JPWO2016002605A1 - 検知装置、検知方法及び検知プログラム - Google Patents
検知装置、検知方法及び検知プログラム Download PDFInfo
- Publication number
- JPWO2016002605A1 JPWO2016002605A1 JP2016531302A JP2016531302A JPWO2016002605A1 JP WO2016002605 A1 JPWO2016002605 A1 JP WO2016002605A1 JP 2016531302 A JP2016531302 A JP 2016531302A JP 2016531302 A JP2016531302 A JP 2016531302A JP WO2016002605 A1 JPWO2016002605 A1 JP WO2016002605A1
- Authority
- JP
- Japan
- Prior art keywords
- data
- communication data
- attribute information
- tag
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/02—Banking, e.g. interest calculation or account maintenance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Technology Law (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
Description
以下の実施形態では、実施形態に係る検知装置の構成及び処理の流れを順に説明し、その後、最後に実施形態による効果を説明する。
まず、図1を用いて、検知装置10の構成を説明する。図1は、本実施形態に係る検知装置の概要を示す構成図である。図1に示すように、この検知装置10は、マルウェア実行環境部11、解析結果DB(Data Base)12及びC&Cサーバ通信先情報DB13を有する。以下に、これらの各部の処理を説明する。
次に、図5及び図6を用いて、検知装置10における処理の流れを説明する。図5は、本実施形態に係る改ざん検知部における受信データに対する処理の流れを示すフローチャートである。図6は、本実施形態に係る改ざん検知部における送信データに対する処理の流れを示すフローチャートである。
上述してきたように、検知装置10は、通信データに対して、当該通信データの通信先情報に対応づけた属性情報を含むタグを付与し、当該タグが付与された通信データの伝搬を追跡する。そして、検知装置10は、通信データに、当該通信データの送信先もしくは送信元に対応する属性情報とは異なる属性情報を含むタグが存在する場合に、当該通信データの改ざんを検知する。これによれば、検知装置10は、通信データの改ざんを詳細に分析することができる。
なお、上記の実施形態では、マルウェア実行環境における解析に適用される場合を説明したが、これに限定されるものではない。例えば、本実施形態に係る各部は、ユーザ端末に導入されてもよい。また、本実施形態を利用する際には、改ざん機能を有したマルウェアか否かの判定や改ざん攻撃が発生したことの警告通知のみを目的として、C&Cサーバ特定処理を行わず、改ざん攻撃の検知処理のみを実施してもよい。なお、C&Cサーバ特定処理を実施する際には、C&Cサーバ通信先情報DB13の内容に基づいて、VMM(Virtual Machine Monitor)側で通信の遮断を実施してもよいし、外部IPS(Intrusion Prevention System)装置等と連携して通信遮断の措置をとらせてもよい。なお、C&Cサーバは、「指令サーバ」とも称される。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、上記実施形態において説明した検知装置10が実行する処理について、コンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る検知装置10が実行する処理について、コンピュータが実行可能な言語で記述した検知プログラムを作成することもできる。この場合、コンピュータが検知プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる検知プログラムをコンピュータが読み取り可能な記録媒体に記録して、この記録媒体に記録された検知プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、図1に示した検知装置10と同様の機能を実現する検知プログラムを実行するコンピュータの一例を説明する。
11 マルウェア実行環境部
11A マルウェア
11B,11C プロセス
11D ゲストOS
11E 仮想計算機
110 データ伝搬追跡部
110A ディスクタグ保存領域
110B タグ付与部
110C タグ伝搬部A
110D メモリタグ保存領域
110E タグ伝搬部B
110F レジスタタグ保存領域
111 命令監視部
112 改ざん検知部
113 通信先情報DB
114 仮想NIC
115 仮想ディスク
116 仮想HWコントローラ
117 仮想メモリ
118 仮想CPU
118B 仮想レジスタ
12 解析結果DB
13 C&Cサーバ通信先情報DB
Claims (8)
- 通信データに対して、当該通信データの通信先情報に対応づけた属性情報を含むタグを付与し、当該タグが付与された通信データの伝搬を追跡する追跡部と、
前記通信データに、当該通信データの送信先もしくは送信元に対応する属性情報とは異なる属性情報を含むタグが存在する場合に、当該通信データの改ざんを検知する検知部と
を備えることを特徴とする検知装置。 - システム内で発行される命令を監視する命令監視部を更に備え、
前記検知部は、前記命令監視部によってAPI(Application Programming Interface)呼び出し又はシステムコールが前記命令として検知された場合に、受信データに対して前記改ざんの検知を行うことを特徴とする請求項1に記載の検知装置。 - 前記検知部は、仮想NIC(Network Interface Card)に送信データがコピーされるタイミングで、当該送信データに対して前記改ざんの検知を行うことを特徴とする請求項1に記載の検知装置。
- 前記検知部は、前記改ざんを検知した場合に、前記異なる属性情報を含むタグに対応するデータを、改ざん内容として特定することを特徴とする請求項1〜3のいずれか一つに記載の検知装置。
- 前記検知部は、前記改ざんを検知した場合に、前記異なる属性情報を含むタグに紐付く通信先を、C&C(Command and Control)サーバとして特定することを特徴とする請求項1〜3のいずれか一つに記載の検知装置。
- 前記追跡部は、前記通信データに対して複数のタグを所定のデータ長単位で付与するとともに、当該複数のタグの並び順にしたがって通番のIDをタグに割り当て、
前記検知部は、通信データに付与されたタグについて、同じ属性情報を含む一連のタグのそれぞれに割り当てられたIDが、前記並び順に沿っていない場合に、前記改ざんを検知することを特徴とする請求項1〜3のいずれか一つに記載の検知装置。 - 検知装置によって実行される検知方法であって、
通信データに対して、当該通信データの通信先情報に対応づけた属性情報を含むタグを付与し、当該タグが付与された通信データの伝搬を追跡する追跡工程と、
前記通信データに、当該通信データの送信先もしくは送信元に対応する属性情報とは異なる属性情報を含むタグが存在する場合に、当該通信データの改ざんを検知する検知工程と
を含んだことを特徴とする検知方法。 - 通信データに対して、当該通信データの通信先情報に対応づけた属性情報を含むタグを付与し、当該タグが付与された通信データの伝搬を追跡する追跡ステップと、
前記通信データに、当該通信データの送信先もしくは送信元に対応する属性情報とは異なる属性情報を含むタグが存在する場合に、当該通信データの改ざんを検知する検知ステップと
をコンピュータに実行させることを特徴とする検知プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014134055 | 2014-06-30 | ||
JP2014134055 | 2014-06-30 | ||
PCT/JP2015/068269 WO2016002605A1 (ja) | 2014-06-30 | 2015-06-24 | 検知装置、検知方法及び検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6096389B2 JP6096389B2 (ja) | 2017-03-15 |
JPWO2016002605A1 true JPWO2016002605A1 (ja) | 2017-04-27 |
Family
ID=55019147
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016531302A Active JP6096389B2 (ja) | 2014-06-30 | 2015-06-24 | 検知装置、検知方法及び検知プログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US10412101B2 (ja) |
EP (1) | EP3144845B1 (ja) |
JP (1) | JP6096389B2 (ja) |
CN (1) | CN106663176B (ja) |
WO (1) | WO2016002605A1 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102762435B (zh) | 2010-02-25 | 2015-09-30 | 本田技研工业株式会社 | 电动动力转向装置 |
US10176325B1 (en) * | 2016-06-21 | 2019-01-08 | Symantec Corporation | System and method for dynamic detection of command and control malware |
JP6753524B2 (ja) * | 2017-05-26 | 2020-09-09 | 日本電気株式会社 | 流通履歴管理システム、流通履歴管理装置、方法およびプログラム |
CN108322444B (zh) * | 2017-12-29 | 2021-05-14 | 山石网科通信技术股份有限公司 | 命令与控制信道的检测方法、装置和系统 |
CN108540652B (zh) * | 2018-03-15 | 2019-12-17 | 北京华大智宝电子系统有限公司 | 一种安全交互方法及装置 |
CN108920589B (zh) * | 2018-06-26 | 2021-08-10 | 百度在线网络技术(北京)有限公司 | 浏览劫持识别方法、装置、服务器及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06197133A (ja) * | 1992-12-24 | 1994-07-15 | Toshiba Corp | 通信システム |
JP2006128989A (ja) * | 2004-10-28 | 2006-05-18 | Furukawa Electric Co Ltd:The | パケット中継装置、パケット中継方法およびパケット中継プログラム |
JP2010272984A (ja) * | 2009-05-19 | 2010-12-02 | Sony Corp | データ送信方法および装置、データ通信方法および装置 |
JP2013098719A (ja) * | 2011-10-31 | 2013-05-20 | Toyota Infotechnology Center Co Ltd | 通信システムにおけるメッセージ認証方法および通信システム |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8566928B2 (en) | 2005-10-27 | 2013-10-22 | Georgia Tech Research Corporation | Method and system for detecting and responding to attacking networks |
US9043919B2 (en) * | 2008-10-21 | 2015-05-26 | Lookout, Inc. | Crawling multiple markets and correlating |
EP2222048A1 (en) * | 2009-02-24 | 2010-08-25 | BRITISH TELECOMMUNICATIONS public limited company | Detecting malicious behaviour on a computer network |
JP5396314B2 (ja) * | 2010-03-10 | 2014-01-22 | 株式会社日立製作所 | 不正操作検知システム及び不正操作検知方法 |
KR101158464B1 (ko) * | 2010-11-26 | 2012-06-20 | 고려대학교 산학협력단 | 봇 프로세스 탐지 장치 및 방법 |
KR101086451B1 (ko) * | 2011-08-30 | 2011-11-25 | 한국전자통신연구원 | 클라이언트 화면 변조 방어 장치 및 방법 |
CN102855568B (zh) * | 2012-08-14 | 2016-06-29 | 广东汇卡商务服务有限公司 | 一种防止pos终端非法移机的支付系统及方法 |
US9225730B1 (en) * | 2014-03-19 | 2015-12-29 | Amazon Technologies, Inc. | Graph based detection of anomalous activity |
US20150271196A1 (en) * | 2014-03-20 | 2015-09-24 | International Business Machines Corporation | Comparing source and sink values in security analysis |
-
2015
- 2015-06-24 WO PCT/JP2015/068269 patent/WO2016002605A1/ja active Application Filing
- 2015-06-24 EP EP15814747.0A patent/EP3144845B1/en active Active
- 2015-06-24 CN CN201580033556.3A patent/CN106663176B/zh active Active
- 2015-06-24 JP JP2016531302A patent/JP6096389B2/ja active Active
- 2015-06-24 US US15/320,186 patent/US10412101B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06197133A (ja) * | 1992-12-24 | 1994-07-15 | Toshiba Corp | 通信システム |
JP2006128989A (ja) * | 2004-10-28 | 2006-05-18 | Furukawa Electric Co Ltd:The | パケット中継装置、パケット中継方法およびパケット中継プログラム |
JP2010272984A (ja) * | 2009-05-19 | 2010-12-02 | Sony Corp | データ送信方法および装置、データ通信方法および装置 |
JP2013098719A (ja) * | 2011-10-31 | 2013-05-20 | Toyota Infotechnology Center Co Ltd | 通信システムにおけるメッセージ認証方法および通信システム |
Non-Patent Citations (1)
Title |
---|
幾世知範,他: "制御フローと通信の関連性分析に基づくC&Cサーバ特定手法の提案", 電子情報通信学会技術研究報告, vol. 113, no. 502, JPN6015034466, 20 March 2014 (2014-03-20), JP, pages 137 - 142, ISSN: 0003496486 * |
Also Published As
Publication number | Publication date |
---|---|
CN106663176A (zh) | 2017-05-10 |
US10412101B2 (en) | 2019-09-10 |
WO2016002605A1 (ja) | 2016-01-07 |
EP3144845A1 (en) | 2017-03-22 |
US20170126715A1 (en) | 2017-05-04 |
EP3144845B1 (en) | 2019-04-03 |
EP3144845A4 (en) | 2017-11-29 |
JP6096389B2 (ja) | 2017-03-15 |
CN106663176B (zh) | 2020-03-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6096389B2 (ja) | 検知装置、検知方法及び検知プログラム | |
EP3200115B1 (en) | Specification device, specification method, and specification program | |
US8805995B1 (en) | Capturing data relating to a threat | |
JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
US8782791B2 (en) | Computer virus detection systems and methods | |
US20150205962A1 (en) | Behavioral analytics driven host-based malicious behavior and data exfiltration disruption | |
JP5989936B2 (ja) | 特定装置、特定方法および特定プログラム | |
US9548990B2 (en) | Detecting a heap spray attack | |
US10972490B2 (en) | Specifying system, specifying device, and specifying method | |
WO2012103646A1 (en) | Determining the vulnerability of computer software applications to privilege-escalation attacks | |
US20160269443A1 (en) | Exploit detection based on heap spray detection | |
US20240045954A1 (en) | Analysis of historical network traffic to identify network vulnerabilities | |
US9202053B1 (en) | MBR infection detection using emulation | |
JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム | |
Kumar et al. | A zero-day resistant malware detection method for securing cloud using SVM and sandboxing techniques | |
CN106416178A (zh) | 用于识别自主的、自传播的软件的方法和设备 | |
Albalawi et al. | Memory deduplication as a protective factor in virtualized systems | |
CN110659478A (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
US11449610B2 (en) | Threat detection system | |
WO2015178002A1 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
WO2020161780A1 (ja) | 行動計画推定装置、行動計画推定方法、及びコンピュータ読み取り可能な記録媒体 | |
US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
JP2017162042A (ja) | 不正処理解析装置、および不正処理解析方法 | |
Surange et al. | Dynamic Analysis of Window’s Based Malware Using Reverse Engineering: A Case Study of Exmatter | |
JP2019168805A (ja) | 不正検知装置、不正検知ネットワークシステム、及び不正検知方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170104 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170201 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170214 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170215 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6096389 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |