JP6711000B2 - 情報処理装置、ウィルス検出方法及びプログラム - Google Patents
情報処理装置、ウィルス検出方法及びプログラム Download PDFInfo
- Publication number
- JP6711000B2 JP6711000B2 JP2016025099A JP2016025099A JP6711000B2 JP 6711000 B2 JP6711000 B2 JP 6711000B2 JP 2016025099 A JP2016025099 A JP 2016025099A JP 2016025099 A JP2016025099 A JP 2016025099A JP 6711000 B2 JP6711000 B2 JP 6711000B2
- Authority
- JP
- Japan
- Prior art keywords
- virus
- target file
- action
- possibility
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リストを記憶する記憶部と、
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備える。
対象ファイルを仮想マシン上で実行し、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する。
対象ファイルを仮想マシン上で実行する処理と、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
をコンピュータに実行させる。
図1は、本発明の実施の形態1にかかる情報処理装置100の構成を示すブロック図である。情報処理装置100は、記憶部110と、仮想マシン120と、検出部130と、算出部140と、判定部150とを備える。記憶部110は、行動リスト111を記憶する。行動リスト111は、複数の行動112と複数の重み付け値113とを対応付けた情報である。
本実施の形態2は、上述した実施の形態1の具体的な実施例である。図3は、本発明の実施の形態2にかかる情報システムの全体構成を示すブロック図である。情報システムには、端末群1と、ウィルススキャンサーバ2と、NW機器群3とが含まれる。端末群1には、複数の端末11〜16が含まれ、各端末は、ウィルススキャンサーバ2と通信回線により接続されている。また、NW機器群3には、複数のNW機器31〜33が含まれ、各NW機器は、ウィルススキャンサーバ2と通信回線により接続されている。つまり、ウィルススキャンサーバ2は、端末群1とNW機器群3の間に配置されている。そして、ウィルススキャンサーバ2は、外部のネットワーク(インターネット等)からNW機器群3を経由して端末群1へ転送されるファイルについて、事前にウィルス検査を行うものである。
(I)隠す行動:ファイルを隠す、サービスを隠す、レジストリを隠す、ポートを隠す、プロセスを隠す等の行動が挙げられる。例えば、「ファイルを隠す」とは、フォルダ内に保存されているファイルの属性を変更して、一般ユーザに対しては非表示にする処理を示す。また、「プロセスを隠す」とは、例えば、対象ファイルの実行に起因して、何らかのプロセスをプロセス監視ツール上で認識できないようにする処理を示す。
尚、上述した実施の形態は、クラウドコンピューティング以外にも適用可能である。また、上述した図6及び図7の処理の流れは一例であり、本実施の形態はこれらに限定されない。
(付記1)
ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リストを記憶する記憶部と、
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備える情報処理装置。
(付記2)
前記算出部は、前記対象ファイルについて、前記検出された全ての行動に前記重み付け値を合計して、前記ウィルス可能性情報を算出する
付記1に記載の情報処理装置。
(付記3)
前記記憶部は、ウィルスの可能性の高いファイルの取得元を記録したブラックリストをさらに記憶し、
前記対象ファイルの取得元が前記ブラックリストに含まれる場合に、当該対象ファイルについてディープインスペクションを実行し、当該取得元が前記ブラックリストに含まれない場合に、クイックインスペクションを実行するウィルススキャン部をさらに備える、
付記1又は2に記載の情報処理装置。
(付記4)
前記検出部は、
前記ディープインスペクション又は前記クイックインスペクションの結果、ウィルスが検出されなかった場合に、前記仮想マシン上で前記対象ファイルの実行を行う
付記3に記載の情報処理装置。
(付記5)
前記情報処理装置は、前記仮想マシンを複数有し、
前記検出部は、異なる前記対象ファイルについて、異なる前記仮想マシン上で並列に実行を行う
付記1乃至4のいずれか1項に記載の情報処理装置。
(付記6)
前記重み付け値は、複数のサンプルウィルスにおいて前記行動リスト内の行動が実行される度合いに基づく値である
付記1乃至5のいずれか1項に記載の情報処理装置。
(付記7)
前記判定部は、
前記ウィルス可能性情報が所定の閾値を上回る場合に、前記対象ファイルをウィルスとして判定する
付記2に記載の情報処理装置。
(付記8)
対象ファイルを仮想マシン上で実行し、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する
ウィルス検出方法。
(付記9)
対象ファイルを仮想マシン上で実行する処理と、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
を前記コンピュータに実行させるウィルス検出プログラム。
110 記憶部
111 行動リスト
112 行動
113 重み付け値
120 仮想マシン
130 検出部
140 算出部
150 判定部
1 端末群
11〜16 端末
2 ウィルススキャンサーバ
3 NW機器群
31〜33 NW機器
21 分析部
22 HASH計算部
23 ウィルススキャン部
24 ウィルス実行部
25 データ処理部
26 記憶部
261 ブラックリスト
262 HASH値
263 行動リスト
Claims (8)
- ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リストを記憶する記憶部と、
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備え、
前記重み付け値は、複数のサンプルウィルスにおいて前記行動リスト内の行動が実行される度合いと、各行動に対して予め設定された重要度とに基づく値である
情報処理装置。 - 前記算出部は、前記対象ファイルについて、前記検出された全ての行動に前記重み付け値を合計して、前記ウィルス可能性情報を算出する
請求項1に記載の情報処理装置。 - 前記記憶部は、ウィルスの可能性の高いファイルの取得元を記録したブラックリストをさらに記憶し、
前記対象ファイルの取得元が前記ブラックリストに含まれる場合に、当該対象ファイルについてディープインスペクションを実行し、当該取得元が前記ブラックリストに含まれない場合に、クイックインスペクションを実行するウィルススキャン部をさらに備える、
請求項1又は2に記載の情報処理装置。 - 前記検出部は、
前記ディープインスペクション又は前記クイックインスペクションの結果、ウィルスが検出されなかった場合に、前記仮想マシン上で前記対象ファイルの実行を行う
請求項3に記載の情報処理装置。 - 前記情報処理装置は、前記仮想マシンを複数有し、
前記検出部は、異なる前記対象ファイルについて、異なる前記仮想マシン上で並列に実行を行う
請求項1乃至4のいずれか1項に記載の情報処理装置。 - 前記判定部は、
前記ウィルス可能性情報が所定の閾値を上回る場合に、前記対象ファイルをウィルスとして判定する
請求項2に記載の情報処理装置。 - コンピュータが、
対象ファイルを仮想マシン上で実行し、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定し、
前記重み付け値は、複数のサンプルウィルスにおいて前記行動リスト内の行動が実行される度合いと、各行動に対して予め設定された重要度とに基づく値である
ウィルス検出方法。 - 対象ファイルを仮想マシン上で実行する処理と、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
をコンピュータに実行させ、
前記重み付け値は、複数のサンプルウィルスにおいて前記行動リスト内の行動が実行される度合いと、各行動に対して予め設定された重要度とに基づく値である
ウィルス検出プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016025099A JP6711000B2 (ja) | 2016-02-12 | 2016-02-12 | 情報処理装置、ウィルス検出方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016025099A JP6711000B2 (ja) | 2016-02-12 | 2016-02-12 | 情報処理装置、ウィルス検出方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017142744A JP2017142744A (ja) | 2017-08-17 |
JP6711000B2 true JP6711000B2 (ja) | 2020-06-17 |
Family
ID=59627340
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016025099A Active JP6711000B2 (ja) | 2016-02-12 | 2016-02-12 | 情報処理装置、ウィルス検出方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6711000B2 (ja) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7102780B2 (ja) * | 2018-02-28 | 2022-07-20 | 沖電気工業株式会社 | 不正通信対処システム及び方法 |
WO2019180804A1 (ja) * | 2018-03-20 | 2019-09-26 | 株式会社Pfu | 情報処理装置、通信種類判別方法及びプログラム |
JP7202932B2 (ja) * | 2019-03-14 | 2023-01-12 | 三菱電機株式会社 | サイバー攻撃検知装置 |
CN112580041B (zh) * | 2019-09-30 | 2023-07-07 | 奇安信安全技术(珠海)有限公司 | 恶意程序检测方法及装置、存储介质、计算机设备 |
CN112580025A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 基于虚拟机的报毒方法及装置、存储介质、计算机设备 |
CN112580042B (zh) * | 2019-09-30 | 2024-02-02 | 奇安信安全技术(珠海)有限公司 | 恶意程序的对抗方法及装置、存储介质、计算机设备 |
CN112580043B (zh) * | 2019-09-30 | 2023-08-01 | 奇安信安全技术(珠海)有限公司 | 基于虚拟机的杀毒方法及装置、存储介质、计算机设备 |
CN116680696B (zh) * | 2023-08-04 | 2024-02-13 | 深圳市科力锐科技有限公司 | 病毒程序检测方法、装置及系统 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002086717A1 (en) * | 2001-04-16 | 2002-10-31 | Xaxon R & D Corporation | Computer virus check device and method |
KR100828038B1 (ko) * | 2004-04-19 | 2008-05-08 | 더 리전트 오브 더 유니버시티 오브 캘리포니아 | 딥 패킷 필터링을 위한 프로그램 가능 하드웨어 |
CN101645125B (zh) * | 2008-08-05 | 2011-07-20 | 珠海金山软件有限公司 | 过滤以及监控程序的行为的方法 |
KR101051641B1 (ko) * | 2010-03-30 | 2011-07-26 | 주식회사 안철수연구소 | 이동통신 단말 및 이를 이용한 행위기반 악성 코드 진단 방법 |
US9117080B2 (en) * | 2013-07-05 | 2015-08-25 | Bitdefender IPR Management Ltd. | Process evaluation for malware detection in virtual machines |
EP3091465B1 (en) * | 2014-03-13 | 2019-03-06 | Nippon Telegraph and Telephone Corporation | Monitoring device, monitoring method, and monitoring program |
JP6116524B2 (ja) * | 2014-06-05 | 2017-04-19 | 株式会社日立システムズ | プログラム解析装置、プログラム解析方法及びプログラム解析システム |
JP2014225302A (ja) * | 2014-09-08 | 2014-12-04 | 富士通株式会社 | ウイルス検出プログラム、ウイルス検出方法、及びコンピュータ |
-
2016
- 2016-02-12 JP JP2016025099A patent/JP6711000B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017142744A (ja) | 2017-08-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6711000B2 (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
Arshad et al. | SAMADroid: a novel 3-level hybrid malware detection model for android operating system | |
US10176321B2 (en) | Leveraging behavior-based rules for malware family classification | |
US10133866B1 (en) | System and method for triggering analysis of an object for malware in response to modification of that object | |
US10303873B2 (en) | Device for detecting malware infected terminal, system for detecting malware infected terminal, method for detecting malware infected terminal, and program for detecting malware infected terminal | |
US11356467B2 (en) | Log analysis device, log analysis method, and log analysis program | |
US10192052B1 (en) | System, apparatus and method for classifying a file as malicious using static scanning | |
CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
US10462160B2 (en) | Method and system for identifying uncorrelated suspicious events during an attack | |
RU2573265C2 (ru) | Способ выявления ложных положительных результатов сканирования файлов на вредоносное по | |
KR101043299B1 (ko) | 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체 | |
CN106682505A (zh) | 一种病毒检测方法、终端、服务器及系统 | |
JP6717206B2 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
KR101537088B1 (ko) | Api 호출 흐름 기반의 악성코드 탐지 시스템 및 방법 | |
US8627404B2 (en) | Detecting addition of a file to a computer system and initiating remote analysis of the file for malware | |
US11270001B2 (en) | Classification apparatus, classification method, and classification program | |
CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
CN103793649A (zh) | 通过云安全扫描文件的方法和装置 | |
KR20110088042A (ko) | 악성 코드 자동 판별 장치 및 방법 | |
Kapratwar | Static and dynamic analysis for android malware detection | |
US20180341770A1 (en) | Anomaly detection method and anomaly detection apparatus | |
CN108898014A (zh) | 一种病毒查杀方法、服务器及电子设备 | |
Yang et al. | Detecting android malware with intensive feature engineering | |
US9177146B1 (en) | Layout scanner for application classification | |
US20170171224A1 (en) | Method and System for Determining Initial Execution of an Attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190110 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191031 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191112 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191219 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200428 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200511 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6711000 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |