JP6791134B2 - 分析システム、分析方法、分析装置及び、コンピュータ・プログラム - Google Patents
分析システム、分析方法、分析装置及び、コンピュータ・プログラム Download PDFInfo
- Publication number
- JP6791134B2 JP6791134B2 JP2017524609A JP2017524609A JP6791134B2 JP 6791134 B2 JP6791134 B2 JP 6791134B2 JP 2017524609 A JP2017524609 A JP 2017524609A JP 2017524609 A JP2017524609 A JP 2017524609A JP 6791134 B2 JP6791134 B2 JP 6791134B2
- Authority
- JP
- Japan
- Prior art keywords
- target program
- execution environment
- analysis target
- analysis
- configuration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Stored Programmes (AREA)
Description
以下、本発明を実施する形態について図面を参照して詳細に説明する。以下の各実施形態に記載されている構成は例示であり、本発明の技術範囲はそれらには限定されない。
以下、第1の実施形態における分析システムの構成について図1を参照して説明する。図1に例示されるように、第1の実施形態における分析システム100は、動作分析部101と、構成部102とを備える。動作分析部101は単体の動作分析装置として実現されてもよく、構成部102は、単体の構成装置として実現されてもよい。動作分析部101と、構成部102との間は、任意の通信手段(通信路)を介して通信可能に接続されている。
本実施形態における分析システム100の動作について、図9に例示するフローチャートを用いて説明する。
以下、本実施形態の第1の具体例として、分析対象のマルウェアの動作に応じて、模倣環境のネットワーク構成が設定(変更)される場合について説明する。この場合、構成情報保持部304には、例えば、図4に例示するネットワーク構成情報が登録されている。図4に例示するネットワーク構成情報には、マルウェアの動作を検知した検知結果(検知内容402)と、当該検知結果に関連付けされた模倣設定情報(構成内容403)との組合せが、項目として含まれる。なお、図4に例示するように、ネットワーク構成情報は、検知内容402と、構成内容403との組合せを識別可能な項番401を含んでもよい。
以下、本実施形態の第2の具体例について説明する。本具体例における分析システム100は、マルウェアが実行する描画処理デバイス(ビデオカード等)を用いた稼働環境判定処理に対して、実稼働環境を模倣する適切な応答を通知可能である。この場合、構成情報保持部304には、例えば、図5に例示するビデオ構成情報が登録されている。図5に例示するビデオ構成情報には、マルウェアの動作を検知した検知結果(検知内容502)と、当該検知結果に関連付けされた模倣設定情報(構成内容503)との組合せが項目として登録されている。なお、図5に例示するように、ビデオ構成情報は、検知内容502と、構成内容503との組合せを識別可能な項番501を含んでもよい。
以下、本実施形態の第3の具体例について説明する。本具体例における分析システム100は、マルウェアが実行する入出力ポート(I/Oポート)を用いた稼働環境判定処理に対して、実稼働環境を模倣する適切な応答を通知可能である。この場合、構成情報保持部304には、例えば、図6に例示するI/Oポート構成情報が登録されている。図6に例示するI/Oポート構成情報には、上記各具体例と同様、マルウェアの動作を検知した検知結果(検知内容602)と、当該検知結果に関連付けされた模倣設定情報(構成内容603)との組合せが項目として含まれる。なお、図6に例示するように、I/Oポート構成情報は、検知内容602と、構成内容603との組合せを識別可能な項番601を含んでもよい。
以下、本実施形態の第4の具体例について説明する。本具体例においては、マルウェアの動作に応じて、適切なプロセッサ情報がマルウェアに通知される。この場合、構成情報保持部304には、例えば、図7に例示するプロセッサ構成情報が登録されている。図7に例示するプロセッサ構成情報には、上記各具体例と同様、マルウェアの動作を検知した検知結果(検知内容702)と、当該検知結果に関連付けされた模倣設定情報(構成内容703)との組合せが項目として含まれる。なお、図7に例示するように、プロセッサ構成情報は、検知内容702と、構成内容703との組合せを識別可能な項番701を含んでもよい。
以下、本実施形態の第5の具体例として、分析対象のマルウェアの動作に応じて、模倣環境におけるファイルシステムの構成が設定される場合について説明する。この場合、構成情報保持部304には、例えば、図8に例示するファイルシステム構成情報が登録されている。図8に例示するファイルシステム構成情報は、上記各具体例と同様、マルウェアの動作を検知した検知結果(検知内容802)と、当該検知結果に関連付けされた模倣設定情報(構成内容803)とを項目として含む。なお、図8に例示するように、ファイルシステム構成情報は、検知内容802と、構成内容803との組合せを識別可能な項番801を含んでもよい。
次に、本発明の第2の実施形態について説明する。図11は、本実施形態における分析システム1100の機能的な構成を例示するブロック図である。図11に例示するように、本実施形態における分析システム1100は、動作分析部1101と、構成部1102とを備える。動作分析部1101は、動作分析手段として機能してもよく、構成部1102は、構成手段として機能してもよい。動作分析部1101と、構成部1102との間は、任意の通信手段を用いて通信可能に接続されている。なお、図12に例示するように、分析システム1100は、単体の装置(物理的あるいは仮想的な装置)を用いて構成されてもよい。この場合、分析システム1100は、単体の分析装置として機能する。
次に、図13を参照して、第2の実施形態の変形例について説明する。図13に例示するように、本変形例における分析システム1300は、第2の実施形態における分析システム1100に対して、表示部1301を更に備える。本変形例におけるその他の構成要素(動作分析部1101、及び、構成部1102)は、上記第2の実施形態と同様としてよい。
以下、上記説明した各実施形態を実現可能なハードウェア構成について説明する。
101 動作分析部
102 構成部
201 検体保持部
202 検体準備部
203 検体分析部
204 実行命令検知部
205 検知結果送信部
206 装置模倣部
207 模倣設定受信部
208 分析結果格納部
209 分析結果保持部
301 検知結果受信部
302 構成調整部
303 模倣設定送信部
304 構成情報保持部
1100 分析システム
1101 動作分析部
1102 構成部
1301 表示部
1401 演算装置
1402 記憶装置
1403 不揮発性記憶装置
1404 ドライブ装置
1405 記録媒体
1406 ネットワークインタフェース
1407 入出力インタフェース
Claims (7)
- 分析対象のプログラムである分析対象プログラムを、当該分析対象プログラムを実行可能な第1の実行環境の少なくとも一部の構成を模倣可能な第2の実行環境において実行することにより、当該分析対象プログラムの動作を分析する動作分析手段と、
前記動作分析手段において分析された前記分析対象プログラムの動作に応じて、前記第2の実行環境の少なくとも一部の構成を変更することにより、前記分析対象プログラムの動作に関連する前記第1の実行環境における特定の構成を模倣可能な前記第2の実行環境を構築する構成手段と、を備え、
前記動作分析手段は、前記第2の実行環境を構成する仮想装置において前記分析対象プログラムを実行することにより、当該分析対象プログラムにより実行される処理であって、当該分析対象プログラムの実行環境が前記第1の実行環境か否か、または、当該分析対象プログラムの実行環境が前記第2の実行環境か否か、を判定する処理である検知動作を抽出し、
前記構成手段は、前記抽出された前記分析対象プログラムの検知動作に応じて前記第2の実行環境の構成を変更することにより、前記仮想装置が前記分析対象プログラムに対して前記第1の実行環境を模倣した実行結果を通知することを可能とし、
前記構成手段は、
前記分析対象プログラムの検知動作を表す情報と、当該検知動作を実行した前記分析対象プログラムに対して、前記仮想装置が前記第1の実行環境を模倣した実行結果を通知することを可能とする前記第2の実行環境の構成を表す情報である模倣設定情報と、を関連付けて保持し、
前記動作分析手段により前記分析対象プログラムの検知動作が抽出された場合、当該抽出された検知動作を表す情報に関連付けされた模倣設定情報に基づいて、前記第2の実行環境の構成を変更し、
前記動作分析手段は、前記仮想装置において前記分析対象プログラムを実行することにより、前記分析対象プログラムを構成する実行命令を表す情報と、当該実行命令を実行する際に用いられるデータを表す情報とを前記分析対象プログラムの検知動作を表す情報として抽出する、
分析システム。 - 前記構成手段は、前記模倣設定情報に基づいて前記第2の実行環境の構成を変更することにより、前記仮想装置が、前記第1の実行環境において前記分析対象プログラムの検知動作が実行された場合に当該第1の実行環境から前記分析対象プログラムに対して通知される実行結果である第1の実行結果と同等若しくは略同等な実行結果、及び、前記第1の実行結果を模倣可能なダミーの実行結果、の少なくともいずれかを、前記分析対象プログラムに通知することを可能とする、
請求項1に記載の分析システム。 - 前記動作分析手段による分析の結果、前記分析対象プログラムが通信処理を実行する場合、
前記構成手段は、
前記第2の実行環境の構成を変更することにより、前記仮想装置が通信データを送受信可能な仮想的な通信ネットワークを構築するとともに、
前記模倣設定情報に基づいて、前記仮想的な通信ネットワークに対する前記仮想装置からのアクセスを制御する設定情報を、前記第2の実行環境に設定する、
請求項1または2に記載の分析システム。 - 前記動作分析手段による分析の結果、前記分析対象プログラムが通信処理を実行する場合、
前記構成手段は、前記模倣設定情報に基づいて、外部の通信ネットワークに対する前記仮想装置からのアクセスを制御する設定情報を、前記第2の実行環境に設定する、
請求項1または2に記載の分析システム。 - 前記動作分析手段による分析の結果、前記分析対象プログラムが、前記仮想装置における仮想化された特定のデバイスを用いて、前記検知動作を実行する場合、
前記構成手段は、前記模倣設定情報に基づいて前記仮想装置における仮想化された特定のデバイスに関する設定を変更することにより、前記仮想装置が、前記検知動作を実行した前記分析対象プログラムに対して、少なくとも、当該検知動作が物理的なデバイスを用いて実行された場合の結果を模倣可能な実行結果を通知することを可能とする、
請求項1または2に記載の分析システム。 - コンピュータに具備された動作分析手段が、分析対象のプログラムである分析対象プログラムを、当該分析対象プログラムを実行可能な第1の実行環境の少なくとも一部の構成を模倣可能な第2の実行環境において実行することにより、当該分析対象プログラムの動作を分析し、
前記コンピュータに具備された構成手段が、当該分析された前記分析対象プログラムの動作に応じて、前記第2の実行環境の少なくとも一部の構成を変更することにより、前記分析対象プログラムの動作に関連する前記第1の実行環境における特定の構成を模倣可能な前記第2の実行環境を構築する
分析方法であって、
前記動作分析手段は、前記分析対象プログラムの動作を分析する場合、前記第2の実行環境を構成する仮想装置において前記分析対象プログラムを実行することにより、当該分析対象プログラムにより実行される処理であって、当該分析対象プログラムの実行環境が前記第1の実行環境か否か、または、当該分析対象プログラムの実行環境が前記第2の実行環境か否か、を判定する処理である検知動作を抽出し、
前記構成手段は、前記第2の実行環境を構築する場合、前記抽出された前記分析対象プログラムの検知動作に応じて前記第2の実行環境の構成を変更することにより、前記仮想装置が前記分析対象プログラムに対して前記第1の実行環境を模倣した実行結果を通知することを可能とし、
前記構成手段は、前記第2の実行環境を構築する場合、前記分析対象プログラムの検知動作が抽出されたときに、当該抽出された検知動作を表す情報に関連付けされた、当該検知動作を実行した前記分析対象プログラムに対して前記仮想装置が前記第1の実行環境を模倣した実行結果を通知することを可能とする前記第2の実行環境の構成を表す情報である模倣設定情報に基づいて、前記第2の実行環境の構成を変更し、
前記動作分析手段は、前記分析対象プログラムの動作を分析する場合、前記仮想装置において前記分析対象プログラムを実行することにより、前記分析対象プログラムを構成する実行命令を表す情報と、当該実行命令を実行する際に用いられるデータを表す情報とを前記分析対象プログラムの検知動作を表す情報として抽出する、
分析方法。 - 分析対象のプログラムである分析対象プログラムを、当該分析対象プログラムを実行可能な第1の実行環境の少なくとも一部の構成を模倣可能な第2の実行環境において実行することにより、当該分析対象プログラムの動作を分析する処理と、
当該分析された前記分析対象プログラムの動作に応じて、前記第2の実行環境の少なくとも一部の構成を変更することにより、前記分析対象プログラムの動作に関連する前記第1の実行環境における特定の構成を模倣可能な前記第2の実行環境を構築する処理と、をコンピュータに実行させる
コンピュータ・プログラムであって、
前記分析対象プログラムの動作を分析する処理は、前記第2の実行環境を構成する仮想装置において前記分析対象プログラムを実行することにより、当該分析対象プログラムにより実行される処理であって、当該分析対象プログラムの実行環境が前記第1の実行環境か否か、または、当該分析対象プログラムの実行環境が前記第2の実行環境か否か、を判定する処理である検知動作を抽出し、
前記第2の実行環境を構築する処理は、前記抽出された前記分析対象プログラムの検知動作に応じて前記第2の実行環境の構成を変更することにより、前記仮想装置が前記分析対象プログラムに対して前記第1の実行環境を模倣した実行結果を通知することを可能とし、
前記第2の実行環境を構築する処理は、前記分析対象プログラムの検知動作が抽出された場合、当該抽出された検知動作を表す情報に関連付けされた、当該検知動作を実行した前記分析対象プログラムに対して前記仮想装置が前記第1の実行環境を模倣した実行結果を通知することを可能とする前記第2の実行環境の構成を表す情報である模倣設定情報に基づいて、前記第2の実行環境の構成を変更し、
前記分析対象プログラムの動作を分析する処理は、前記仮想装置において前記分析対象プログラムを実行することにより、前記分析対象プログラムを構成する実行命令を表す情報と、当該実行命令を実行する際に用いられるデータを表す情報とを前記分析対象プログラムの検知動作を表す情報として抽出する、
コンピュータ・プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015120712 | 2015-06-16 | ||
JP2015120712 | 2015-06-16 | ||
PCT/JP2016/002846 WO2016203759A1 (ja) | 2015-06-16 | 2016-06-13 | 分析システム、分析方法、分析装置及び、コンピュータ・プログラムが記憶された記録媒体 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020182033A Division JP7115526B2 (ja) | 2015-06-16 | 2020-10-30 | 分析システム、方法、及び、プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2016203759A1 JPWO2016203759A1 (ja) | 2018-04-05 |
JP6791134B2 true JP6791134B2 (ja) | 2020-11-25 |
Family
ID=57545401
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017524609A Active JP6791134B2 (ja) | 2015-06-16 | 2016-06-13 | 分析システム、分析方法、分析装置及び、コンピュータ・プログラム |
JP2020182033A Active JP7115526B2 (ja) | 2015-06-16 | 2020-10-30 | 分析システム、方法、及び、プログラム |
JP2022119188A Active JP7392775B2 (ja) | 2015-06-16 | 2022-07-27 | 分析システム、方法、及び、プログラム |
Family Applications After (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020182033A Active JP7115526B2 (ja) | 2015-06-16 | 2020-10-30 | 分析システム、方法、及び、プログラム |
JP2022119188A Active JP7392775B2 (ja) | 2015-06-16 | 2022-07-27 | 分析システム、方法、及び、プログラム |
Country Status (3)
Country | Link |
---|---|
US (2) | US10776486B2 (ja) |
JP (3) | JP6791134B2 (ja) |
WO (1) | WO2016203759A1 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016203759A1 (ja) * | 2015-06-16 | 2016-12-22 | 日本電気株式会社 | 分析システム、分析方法、分析装置及び、コンピュータ・プログラムが記憶された記録媒体 |
JP7045050B2 (ja) * | 2017-11-28 | 2022-03-31 | 国立研究開発法人情報通信研究機構 | 通信監視システム及び通信監視方法 |
US11223534B2 (en) | 2017-12-29 | 2022-01-11 | Virtual Instruments Worldwide, Inc. | Systems and methods for hub and spoke cross topology traversal |
US10877792B2 (en) | 2017-12-29 | 2020-12-29 | Virtual Instruments Corporation | Systems and methods of application-aware improvement of storage network traffic |
US10956573B2 (en) * | 2018-06-29 | 2021-03-23 | Palo Alto Networks, Inc. | Dynamic analysis techniques for applications |
CN108958725B (zh) * | 2018-07-06 | 2022-06-14 | 广州慧通编程教育科技有限公司 | 图形化模式编程平台生成方法、装置及计算机设备 |
CN109656714B (zh) * | 2018-12-04 | 2022-10-28 | 成都雨云科技有限公司 | 一种虚拟化显卡的gpu资源调度方法 |
JP2020108011A (ja) * | 2018-12-27 | 2020-07-09 | 富士通株式会社 | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 |
US11336690B1 (en) * | 2019-11-15 | 2022-05-17 | National Technology & Engineering Solutions Of Sandia, Llc | Threat emulation framework |
JP7249968B2 (ja) * | 2020-03-09 | 2023-03-31 | 株式会社東芝 | 情報処理装置およびストレージ |
CN113438273B (zh) * | 2021-05-21 | 2022-08-16 | 中国科学院信息工程研究所 | 一种物联网设备中应用程序的用户级仿真方法及装置 |
Family Cites Families (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3858182A (en) * | 1972-10-10 | 1974-12-31 | Digital Equipment Corp | Computer program protection means |
JP2708608B2 (ja) * | 1990-05-25 | 1998-02-04 | 富士通株式会社 | 仮想計算機のipl処理方式 |
JPH07281874A (ja) * | 1994-04-15 | 1995-10-27 | Fuji Photo Film Co Ltd | 環境設定システム |
US6253224B1 (en) * | 1998-03-24 | 2001-06-26 | International Business Machines Corporation | Method and system for providing a hardware machine function in a protected virtual machine |
US6907396B1 (en) * | 2000-06-01 | 2005-06-14 | Networks Associates Technology, Inc. | Detecting computer viruses or malicious software by patching instructions into an emulator |
WO2004075060A1 (ja) | 2003-02-21 | 2004-09-02 | Tabei, Hikaru | コンピュータウィルス検出装置 |
US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
JP4613094B2 (ja) | 2005-05-13 | 2011-01-12 | パナソニック株式会社 | 通信端末及び通信方法 |
GB0513375D0 (en) * | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
US7664626B1 (en) * | 2006-03-24 | 2010-02-16 | Symantec Corporation | Ambiguous-state support in virtual machine emulators |
JP2007334536A (ja) | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
US20080016339A1 (en) * | 2006-06-29 | 2008-01-17 | Jayant Shukla | Application Sandbox to Detect, Remove, and Prevent Malware |
JP4711979B2 (ja) | 2007-01-25 | 2011-06-29 | 株式会社クボタ | 作業機 |
JP4564972B2 (ja) * | 2007-01-23 | 2010-10-20 | Necアクセステクニカ株式会社 | ネットワーク装置、シミュレータユニットおよびそれらのソフトウエアならびにファイル更新方法 |
US8438609B2 (en) * | 2007-03-22 | 2013-05-07 | The Invention Science Fund I, Llc | Resource authorizations dependent on emulation environment isolation policies |
US20080307397A1 (en) * | 2007-06-08 | 2008-12-11 | Bill Angell | Program Analysis by Partial Emulation |
JP4755658B2 (ja) | 2008-01-30 | 2011-08-24 | 日本電信電話株式会社 | 解析システム、解析方法および解析プログラム |
US8997219B2 (en) * | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
JP2010146420A (ja) | 2008-12-22 | 2010-07-01 | Hitachi Ltd | 余剰資源管理システム、その管理方法、及びサーバ装置 |
US8635694B2 (en) * | 2009-01-10 | 2014-01-21 | Kaspersky Lab Zao | Systems and methods for malware classification |
JP5440973B2 (ja) | 2009-02-23 | 2014-03-12 | 独立行政法人情報通信研究機構 | コンピュータ検査システム、コンピュータ検査方法 |
JP5225942B2 (ja) | 2009-07-01 | 2013-07-03 | 日本電信電話株式会社 | 解析システム、解析方法、及び解析プログラム |
US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
US8479286B2 (en) | 2009-12-15 | 2013-07-02 | Mcafee, Inc. | Systems and methods for behavioral sandboxing |
US9116733B2 (en) * | 2010-05-28 | 2015-08-25 | Bromium, Inc. | Automated provisioning of secure virtual execution environment using virtual machine templates based on requested activity |
JP5592303B2 (ja) | 2011-04-07 | 2014-09-17 | 株式会社日立製作所 | 実行環境構築装置および実行環境構築システム |
JP5389855B2 (ja) | 2011-04-28 | 2014-01-15 | 日本電信電話株式会社 | 解析システム、解析方法および解析プログラム |
US9792430B2 (en) * | 2011-11-03 | 2017-10-17 | Cyphort Inc. | Systems and methods for virtualized malware detection |
EP3364297B1 (en) * | 2012-06-26 | 2022-05-04 | Lynx Software Technologies Inc. | Systems and methods involving features of hardware virtualization such as separation kernel hypervisors, hypervisors, hypervisor guest context, hypervisor context, rootkit detection prevention, and/or other features |
US9626509B1 (en) * | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
RU2553056C2 (ru) * | 2013-10-24 | 2015-06-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ сохранения состояния эмулятора и его последующего восстановления |
US9223964B2 (en) * | 2013-12-05 | 2015-12-29 | Mcafee, Inc. | Detecting JAVA sandbox escaping attacks based on JAVA bytecode instrumentation and JAVA method hooking |
EP3120286B1 (en) * | 2014-03-17 | 2019-07-17 | Proofpoint, Inc. | Behavior profiling for malware detection |
WO2016203759A1 (ja) * | 2015-06-16 | 2016-12-22 | 日本電気株式会社 | 分析システム、分析方法、分析装置及び、コンピュータ・プログラムが記憶された記録媒体 |
-
2016
- 2016-06-13 WO PCT/JP2016/002846 patent/WO2016203759A1/ja active Application Filing
- 2016-06-13 JP JP2017524609A patent/JP6791134B2/ja active Active
- 2016-06-13 US US15/575,480 patent/US10776486B2/en active Active
-
2020
- 2020-08-11 US US16/990,319 patent/US12013939B2/en active Active
- 2020-10-30 JP JP2020182033A patent/JP7115526B2/ja active Active
-
2022
- 2022-07-27 JP JP2022119188A patent/JP7392775B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2022141917A (ja) | 2022-09-29 |
US12013939B2 (en) | 2024-06-18 |
WO2016203759A1 (ja) | 2016-12-22 |
JP7115526B2 (ja) | 2022-08-09 |
US20200401698A1 (en) | 2020-12-24 |
JP7392775B2 (ja) | 2023-12-06 |
JP2021022400A (ja) | 2021-02-18 |
US10776486B2 (en) | 2020-09-15 |
JPWO2016203759A1 (ja) | 2018-04-05 |
US20180165451A1 (en) | 2018-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7115526B2 (ja) | 分析システム、方法、及び、プログラム | |
US11868795B1 (en) | Selective virtualization for security threat detection | |
US11080399B2 (en) | System and method for vetting mobile phone software applications | |
US11210390B1 (en) | Multi-version application support and registration within a single operating system environment | |
US9383934B1 (en) | Bare-metal computer security appliance | |
US10498763B2 (en) | On-demand injection of software booby traps in live processes | |
US9355246B1 (en) | Tuning sandbox behavior based on static characteristics of malware | |
US9405899B2 (en) | Software protection mechanism | |
US8707417B1 (en) | Driver domain as security monitor in virtualization environment | |
US20150332043A1 (en) | Application analysis system for electronic devices | |
CN113260993B (zh) | 虚拟平台系统的安全部署和操作 | |
US11880458B2 (en) | Malware detection based on user interactions | |
Harrison et al. | A framework for detecting malware in cloud by identifying symptoms | |
US9742804B2 (en) | Computer network defense system | |
US11336690B1 (en) | Threat emulation framework | |
CN113821297A (zh) | 仿真器和仿真方法 | |
Mohanta et al. | Malware Analysis Lab Setup | |
Chowdhary | Secure Mobile SDN | |
Geniola | Architecture for analyzing Potentially Unwanted Applications | |
Sharma | Generating smartphone phishing applications for deception based defense | |
CN118094545A (zh) | 虚拟机恶意软件检测方法、装置、电子设备及存储介质 | |
Kar | Planning a virtual lab for analysis of malware: A study of virtualization on an Intel platform | |
Mogicato et al. | Design and Implementation of a Collaborative, Lightweight Malware Analysis Sandbox using Container Virtualization |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171120 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190515 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200721 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200917 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201006 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201019 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6791134 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |