JPWO2016125205A1 - 暗号ブロック特定装置、暗号ブロック特定方法、及び暗号ブロック特定プログラム - Google Patents
暗号ブロック特定装置、暗号ブロック特定方法、及び暗号ブロック特定プログラム Download PDFInfo
- Publication number
- JPWO2016125205A1 JPWO2016125205A1 JP2016572939A JP2016572939A JPWO2016125205A1 JP WO2016125205 A1 JPWO2016125205 A1 JP WO2016125205A1 JP 2016572939 A JP2016572939 A JP 2016572939A JP 2016572939 A JP2016572939 A JP 2016572939A JP WO2016125205 A1 JPWO2016125205 A1 JP WO2016125205A1
- Authority
- JP
- Japan
- Prior art keywords
- block
- encryption
- execution
- specifying
- block candidate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/36—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with means for detecting characters not meant for transmission
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
マルウェア感染による情報漏えい被害の深刻化を背景に、マルウェアがどの情報を漏えいしたか特定する技術が注目されている。実際に漏えいした情報を特定する際には、パソコンやサーバ等の機器が生成したログを解析することで、マルウェアの活動を明らかにする。
しかし、昨今のマルウェアの中には暗号技術を用いて通信を秘匿するものがある。このようなマルウェアの通信は、そのままでは解析できないため、マルウェアの活動を明らかにすることが困難となってしまう。
従って、マルウェアが通信の秘匿に利用した暗号ロジックとその鍵を特定し、暗号化された通信を復号する必要がある。通常、この作業は、マルウェアの機械語、すなわちバイナリデータを解析する必要があり、膨大な手間と時間を要する。このため、暗号ロジックとその鍵を特定する従来技術として、例えば、以下の特許文献1、非特許文献1、非特許文献2で開示されている手法がある。
非特許文献1、非特許文献2は、マルウェアを実行して得られたログである実行トレースを解析して、マルウェアが利用している暗号ロジックを特定する技術が提案されている。
非特許文献1では、暗号処理は算術・ビット演算が多いことを利用して、実行トレースにおいて、ビット・論理演算の割合を計算することで暗号ブロックを特定する。
非特許文献2では、暗号処理は同一処理を繰り返し行なうことで情報を暗号化していることが多い特徴を利用して、実行トレースから同一処理の繰り返しであるループを検知することで、暗号ブロックを特定する。
図1は、実施の形態1に係る暗号ブロック特定装置1の一構成例を示す図である。
図1において、暗号ブロック特定装置1は、ブロック候補抽出部2と、ブロック候補記憶部3と、暗号ブロック特定部4とを備える。
ブロック候補記憶部3は、ブロック候補抽出部2により抽出されたブロック候補を記憶する。
暗号ブロック特定部4は、ブロック候補記憶部3に記憶されたブロック候補から、暗号ブロックを特定し、特定した暗号ブロックの情報を暗号ブロック情報6として出力する。
図2は、実施の形態1に係る暗号ブロック特定装置1の全体の動作の流れを示すフローチャートである。
図3は、実行トレース5に含まれる各実行ステップを表現するデータ形式の一例を示す説明図である。
図4は、実行トレース5の具体例を示す図である。
図3において、実行トレース5に含まれる各実行ステップは、命令のアドレス、命令(オペコード)、命令対象(オペランド)、メモリ・レジスタアクセス情報を備えるデータ形式で表現される。図4は、図3に示したデータ形式により表現された実際の実行トレース5の具体例であり、記号「!」により命令のアドレス等の情報を区切って表現している。
図5は、ブロック候補記憶部3に記録されるブロック候補を表現するデータ形式の一例を示す説明図である。
図6は、ブロック候補記憶部3に記録されるブロック候補の具体例を示す図である。
図5において、ブロック候補記憶部3に記録されるブロック候補は、ブロック候補を一意に識別するブロック候補IDと対応付けられており、図6の具体例に示すように、ブロック候補IDとブロック候補とが対応付けられてブロック候補記憶部3に記録される。なお、ここでは、実行トレース5中の実行ステップの行番号を、ブロック候補IDとして用いている。また、実行トレース5中の実行ステップの行番号は、各実行ステップの実行ステップIDとしても用いる。
図7において、ブロックIDは、特定した暗号ブロックを一意に識別する識別子である。開始アドレスは、特定した暗号ブロックが開始する位置を示し、例えば、特定した暗号ブロックの先頭のブロック候補IDを用いる。同様に、終了アドレスは、特定した暗号ブロックが終了する位置を示し、例えば、特定した暗号ブロックの最後のブロック候補IDを用いる。ブロックを構成する命令列は、特定した暗号ブロックに含まれるブロック候補とブロック候補IDの列であり、ブロックサイズは、特定した暗号ブロックに含まれるブロック候補とブロック候補IDの列の個数を示す。
本実施の形態で用いる評価関数は、例えば、以下の数1で定義する。
ただし、F(t)は、t における暗号らしさを示す評価値であり、fi(t)とgi(t)は、i 番目に励起される減衰関数である。
t は、経過時間であり、ここでは実行トレース5中の実行ステップが何番目かを示す。
N は、計測対象の実行トレース5において励起される減衰関数fi(t)の数であり、ここでは実行トレース5中に含まれる算術演算、論理演算、ビット演算の個数を示す。
τi は、i 番目に励起される減衰関数fi(t)が励起された時刻であり、ここでは励起されたタイミングにおいて実行トレース5中の実行ステップが何番目かを示す。
αは、暗号らしさとして定義される値である。
δ(t)は、減衰関数fi(t)が励起された時刻において、暗号らしさを示す評価値を減衰させるための値であり、1命令当たりの暗号らしさの減衰量を示す。
上記の数1では、減衰関数fi(t)は、算術演算、論理演算、ビット演算が処理されたタイミングで励起される。また、減衰関数fi(t)は正の値しか取らないため、減衰関数gi(t)の値が負となる場合には、減衰関数fi(t)は0とする。
図8は、ブロック候補抽出部2の動作の流れを示すフローチャートである。
図9は、暗号ブロック特定部4の動作の流れを示すフローチャートである。
次に、ステップS301において、暗号ブロック特定部4は、参照したブロック候補IDが連続する数を計数し、連続する数が閾値Mを超えているか判定する。連続する数が閾値Mを越えている場合は、Yesの分岐によりステップS302に進み、そうでない場合は、Noの分岐によりステップS303に進む。
次に、ステップS302において、暗号ブロック特定部4は、ブロック候補IDが連続している部分を暗号ブロックとして特定し、ブロック候補とブロック候補IDの情報を含む暗号ブロック情報6を出力する。暗号ブロック情報6は、例えば、図7で説明したデータ形式である。
次に、ステップS303において、暗号ブロック特定部4は、ブロック候補記憶部3に記憶された全てのブロック候補IDを処理したか判定する。全てのブロック候補IDを処理した場合は、Yesの分岐に進み、暗号ブロック特定の処理を終了する。全てのブロック候補IDを処理していない場合は、Noの分岐によりステップS300に戻る。
図10は、実施の形態1に係るキューとキューの各要素の合計値であるF(t)の推移を示す図である。
図10では、31個の実行ステップからなる実行トレース5に対して、上から下の順方向でブロック候補抽出部2に入力した場合を示している。この実行トレース5には、算術演算、論理演算、ビット演算のいずれかの命令を含む実行ステップが存在し、その実行ステップを、図中の「命令あり」の列に丸印を付与して示す。
図11は、実施の形態1の実行例において、ブロック候補抽出処理によって得られるブロック候補記憶部3の状態を示す図である。
ここで、ステップS301において、ブロック候補IDが連続する数の閾値Mを5に設定した場合、ブロック候補IDが4〜9のブロック候補は、連続する数が6であるため、ブロック候補IDが4〜9のブロック候補を、暗号ブロックとして特定し、暗号ブロック情報6を出力する。一方、ブロック候補IDが13、15のブロック候補は、連続していないため暗号ブロックとしてみなさず、暗号ブロック情報6を出力しない。
以上の実施の形態1では、実行トレース5を順方向に解析して、少ない計算量で軽量に暗号ブロックを特定するようにしたものであるが、次に、本実施の形態2では、実行トレース5を逆方向に解析した結果を併用して、暗号ブロックを精度良く特定する場合について説明する。
以下、実施の形態2に係る暗号ブロック特定装置1の動作について説明する。
図12は、実施の形態2に係る暗号ブロック特定装置1の全体の動作の流れを示すフローチャートである。
図13では、31個の実行ステップからなる実行トレース5に対して、下から上の逆方向でブロック候補抽出部2に入力した場合を示している。図10の場合と同様に、この実行トレース5には、算術演算、論理演算、ビット演算のいずれかの命令を含む実行ステップが存在し、その実行ステップを、図中の「命令あり」の列に丸印を付与して示す。
図14では、実行トレース5を順方向と逆方向の両方向で解析した結果、抽出されたブロック候補がブロック候補記憶部3に記録されている状態を示している。
以上の実施の形態2では、ブロック候補抽出部2において、順方向と逆方向それぞれでブロック候補記憶部3にブロック候補IDを記録したものであるが、次に、本実施の形態2では、順方向と逆方向の暗号らしさの値F(t)を先に計算してから、ブロック候補記憶部3へのブロック候補IDの記録を一度だけで行なう場合について説明する。
図15において、「F(t)加算結果」の記憶領域に、順方向と逆方向の暗号らしさの値F(t)の加算結果を格納する。
まず、ブロック候補抽出部2が、実施の形態1のステップS201〜ステップS206までを順方向に実行し、キューの中身を全て加算した値である順方向評価値を、ブロック候補IDごとに「F(t)加算結果」の記憶領域に格納する。
次に、ブロック候補抽出部2が、実施の形態1のステップS201〜ステップS206までを逆方向に実行し、キューの中身を全て加算した値である逆方向評価値を、対応するブロック候補IDの「F(t)加算結果」の記憶領域に格納されている順方向評価値に加算する。
次に、ブロック候補抽出部2が、「F(t)加算結果」の値が、暗号ブロック候補とみなす閾値Lを越えていた場合、該当するブロック候補IDとブロック候補をブロック候補記憶部3に記録する。
以上で説明した実施の形態1から3では、実行トレース5を解析して暗号ブロックを特定する処理について説明したが、次に、実施の形態4では、暗号らしさを示す評価値をグラフにより可視化することにより、算術演算、論理演算、ビット演算の分布を視覚的に容易に判断できるようにする場合について説明する。
図16において、暗号ブロック特定装置1は、暗号らしさを示す評価値を可視化し、可視化結果8を出力する可視化部7を備える。その他の構成は、実施の形態1から3の構成と同様である。
まず、実施の形態1〜3に示した処理手順により、ブロック候補抽出部2が、実行トレース5の実行ステップ一行ごとに、暗号らしさを示す評価値F(t)を記録する。ここで、実行トレース5の各実行ステップと、暗号らしさを示す評価値F(t)とが対応付けられて記録されている状態となる。
次に、可視化部7は、ブロック候補抽出部2に記録されている暗号らしさを示す評価値F(t)を、例えばグラフにより可視化し、可視化結果8をユーザに表示する。
図17は、順方向における暗号らしさを示す評価値の分布を示す図である。
図18は、逆方向における暗号らしさを示す評価値の分布を示す図である。
図19は、順方向と逆方向の暗号らしさを示す評価値の加算結果の分布を示す図である。
図中、横軸の「ID」は、実行トレース5中の実行ステップIDを示し、縦軸の「評価値」は、暗号らしさを示す評価値を示す。
以上の実施の形態1〜4では、算術演算、論理演算、ビット演算が、実行トレース5のどの領域に多く含まれるかという尺度により、少ない処理量で暗号ブロックを特定するようにしたものであるが、次に、実施の形態5では、実施の形態1〜4の暗号ブロック特定装置1の処理量が軽量であることを利用して、暗号ブロック特定装置1のブロック候補抽出部2を、他の暗号ブロック特定装置に入力する実行トレースのフィルタとして適用する場合について説明する。
図20において、暗号ブロック特定装置1は、本発明とは異なる暗号ブロック特定処理を行なう他の暗号ブロック特定装置9を備える。その他の構成は、実施の形態1から3の構成と同様である。
まず、実施の形態1〜3に示した処理手順により、ブロック候補抽出部2が、入力された実行トレース5を解析して、実行トレース5の実行ステップ一行ごとに、暗号らしさを示す評価値F(t)を算出する。この場合、実行トレース5を解析する方向は、順方向、逆方向のどちらの場合であっても良いし、両方向を併用しても良い。
次に、他の暗号ブロック特定装置9は、ブロック候補抽出部2によりフィルタリングされた実行トレースに対して、暗号ブロック特定処理を実行する。
以上で説明した実施の形態1〜5は、実行トレース5を解析して暗号ブロックを特定するまでの処理について説明したが、次に、本実施の形態6では、解析対象となるマルウェアの実行ファイルから実行トレースを抽出し、この実行トレースから暗号ブロック特定装置1が暗号ブロックを特定した後に、暗号ブロックに用いられている暗号ロジックにより、入力された通信ログを解析して鍵と平文を解析結果として出力する場合について説明する。
図21において、暗号ブロック特定装置1は、マルウェアの実行ファイル10を実行して実行トレースを取得する実行トレース取得部11と、暗号ブロック特定部4が出力する暗号ブロック情報を用いて通信ログ11を解析し、鍵と平文を含む解析結果12を出力する通信ログ解析部10とを備える。その他の構成は、実施の形態1から3の構成と同様である。
まず、解析対象となる実行ファイル10が実行トレース取得部11に入力される。実行トレース取得部11は、実行ファイル10を実行して実行トレースを取得し、暗号ブロック特定装置1に入力する。
図22は、実施の形態1〜6に示した暗号ブロック特定装置1のハードウェア構成の例を示す図である。
Claims (11)
- マルウェアの実行ステップを記録した実行トレースを解析し、暗号らしさを特徴付ける演算種別が前記実行ステップに含まれるか否かに基づいて前記実行ステップの暗号らしさを示す評価値を算出し、この評価値が閾値Lを越える実行ステップを暗号ブロックの候補であるブロック候補として抽出するブロック候補抽出部と、
前記ブロック候補が閾値Mを越えて連続している前記実行トレースの領域を暗号ブロックとして特定する暗号ブロック特定部と
を備える暗号ブロック特定装置。 - 前記ブロック候補抽出部は、前記実行ステップに対応付けられた配列を備え、前記配列の全ての要素から1実行ステップあたりの減衰量δを減算し、前記演算種別が前記実行ステップに含まれている場合に、暗号ブロックである確からしさを示す値αを前記配列の要素として追加し、前記配列の全ての要素を合計して前記暗号らしさを示す評価値を算出する請求項1記載の暗号ブロック特定装置。
- 前記ブロック候補抽出部は、算術演算または論理演算またはビット演算の演算種別に基づいて前記実行ステップの前記評価値を算出する請求項1記載の暗号ブロック特定装置。
- 前記ブロック候補を格納するブロック候補記憶部を備え、
前記ブロック候補抽出部は、前記実行トレースを順方向及び逆方向に解析して抽出した前記ブロック候補を前記ブロック候補記憶部に格納し、
前記暗号ブロック特定部は、前記ブロック候補記憶部に格納された前記ブロック候補に対して前記暗号ブロックを特定する請求項1記載の暗号ブロック特定装置。 - 前記ブロック候補抽出部は、前記実行ステップに対応付けられた記憶領域を備え、前記実行トレースを順方向に解析して算出した評価値である順方向評価値を前記記憶領域に格納し、前記実行トレースを逆方向に解析して算出した評価値である逆方向評価値を前記記憶領域に格納された前記順方向評価値に加算し、前記順方向評価値と前記逆方向評価値との加算値が閾値Lを越える実行ステップを抽出して前記ブロック候補として前記ブロック候補記憶部に格納する請求項4記載の暗号ブロック特定装置。
- 前記ブロック候補抽出部は、前記配列の構造がキューであり、前記キューに対して減衰量δを減算して前記キューの先端要素が0になる場合、デキュー処理を行なって前記先端要素を削除する請求項2記載の暗号ブロック特定装置。
- 前記ブロック候補抽出部が算出する前記実行ステップの暗号らしさを示す評価値を可視化する可視化部を備える請求項1記載の暗号ブロック特定装置。
- 暗号ブロックを特定する他の暗号ブロック特定装置を備え、
前記ブロック候補抽出部は、前記暗号らしさを示す評価値を算出した前記実行ステップの中から閾値Lを越える前記実行ステップをフィルタリングして抽出し、抽出した前記実行ステップからなる実行トレースを前記他の暗号ブロック特定装置に入力する請求項1記載の暗号ブロック特定装置。 - マルウェアの実行ファイルを実行して実行トレースを取得する実行トレース取得部と、
通信ログを解析して鍵と平文を含む解析結果を出力する通信ログ解析部とを備え、
前記ブロック候補抽出部は、前記実行トレース取得部が取得した前記実行トレースから前記ブロック候補を抽出し、
前記暗号ブロック特定部は、前記ブロック候補抽出部が抽出した前記ブロック候補から前記暗号ブロックを特定し、
前記通信ログ解析部は、暗号ブロック特定部が特定した前記暗号ブロックの情報を用いて、前記通信ログを解析して前記解析結果を出力する請求項1記載の暗号ブロック特定装置。 - マルウェアの実行ステップを記録した実行トレースを解析し、暗号ブロックを特定する暗号ブロック特定装置の暗号ブロック特定方法であって、
ブロック候補抽出部が、前記実行トレースを解析し、暗号らしさを特徴付ける演算種別が前記実行ステップに含まれるか否かに基づいて前記実行ステップの暗号らしさを示す評価値を算出し、この評価値が閾値Lを越える実行ステップを暗号ブロックの候補であるブロック候補として抽出するブロック候補抽出ステップと、
暗号ブロック特定部が、前記ブロック候補が閾値Mを越えて連続している前記実行トレースの領域を暗号ブロックとして特定する暗号ブロック特定ステップと
を備える暗号ブロック特定方法。 - コンピュータに、
マルウェアの実行ステップを記録した実行トレースを解析し、暗号らしさを特徴付ける演算種別が前記実行ステップに含まれるか否かに基づいて前記実行ステップの暗号らしさを示す評価値を算出し、この評価値が閾値Lを越える実行ステップを暗号ブロックの候補であるブロック候補として抽出するブロック候補抽出ステップと、
前記ブロック候補が閾値Mを越えて連続している前記実行トレースの領域を暗号ブロックとして特定する暗号ブロック特定ステップと
を実行させるための暗号ブロック特定プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2015/000547 WO2016125205A1 (ja) | 2015-02-06 | 2015-02-06 | 暗号ブロック特定装置、暗号ブロック特定方法、及び暗号ブロック特定プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2016125205A1 true JPWO2016125205A1 (ja) | 2017-06-08 |
JP6407311B2 JP6407311B2 (ja) | 2018-10-17 |
Family
ID=56563572
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016572939A Expired - Fee Related JP6407311B2 (ja) | 2015-02-06 | 2015-02-06 | 暗号ブロック特定装置、暗号ブロック特定方法、及び暗号ブロック特定プログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US10050798B2 (ja) |
JP (1) | JP6407311B2 (ja) |
CN (1) | CN107210920B (ja) |
WO (1) | WO2016125205A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10893090B2 (en) * | 2019-02-14 | 2021-01-12 | International Business Machines Corporation | Monitoring a process on an IoT device |
US11816212B2 (en) * | 2020-04-15 | 2023-11-14 | Inferati Inc. | Large scale zero trust malware detection |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005527873A (ja) * | 2001-09-14 | 2005-09-15 | コンピュータ アソシエイツ シンク,インコーポレイテッド | ウイルス検知システム |
US20100235913A1 (en) * | 2009-03-12 | 2010-09-16 | Microsoft Corporation | Proactive Exploit Detection |
JP2013114637A (ja) * | 2011-12-01 | 2013-06-10 | Mitsubishi Electric Corp | マルウェア解析システム |
US20130326625A1 (en) * | 2012-06-05 | 2013-12-05 | Los Alamos National Security, Llc | Integrating multiple data sources for malware classification |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4755658B2 (ja) | 2008-01-30 | 2011-08-24 | 日本電信電話株式会社 | 解析システム、解析方法および解析プログラム |
JP5225942B2 (ja) | 2009-07-01 | 2013-07-03 | 日本電信電話株式会社 | 解析システム、解析方法、及び解析プログラム |
DE102009050493A1 (de) * | 2009-10-23 | 2011-04-28 | Röllgen, Bernd | Blockdatenverschlüsselungsverfahren |
JP5437977B2 (ja) | 2010-11-10 | 2014-03-12 | 日本電信電話株式会社 | 解析システム、解析装置、解析方法及び解析プログラム |
CN102012987B (zh) * | 2010-12-02 | 2013-03-13 | 李清宝 | 自动二进制恶意代码行为分析系统 |
JP5456715B2 (ja) | 2011-03-16 | 2014-04-02 | 日本電信電話株式会社 | データ特定装置、データ特定方法及びデータ特定プログラム |
JP5389855B2 (ja) | 2011-04-28 | 2014-01-15 | 日本電信電話株式会社 | 解析システム、解析方法および解析プログラム |
CN103096320B (zh) * | 2011-11-01 | 2016-08-10 | 中国移动通信集团公司 | 移动终端恶意软件的分析方法和装置 |
JP5892840B2 (ja) | 2012-04-06 | 2016-03-23 | 株式会社日立製作所 | プログラム解析システム |
JP5726385B2 (ja) * | 2012-09-26 | 2015-05-27 | 三菱電機株式会社 | プログラム検証装置、プログラム検証方法およびプログラム検証プログラム |
US9292688B2 (en) * | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
JP5876399B2 (ja) | 2012-10-22 | 2016-03-02 | 日本電信電話株式会社 | 不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラム |
WO2015142755A1 (en) * | 2014-03-17 | 2015-09-24 | Proofpoint, Inc. | Behavior profiling for malware detection |
US10325094B2 (en) * | 2014-08-28 | 2019-06-18 | Mitsubishi Electric Corporation | Process analysis apparatus, process analysis method, and process analysis for determining input/output relation of a block of execution trace to detect potential malware |
US9419991B2 (en) * | 2014-09-30 | 2016-08-16 | Juniper Networks, Inc. | De-obfuscating scripted language for network intrusion detection using a regular expression signature |
KR101543237B1 (ko) * | 2014-12-03 | 2015-08-11 | 한국인터넷진흥원 | 코드 패턴을 이용한 정적 분석과 api 흐름을 이용한 동적 분석을 통한 악성 스크립트 탐지 차단 장치, 시스템 및 방법 |
US9860262B2 (en) * | 2014-12-05 | 2018-01-02 | Permissionbit | Methods and systems for encoding computer processes for malware detection |
US10708296B2 (en) * | 2015-03-16 | 2020-07-07 | Threattrack Security, Inc. | Malware detection based on training using automatic feature pruning with anomaly detection of execution graphs |
-
2015
- 2015-02-06 US US15/544,982 patent/US10050798B2/en not_active Expired - Fee Related
- 2015-02-06 WO PCT/JP2015/000547 patent/WO2016125205A1/ja active Application Filing
- 2015-02-06 JP JP2016572939A patent/JP6407311B2/ja not_active Expired - Fee Related
- 2015-02-06 CN CN201580075210.XA patent/CN107210920B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005527873A (ja) * | 2001-09-14 | 2005-09-15 | コンピュータ アソシエイツ シンク,インコーポレイテッド | ウイルス検知システム |
US20100235913A1 (en) * | 2009-03-12 | 2010-09-16 | Microsoft Corporation | Proactive Exploit Detection |
JP2013114637A (ja) * | 2011-12-01 | 2013-06-10 | Mitsubishi Electric Corp | マルウェア解析システム |
US20130326625A1 (en) * | 2012-06-05 | 2013-12-05 | Los Alamos National Security, Llc | Integrating multiple data sources for malware classification |
Non-Patent Citations (2)
Title |
---|
与沢 和紀 ほか: "マネージドセキュリティサービス 最前線 第6回−実例ベースで考える−", BUSINESS COMMUNICATION, vol. 第51巻、第6号, JPN6015014041, 1 June 2014 (2014-06-01), JP, pages 6 - 9, ISSN: 0003858589 * |
山本 匠 ほか: "暗号ロジック特定手法の提案 その2", 2015年暗号と情報セキュリティシンポジウム, vol. 2A1−1, JPN6015014038, 20 January 2015 (2015-01-20), JP, pages 1 - 6, ISSN: 0003858588 * |
Also Published As
Publication number | Publication date |
---|---|
WO2016125205A1 (ja) | 2016-08-11 |
JP6407311B2 (ja) | 2018-10-17 |
US10050798B2 (en) | 2018-08-14 |
US20180019883A1 (en) | 2018-01-18 |
CN107210920B (zh) | 2018-07-10 |
CN107210920A (zh) | 2017-09-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8904536B2 (en) | Heuristic method of code analysis | |
WO2011053637A1 (en) | System and method for detecting executable machine instructions in a data stream | |
CN104937550B (zh) | 以函数为目标的虚拟机切换 | |
US10521585B2 (en) | Method and apparatus for detecting side-channel attack | |
KR101817636B1 (ko) | 랜섬웨어 검출 장치 및 방법 | |
US11640463B2 (en) | Analysis device, analysis method and computer-readable recording medium | |
US9773111B2 (en) | Software-based side-channel attack prevention | |
JP6407311B2 (ja) | 暗号ブロック特定装置、暗号ブロック特定方法、及び暗号ブロック特定プログラム | |
Singh et al. | A context-aware trigger mechanism for ransomware forensics | |
Facon et al. | Detecting cache-timing vulnerabilities in post-quantum cryptography algorithms | |
JPWO2016002605A1 (ja) | 検知装置、検知方法及び検知プログラム | |
JP6459289B2 (ja) | マルウェア推定装置、マルウェア推定方法、及び、マルウェア推定プログラム | |
Camacho et al. | A cloud-oriented integrity verification system for audio forensics | |
JP2011022903A (ja) | 分析装置、分析方法およびプログラム | |
US10885184B1 (en) | Rearranging executables in memory to prevent rop attacks | |
CN111030978B (zh) | 一种基于区块链的恶意数据获取方法、装置及存储设备 | |
US20190121968A1 (en) | Key generation source identification device, key generation source identification method, and computer readable medium | |
US20180157846A1 (en) | Information processing method, electronic device and computer storage medium | |
Albalawi et al. | Memory deduplication as a protective factor in virtualized systems | |
CN110875917B (zh) | 一种检测挖矿病毒的方法、装置及存储介质 | |
CN104966019A (zh) | 一种启发式文档威胁检测方法及系统 | |
US9239927B2 (en) | Static analysis for discovery of timing attack vulnerabilities in a computer software application | |
US10325094B2 (en) | Process analysis apparatus, process analysis method, and process analysis for determining input/output relation of a block of execution trace to detect potential malware | |
CN107180188B (zh) | 一种基于动态污点分析对加密应用的明文提取的系统 | |
CN107103254B (zh) | 加密程序识别方法及装置、电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170221 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180320 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180406 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180821 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180918 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6407311 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |