JP6459289B2 - マルウェア推定装置、マルウェア推定方法、及び、マルウェア推定プログラム - Google Patents
マルウェア推定装置、マルウェア推定方法、及び、マルウェア推定プログラム Download PDFInfo
- Publication number
- JP6459289B2 JP6459289B2 JP2014161594A JP2014161594A JP6459289B2 JP 6459289 B2 JP6459289 B2 JP 6459289B2 JP 2014161594 A JP2014161594 A JP 2014161594A JP 2014161594 A JP2014161594 A JP 2014161594A JP 6459289 B2 JP6459289 B2 JP 6459289B2
- Authority
- JP
- Japan
- Prior art keywords
- malware
- similarity
- history information
- input
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Stored Programmes (AREA)
Description
マルウェアと推定されるソフトウェアによって実行された入出力処理に関する履歴を表す第1履歴情報と、情報処理装置によって実行された入出力処理に関する履歴を表す第2履歴情報とが、類似または一致する度合を表す類似度を算出する類似度算出手段と、
前記情報処理装置が、前記マルウェアに感染しているか否かを、前記類似度に基づき推定する推定手段と
を備える。
情報処理装置を用いて、マルウェアと推定されるソフトウェアによって実行される入出力処理に関する履歴を表す第1履歴情報と、情報処理装置によって実行される入出力処理に関する履歴を表す第2履歴情報とが、類似または一致する度合を表す類似度を算出し、前記情報処理装置が、前記マルウェアに感染しているか否かを、前記類似度に基づき推定する。
本発明の第1の実施形態に係るマルウェア推定装置101が有する構成と、マルウェア推定装置101が行う処理とについて、図1と図2とを参照しながら詳細に説明する。図1は、本発明の第1の実施形態に係るマルウェア推定装置101が有する構成を示すブロック図である。図2は、第1の実施形態に係るマルウェア推定装置101における処理の流れを示すフローチャートである。
次に、上述した第1の実施形態を基本とする本発明の第2の実施形態について説明する。
(理由1)第2の実施形態に係るマルウェア推定装置201が有する構成は、第1の実施形態に係るマルウェア推定装置101が有する構成を含むからである、
(理由2)サンドボックス202が履歴情報を作成する(すなわち、第1履歴情報が作成される)のに応じて、類似度算出部102が類似度を算出するからである。
次に、上述した第1の実施形態を基本とする本発明の第3の実施形態について説明する。
上述した本発明の各実施形態におけるマルウェア推定装置を、1つの計算処理装置(情報処理装置、コンピュータ)を用いて実現するハードウェア資源の構成例について説明する。但し、係るマルウェア推定装置は、物理的または機能的に少なくとも2つの計算処理装置を用いて実現してもよい。また、係るマルウェア推定装置は、専用の装置として実現してもよい。
102 類似度算出部
103 推定部
501 情報処理装置
601 履歴情報
201 マルウェア推定装置
202 サンドボックス
211 ソフトウェア実行部
212 動作ログ取得部
213 通信部
214 ソフトウェア格納部
215 動作ログ格納部
216 スイッチ
221 クライアント
222 入出力取得部
223 仮想部
224 通信部
225 入出力格納部
226 スイッチ
231 実行部
232 動作監視部
233 ファイル格納部
234 通信部
111 マルウェア推定装置
113 推定部
20 計算処理装置
21 CPU
22 メモリ
23 ディスク
24 不揮発性記録媒体
25 入力装置
26 出力装置
27 通信IF
Claims (10)
- マルウェアと推定されるソフトウェアによって実行された第1種類の入出力処理に関する履歴を表す第1履歴情報と、情報処理装置によって実行された第2種類の入出力処理に関する履歴を表す第2履歴情報とが、類似または一致する度合を表す類似度を算出する類似度算出手段と、
前記情報処理装置が、前記マルウェアに感染しているか否かを、前記類似度に基づき推定する推定手段と
を備え、
前記類似度算出手段は、前記第1種類の入出力処理、及び、前記第2種類の入出力処理が関連付けされている情報から、前記第1履歴情報が表す前記履歴における前記入出力処理に関連付けされた前記第2種類の入出力処理を読み取り、読み取った当該入出力処理と、前記第2履歴情報が表す履歴とに基づき前記類似度を算出する
ことを特徴とするマルウェア推定装置。 - 外部との情報の送受信を制限した環境にて、前記マルウェアを実行することにより、前記第1履歴情報を作成するサンドボックス
をさらに備え、
前記類似度算出手段は、前記第1履歴情報が作成されるのに応じて、前記第1履歴情報と、前記第2履歴情報とに関する前記類似度を算出する
ことを特徴とする請求項1に記載のマルウェア推定装置。 - 前記類似度算出手段は、前記第1履歴情報における入出力処理の種類と、前記第2履歴情報における入出力処理との種類とが一致する場合に、前記度合が高いことを表す前記類似度を算出する
ことを特徴とする請求項1または請求項2に記載のマルウェア推定装置。 - 前記類似度算出手段は、前記第1履歴情報において処理対象の位置を表す情報と、前記第2履歴情報において処理対象の位置を表す情報との類似度に基づき、前記類似度を算出する
ことを特徴とする請求項1乃至請求項3のいずれかに記載のマルウェア推定装置。 - 前記推定手段は、前記類似度と、前記入出力処理の種類とに基づき、前記情報処理装置が前記マルウェアに感染しているか否か推定する
ことを特徴とする請求項3または請求項4に記載のマルウェア推定装置。 - 前記推定手段は、前記情報処理装置が前記マルウェアに感染している程度を推定するに際して、前記入出力処理の内容が、保存、実行、削除、作成なる順番にマルウェアに感染している程度が高くなり、前記保存よりも前記作成の方が前記程度が高い
ことを特徴とする請求項5に記載のマルウェア推定装置。 - 前記第1履歴情報を記憶可能な第1履歴情報記憶手段
をさらに備え、
前記類似度算出手段は、前記第2履歴情報を作成するのに応じて、前記第1履歴情報記憶手段が記憶する前記第1履歴情報を読み取り、読み取った前記第1履歴情報に基づき前記類似度を算出する
ことを特徴とする請求項1乃至請求項6のいずれかに記載のマルウェア推定装置。 - 計算処理装置によって、マルウェアと推定されるソフトウェアによって実行される第1種類の入出力処理に関する履歴を表す第1履歴情報と、情報処理装置によって実行される第2種類の入出力処理に関する履歴を表す第2履歴情報とが、類似または一致する度合を表す類似度を算出し、前記情報処理装置が、前記マルウェアに感染しているか否かを、前記類似度に基づき推定し、
前記類似度を算出する処理において、前記第1種類の入出力処理、及び、前記第2種類の入出力処理が関連付けされている情報から、前記第1履歴情報が表す前記履歴における前記入出力処理に関連付けされた前記第2種類の入出力処理を読み取り、読み取った当該入出力処理と、前記第2履歴情報が表す履歴とに基づき前記類似度を算出する
ことを特徴とするマルウェア推定方法。 - マルウェアと推定されるソフトウェアによって実行される第1種類の入出力処理に関する履歴を表す第1履歴情報と、情報処理装置によって実行される第2種類の入出力処理に関する履歴を表す第2履歴情報とが、類似または一致する度合を表す類似度を算出する類似度算出機能と、
前記情報処理装置が、前記マルウェアに感染しているか否かを、前記類似度に基づき推定する推定機能と
をコンピュータに実現させ、
前記類似度算出機能においては、前記第1種類の入出力処理、及び、前記第2種類の入出力処理が関連付けされている情報から、前記第1履歴情報が表す前記履歴における前記入出力処理に関連付けされた前記第2種類の入出力処理を読み取り、読み取った当該入出力処理と、前記第2履歴情報が表す履歴とに基づき前記類似度を算出する
ことを特徴とするマルウェア推定プログラム。 - 外部との情報の送受信を制限した環境にて、前記マルウェアを実行することにより、前記第1履歴情報を作成するサンドボックス機能
をさらに有し、
前記類似度算出機能において、前記第1履歴情報が作成されるのに応じて、前記第1履歴情報と、前記第2履歴情報とに関する前記類似度を算出する
ことを特徴とする請求項9に記載のマルウェア推定プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014161594A JP6459289B2 (ja) | 2014-08-07 | 2014-08-07 | マルウェア推定装置、マルウェア推定方法、及び、マルウェア推定プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014161594A JP6459289B2 (ja) | 2014-08-07 | 2014-08-07 | マルウェア推定装置、マルウェア推定方法、及び、マルウェア推定プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016038721A JP2016038721A (ja) | 2016-03-22 |
JP6459289B2 true JP6459289B2 (ja) | 2019-01-30 |
Family
ID=55529747
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014161594A Active JP6459289B2 (ja) | 2014-08-07 | 2014-08-07 | マルウェア推定装置、マルウェア推定方法、及び、マルウェア推定プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6459289B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7024720B2 (ja) | 2016-10-14 | 2022-02-24 | 日本電気株式会社 | マルウェア解析装置、マルウェア解析方法、及び、マルウェア解析プログラム |
JP6866645B2 (ja) * | 2017-01-05 | 2021-04-28 | 富士通株式会社 | 類似度判定プログラム、類似度判定方法および情報処理装置 |
JP2018109910A (ja) | 2017-01-05 | 2018-07-12 | 富士通株式会社 | 類似度判定プログラム、類似度判定方法および情報処理装置 |
JP2022065703A (ja) | 2020-10-16 | 2022-04-28 | 富士通株式会社 | 情報処理プログラム、情報処理方法、および情報処理装置 |
CN112835853B (zh) * | 2020-12-31 | 2024-03-22 | 北京聚云科技有限公司 | 一种数据处理类型确定方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5083760B2 (ja) * | 2007-08-03 | 2012-11-28 | 独立行政法人情報通信研究機構 | マルウェアの類似性検査方法及び装置 |
JP2011138422A (ja) * | 2009-12-29 | 2011-07-14 | Nippon Telegr & Teleph Corp <Ntt> | 行動パターン検出装置、行動パターン検出方法及び行動パターン検出プログラム |
TWI419003B (zh) * | 2010-11-12 | 2013-12-11 | Univ Nat Chiao Tung | 自動化分析與分類惡意程式之方法及系統 |
-
2014
- 2014-08-07 JP JP2014161594A patent/JP6459289B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016038721A (ja) | 2016-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8904536B2 (en) | Heuristic method of code analysis | |
RU2531861C1 (ru) | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса | |
US8307435B1 (en) | Software object corruption detection | |
US9679136B2 (en) | Method and system for discrete stateful behavioral analysis | |
JP6459289B2 (ja) | マルウェア推定装置、マルウェア推定方法、及び、マルウェア推定プログラム | |
EP2973170B1 (en) | Profiling code execution | |
EP2513836B1 (en) | Obfuscated malware detection | |
US20130239214A1 (en) | Method for detecting and removing malware | |
US8336100B1 (en) | Systems and methods for using reputation data to detect packed malware | |
CN109983464B (zh) | 检测恶意脚本 | |
US20180285565A1 (en) | Malware detection in applications based on presence of computer generated strings | |
JP2014071796A (ja) | マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム | |
JP6000465B2 (ja) | プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法 | |
TWI656453B (zh) | 檢測系統及檢測方法 | |
EP3087527B1 (en) | System and method of detecting malicious multimedia files | |
Choi et al. | All‐in‐One Framework for Detection, Unpacking, and Verification for Malware Analysis | |
US20190012486A1 (en) | System and Method for Enabling a Malware Prevention Module in Response to a Context Switch Within A Certain Process Being Executed by A Processor | |
US20190005226A1 (en) | Automatic unpacking of executables | |
US10303876B2 (en) | Persistence probing to detect malware | |
US10880316B2 (en) | Method and system for determining initial execution of an attack | |
CN110659478A (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
US8291494B1 (en) | System, method, and computer program product for detecting unwanted activity associated with an object, based on an attribute associated with the object | |
KR101983997B1 (ko) | 악성코드 검출시스템 및 검출방법 | |
WO2020161780A1 (ja) | 行動計画推定装置、行動計画推定方法、及びコンピュータ読み取り可能な記録媒体 | |
US9607148B1 (en) | Method and apparatus for detecting malware on a computer system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170718 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180312 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180327 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180524 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181002 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181122 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181204 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181217 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6459289 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |