JP7099566B2 - マルウェア解析方法、マルウェア解析装置およびマルウェア解析システム - Google Patents
マルウェア解析方法、マルウェア解析装置およびマルウェア解析システム Download PDFInfo
- Publication number
- JP7099566B2 JP7099566B2 JP2021014869A JP2021014869A JP7099566B2 JP 7099566 B2 JP7099566 B2 JP 7099566B2 JP 2021014869 A JP2021014869 A JP 2021014869A JP 2021014869 A JP2021014869 A JP 2021014869A JP 7099566 B2 JP7099566 B2 JP 7099566B2
- Authority
- JP
- Japan
- Prior art keywords
- malware
- analysis
- transmission data
- server
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、マルウェアを容易に解析できるマルウェア解析方法、マルウェア解析装置およびマルウェア解析システムに関する。
情報漏えいやデータの破壊などの脅威をもたらすコンピュータウイルスやスパイウェア、ボットプログラム等の悪意ある不正プログラム(マルウェア)が増加している。
そのような状況において、マルウェアを安全に実行できる環境において、マルウェアを実際に実行し、その挙動を観測することによって、マルウェアの解析を行う技術がある。
コンピュータ(例えば、パーソナルコンピュータなどの情報端末)に感染後にC&C(Command & Control )サーバにコンピュータを接続させるマルウェアがある。C&Cサーバは、マルウェアにコマンドを送って、コンピュータを遠隔制御する。
そのようなマルウェアを動的解析する場合、マルウェアに感染したコンピュータをC&Cサーバと通信可能にする。しかし、コンピュータがC&Cサーバと通信することによって、コンピュータが被害を被る可能性がある。また、C&Cサーバが既に存在しない場合には、動的解析を行うことはできない。
特許文献1には、マルウェアがどのような通信を行うかと、マルウェアがコンピュータの内部資源にどのような影響を及ぼすかを調べる技術が記載されている。
特許文献1に記載された解析システムは、マルウェアによる通信が行われるときに、通信プロトコルを判別する。そして、通信プロトコルに応じてあらかじめ決められた擬似的なサーバ応答がマルウェアに送信される。よって、実際のC&Cサーバとの間の通信が行われない状況で、マルウェアが動的解析される。
しかし、特許文献1に記載された解析システムは、通信プロトコルを判別できない場合や、擬似的なサーバ応答をあらかじめ定義できない場合には、マルウェアを解析できない。
本発明は、マルウェアをより容易に解析できるようにすることを目的とする。
本発明によるマルウェア解析方法は、プロセッサが、サーバに対する送信データと該送信データに対応する応答データを記憶し、マルウェアを実行し、マルウェアがサーバに送信した送信データを解析し、解析結果に基づいて、マルウェアが送信した送信データに対応する応答をするようサーバの設定を行うことを特徴とする。
本発明によるマルウェア解析装置は、サーバに対する送信データと該送信データに対応する応答データを記憶する記憶手段と、マルウェアを実行するマルウェア実行手段と、マルウェアが送信した送信データを解析する解析手段と、解析手段の解析結果に基づいて、マルウェアが送信した送信データに対応する応答をするようサーバの設定を行う設定手段とを備えたことを特徴とする。
本発明によるマルウェア解析システムは、マルウェア解析装置と、該マルウェアに応答するサーバとを含み、マルウェア解析装置は、サーバに対する送信データと該送信データに対応する応答データを記憶する記憶手段と、マルウェアを実行するマルウェア実行手段と、マルウェアがサーバに送信した送信データを解析する解析手段と、解析手段の解析結果に基づいて、マルウェアが送信した送信データに対応する応答をするようサーバの設定を行う設定手段とを含むことを特徴とする。
本発明によるマルウェア解析プログラムは、コンピュータに、サーバに対する送信データと該送信データに対応する応答データを記憶手段に記憶する処理と、マルウェアを実行する処理と、マルウェアが送信した送信データを解析する処理と、解析結果に基づいて、マルウェアが送信した送信データに対応する応答をするようサーバの設定を行う処理とを実行させることを特徴とする。
本発明によれば、マルウェアをより容易に解析できる。
以下、本発明の実施形態の図面を参照して説明する。
図1は、マルウェア解析装置を含むマルウェア解析システムの実施形態を示すブロック図である。図1に示す例では、マルウェア解析システムにおいて、マルウェア解析装置100は、オープンフロー(Open Flow )スイッチ301を介してシンクホールサーバ200に接続される。シンクホールサーバ200は、マルウェアが行う通信の経路において用いられる。
なお、以下の説明において、「マルウェアが通信を行う」ということは、実際には、マルウェアが存在する装置の資源(通信インタフェースなど:図1では通信部107で代表される。)がマルウェアに従って通信を行うということである。
また、マルウェア解析装置100は、シンクホールサーバ200やオープンフローコントローラ300と直接接続もされている。直接接続されている理由は、マルウェア解析装置100が、シンクホールサーバ200やオープンフローコントローラ300の制御を行うからである。
オープンフローコントローラ300は、オープンフロースイッチ301を制御するために接続されている。
マルウェア解析装置100は、制御部101、静的解析制御部102、動的解析制御部103、設定変更部104、解析結果データベース(DB)105、マルウェア実行部106、通信部107、および応答設定データベース(DB)108を含む。
制御部101は、マルウェア解析装置100の各機能を制御する。静的解析制御部102は、マルウェアの静的解析のための制御を行う。動的解析制御部103は、マルウェアの動的解析の制御を行う。設定変更部104は、シンクホールサーバ200やオープンフローコントローラ300の設定を変更する。
解析結果データベース105は、マルウェアの解析結果を格納する。マルウェア実行部106は、解析のためにマルウェアを実行する。通信部107は、シンクホールサーバ200、オープンフローコントローラ300およびオープンフロースイッチ301と通信を行う。応答設定データベース108は、マルウェアが通信する際のマルウェアが期待する応答とその設定方法を格納する。
なお、マルウェアが期待する応答は、例えば、C&Cサーバの名前解決が行われる場合を例にすると、C&CサーバのIPアドレス、インターネットに接続されていることを確認するためのWebアクセスの応答、マルウェアが動作するためのC&Cサーバからのコマンドなどである。
シンクホールサーバ200は、マルウェアが通信する際の期待する応答を返すための応答生成部201と、通信を行うための通信部202とを含む。なお、本明細書では、マルウェアのトラフィックを吸収して解析するサーバをシンクホールサーバ200とする。シンクホールサーバ200は、例えば、C&Cサーバに代わって、マルウェアが期待する応答(実際には、疑似応答)をマルウェアに供給する。
次に、マルウェア解析装置100の動作を説明する。図2は、マルウェア解析装置100の動作例を示すフローチャートである。
マルウェア解析装置100において、まず、初期化処理が実行される(ステップS201)。
具体的には、初期化処理では、制御部101が、マルウェア実行部106に、動的解析制御部103を介して、解析対象のマルウェアに合わせた環境を用意することを指示する。マルウェア実行部106は、マルウェアを実行するための準備として、解析対象のマルウェアを動作させるために必要なCPU(Central Processing Unit )、メモリおよびディスクの設定や、OS(Operating System)およびアプリケーションの設定などを行う。
また、制御部101は、設定変更部104に初期化指示を出す。初期化指示を受け取った設定変更部104は、通信部107を介して、シンクホールサーバ200とオープンフローコントローラ300とに対して初期化を指示する。シンクホールサーバ200は、指示に応じて、応答生成のクリアなどの初期化処理を行う。オープンフローコントローラ300は、指示に応じて、オープンフロースイッチ301のフローテーブルをクリアする処理を行う。
次に、ステップS202において、マルウェア実行部106がマルウェアを実行する。動的解析制御部103は、マルウェアの実行状況を監視する。そして、動的解析制御部103は、マルウェアのファイルへのアクセス、プロセス実行、API(Application Programming Interface )呼び出し、通信先などの情報を解析結果データベース105に格納する。
ステップS203では、動的解析制御部103は、マルウェアが通信したか否か判定する。通信したと判定された場合には、ステップS204に進む。通信していないと判定された場合には、ステップS206に移行する。なお、動的解析制御部103は、例えば、通信部107が動作したか否か確認することによって、マルウェアが通信したか否かを判定できる。
マルウェアが通信した場合には、マルウェア実行部106は、通信部107を介してオープンフロースイッチ301にパケットを送信する。当該パケットに関する情報はフローテーブルにおけるエントリにはないので、オープンフロースイッチ301は、オープンフローコントローラ300に、パケットを転送して問い合わせを行う。パケットを受け取ったオープンフローコントローラ300は、ステップS203の処理が実行される時点では、受け取ったパケットをそのまま保持する。
マルウェアが通信した場合、ステップS204において、マルウェア解析者がマルウェアの静的解析を行って、マルウェアが期待する応答を設定する。なお、このとき、マルウェア実行部106は、例えば、動的解析制御部103の指示に従って、処理を中断する。よって、マルウェアによる通信は一時停止する。
なお、マルウェア解析者がマルウェアの静的解析を行う契機を作成するために、一例として、マルウェア解析装置100が、以下のような処理を実行することが考えられる。
すなわち、動的解析制御部103が、制御部101を介して、マルウェア解析装置100における表示部(図1において図示せず)またはマルウェア解析装置100に接続されている表示装置に、マルウェアが通信しないことを示す表示を行ったり、静的解析を行うことを勧告することを示す表示を行ったりする。
静的解析を行うときに、マルウェア解析者は、マルウェア解析装置100における入力部(図1において図示せず)またはマルウェア解析装置100に接続されている入力装置から、制御部101に、解析結果データベース105に格納された動的解析の結果や、マルウェア実行部106のレジスタ、メモリの状態およびマルウェアのアセンブリコードなどを要求する。制御部101は、入力された要求を、静的解析制御部102およびマルウェア実行部106に伝える。
要求に対する回答としての情報は、例えば、静的解析制御部102およびマルウェア実行部106から、制御部101を介して、表示部または表示装置に出力される。マルウェア解析者は、回答としての情報にもとづいて、マルウェアが期待する応答を見いだす。見いだされたマルウェアが期待する応答は、例えば、入力部または入力装置から、制御部101または設定変更部104に入力される。マルウェアが期待する応答が制御部101に入力されるように構成されている場合には、制御部101は、設定変更部104を介して、マルウェアが期待する応答を応答設定データベース108に格納する。マルウェアが期待する応答が設定変更部104に入力されるように構成されている場合には、設定変更部104が、マルウェアが期待する応答を応答設定データベース108に格納する。
図3は、応答設定データベース108に格納された情報の一例を示す説明図である。
図3に示す例では、応答設定データベース108には、特定のAPIと引数との組に対して、通信をシンクホールサーバ200に転送するためのオープンフロースイッチ301に適用すべきフロー情報と、期待する応答と、その応答を返すために必要なシンクホールサーバ200への設定方法とが格納されている。設定方法は、プログラムやスクリプト、および設定ファイルなどである。
なお、本実施形態では、APIと引数とが応答設定データベース108に設定されるが、異なる条件が設定されるようにしてもよい。例えば、APIの代わりに、アセンブリコードが設定されてもよい。また、引数の代わりに、オブジェクトの状態、または、レジスタやメモリの状態が設定されてもよい。また、マルウェアの実行中の命令のアドレスが設定されてもよい。
ステップS205では、制御部101は、設定変更部104に対して、応答設定データベース108に格納された情報を基にシンクホールサーバ200やオープンフローコントローラ300の設定を行うように指示する。設定変更部104は、応答設定データベース108に格納されている期待する応答や設定方法に従って、通信部107を介して、シンクホールサーバ200の応答生成部201に対する設定を実行する。すなわち、設定変更部104は、マルウェアが期待する応答をシンクホールサーバ200が返すように、応答生成部201を設定する。
また、設定変更部104は、ステップS203の処理でマルウェアが通信したことが検出された場合には、オープンフローコントローラ300に対して、マルウェアの通信先がシンクホールサーバ200になるように、フロー情報とともにフローテーブル変更の指示を送信する。
オープンフローコントローラ300は、設定変更部104から受け取ったフロー情報にもとづいて、ステップS203の処理で保留したパケットの通信先がシンクホールサーバ200になるように、オープンフロースイッチ301のフローテーブルにエントリを追加する。そして、オープンフローコントローラ300は、ステップS203の処理で保留していたパケットを転送する。転送されたパケットを受け取ったシンクホールサーバ200は、設定変更部104によって設定された内容にもとづいて、マルウェアが期待する応答をマルウェア解析装置100に返す。
ステップS206では、動的解析制御部103は、マルウェア解析の終了条件が満たされたか否か判定する。終了条件は、例えば、マルウェアの動作が終了したこと、マルウェアの実行時間が一定時間を過ぎたこと、十分な解析結果が得られたことなどである。動的解析制御部103は、終了条件が満たされた場合には解析を終了する。
終了条件が満たされていない場合には、ステップS202に戻る。すなわち、マルウェア実行部106がマルウェアを実行するとともに、動的解析制御部103は、動的解析を続行する。なお、マルウェアの通信が中断されていた場合には、ステップS202の処理が実行されることによって、マルウェアの通信が再開される。
以上に説明したように、本実施形態では、マルウェアの動的解析において、マルウェアが通信を行う際に静的解析を行うことによって、マルウェアが期待する応答を適切にシンクホールサーバ200に設定することができる。すなわち、シンクホールサーバ200の動作が動的に変更される。よって、適切に動的解析を継続することができる。その結果、マルウェア解析をより容易に実施することができるようになる。
また、マルウェアが期待する応答を応答設定データベース108に格納することによって、一度解析されたマルウェアに類似するマルウェアを解析するときに、静的解析を行う機会を減らすことができる。よって、マルウェアの解析の効率が向上する。また、マルウェアの動作を停止させないので、例えば、動作が停止させたことを検知して動作内容を変えるようなマルウェアの動的解析を行うことができる。
上記の実施形態では、図2に示されたステップS204の処理で、マルウェアが期待する応答が静的解析によって見いだされて応答設定データベース108に設定されたが、マルウェアが期待する応答を他の方法で見いだしてもよい。
例えば、制御部101が、初期化処理を実行するときに、過去事例を応答設定データベース108に登録してもよい。また、動的解析制御部103が、通信プロトコルや利用しているAPIにもとづいて、応答パターンを生成してもよい。また、動的解析制御部103は、静的解析の結果抽出された文字列などを加えた応答パターンを機械的に生成し、生成した応答パターンを使用して解析を試行するようにしてよい。
なお、上記の各実施形態におけるマルウェア解析装置100を、ハードウェアで構成することも可能であるが、コンピュータプログラムにより実現することも可能である。
図4に示す情報処理システムは、プロセッサ1001、プログラムメモリ1002、およびデータを格納するための記憶媒体1003を備える。記憶媒体1003として、例えば、ハードディスク等の磁気記憶媒体を用いることができる。プログラムメモリ1002として、ROM(Read Only Memory)やフラッシュROMやハードディスク等の磁気記憶媒体を用いることができる。
図4に示された情報処理システムにおいて、プログラムメモリ1002には、図1に示されたマルウェア解析装置100における制御部101、静的解析制御部102、動的解析制御部103および設定変更部104の機能と、通信部107における通信を実行するためのハードウェア部分を除く機能とを実現するためのプログラムが格納される。記憶媒体1003には、解析結果データベース105および応答設定データベース108が形成される。そして、プロセッサ1001は、プログラムメモリ1002に格納されているプログラムに従って処理を実行することによって、図2に示されたマルウェア解析装置100の機能を実現する。
図5は、本発明によるマルウェア解析装置の主要部を示すブロック図である。図5に示すマルウェア解析装置10は、マルウェアの動的解析を行う動的解析部11(実施形態では、動的解析制御部102で実現される。)と、動的解析部11が動的解析を行っているときに、マルウェアによる通信が発生したか否か判定する通信判定部12(実施形態では、動的解析制御部102で実現される。)と、通信判定部12がマルウェアによる通信が発生したと判定した場合に、通信を一時停止させて、静的解析の実行の要請を提示する静的解析要求部13(実施形態では、動的解析制御部102および制御部101で実現される。)と、マルウェアの通信先の装置が、静的解析によって得られたマルウェアが期待する応答を行うように、該装置を設定する設定変更部14(実施形態では、設定変更部104で実現される。)とを備えている。
図6は、本発明による他の態様のマルウェア解析装置の主要部を示すブロック図である。図6に示すマルウェア解析装置10は、マルウェアが期待する応答を行うようにマルウェアの通信先の装置を設定した後、マルウェアによる通信を再開させる通信再開部15(実施形態では、マルウェア実行部106動的解析制御部102で実現される。図2におけるステップS206におけるNoの場合も参照)をさらに備えている。
図7は、本発明によるさらに他の態様のマルウェア解析装置の主要部を示すブロック図である。図7に示すマルウェア解析装置10において、設定変更部14は、静的解析によって得られたマルウェアが期待する応答を応答設定データベース16に保存する。
図8は、本発明によるマルウェア解析システムの主要部を示すブロック図である。図8に示すマルウェア解析システム50は、マルウェア解析装置10と、疑似応答をマルウェアが期待する応答としてマルウェアに送信する疑似応答サーバ20(実施形態では、シンクホールサーバ200で実現される。)とを含み、マルウェア解析装置10は、マルウェアの動的解析を行う動的解析部11と、動的解析部11が動的解析を行っているときに、マルウェアによる通信が発生したか否か判定する通信判定部12と、通信判定部12がマルウェアによる通信が発生したと判定した場合に、通信を一時停止させて、静的解析の実行の要請を提示する静的解析要求部13と、マルウェアの通信先の装置が、静的解析によって得られたマルウェアが期待する応答を行うように、該装置を設定する設定変更部14とを有する。
図9は、本発明による他の態様のマルウェア解析システムの主要部を示すブロック図である。図9に示すマルウェア解析システム50において、マルウェア解析装置10は、マルウェアが期待する応答を行うように疑似応答サーバを設定した後、マルウェアによる通信を再開させる通信再開部15をさらに有する。
図10は、本発明によるさらに他の態様のマルウェア解析システムの主要部を示すブロック図である。図10に示すマルウェア解析システム50において、マルウェア解析装置10は、オープンフローコントローラ300によって管理されるオープンフロースイッチ301を介して疑似応答サーバ20と通信を行うように構成され、設定変更部14は、マルウェアの通信先が疑似応答サーバ20になるようにオープンフロースイッチ301のフローテーブルを更新する指示をオープンフローコントローラ300に送信する。
上記の実施形態の一部または全部は以下の付記のようにも記載されうるが、本発明の構成は以下の構成に限定されない。
(付記1)コンピュータに、マルウェアが動的解析されているときに、マルウェアによる通信が発生したか否か判定する処理と、マルウェアによる通信が発生したときに、通信を一時停止させて、静的解析の実行の要請を提示する処理と、マルウェアの通信先の装置が、静的解析によって得られたマルウェアが期待する応答を行うように該装置を設定する処理と、マルウェアが期待する応答を行うようにマルウェアの通信先の装置を設定した後、マルウェアによる通信を再開させる処理とを実行させるためのマルウェア解析プログラム。
(付記2)コンピュータに、静的解析によって得られた前記マルウェアが期待する応答を応答設定データベースに保存する処理を実行させるための付記1に記載のマルウェア解析プログラム。
(付記3)マルウェア解析プログラムを格納する非一時的な記録媒体であって、コンピュータによって実行されるときに、マルウェア解析プログラムが、マルウェアが動的解析されているときにマルウェアによる通信が発生したか否か判定し、マルウェアによる通信が発生したときに、通信を一時停止させて、静的解析の実行の要請を提示し、マルウェアの通信先の装置が、静的解析によって得られたマルウェアが期待する応答を行うように、該装置を設定する。
(付記4)コンピュータによって実行されるときに、マルウェア解析プログラムが、マルウェアが期待する応答を行うようにマルウェアの通信先の装置を設定した後、マルウェアによる通信を再開させる付記3に記載の記録媒体。
(付記5)コンピュータによって実行されるときに、マルウェア解析プログラムが、静的解析によって得られたマルウェアが期待する応答を応答設定データベースに保存する付記3または付記4に記載の記録媒体。
10 マルウェア解析装置
11 動的解析部
12 通信判定部
13 静的解析要求部
14 設定変更部
15 通信再開部
16 応答設定データベース
20 疑似応答サーバ
50 マルウェア解析システム
100 マルウェア解析装置
101 制御部
102 静的解析制御部
103 動的解析制御部
104 設定変更部
105 解析結果データベース
106 マルウェア実行部
107 通信部
108 応答設定データベース
200 シンクホールサーバ
201 応答生成部
202 通信部
300 オープンフローコントローラ
301 オープンフロースイッチ
1001 プロセッサ
1002 プログラムメモリ
1003 記憶媒体
11 動的解析部
12 通信判定部
13 静的解析要求部
14 設定変更部
15 通信再開部
16 応答設定データベース
20 疑似応答サーバ
50 マルウェア解析システム
100 マルウェア解析装置
101 制御部
102 静的解析制御部
103 動的解析制御部
104 設定変更部
105 解析結果データベース
106 マルウェア実行部
107 通信部
108 応答設定データベース
200 シンクホールサーバ
201 応答生成部
202 通信部
300 オープンフローコントローラ
301 オープンフロースイッチ
1001 プロセッサ
1002 プログラムメモリ
1003 記憶媒体
Claims (9)
- プロセッサが、
サーバに対する送信データと該送信データに対応する応答データを記憶し、
マルウェアを実行し、
前記マルウェアが前記サーバに送信した送信データを解析し、
解析結果に基づいて、前記マルウェアが送信した送信データに対応する応答をするよう前記サーバの設定を行う
マルウェア解析方法。 - 前記プロセッサが、
前記マルウェアが送信した前記送信データを解析する際に、前記マルウェアの実行を停止する
請求項1記載のマルウェア解析方法。 - 前記プロセッサが、
前記解析結果を表示し、
前記解析結果に基づく、前記送信データに対応する応答データの入力を受け付け、
前記入力を記憶する
請求項1または請求項2記載のマルウェア解析方法。 - サーバに対する送信データと該送信データに対応する応答データを記憶する記憶手段と、
マルウェアを実行するマルウェア実行手段と、
前記マルウェアが送信した送信データを解析する解析手段と、
前記解析手段の解析結果に基づいて、前記マルウェアが送信した送信データに対応する応答をするよう前記サーバの設定を行う設定手段と
を備えたマルウェア解析装置。 - 前記解析手段は、前記マルウェアが送信した前記送信データを解析する際に、前記マルウェアの実行を停止する
請求項4記載のマルウェア解析装置。 - 前記解析結果を表示する表示手段と、
前記解析結果に基づく、前記送信データに対応する応答データの入力を受け付る入力手段とを備え、
前記記憶手段は、前記入力を記憶する
請求項4または請求項5記載のマルウェア解析装置。 - マルウェア解析装置と、該マルウェアに応答するサーバとを含み、
前記マルウェア解析装置は、
前記サーバに対する送信データと該送信データに対応する応答データを記憶する記憶手段と、
マルウェアを実行するマルウェア実行手段と、
前記マルウェアが前記サーバに送信した送信データを解析する解析手段と、
前記解析手段の解析結果に基づいて、前記マルウェアが送信した送信データに対応する応答をするよう前記サーバの設定を行う設定手段とを含む
マルウェア解析システム。 - 前記解析手段は、前記マルウェアが送信した前記送信データを解析する際に、前記マルウェアの実行を停止する
請求項7記載のマルウェア解析システム。 - コンピュータに、
サーバに対する送信データと該送信データに対応する応答データを記憶手段に記憶する処理と、
マルウェアを実行する処理と、
前記マルウェアが送信した送信データを解析する処理と、
解析結果に基づいて、前記マルウェアが送信した送信データに対応する応答をするよう前記サーバの設定を行う処理と
を実行させるためのマルウェア解析プログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021014869A JP7099566B2 (ja) | 2021-02-02 | 2021-02-02 | マルウェア解析方法、マルウェア解析装置およびマルウェア解析システム |
| JP2022103373A JP7424417B2 (ja) | 2021-02-02 | 2022-06-28 | マルウェア解析方法、マルウェア解析装置およびマルウェア解析システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021014869A JP7099566B2 (ja) | 2021-02-02 | 2021-02-02 | マルウェア解析方法、マルウェア解析装置およびマルウェア解析システム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017066566A Division JP6834688B2 (ja) | 2017-03-30 | 2017-03-30 | マルウェア解析方法、マルウェア解析装置およびマルウェア解析システム |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022103373A Division JP7424417B2 (ja) | 2021-02-02 | 2022-06-28 | マルウェア解析方法、マルウェア解析装置およびマルウェア解析システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021073607A JP2021073607A (ja) | 2021-05-13 |
| JP7099566B2 true JP7099566B2 (ja) | 2022-07-12 |
Family
ID=75802566
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021014869A Active JP7099566B2 (ja) | 2021-02-02 | 2021-02-02 | マルウェア解析方法、マルウェア解析装置およびマルウェア解析システム |
| JP2022103373A Active JP7424417B2 (ja) | 2021-02-02 | 2022-06-28 | マルウェア解析方法、マルウェア解析装置およびマルウェア解析システム |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022103373A Active JP7424417B2 (ja) | 2021-02-02 | 2022-06-28 | マルウェア解析方法、マルウェア解析装置およびマルウェア解析システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (2) | JP7099566B2 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007334536A (ja) | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| JP2009181335A (ja) | 2008-01-30 | 2009-08-13 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析方法および解析プログラム |
| JP2014179025A (ja) | 2013-03-15 | 2014-09-25 | Ntt Communications Corp | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム |
| JP2016031687A (ja) | 2014-07-30 | 2016-03-07 | 株式会社日立アドバンストシステムズ | マルウェア通信制御装置 |
| JP2016192139A (ja) | 2015-03-31 | 2016-11-10 | 株式会社日立アドバンストシステムズ | マルウェア解析装置およびマルウェア解析方法 |
-
2021
- 2021-02-02 JP JP2021014869A patent/JP7099566B2/ja active Active
-
2022
- 2022-06-28 JP JP2022103373A patent/JP7424417B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007334536A (ja) | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| JP2009181335A (ja) | 2008-01-30 | 2009-08-13 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析方法および解析プログラム |
| JP2014179025A (ja) | 2013-03-15 | 2014-09-25 | Ntt Communications Corp | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム |
| JP2016031687A (ja) | 2014-07-30 | 2016-03-07 | 株式会社日立アドバンストシステムズ | マルウェア通信制御装置 |
| JP2016192139A (ja) | 2015-03-31 | 2016-11-10 | 株式会社日立アドバンストシステムズ | マルウェア解析装置およびマルウェア解析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7424417B2 (ja) | 2024-01-30 |
| JP2021073607A (ja) | 2021-05-13 |
| JP2022125123A (ja) | 2022-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5446167B2 (ja) | ウイルス対策方法、コンピュータ、及びプログラム | |
| US7694022B2 (en) | Method and system for filtering communications to prevent exploitation of a software vulnerability | |
| JP5588440B2 (ja) | アプリケーション変更に対する状態分離 | |
| JP6791134B2 (ja) | 分析システム、分析方法、分析装置及び、コンピュータ・プログラム | |
| US10942762B2 (en) | Launch web browser applications in microservice-based containers | |
| JP2018519603A (ja) | シェルコードの検知 | |
| JP6050162B2 (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| US10372908B2 (en) | System and method for detecting malware in a stream of bytes | |
| US11709716B2 (en) | Hardware offload support for an operating system offload interface using operation code verification | |
| US9195518B1 (en) | System and method for communicating production virtual machine access events to a service appliance in a virtualized environment | |
| JP2018081514A (ja) | マルウェアの解析方法及び記憶媒体 | |
| CN111240924A (zh) | 一种Linux虚拟机Socket监听的检测方法及其系统 | |
| US20220030016A1 (en) | Malware analysis method, malware analysis device, and malware analysis system | |
| JP7099566B2 (ja) | マルウェア解析方法、マルウェア解析装置およびマルウェア解析システム | |
| WO2017084402A1 (zh) | 一种多应用程序的调试系统和方法 | |
| WO2015194438A1 (ja) | 情報処理システム、制御方法及び制御プログラム | |
| US9189370B2 (en) | Smart terminal fuzzing apparatus and method using multi-node structure | |
| JP2014225302A (ja) | ウイルス検出プログラム、ウイルス検出方法、及びコンピュータ | |
| WO2020255185A1 (ja) | 攻撃グラフ加工装置、方法およびプログラム | |
| US10915335B1 (en) | System and method for intercepting data flow between computer process and system resource | |
| JP6286314B2 (ja) | マルウェア通信制御装置 | |
| KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
| KR20130039626A (ko) | 가상 머신 통신 인터페이스를 이용한 가상 머신간 데이터 전송방법과 그 기록 매체 | |
| KR101273208B1 (ko) | 유알엘을 이용한 보안 모듈 실행 제어장치 및 방법 | |
| Araujo et al. | Embedded honeypotting |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210202 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220329 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220519 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220531 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220613 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7099566 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |