JP6631118B2 - ネットワーク保護装置、ネットワーク保護方法、ネットワーク保護プログラム及び情報処理システム - Google Patents
ネットワーク保護装置、ネットワーク保護方法、ネットワーク保護プログラム及び情報処理システム Download PDFInfo
- Publication number
- JP6631118B2 JP6631118B2 JP2015184676A JP2015184676A JP6631118B2 JP 6631118 B2 JP6631118 B2 JP 6631118B2 JP 2015184676 A JP2015184676 A JP 2015184676A JP 2015184676 A JP2015184676 A JP 2015184676A JP 6631118 B2 JP6631118 B2 JP 6631118B2
- Authority
- JP
- Japan
- Prior art keywords
- network protection
- malware
- information
- operating system
- hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Description
図1は、情報処理システム10の全体構成を説明する図である。図1に示す情報処理システム10は、端末装置1a、1b及び1c(以下、これらを総称して端末装置1またはネットワーク保護装置1とも呼ぶ)と、検証装置2と、ファイアーウォール装置3とを有する。
次に、検証装置2の処理の具体例について説明を行う。図2から図6は、マルウエアが添付されたメールを受信した場合における検証装置2の処理の具体例を説明する図である。
図7は、耐解析機能を有するマルウエアを受信した場合における検証装置2の処理の具体例を説明する図である。図7に示す検証装置2において、ハイパーバイザ24は、検証装置2のハードウエア25(物理リソース)上で動作し、仮想マシン21の生成または削除を行う。具体的に、ハイパーバイザ24は、仮想マシン21を生成する場合、ハイパーバイザ24上に仮想OS21c(以下、ゲストOS21cとも呼ぶ)を生成し、ハードウエア25の一部を仮想マシン21のハードウエア(以下、仮想ハードウエアとも呼ぶ)として割り当てる。一方、ハイパーバイザ24は、仮想マシン21を削除する場合、ハイパーバイザ24上に生成された仮想OS21cを削除し、仮想マシン21の仮想ハードウエアを解放する。
次に、図8は、耐解析機能を有するマルウエアを受信した場合における端末装置1の処理の具体例を説明する図である。図8に示す端末装置1において、ハイパーバイザ14は、端末装置1のハードウエア15(物理リソース)上で動作し、仮想マシン11の生成または削除を行う。具体的に、ハイパーバイザ14は、仮想マシン11を生成する場合、ハイパーバイザ14上に仮想OS11c(以下、ゲストOS11cとも呼ぶ)を生成し、ハードウエア15の一部を仮想マシン11の仮想ハードウエアとして割り当てる。一方、ハイパーバイザ14は、仮想マシン11を削除する場合、ハイパーバイザ14上に生成された仮想OS11cを削除し、仮想マシン11の仮想ハードウエアを解放する。
図9及び図10は、マルウエア31aに誤った判定をさせる場合の処理の具体例を説明する図である。ソフトウエア31a(マルウエア31aである可能性あり)から仮想OS11cに対して、実行された現在の環境が何らかのプログラム上であるか否かの問い合わせが送信された場合、フック装置4は、図9に示すように、送信された問い合わせが仮想OS11cに到達する前に取得する。そして、フック装置4は、取得した問い合わせの内容が記憶部4aに記憶された情報と一致する場合、その問い合わせを仮想OS11cに送信しない。さらに、フック装置4は、この場合、ソフトウエア31aに対して、実行された現在の環境が何らかのプログラム上である旨の情報(悪性動作を開始すべきでない旨の情報)を送信する。
次に、端末装置1のハードウエア構成について説明する。図11は、端末装置1のハードウエア構成を説明する図である。
次に、端末装置1のソフトウエア構成について説明する。図12は、図11の端末装置1の機能ブロック図である。CPU101は、プログラム110と協働することにより、端末装置1のハイパーバイザ14の機能である命令フック部111と、命令判定部112と、命令変換部113と、返り値送信部114と、ポリシー受信部115と、ポリシー管理部116として機能する。また、情報格納領域130には、ポリシー情報131が記憶されている。なお、以下、命令フック部111、命令判定部112、命令変換部113及び返り値送信部114をまとめて処理部120とも呼ぶ。
次に、第1の実施の形態の概略について説明する。図13及び図14は、第1の実施の形態におけるネットワーク保護処理の概略を説明するフローチャート図である。また、図15から図17は、第1の実施の形態におけるネットワーク保護処理の概略を説明する図である。図15から図17を参照しながら図13及び図14のネットワーク保護処理の概略を説明する。なお、以下、端末装置1は、検証装置2からポリシー情報131を受信するものとして説明を行う。
初めに、端末装置1がポリシー情報131を記憶する際の処理について説明を行う。
次に、ソフトウエア31aがハードウエア15に送信した情報をフックする際の処理について説明を行う。
次に、第1の実施の形態の詳細について説明する。図18から図20は、第1の実施の形態におけるネットワーク保護処理の詳細を説明するフローチャート図である。また、図21から図23は、第1の実施の形態におけるネットワーク保護処理の詳細を説明する図である。図21から図23を参照しながら、図18から図20のネットワーク保護処理を説明する。
初めに、検証装置2におけるネットワーク保護処理について説明する。図18は、検証装置2におけるネットワーク保護処理を説明するフローチャート図である。
図21から図23は、ポリシー情報131の具体例である。初めに、S26の処理が行われる前のポリシー情報131の具体例について説明する。
図23は、検証装置2の環境情報を有するポリシー情報131の具体例である。図23に示すポリシー情報131は、ポリシー情報131の各情報を識別する「項番」と、検証装置2の環境情報の項目を設定する「環境情報」と、検証装置2の環境情報の内容を設定する「内容」とを項目として有している。
次に、端末装置1におけるネットワーク保護処理について説明する。図19及び図20は、端末装置1におけるネットワーク保護処理を説明するフローチャート図である。
マルウエアからオペレーティングシステムを介してハードウエアに対して送信される命令を記憶する記憶部と、
前記オペレーティングシステムから前記ハードウエアに対して送信された第1命令をフックし、フックした前記第1命令が前記記憶部に記憶された命令に含まれる場合、前記マルウエアに動作を終了する旨の判定をさせるための情報を前記オペレーティングシステムに送信する処理部と、を有する、
ことを特徴とするネットワーク保護装置。
付記1において、
前記記憶部に記憶された命令は、前記ネットワーク保護装置に対して送信されたソフトウエアを検証装置で実行した際に、前記検証装置のオペレーティングシステムから前記検証装置のハードウエアに対して送信された命令である、
ことを特徴とするネットワーク保護装置。
付記2において、
前記検証装置は、前記ネットワーク保護装置に対して送信されたソフトウエアを、前記ソフトウエアが前記ネットワーク保護装置に送信される前に実行し、前記ソフトウエアを前記ネットワーク保護装置に対して送信する前に、前記検証装置のオペレーティングシステムから前記検証装置のハードウエアに対して送信された命令を前記記憶部に記憶する、
ことを特徴とするネットワーク保護装置。
付記2において、
前記マルウエアに動作を終了する旨の判定をさせるための情報は、前記検証装置のオペレーティングシステムが前記検証装置のハードウエアに送信した命令に対し、前記検証装置のハードウエアが前記検証装置のオペレーティングシステムに送信した情報と同じ情報である、
ことを特徴とするネットワーク保護装置。
付記4において、
前記マルウエアに動作を終了する旨の判定をさせるための情報は、前記オペレーティングシステムが仮想オペレーティングシステムであり、前記検証装置のオペレーティングシステムと同じオペレーティングシステムであることを示す情報である、
ことを特徴とするネットワーク保護装置。
付記1において、
前記処理部は、前記第1命令が前記記憶部に記憶された命令に含まれる場合、前記第1命令を前記ハードウエアに送信することなく、前記マルウエアに動作を終了する旨の判定をさせるための情報を前記オペレーティングシステムに送信する、
ことを特徴とするネットワーク保護装置。
付記1において、
前記処理部は、フックした前記第1命令が前記記憶部に記憶された命令に含まれない場合、前記第1命令を前記ハードウエアに送信する、
ことを特徴とするネットワーク保護装置。
マルウエアからオペレーティングシステムを介してハードウエアに対して送信される命令を記憶部に記憶し、
前記オペレーティングシステムから前記ハードウエアに対して送信された第1命令をフックし、フックした前記第1命令が前記記憶部に記憶された命令に含まれる場合、前記マルウエアに動作を終了する旨の判定をさせるための情報を前記オペレーティングシステムに送信する、
ことを特徴とするネットワーク保護方法。
コンピュータに、
マルウエアからオペレーティングシステムを介してハードウエアに対して送信される命令を記憶部に記憶し、
前記オペレーティングシステムから前記ハードウエアに対して送信された第1命令をフックし、フックした前記第1命令が前記記憶部に記憶された命令に含まれる場合、前記マルウエアに動作を終了する旨の判定をさせるための情報を前記オペレーティングシステムに送信する、
ことを実行させることを特徴とするネットワーク保護プログラム。
1c:端末装置 2:検証装置
3:ファイアーウォール装置 31:外部端末
NW:ネットワーク
Claims (8)
- マルウエアによる自装置に対する攻撃を防止するネットワーク保護装置であって、
前記ネットワーク保護装置と異なる装置である検証装置のオペレーティングシステムから前記検証装置のハードウエアに対して送信された命令を記憶する記憶部と、
前記ネットワーク保護装置のオペレーティングシステムから前記ネットワーク保護装置のハードウエアに対して送信された第1命令をフックし、フックした前記第1命令が前記記憶部に記憶された命令に含まれる場合、マルウエアに動作を終了する旨の判定をさせるための情報を前記ネットワーク保護装置のオペレーティングシステムに送信する処理部と、を有する、
ことを特徴とするネットワーク保護装置。 - 請求項1において、
前記検証装置は、前記ネットワーク保護装置に対して送信されたソフトウエアを、前記ソフトウエアが前記ネットワーク保護装置に送信される前に実行し、前記ソフトウエアを前記ネットワーク保護装置に対して送信する前に、前記検証装置のオペレーティングシステムから前記検証装置のハードウエアに対して送信された命令を前記記憶部に記憶する、
ことを特徴とするネットワーク保護装置。 - 請求項1において、
前記マルウエアに動作を終了する旨の判定をさせるための情報は、前記検証装置のオペレーティングシステムが前記検証装置のハードウエアに送信した命令に対し、前記検証装置のハードウエアが前記検証装置のオペレーティングシステムに送信した情報と同じ情報である、
ことを特徴とするネットワーク保護装置。 - 請求項3において、
前記マルウエアに動作を終了する旨の判定をさせるための情報は、前記ネットワーク保護装置のオペレーティングシステムが仮想オペレーティングシステムであり、前記検証装置のオペレーティングシステムと同じオペレーティングシステムであることを示す情報である、
ことを特徴とするネットワーク保護装置。 - 請求項1において、
前記処理部は、前記第1命令が前記記憶部に記憶された命令に含まれる場合、前記第1命令を前記ハードウエアに送信することなく、前記マルウエアに動作を終了する旨の判定をさせるための情報を前記ネットワーク保護装置のオペレーティングシステムに送信する、
ことを特徴とするネットワーク保護装置。 - マルウエアによる自装置に対する攻撃を防止するネットワーク保護装置におけるネットワーク保護方法であって、
前記ネットワーク保護装置と異なる装置である検証装置のオペレーティングシステムから前記検証装置のハードウエアに対して送信された命令を記憶部に記憶し、
前記ネットワーク保護装置のオペレーティングシステムから前記ネットワーク保護装置のハードウエアに対して送信された第1命令をフックし、フックした前記第1命令が前記記憶部に記憶された命令に含まれる場合、マルウエアに動作を終了する旨の判定をさせるための情報を前記ネットワーク保護装置のオペレーティングシステムに送信する、
ことを特徴とするネットワーク保護方法。 - マルウエアによる自装置に対する攻撃を防止する処理をネットワーク保護装置のコンピュータに実行させるネットワーク保護プログラムであって、
前記ネットワーク保護装置と異なる装置である検証装置のオペレーティングシステムから前記検証装置のハードウエアに対して送信された命令を記憶部に記憶し、
前記ネットワーク保護装置のオペレーティングシステムから前記ネットワーク保護装置のハードウエアに対して送信された第1命令をフックし、フックした前記第1命令が前記記憶部に記憶された命令に含まれる場合、マルウエアに動作を終了する旨の判定をさせるための情報を前記ネットワーク保護装置のオペレーティングシステムに送信する、
ことを特徴とするネットワーク保護プログラム。 - ネットワーク保護装置と、前記ネットワーク保護装置に対するマルウエアの攻撃を防止する検証装置と、を有する情報処理システムであって、
前記検証装置は、
前記ネットワーク保護装置に対して送信されたソフトウエアを、前記ソフトウエアが前記ネットワーク保護装置に送信される前に実行し、
前記ソフトウエアを前記ネットワーク保護装置に対して送信する前に、前記検証装置のオペレーティングシステムから前記検証装置のハードウエアに対して送信された命令を前記ネットワーク保護装置に送信し、
前記ネットワーク保護装置は、
前記検証装置から送信された命令を記憶部に記憶し、
前記ネットワーク保護装置のオペレーティングシステムから前記ネットワーク保護装置のハードウエアに対して送信された第1命令をフックし、フックした前記第1命令が前記記憶部に記憶された命令に含まれる場合、前記マルウエアに動作を終了する旨の判定をさせるための情報を前記ネットワーク保護装置のオペレーティングシステムに送信する、
ことを特徴とする情報処理システム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015184676A JP6631118B2 (ja) | 2015-09-18 | 2015-09-18 | ネットワーク保護装置、ネットワーク保護方法、ネットワーク保護プログラム及び情報処理システム |
US15/246,878 US10339314B2 (en) | 2015-09-18 | 2016-08-25 | Device, method and storage medium for terminating operation of software that is not successfully verified |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015184676A JP6631118B2 (ja) | 2015-09-18 | 2015-09-18 | ネットワーク保護装置、ネットワーク保護方法、ネットワーク保護プログラム及び情報処理システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017059083A JP2017059083A (ja) | 2017-03-23 |
JP6631118B2 true JP6631118B2 (ja) | 2020-01-15 |
Family
ID=58282968
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015184676A Active JP6631118B2 (ja) | 2015-09-18 | 2015-09-18 | ネットワーク保護装置、ネットワーク保護方法、ネットワーク保護プログラム及び情報処理システム |
Country Status (2)
Country | Link |
---|---|
US (1) | US10339314B2 (ja) |
JP (1) | JP6631118B2 (ja) |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004126854A (ja) | 2002-10-01 | 2004-04-22 | Mitsubishi Electric Corp | 攻撃対策装置 |
JP2008176352A (ja) | 2007-01-16 | 2008-07-31 | Lac Co Ltd | コンピュータプログラム、コンピュータ装置、及び動作制御方法 |
WO2009102006A1 (ja) | 2008-02-14 | 2009-08-20 | Nec Corporation | アクセス制御装置、その方法及び情報記録媒体 |
WO2009151888A2 (en) * | 2008-05-19 | 2009-12-17 | Authentium, Inc. | Secure virtualization system software |
KR101122646B1 (ko) | 2010-04-28 | 2012-03-09 | 한국전자통신연구원 | 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치 |
US9396329B2 (en) * | 2011-10-17 | 2016-07-19 | Intel Corporation | Methods and apparatus for a safe and secure software update solution against attacks from malicious or unauthorized programs to update protected secondary storage |
US9223962B1 (en) * | 2012-07-03 | 2015-12-29 | Bromium, Inc. | Micro-virtual machine forensics and detection |
-
2015
- 2015-09-18 JP JP2015184676A patent/JP6631118B2/ja active Active
-
2016
- 2016-08-25 US US15/246,878 patent/US10339314B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US10339314B2 (en) | 2019-07-02 |
JP2017059083A (ja) | 2017-03-23 |
US20170083706A1 (en) | 2017-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200366694A1 (en) | Methods and systems for malware host correlation | |
US11797677B2 (en) | Cloud based just in time memory analysis for malware detection | |
JP5813743B2 (ja) | システムオンチップ基盤のアンチマルウェアサービスを提供できるデバイス及びその方法 | |
CN107977573B (zh) | 用于安全的盘访问控制的方法和系统 | |
US10033745B2 (en) | Method and system for virtual security isolation | |
US20150089647A1 (en) | Distributed Sample Analysis | |
US20050172337A1 (en) | System and method for unpacking packed executables for malware evaluation | |
JP4025882B2 (ja) | コンピュータウィルス固有情報抽出装置、コンピュータウィルス固有情報抽出方法及びコンピュータウィルス固有情報抽出プログラム | |
US20180137274A1 (en) | Malware analysis method and storage medium | |
JP6738013B2 (ja) | 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置 | |
KR100985076B1 (ko) | Usb 디바이스 보안 장치 및 방법 | |
US20170331857A1 (en) | Non-transitory recording medium storing data protection program, data protection method, and data protection apparatus | |
US8578495B2 (en) | System and method for analyzing packed files | |
JP6631118B2 (ja) | ネットワーク保護装置、ネットワーク保護方法、ネットワーク保護プログラム及び情報処理システム | |
JP6623656B2 (ja) | 通信制御装置、通信制御方法及び通信制御プログラム | |
KR20170036465A (ko) | 악성 코드 탐지 시스템 및 방법 | |
JP2014225302A (ja) | ウイルス検出プログラム、ウイルス検出方法、及びコンピュータ | |
US10250625B2 (en) | Information processing device, communication history analysis method, and medium | |
KR20090054359A (ko) | 악성코드 자동실행 차단 장치 및 방법 | |
JP2017129893A (ja) | マルウェア検知方法及びシステム | |
JP6911723B2 (ja) | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム | |
JP2019125243A (ja) | マルウェア検知システムおよびマルウェア検知方法 | |
JP2013061994A (ja) | ウイルス検出プログラム、ウイルス検出方法、監視プログラム、監視方法、及びコンピュータ | |
JP6687844B2 (ja) | マルウエア解析装置、マルウエア解析方法及びマルウエア解析プログラム | |
JP2018041163A (ja) | マルウエア検知プログラム、マルウエア検知装置及びマルウエア検知方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180608 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190320 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190423 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190613 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191112 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191125 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6631118 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |