップS607で、生成した動作環境推定用解析環境情報を環境情報生成部303から出力して終了する。
Further, in step S606, the environment
図6に示した環境情報生成部303の処理フローの例において、列のNOT演算、列同士のAND演算およびOR演算を行っているが、これら全ての演算を行う構成に制限されるものではなく、これらのうち一部の演算のみを行ってもよいし、また、これらの演算を全く行わなくてもよい。また、これらの演算を動作環境推定用解析環境情報の全ての列または全ての2つの列の組み合わせに対して行うのではなく、一部の列にのみ演算を行ってもよい。
In the example of the processing flow of the environment
また、AND演算やOR演算に関しては2つの列の組み合わせに限定されるものではなく、3つ以上の列の組み合わせに対して演算を行った結果を追加してもよい。また、NOT演算、AND演算、OR演算を行う順番は図6の例に示した順番のみに制限されるものではなく、任意の順番で演算を行ってもよい。また、これらの演算は1度のみ行うことに制限されるものではなく、同じ演算を2度以上行ってもよい。 Further, the AND operation and the OR operation are not limited to the combination of two columns, and a result obtained by performing an operation on a combination of three or more columns may be added. Further, the order in which the NOT operation, the AND operation, and the OR operation are performed is not limited to the order shown in the example of FIG. 6, and the operation may be performed in an arbitrary order. Further, these operations are not limited to being performed only once, and the same operation may be performed twice or more.
また、OR演算、AND演算、NOT演算によって追加された列に対応する優先度の設定は、事前に設定した特定の値に設定してもよいし、演算を行う対象の列の優先度に応じて算出して設定してもよい。 In addition, the priority setting corresponding to the column added by the OR operation, the AND operation, and the NOT operation may be set to a specific value set in advance, or according to the priority of the target column on which the operation is performed. May be calculated and set.
環境情報生成部303は、環境要素抽出部301の出力する抽出要素に含まれる優先度すなわち優先度欄504の情報に基づいて、各列に優先度を付与してもよい。複数の列の演算により追加された列には、演算のもととなった列の複数の優先度へ、演算の種類ごとに事前に設定された計算を適用して算出した優先度を付与してもよい。
The environment
AND演算により追加された列には、AND演算のもととなった列の優先度より高い優先度が付与されてもよい。OR演算により追加された列には、OR演算のもととなった列の優先度より低い優先度が付与されてもよい。動作環境推定用解析環境情報は、これらの付与された優先度を含んでもよい。 The column added by the AND operation may be given a priority higher than the priority of the column that is the basis of the AND operation. The column added by the OR operation may be given a priority lower than the priority of the column that is the basis of the OR operation. The analysis environment information for operating environment estimation may include these assigned priorities.
図7は、解析環境情報DB304の例を示す図である。解析環境情報DB304は解析環境識別子欄701と環境情報欄702から構成される。解析環境識別子欄701は、解析環境を一意に定める識別子である。解析環境の識別子はマルウェア解析システム104ごとに割当てられるため、識別子の個数はマルウェア解析システム104の個数となる。
FIG. 7 is a diagram illustrating an example of the analysis
環境情報欄702は、解析環境識別子欄701で一意に識別される解析環境それぞれに関する情報である。環境情報欄702に含まれる情報は、解析環境の「Platform」に関する情報(物理マシンか仮想マシンか等)、「OS」に関する情報(メジャーバージョン、サービスパック等)、「App」(アプリケーション)に関する情報(アプリケーション名、バージョン等)、どのような「通信環境」かに関する情報(外部接続なし、直接外部接続可能、プロキシサーバ経由で外部接続可能、外部接続をエミュレートする擬似環境等)、OSの「パッチ」に関する情報(特定のパッチが当たっているか等)、OSやアプリケーションの「設定」に関する情報(特定の設定がなされているか等)、「ファイル」に関する情報(特定のファイルが解析環境内に存在しているか等)といった情報が含まれる。
The
環境情報欄702には、各解析環境に環境情報欄702を構成する解析環境のプラットフォームに関する情報の有無について、有の場合に「1」、無の場合に「0」が格納される。具体的には、図7に示すように、解析環境識別子が「A」の「Platform」が物理環境の場合には「物理」の列に「1」が設定され、「仮想」の列に「0」が設定される。また、解析環境識別子が「A」に搭載された「OS」が「OS A」である場合には、「OS A」の列に「1」が、それ以外のOSの列に「0」が設定される。なお、解析環境情報DB304の情報は事前に設定されていてもよい。
In the
図7の例では、解析環境情報DB304は「0」と「1」の情報を格納した表となっているが、そのように構成することに限定するものではなく、例えば、解析環境情報としてOSやアプリケーションの情報を文字列で保持しておき、環境情報生成部303において0と1の表に変換する、といった構成としていてもよい。
In the example of FIG. 7, the analysis
図8は、動作環境推定処理部305の処理の例を示すフローチャートである。動作環境推定処理部305は、動作環境推定用解析環境情報と、複数のマルウェア解析システム104すなわち解析環境でマルウェアが動作したかの稼動判定結果との関連に基づき、マルウェアの動作する環境を絞り込み、推定する。
FIG. 8 is a flowchart illustrating an example of processing of the operating environment
まず、動作環境推定処理部305はステップS801で、環境情報生成部303から出力された動作環境推定用解析環境情報と、複数の環境におけるマルウェアの稼動判定結果とを取得する。ステップS802で処理モジュールDB306から全ての処理モジュールを取得する。
First, in step S801, the operation environment
動作環境推定処理部305はステップS803で、全ての処理モジュールで処理済みかどうかの判定を行い、全ての処理モジュールで処理済みと判定しない場合にはステップS804に進み、未処理の処理モジュールを一つ取得して対象処理モジュールに設定する。
In step S803, the operating environment
動作環境推定処理部305はステップS805で、ステップS801で取得した動作環境推定用解析環境情報と稼動判定結果を、対象処理モジュール内の処理ロジックを用いて処理し、処理結果を得る。ステップS806にて、得られた処理結果が対象処理モジュール内の終了条件を満たすかどうかの判定を行う。終了条件を満たすと判定した場合にはステップS807に進み、得られた処理結果(推定結果)を対象処理モジュールの出力として出力し、対象処理モジュールを処理済と設定し、ステップS803に戻る。
In step S805, the operating environment
動作環境推定処理部305は、ステップS806の判定の結果、終了条件を満たしていないと判定された場合にはステップS808に進み、対象処理モジュール内の条件未達時処理を実施し、ステップS805に戻り、再度処理モジュール内の処理ロジックによる処理を実施する。ステップS803で全ての分析モジュールで処理済であると判定した場合、ステップS809に進み、処理モジュールで得られた動作環境推定結果をマルウェア動作環境履歴DB308に追加するとともに、ステップS810で動作環境推定結果を出力して終了する。
If it is determined that the end condition is not satisfied as a result of the determination in step S806, the operating environment
図9は、処理モジュールDB306の例を示す図である。処理モジュールDB306は、モジュール識別子欄901、処理ロジック欄902、終了条件欄903、条件未達時処理欄904から構成される。モジュール識別子欄901は処理モジュールを一意に識別する識別子である。処理ロジック902欄は、識別子で識別される処理モジュールで行う動作環境推定処理の内容である。
FIG. 9 is a diagram illustrating an example of the
終了条件欄903は、識別子で識別される処理モジュールによる動作環境推定処理の終了条件を示す情報である。条件未達時処理欄904は、識別子で識別される処理モジュールによる動作環境推定処理において、終了条件欄903の終了条件を満たさなかった場合に行う処理を示している。終了条件を満たさない場合には条件未達時処理欄904に示される処理を行い、処理ロジック902欄に示される処理が再度実施される。
The
なお、図9の例は説明のために、各欄の情報を文章で表現したが、各文章の内容を表す特定のコードであってもよく、動作環境推定処理部305の実行可能なプログラムやマクロ等であってもよい。処理モジュールDB306の情報は事前に設定されてもよい。
In the example of FIG. 9, the information in each column is expressed by text for explanation. However, a specific code indicating the content of each text may be used, and the executable program of the operating environment
図10は、出力処理部307による表示画面の例を示す図である。図10は、あるマルウェアの動作環境推定結果の表示例であり、表示対象のマルウェアの動作環境推定結果をマルウェア動作環境履歴DB308から取得して表示する、あるいは動作環境推定処理部305の出力を表示する。マルウェアを特定する情報は、マルウェアを識別する何らかの識別情報でもよいし、図11を用いて説明するアンチウイルスソフトスキャン結果で特定されたマルウェアの名称等でもよい。
FIG. 10 is a diagram illustrating an example of a display screen by the
表示1001はマルウェアの動作環境推定結果に含まれる動作環境情報であり、表示1002は推定された動作環境条件を見たす環境が組織内に存在するかどうかを確認するための外部システムへのリンクである。表示1003は詳細な動作環境推定結果であり、動作環境推定処理を行った処理モジュールおよびその処理の結果得られた情報を表示する。動作環境情報や動作環境推定結果は、図11を用いて説明する推定処理結果や動作環境であってもよい。
A
図11は、マルウェア動作環境履歴DB308の例を示す図である。マルウェア動作環境履歴DB308は、マルウェア識別子欄1101、ハッシュ値欄1102、マルウェア情報欄1103、推定処理結果欄1104、動作環境欄1105とから構成される。マルウェア識別子欄1101は、マルウェア動作環境推定装置101で動作環境推定の対象としたマルウェアを一意に識別する識別子である。
FIG. 11 is a diagram illustrating an example of the malware operating
ハッシュ値欄1102は、マルウェア識別子1101で識別されるマルウェアのファイルを暗号学的ハッシュ関数の入力として得られる出力の値である。ここで、暗号学的ハッシュ関数はMD5やSHA1、SHA256等であるが、ハッシュ値欄1102の情報はこれらの暗号学的ハッシュ関数に限定されるものではない。
The
マルウェア情報欄1103は、マルウェア識別子欄1101で識別されるマルウェアに関する情報である。マルウェア情報欄1103に含まれる情報は、例えば、マルウェアのファイル名、ファイルサイズ、アンチウイルスソフトでのスキャン結果である。アンチウイルスソフトのスキャン結果にマルウェアの名称が含まれてもよい。マルウェア情報1103の情報は、これらの情報に限定されるものではなく、他にも、マルウェア本体から抽出した文字列情報やマルウェアを特定のツールに入力した結果等を含んでいてもよい。
The
推定処理結果欄1104および動作環境欄1105は、マルウェア動作環境推定装置101においてマルウェア識別子1101で識別されるマルウェアの動作環境を推定して得られた動作環境を保持するものである。動作環境欄1105の情報は、過去に動作環境の推定を行った結果に限られるものではなく、マルウェア識別子1101で識別されるマルウェアの詳細な解析や外部からの情報提供により判明した動作環境情報がさらに格納されもよい。
The estimation
以上が、マルウェア動作環境推定装置101の動作である。上述した動作はあくまで一例であり、本発明の実施形態を限定するものではない。
The above is the operation of the malware operation
マルウェア動作環境推定装置101の構成の例は図3に示した通りであるが、構成はこれに限ったものではなく、環境要素抽出部301、環境要素抽出ロジックDB302、環境要素生成部303、解析環境情報DB304、動作環境推定処理部305、処理モジュールDB306、出力処理部307、マルウェア動作環境履歴DB308がそれぞれ別の装置上で動作し、それぞれの部、DB間がネットワークで接続されるようなネットワークシステムとして構成されていてもよく、また、それらの部、DBのうちの複数が1台の装置上で動作するような構成となっていてもよい。
An example of the configuration of the malware operating
以上で説明したように、マルウェアの動作環境を推定することができる。これにより、マルウェア対策するコンピュータを特定して、効率よく対策することが可能になる。 As described above, the operating environment of malware can be estimated. As a result, it is possible to identify a computer for anti-malware and efficiently take measures.
また、マルウェアの動的環境を構成する要素は、プラットフォームやOS、アプリケーション、パッチ、設定、ファイルの有無等多岐にわたり、OSやアプリケーションのマイナーバージョン、数あるパッチの有無や設定項目の値による変化を細かく表現すると、要素数が非常に膨大な数になる。 In addition, the elements that make up the dynamic environment of malware vary widely, including the presence of platforms, OSs, applications, patches, settings, and files, and changes depending on the OS and application minor versions, the presence of numerous patches, and the values of setting items. When expressed in detail, the number of elements becomes very large.
これらの要素の中にはマルウェアの動作に無関係の要素も数多くあり、統計処理等によりマルウェアの動作要因となった要素を特定しようとしても無関係な要素がノイズとなって正しく特定できない場合がある。また、要素数が多い場合分析処理の計算量が多くなってしまうという問題がある。 Among these elements, there are many elements that are unrelated to the operation of the malware. Even if an attempt is made to identify an element that has caused the malware to operate by statistical processing or the like, the unrelated element may become noise and cannot be correctly identified. In addition, there is a problem that when the number of elements is large, the amount of calculation for analysis processing increases.
これに対して、環境要素抽出ロジックDB302の条件欄502にマッチする追加要素欄503の情報に解析環境情報DB304の環境情報欄702の要素を絞ることができ、優先度に基づいて動作環境推定用解析環境情報の列を絞ることができるため、計算量を削減することが可能になる。
On the other hand, the elements of the
実施例1のマルウェア動作環境推定装置101では、マルウェアの動作環境の推定結果を、マルウェア動作環境履歴DB308に記録し、出力処理部307で表示する際に用いている。この推定結果の履歴情報をフィードバックすることにより漏れのない推定を可能にするため、実施例2では、環境要素抽出部301からマルウェア動作環境履歴DB308にアクセス可能とし(図示省略)、環境要素抽出部301の処理フローを変更して、マルウェア動作環境履歴DB308の情報を使うようにする。
In the malware operating
図12は、動作環境履歴情報を取得する環境要素抽出部301の処理の例を示すフローチャートである。図12では、図4と共通する処理のステップS402からステップS411については同じ符号を付けて、その説明を省略する。まず、環境要素抽出部301はステップS1201で、マルウェアの解析レポート群および対象マルウェア情報を取得する。ここで、対象マルウェアの情報は解析レポートに含まれる情報であってもよいし、マルウェア解析システム104にて解析されたマルウェアの情報を他から取得してもよい。
FIG. 12 is a flowchart illustrating an example of processing of the environment
環境要素抽出部301はステップS402で、全ての解析レポートが処理済みであると判定した場合にステップS1202に進み、マルウェア動作環境履歴DB308からマルウェアの動作環境履歴情報を取得する。ステップS1203において、ステップS1201で取得した対象マルウェア情報と、ステップS1202で取得したマルウェアの動作環境履歴情報に含まれる各履歴のマルウェア情報(マルウェア情報欄1103の情報)との類似判定を行い、対象マルウェア情報に類似したマルウェア情報を持った履歴が存在するかどうか判定する。
If it is determined in step S402 that all analysis reports have been processed, the environment
環境要素抽出部301は、履歴が存在すると判定した場合にはステップS1204に進み、環境要素抽出部301の出力である抽出要素に、類似すると判定されたマルウェア情報を含む履歴の動作環境(動作環境欄1105の情報)を追加してステップS411に進む。ステップS1203において類似する履歴が存在していないと判定した場合には、そのままステップS411に進む。
If it is determined that the history exists, the environment
なお、ステップS1203における類似判定は、例えば、ファイル名が一致しているかもしくは似たファイル名になっているかどうかで判定してもよいし、ファイルサイズが一致しているかもしくは近いファイルサイズであるかどうかで判定してもよいし、アンチウイルスソフトスキャン結果が似た文字列になっているかどうかで判定してもよい。ただし、ステップS1203における類似判定はこれらに限定されるものではない。 Note that the similarity determination in step S1203 may be performed based on, for example, whether the file names match or have similar file names, and whether the file sizes match or are close to each other. It may be determined by whether or not, and whether or not the anti-virus software scan result is a similar character string. However, the similarity determination in step S1203 is not limited to these.
また、過去の履歴から類似するマルウェアの動作環境情報を取得できた場合、すなわちステップS1203の判定がYesの場合、ステップS402からステップS410で生成した抽出要素を破棄し、環境要素抽出部301の出力として、履歴から取得した動作環境のみを抽出要素として出力するようにしてもよい。
If similar operating environment information of malware can be obtained from the past history, that is, if the determination in step S1203 is Yes, the extraction element generated in steps S402 to S410 is discarded, and the output of the environment
以上で説明したように、過去のマルウェア動作環境推定結果、もしくは外部から得られたマルウェアの動作環境情報を有効に活用した、より精度の高いマルウェアの動作環境推定が実施でき、より効率的なマルウェアへの対策を実現できる。 As explained above, more efficient malware can be used to estimate the operating environment of the malware with higher accuracy by effectively using the past malware operating environment estimation results or the malware operating environment information obtained from the outside. Can be implemented.
101 マルウェア動作環境推定装置
301 環境要素抽出部
302 環境要素抽出ロジックDB
303 環境情報生成部
304 解析環境情報DB
305 動作環境推定処理部
306 処理モジュールDB
307 出力処理部
308 マルウェア動作環境履歴DB
101 Malware Operating
303 Environment
305 Operating environment
307
Claims (15)
前記抽出部により複数の解析システムのそれぞれから前記マルウェアの挙動に関する情報を取得して、前記取得した情報に関連する動作環境の要素を抽出し、
前記生成部により前記複数の解析システムの全てに対して、前記抽出した動作環境の要素の組み合わせを生成し、
前期推定部により前記複数の解析システムの全てに対して、前記マルウェアの稼動状況の情報を取得し、前記動作環境の要素の組み合わせの1つを前記複数の解析システムのそれぞれが含むか否かの情報と、前記複数の解析システムのそれぞれで前記マルウェアが稼働したか否かの情報とに基づいて、前記マルウェアの動作環境を推定すること
を特徴とするマルウェア動作環境推定方法。 A malware operation environment estimation method for estimating an operation environment of malware by an apparatus having an extraction unit, a generation unit, and an estimation unit ,
Obtaining information on the behavior of the malware from each of a plurality of analysis systems by the extraction unit, and extracting elements of the operating environment related to the obtained information,
Generate a combination of elements of the extracted operating environment for all of the plurality of analysis systems by the generation unit ,
Whether or not each of the plurality of analysis systems includes one of the combinations of elements of the operation environment, by acquiring information on the operation status of the malware for all of the plurality of analysis systems by the first-term estimation unit A malware operating environment estimation method that estimates the operating environment of the malware based on information and information on whether or not the malware has been operated in each of the plurality of analysis systems.
前記抽出部により、
前記マルウェアの挙動に関する情報と前記動作環境の要素とを対応付けて記憶された情報から前記動作環境の要素を抽出すること
を特徴とするマルウェア動作環境推定方法。 The malware operating environment estimation method according to claim 1,
By the extraction unit ,
A method for estimating a malware operating environment, comprising: extracting an element of the operating environment from information stored by associating information related to the behavior of the malware and an element of the operating environment.
前記生成部により、
前記抽出した動作環境の要素の中の第1の要素または前記抽出した動作環境の要素の中の第2の要素のいずれかを前記複数の解析システムが含むか否かの情報、あるいは前記第1の要素と前記第2の要素の両方を前記複数の解析システムが含むか否かの情報を生成することにより、前記抽出した動作環境の要素の組み合わせを生成すること
を特徴とするマルウェア動作環境推定方法。 The malware operating environment estimation method according to claim 2,
By the generation unit ,
Information on whether or not the plurality of analysis systems include either the first element in the extracted operating environment element or the second element in the extracted operating environment element, or the first A malware operating environment estimation characterized in that a combination of the extracted operating environment elements is generated by generating information as to whether or not the plurality of analysis systems include both of the second element and the second element Method.
前記推定部により、
1つ以上の推定により1つ以上の推定結果を出力すること
を特徴とするマルウェア動作環境推定方法。 The malware operating environment estimation method according to claim 3,
By the estimation unit ,
A malware operating environment estimation method, wherein one or more estimation results are output by one or more estimations.
前記推定部により、
推定を実行し、終了条件を満たさないと判定すると条件未達時処理を実行して、前記終了条件を満たすまで推定を繰り返し、前記終了条件を満たすと推定結果を出力すること
を特徴とするマルウェア動作環境推定方法。 The malware operating environment estimation method according to claim 4,
By the estimation unit ,
Malware that performs estimation, executes a process when the condition is not met if it is determined that the termination condition is not satisfied, repeats estimation until the termination condition is satisfied, and outputs an estimation result when the termination condition is satisfied Operating environment estimation method.
複数の解析システムのそれぞれから前記マルウェアの挙動に関する情報を取得して、前記取得した情報に関連する動作環境の要素を抽出する抽出部と、
前記複数の解析システムの全てに対して、前記抽出した動作環境の要素の組み合わせを生成する生成部と、
前記複数の解析システムの全てに対して、前記マルウェアの稼動状況の情報を取得し、前記動作環境の要素の組み合わせの1つを前記複数の解析システムのそれぞれが含むか否かの情報と、前記複数の解析システムのそれぞれで前記マルウェアが稼働したか否かの情報とに基づいて、前記マルウェアの動作環境を推定する推定部と
を有することを特徴とするマルウェア動作環境推定装置。 A device for estimating the operating environment of malware,
An extraction unit that acquires information on the behavior of the malware from each of a plurality of analysis systems, and extracts elements of the operating environment related to the acquired information;
For all of the plurality of analysis systems, a generation unit that generates a combination of elements of the extracted operating environment;
For all of the plurality of analysis systems, obtain information on the operating status of the malware, information on whether each of the plurality of analysis systems includes one of the combinations of elements of the operating environment, and A malware operating environment estimation apparatus comprising: an estimation unit configured to estimate an operating environment of the malware based on information indicating whether or not the malware has been operated in each of a plurality of analysis systems.
前記マルウェアの挙動に関する情報と前記動作環境の要素とを対応付けて記憶された情報から前記動作環境の要素を抽出すること
を特徴とするマルウェア動作環境推定装置。 The malware operation environment estimation device according to claim 6, wherein the extraction unit includes:
A malware operating environment estimation device that extracts elements of the operating environment from information stored by associating information related to the behavior of the malware and elements of the operating environment.
前記生成部は、
前記抽出した動作環境の要素の中の第1の要素または前記抽出した動作環境の要素の中の第2の要素のいずれかを前記複数の解析システムが含むか否かの情報、あるいは前記第1の要素と前記第2の要素の両方を前記複数の解析システムが含むか否かの情報を生成することにより、前記抽出した動作環境の要素の組み合わせを生成すること
を特徴とするマルウェア動作環境推定装置。 The malware operation environment estimation device according to claim 7,
The generator is
Information on whether or not the plurality of analysis systems include either the first element in the extracted operating environment element or the second element in the extracted operating environment element, or the first A malware operating environment estimation characterized in that a combination of the extracted operating environment elements is generated by generating information as to whether or not the plurality of analysis systems include both of the second element and the second element apparatus.
前記推定部は、
1つ以上の推定により1つ以上の推定結果を出力すること
を特徴とするマルウェア動作環境推定装置。 The malware operation environment estimation device according to claim 8,
The estimation unit includes
A malware operating environment estimation device that outputs one or more estimation results by one or more estimations.
前記推定部は、
推定を実行し、終了条件を満たさないと判定すると条件未達時処理を実行して、前記終了条件を満たすまで推定を繰り返し、前記終了条件を満たすと推定結果を出力すること
を特徴とするマルウェア動作環境推定装置。 The malware operation environment estimation device according to claim 9,
The estimation unit includes
Malware that performs estimation, executes a process when the condition is not met if it is determined that the termination condition is not satisfied, repeats estimation until the termination condition is satisfied, and outputs an estimation result when the termination condition is satisfied Operating environment estimation device.
前記複数の装置の中のいずれかの装置が、
複数の解析システムのそれぞれから前記マルウェアの挙動に関する情報を取得して、前記取得した情報に関連する動作環境の要素を抽出する抽出部を有し、
前記複数の装置の中のいずれかの装置が、
前記複数の解析システムの全てに対して、前記抽出した動作環境の要素の組み合わせを生成する生成部を有し、
前記複数の装置の中のいずれかの装置が、
前記複数の解析システムの全てに対して、前記マルウェアの稼動状況の情報を取得し、前記動作環境の要素の組み合わせの1つを前記複数の解析システムのそれぞれが含むか否かの情報と、前記複数の解析システムのそれぞれで前記マルウェアが稼働したか否かの情報とに基づいて、前記マルウェアの動作環境を推定する推定部を有すること
を特徴とするマルウェア動作環境推定システム。 A system that includes a plurality of devices and estimates the operating environment of malware,
One of the plurality of devices is
Obtaining information on the behavior of the malware from each of a plurality of analysis systems, and having an extraction unit that extracts elements of the operating environment related to the obtained information,
One of the plurality of devices is
A generator that generates a combination of elements of the extracted operating environment for all of the plurality of analysis systems;
One of the plurality of devices is
For all of the plurality of analysis systems, obtain information on the operating status of the malware, information on whether each of the plurality of analysis systems includes one of the combinations of elements of the operating environment, and A malware operating environment estimation system comprising an estimation unit configured to estimate an operating environment of the malware based on information indicating whether or not the malware has been operated in each of a plurality of analysis systems.
前記抽出部は、
前記マルウェアの挙動に関する情報と前記動作環境の要素とを対応付けて記憶された情報から前記動作環境の要素を抽出すること
を特徴とするマルウェア動作環境推定システム。 The malware operating environment estimation system according to claim 11,
The extraction unit includes:
A malware operating environment estimation system that extracts elements of the operating environment from information stored by associating information related to the behavior of the malware and elements of the operating environment.
前記生成部は、
前記抽出した動作環境の要素の中の第1の要素または前記抽出した動作環境の要素の中の第2の要素のいずれかを前記複数の解析システムが含むか否かの情報、あるいは前記第1の要素と前記第2の要素の両方を前記複数の解析システムが含むか否かの情報を生成することにより、前記抽出した動作環境の要素の組み合わせを生成することを特徴とするマルウェア動作環境推定システム。 The malware operating environment estimation system according to claim 12,
The generator is
Information on whether or not the plurality of analysis systems include either the first element in the extracted operating environment element or the second element in the extracted operating environment element, or the first A malware operating environment estimation characterized in that a combination of the extracted operating environment elements is generated by generating information as to whether or not the plurality of analysis systems include both of the second element and the second element system.
前記推定部は、
1つ以上の推定により1つ以上の推定結果を出力すること
を特徴とするマルウェア動作環境推定システム。 The malware operation environment estimation system according to claim 13,
The estimation unit includes
A malware operating environment estimation system, wherein one or more estimation results are output by one or more estimations.
前記推定部は、
推定を実行し、終了条件を満たさないと判定すると条件未達時処理を実行して、前記終了条件を満たすまで推定を繰り返し、前記終了条件を満たすと推定結果を出力すること
を特徴とするマルウェア動作環境推定システム。 The malware operation environment estimation system according to claim 14,
The estimation unit includes
Malware that performs estimation, executes a process when the condition is not met if it is determined that the termination condition is not satisfied, repeats estimation until the termination condition is satisfied, and outputs an estimation result when the termination condition is satisfied Operating environment estimation system.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015152662A JP6454617B2 (en) | 2015-07-31 | 2015-07-31 | Malware operating environment estimation method, apparatus and system thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015152662A JP6454617B2 (en) | 2015-07-31 | 2015-07-31 | Malware operating environment estimation method, apparatus and system thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017033286A JP2017033286A (en) | 2017-02-09 |
JP6454617B2 true JP6454617B2 (en) | 2019-01-16 |
Family
ID=57988855
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015152662A Expired - Fee Related JP6454617B2 (en) | 2015-07-31 | 2015-07-31 | Malware operating environment estimation method, apparatus and system thereof |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6454617B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020246011A1 (en) * | 2019-06-06 | 2020-12-10 | 日本電気株式会社 | Rule generation device, rule generation method, and computer readable storge medium |
WO2021240770A1 (en) * | 2020-05-29 | 2021-12-02 | Nec Corporation | Knowledge generation apparatus, control method, and storage device |
JPWO2022195737A1 (en) * | 2021-03-16 | 2022-09-22 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5225942B2 (en) * | 2009-07-01 | 2013-07-03 | 日本電信電話株式会社 | Analysis system, analysis method, and analysis program |
-
2015
- 2015-07-31 JP JP2015152662A patent/JP6454617B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2017033286A (en) | 2017-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10936717B1 (en) | Monitoring containers running on container host devices for detection of anomalies in current container behavior | |
US10121000B1 (en) | System and method to detect premium attacks on electronic networks and electronic devices | |
US9928364B2 (en) | Detecting malicious files | |
US10474826B2 (en) | Methods and apparatuses for improved app security testing | |
US11089038B2 (en) | Safe sharing of sensitive data | |
EP2610776B1 (en) | Automated behavioural and static analysis using an instrumented sandbox and machine learning classification for mobile security | |
US11356467B2 (en) | Log analysis device, log analysis method, and log analysis program | |
Ntantogian et al. | Evaluating the privacy of Android mobile applications under forensic analysis | |
CN112567367A (en) | Similarity-based method for clustering and accelerating multiple accident surveys | |
RU2573265C2 (en) | Method of detecting false positive results of scanning files for malware | |
US20190354690A1 (en) | Systems, devices and methods for application and privacy compliance monitoring and security threat analysis processing | |
JP6711000B2 (en) | Information processing apparatus, virus detection method, and program | |
US10440050B1 (en) | Identifying sensitive data on computer networks | |
JP6454617B2 (en) | Malware operating environment estimation method, apparatus and system thereof | |
JP2013242633A (en) | Tag application device and tag application method | |
CN111183620A (en) | Intrusion investigation | |
CN110100423A (en) | The generation using licence list for machine | |
JP6395986B2 (en) | Key generation source identification device, key generation source identification method, and key generation source identification program | |
US20220237302A1 (en) | Rule generation apparatus, rule generation method, and computer-readable recording medium | |
US10893090B2 (en) | Monitoring a process on an IoT device | |
JP6018344B2 (en) | Dynamic reading code analysis apparatus, dynamic reading code analysis method, and dynamic reading code analysis program | |
CN115552401A (en) | Fast application detection method, device, equipment and storage medium | |
US10831883B1 (en) | Preventing application installation using system-level messages | |
JP7424395B2 (en) | Analytical systems, methods and programs | |
EP3799367B1 (en) | Generation device, generation method, and generation program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171222 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180828 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180911 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181005 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181127 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181217 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6454617 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |