JP6527111B2 - 解析装置、解析方法および解析プログラム - Google Patents
解析装置、解析方法および解析プログラム Download PDFInfo
- Publication number
- JP6527111B2 JP6527111B2 JP2016118978A JP2016118978A JP6527111B2 JP 6527111 B2 JP6527111 B2 JP 6527111B2 JP 2016118978 A JP2016118978 A JP 2016118978A JP 2016118978 A JP2016118978 A JP 2016118978A JP 6527111 B2 JP6527111 B2 JP 6527111B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- url
- access
- client environment
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
次に、ブラウザエミュレータ11を説明する。ブラウザエミュレータ11は、クライアント環境模擬部11aと、アクセス部11bと、スクリプト動的解析部11cとを備える。
次に、制御部13を説明する。制御部13は、URLリスト作成部13aと、アクセス指示部13bと、登録処理部13cと、クライアント環境構成部13dと、ログ解析部13eとを備える。
図8に、図1における脆弱性情報データベース30に登録する項目例を示す。図8は、脆弱性情報データベースに記憶された脆弱性情報の一例を示す図である。図8の情報は、脆弱性情報掲載ウェブサイト70から取得した脆弱性情報を蓄積する脆弱性情報データベース30の項目例である。
図12および図13に、図1における解析情報データベース40に登録する項目例を示す。図12は、解析情報データベースに記憶されたアクセスログの一例を示す図である。図13は、解析情報データベースに記憶された転送情報の一例を示す図である。図12に例示するアクセスログは、解析対象のウェブサイトURLとウェブサイト解析に使用したクライアント環境情報(例えば、脆弱性情報データベース30におけるOS、ブラウザ、プラグインの情報)、アクセスした際のタイムスタンプである。
次に、図14を用いて、ブラウザエミュレータ11によるウェブサイト解析の処理手順の例を説明する。図14は、ブラウザエミュレータによるウェブサイト解析の処理手順の例を示すフローチャートである。
本実施形態に係るブラウザエミュレータマネージャ10は、疑似的に設定された異なるクライアント環境で、複数のウェブサイトへのアクセスをそれぞれ実行する。そして、ブラウザエミュレータマネージャ10は、アクセスが実行されたアクセス先のURLと、該アクセス先のURLから転送された転送先のURLと、アクセス時のクライアント環境の情報とを対応付けて解析情報データベース40に登録する。続いて、ブラウザエミュレータマネージャ10は、登録した転送先のURLのうち、悪性なウェブサイトのURLを特定し、該URLに対応付けられたクライアント環境の情報に基づいて、悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析する。これにより、悪性URLへの転送対象となるクライアント環境を適切に特定することが可能となる。
なお、上述したシステムは、ブラウザエミュレータ11を用いて解析対象ウェブサイト60にアクセスすることとしたが、ブラウザエミュレータ11以外(例えば、実際のクライアント環境のブラウザ)を用いて解析対象ウェブサイト60にアクセスしてもよい。
また、上記の実施形態で述べたブラウザエミュレータマネージャ10は、上記の処理を実行するブラウザエミュレータマネージャ10を所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のブラウザエミュレータマネージャ10を情報処理装置に実行させることにより、情報処理装置をブラウザエミュレータマネージャ10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等のスレート端末等がその範疇に含まれる。また、ブラウザエミュレータマネージャ23を、Webサーバやクラウドとして実装してもよい。
10 ブラウザエミュレータマネージャ
11 ブラウザエミュレータ
12 ホストシステム
13 制御部
13a URLリスト作成部
13b アクセス指示部
13c 登録処理部
13d クライアント環境構成部
13e ログ解析部
20 脆弱性情報収集装置
30 脆弱性情報データベース
40 解析情報データベース
50 パケット転送装置
60 解析対象ウェブサイト
70 脆弱性情報掲載ウェブサイト
Claims (7)
- 疑似的に設定された異なるクライアント環境で、複数のウェブサイトへのアクセスをそれぞれ実行するアクセス部と、
前記アクセス部によってアクセスが実行されたアクセス先のURLと、該アクセス先のURLから転送された転送先のURLと、アクセス時のクライアント環境の情報とを対応付けて記憶部に登録する登録処理部と、
前記登録処理部によって登録された転送先のURLのうち、悪性なウェブサイトのURLを特定し、該URLに対応付けられたクライアント環境の情報に基づいて、前記悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析する解析部と
を備えることを特徴とする解析装置。 - 前記クライアント環境が有する既知の脆弱性に関する情報を取得し、該脆弱性に関する情報を用いて、脆弱性を有するクライアント環境のリストを作成し、該リストのクライアント環境をそれぞれ設定する環境構成部をさらに備え、
前記アクセス部は、前記環境構成部によって設定されたクライアント環境で、ウェブサイトへのアクセスを実行することを特徴とする請求項1に記載の解析装置。 - 前記環境構成部は、前記脆弱性に関する情報を用いて、同じ脆弱性を有するクライアント環境同士を集約して前記リストを作成し、該リストのクライアント環境をそれぞれ設定することを特徴とする請求項2に記載の解析装置。
- 前記解析部は、前記登録処理部によって登録されたアクセス先のURLが互いに同一である複数のレコードを前記記憶部から取得し、該複数のレコードのなかから悪性なウェブサイトのURLを転送先のURLに含むレコードを特定し、該レコードに対応付けられたクライアント環境の情報と他のレコードのクライアント環境の情報とを比較し、該複数のクライアント環境の情報の差異から前記悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析することを特徴とする請求項1に記載の解析装置。
- 前記アクセス部によってアクセスされたウェブサイトに含まれるスクリプトを監視してクライアント環境を特定するブラウザフィンガープリンティングを検知し、該ブラウザフィンガープリンティングにより取得されたクライアント環境の情報の種別を特定するスクリプト動的解析部をさらに備え、
前記解析部は、前記スクリプト動的解析部により前記ブラウザフィンガープリンティングにより取得されたクライアント環境の情報の種別が特定された場合に、該クライアント環境の情報の種別について、前記悪性なウェブサイトのURLを転送先のURLに含むレコードに対応付けられたクライアント環境と他のレコードのクライアント環境とを比較し、該複数のクライアント環境の情報の差異から前記悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析することを特徴とする請求項4に記載の解析装置。 - 解析装置で実行される解析方法であって、
疑似的に設定された異なるクライアント環境で、複数のウェブサイトへのアクセスをそれぞれ実行するアクセス工程と、
前記アクセス工程によってアクセスが実行されたアクセス先のURLと、該アクセス先のURLから転送された転送先のURLと、アクセス時のクライアント環境の情報とを対応付けて記憶部に登録する登録処理工程と、
前記登録処理工程によって登録された転送先のURLのうち、悪性なウェブサイトのURLを特定し、該URLに対応付けられたクライアント環境の情報に基づいて、前記悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析する解析工程と
を含んだことを特徴とする解析方法。 - 疑似的に設定された異なるクライアント環境で、複数のウェブサイトへのアクセスをそれぞれ実行するアクセスステップと、
前記アクセスステップによってアクセスが実行されたアクセス先のURLと、該アクセス先のURLから転送された転送先のURLと、アクセス時のクライアント環境の情報とを対応付けて記憶部に登録する登録処理ステップと、
前記登録処理ステップによって登録された転送先のURLのうち、悪性なウェブサイトのURLを特定し、該URLに対応付けられたクライアント環境の情報に基づいて、前記悪性なウェブサイトへの転送対象となるクライアント環境の情報を解析する解析ステップと
をコンピュータに実行させることを特徴とする解析プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016118978A JP6527111B2 (ja) | 2016-06-15 | 2016-06-15 | 解析装置、解析方法および解析プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016118978A JP6527111B2 (ja) | 2016-06-15 | 2016-06-15 | 解析装置、解析方法および解析プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017224150A JP2017224150A (ja) | 2017-12-21 |
JP6527111B2 true JP6527111B2 (ja) | 2019-06-05 |
Family
ID=60687121
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016118978A Active JP6527111B2 (ja) | 2016-06-15 | 2016-06-15 | 解析装置、解析方法および解析プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6527111B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7030386B2 (ja) * | 2017-11-22 | 2022-03-07 | 株式会社大一商会 | 遊技機 |
TW201941094A (zh) * | 2018-03-20 | 2019-10-16 | 日商日本電氣股份有限公司 | 漏洞調查系統、傳輸伺服器、漏洞調查方法及程式 |
JP7359288B2 (ja) * | 2020-03-16 | 2023-10-11 | 日本電信電話株式会社 | 脆弱性判定装置、脆弱性判定方法、および、脆弱性判定プログラム |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5274227B2 (ja) * | 2008-12-10 | 2013-08-28 | 株式会社ラック | ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム |
JP6169497B2 (ja) * | 2014-01-10 | 2017-07-26 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 接続先情報判定装置、接続先情報判定方法、及びプログラム |
EP3153986B1 (en) * | 2014-08-11 | 2018-09-12 | Nippon Telegraph and Telephone Corporation | Browser-emulator device, construction device, browser emulation method, browser emulation program, construction method, and construction program |
-
2016
- 2016-06-15 JP JP2016118978A patent/JP6527111B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017224150A (ja) | 2017-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11941054B2 (en) | Iterative constraint solving in abstract graph matching for cyber incident reasoning | |
CN108780485B (zh) | 基于模式匹配的数据集提取 | |
US11089038B2 (en) | Safe sharing of sensitive data | |
US11184374B2 (en) | Endpoint inter-process activity extraction and pattern matching | |
Rathnayaka et al. | An efficient approach for advanced malware analysis using memory forensic technique | |
CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
JP6687761B2 (ja) | 結合装置、結合方法および結合プログラム | |
JP6450022B2 (ja) | 解析装置、解析方法、および、解析プログラム | |
Talukder | Tools and techniques for malware detection and analysis | |
CN114679329A (zh) | 基于赝象对恶意软件自动分组 | |
Cao et al. | JShield: Towards real-time and vulnerability-based detection of polluted drive-by download attacks | |
Chen et al. | Mass discovery of android traffic imprints through instantiated partial execution | |
JP6114480B2 (ja) | 構築装置、構築方法、および、構築プログラム | |
JP5752642B2 (ja) | 監視装置および監視方法 | |
Lamprakis et al. | Unsupervised detection of APT C&C channels using web request graphs | |
JP6527111B2 (ja) | 解析装置、解析方法および解析プログラム | |
Fatemi et al. | Threat hunting in windows using big security log data | |
Sharif | Web attacks analysis and mitigation techniques | |
US11163882B2 (en) | Analysis apparatus, analysis method, and analysis program | |
Latib et al. | Analysing log files for web intrusion investigation using hadoop | |
Kaur et al. | Hybrid real-time zero-day malware analysis and reporting system | |
Takata et al. | Identifying evasive code in malicious websites by analyzing redirection differences | |
Kaur et al. | UAC: a lightweight and scalable approach to detect malicious web pages | |
Takata et al. | Understanding evasion techniques that abuse differences among javascript implementations | |
Hsu et al. | A Cloud-based Protection approach against JavaScript-based attacks to browsers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180607 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190328 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190507 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190509 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6527111 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |