JPWO2016203759A1 - 分析システム、分析方法、分析装置及び、コンピュータ・プログラムが記憶された記録媒体 - Google Patents
分析システム、分析方法、分析装置及び、コンピュータ・プログラムが記憶された記録媒体 Download PDFInfo
- Publication number
- JPWO2016203759A1 JPWO2016203759A1 JP2017524609A JP2017524609A JPWO2016203759A1 JP WO2016203759 A1 JPWO2016203759 A1 JP WO2016203759A1 JP 2017524609 A JP2017524609 A JP 2017524609A JP 2017524609 A JP2017524609 A JP 2017524609A JP WO2016203759 A1 JPWO2016203759 A1 JP WO2016203759A1
- Authority
- JP
- Japan
- Prior art keywords
- analysis
- configuration
- target program
- execution
- analysis target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Stored Programmes (AREA)
Abstract
Description
以下、本発明を実施する形態について図面を参照して詳細に説明する。以下の各実施形態に記載されている構成は例示であり、本発明の技術範囲はそれらには限定されない。
以下、第1の実施形態における分析システムの構成について図1を参照して説明する。図1に例示されるように、第1の実施形態における分析システム100は、動作分析部101と、構成部102とを備える。動作分析部101は単体の動作分析装置として実現されてもよく、構成部102は、単体の構成装置として実現されてもよい。動作分析部101と、構成部102との間は、任意の通信手段(通信路)を介して通信可能に接続されている。
本実施形態における分析システム100の動作について、図9に例示するフローチャートを用いて説明する。
以下、本実施形態の第1の具体例として、分析対象のマルウェアの動作に応じて、模倣環境のネットワーク構成が設定(変更)される場合について説明する。この場合、構成情報保持部304には、例えば、図4に例示するネットワーク構成情報が登録されている。図4に例示するネットワーク構成情報には、マルウェアの動作を検知した検知結果(検知内容402)と、当該検知結果に関連付けされた模倣設定情報(構成内容403)との組合せが、項目として含まれる。なお、図4に例示するように、ネットワーク構成情報は、検知内容402と、構成内容403との組合せを識別可能な項番401を含んでもよい。
以下、本実施形態の第2の具体例について説明する。本具体例における分析システム100は、マルウェアが実行する描画処理デバイス(ビデオカード等)を用いた稼働環境判定処理に対して、実稼働環境を模倣する適切な応答を通知可能である。この場合、構成情報保持部304には、例えば、図5に例示するビデオ構成情報が登録されている。図5に例示するビデオ構成情報には、マルウェアの動作を検知した検知結果(検知内容502)と、当該検知結果に関連付けされた模倣設定情報(構成内容503)との組合せが項目として登録されている。なお、図5に例示するように、ビデオ構成情報は、検知内容502と、構成内容503との組合せを識別可能な項番501を含んでもよい。
以下、本実施形態の第3の具体例について説明する。本具体例における分析システム100は、マルウェアが実行する入出力ポート(I/Oポート)を用いた稼働環境判定処理に対して、実稼働環境を模倣する適切な応答を通知可能である。この場合、構成情報保持部304には、例えば、図6に例示するI/Oポート構成情報が登録されている。図6に例示するI/Oポート構成情報には、上記各具体例と同様、マルウェアの動作を検知した検知結果(検知内容602)と、当該検知結果に関連付けされた模倣設定情報(構成内容603)との組合せが項目として含まれる。なお、図6に例示するように、I/Oポート構成情報は、検知内容602と、構成内容603との組合せを識別可能な項番601を含んでもよい。
以下、本実施形態の第4の具体例について説明する。本具体例においては、マルウェアの動作に応じて、適切なプロセッサ情報がマルウェアに通知される。この場合、構成情報保持部304には、例えば、図7に例示するプロセッサ構成情報が登録されている。図7に例示するプロセッサ構成情報には、上記各具体例と同様、マルウェアの動作を検知した検知結果(検知内容702)と、当該検知結果に関連付けされた模倣設定情報(構成内容703)との組合せが項目として含まれる。なお、図7に例示するように、プロセッサ構成情報は、検知内容702と、構成内容703との組合せを識別可能な項番701を含んでもよい。
以下、本実施形態の第5の具体例として、分析対象のマルウェアの動作に応じて、模倣環境におけるファイルシステムの構成が設定される場合について説明する。この場合、構成情報保持部304には、例えば、図8に例示するファイルシステム構成情報が登録されている。図8に例示するファイルシステム構成情報は、上記各具体例と同様、マルウェアの動作を検知した検知結果(検知内容802)と、当該検知結果に関連付けされた模倣設定情報(構成内容803)とを項目として含む。なお、図8に例示するように、ファイルシステム構成情報は、検知内容802と、構成内容803との組合せを識別可能な項番801を含んでもよい。
次に、本発明の第2の実施形態について説明する。図11は、本実施形態における分析システム1100の機能的な構成を例示するブロック図である。図11に例示するように、本実施形態における分析システム1100は、動作分析部1101と、構成部1102とを備える。動作分析部1101は、動作分析手段として機能してもよく、構成部1102は、構成手段として機能してもよい。動作分析部1101と、構成部1102との間は、任意の通信手段を用いて通信可能に接続されている。なお、図12に例示するように、分析システム1100は、単体の装置(物理的あるいは仮想的な装置)を用いて構成されてもよい。この場合、分析システム1100は、単体の分析装置として機能する。
次に、図13を参照して、第2の実施形態の変形例について説明する。図13に例示するように、本変形例における分析システム1300は、第2の実施形態における分析システム1100に対して、表示部1301を更に備える。本変形例におけるその他の構成要素(動作分析部1101、及び、構成部1102)は、上記第2の実施形態と同様としてよい。
以下、上記説明した各実施形態を実現可能なハードウェア構成について説明する。
101 動作分析部
102 構成部
201 検体保持部
202 検体準備部
203 検体分析部
204 実行命令検知部
205 検知結果送信部
206 装置模倣部
207 模倣設定受信部
208 分析結果格納部
209 分析結果保持部
301 検知結果受信部
302 構成調整部
303 模倣設定送信部
304 構成情報保持部
1100 分析システム
1101 動作分析部
1102 構成部
1301 表示部
1401 演算装置
1402 記憶装置
1403 不揮発性記憶装置
1404 ドライブ装置
1405 記録媒体
1406 ネットワークインタフェース
1407 入出力インタフェース
Claims (18)
- 分析対象のプログラムである分析対象プログラムを、当該分析対象プログラムを実行可能な第1の実行環境の少なくとも一部の構成を模倣可能な第2の実行環境において実行することにより、当該分析対象プログラムの動作を分析する動作分析手段と、
前記動作分析手段において分析された前記分析対象プログラムの動作に応じて、前記第2の実行環境の少なくとも一部の構成を変更することにより、前記分析対象プログラムの動作に関連する前記第1の実行環境における特定の構成を模倣可能な前記第2の実行環境を構築する構成手段と、を備える
分析システム。 - 前記動作分析手段は、前記第2の実行環境を構成する仮想装置において前記分析対象プログラムを実行することにより、当該分析対象プログラムが実行環境を検知する際に実行する検知動作を抽出し、
前記構成手段は、前記抽出された前記分析対象プログラムの検知動作に応じて前記第2の実行環境の構成を変更することにより、前記仮想装置が前記分析対象プログラムに対して前記第1の実行環境を模倣した実行結果を通知することを可能とする、
請求項1に記載の分析システム。 - 前記構成手段は、
前記分析対象プログラムの検知動作を表す情報と、当該動作を実行した前記分析対象プログラムに対して、前記仮想装置が前記第1の実行環境を模倣した実行結果を通知することを可能とする前記第2の実行環境の構成を表す情報である模倣設定情報と、を関連付けて保持し、
前記動作分析手段が前記分析対象プログラムの検知動作を抽出した場合、抽出した検知動作を表す情報に関連付けされた模倣設定情報に基づいて、前記第2の実行環境の構成を変更する、
請求項2に記載の分析システム。 - 前記動作分析手段は、前記仮想装置において前記分析対象プログラムを実行することにより、前記分析対象プログラムを構成する実行命令を表す情報と、当該実行命令を実行する際に用いられるデータを表す情報とを前記分析対象プログラムの検知動作を表す情報として抽出する、
請求項3に記載の分析システム。 - 前記構成手段は、前記模倣設定情報に基づいて前記第2の実行環境の構成を変更することにより、前記仮想装置が、前記第1の実行環境において前記分析対象プログラムの検知動作が実行された場合に当該第1の実行環境から前記分析対象プログラムに対して通知される実行結果である第1の実行結果と同等若しくは略同等な実行結果、及び、前記第1の実行結果を模倣可能なダミーの実行結果、の少なくともいずれかを、前記分析対象プログラムに通知することを可能とする、
請求項3又は請求項4に記載の分析システム。 - 前記動作分析手段による分析の結果、前記分析対象プログラムが通信処理を実行する場合、
前記構成手段は、
前記第2の実行環境の構成を変更することにより、前記仮想装置が通信データを送受信可能な仮想的な通信ネットワークを構築するとともに、
前記模倣設定情報に基づいて、前記仮想的な通信ネットワークに対する前記仮想装置からのアクセスを制御する設定情報を、前記第2の実行環境に設定する、
請求項3乃至請求項5のいずれかに記載の分析システム。 - 前記動作分析手段による分析の結果、前記分析対象プログラムが通信処理を実行する場合、
前記構成手段は、前記模倣設定情報に基づいて、外部の通信ネットワークに対する前記仮想的な装置からのアクセスを制御する設定情報を、前記第2の実行環境に設定する、
請求項3乃至請求項5のいずれかに記載の分析システム。 - 前記動作分析手段による分析の結果、前記分析対象プログラムが、前記仮想装置における仮想化された特定のデバイスを用いて、前記検知動作を実行する場合、
前記構成手段は、前記模倣設定情報に基づいて前記仮想装置における仮想化された特定のデバイスに関する設定を変更することにより、前記仮想装置が、前記検知動作を実行した前記分析対象プログラムに対して、少なくとも、当該検知動作が物理的なデバイスを用いて実行された場合の結果を模倣可能な実行結果を通知することを可能とする、
請求項3乃至請求項5のいずれかに記載の分析システム。 - 前記動作分析手段による分析の結果、前記分析対象プログラムが前記仮想装置における仮想化された描画処理デバイスを用いて前記検知動作を実行する場合、
前記構成手段は、
前記模倣設定情報に基づいて、前記仮想装置における仮想化された描画処理デバイスに関する設定を変更することにより、前記仮想装置が、前記検知動作を実行した前記分析対象プログラムに対して、少なくとも、当該検知動作が物理的な描画処理デバイスを用いて実行された場合の結果を模倣可能な実行結果を通知することを可能とする、
請求項3乃至請求項5のいずれかに記載の分析システム。 - 前記動作分析手段による分析の結果、前記分析対象プログラムが前記仮想装置における仮想化された入出力ポートを用いて前記検知動作を実行する場合、
前記構成手段は、前記模倣設定情報に基づいて前記仮想装置における仮想化された入出力ポートに関する設定を変更することにより、前記仮想装置が、前記検知動作を実行した前記分析対象プログラムに対して、少なくとも、当該検知動作が物理的な入出力ポートを用いて実行された場合の結果を模倣可能な実行結果を通知することを可能とする、
請求項3乃至請求項5のいずれかに記載の分析システム。 - 前記動作分析手段による分析の結果、前記分析対象プログラムが前記仮想装置における仮想化されたプロセッサを特定可能な情報を用いて前記検知動作を実行する場合、
前記構成手段は、前記模倣設定情報に基づいて、前記検知動作を実行した前記分析対象プログラムに対して、少なくとも、当該検知動作が物理的なプロセッサに対して実行された場合の結果を模倣可能な実行結果を通知するよう、前記仮想装置を制御する、
請求項3乃至請求項5のいずれかに記載の分析システム。 - 前記動作分析手段による分析の結果、前記分析対象プログラムが前記仮想装置におけるファイルシステムに対して前記検知動作を実行する場合、
前記構成手段は、前記模倣設定情報に基づいて、前記仮想装置において、前記第1の実行環境におけるファイルシステムに相当するファイルシステムを構築することにより、前記検知動作を実行した前記分析対象プログラムに対して、少なくとも、当該検知動作が前記第1の実行環境におけるファイルシステムに対して実行された場合の結果を模倣可能な実行結果を、前記仮想装置が通知することを可能とする、
請求項3乃至請求項5のいずれかに記載の分析システム。 - 前記仮想装置の構成を表示可能な表示手段を更に備える、
請求項2乃至請求項11のいずれかに記載の分析システム。 - 前記仮想装置の構成と、前記仮想的な通信ネットワークの構成とを表示可能な表示手段を更に備える
請求項6に記載の分析システム。 - 前記動作分析手段は、
前記分析対象プログラムの検知動作を抽出したタイミングにおいて、前記仮想装置における前記プログラムの実行を中断し、
前記動作分析手段が、当該抽出した前記プログラムの検知動作を表す情報に関連付けされた前記模倣設定情報に基づいて、記第2の実行環境の構成を変更した後、前記プログラムの実行を再開する
請求項3に記載の分析システム。 - 分析対象のプログラムである分析対象プログラムを、当該分析対象プログラムを実行可能な第1の実行環境の少なくとも一部の構成を模倣可能な第2の実行環境において実行することにより、当該分析対象プログラムの動作を分析し、
当該分析された前記分析対象プログラムの動作に応じて、前記第2の実行環境の少なくとも一部の構成を変更することにより、前記分析対象プログラムの動作に関連する前記第1の実行環境における特定の構成を模倣可能な前記第2の実行環境を構築する
分析方法。 - 分析対象のプログラムである分析対象プログラムを、当該分析対象プログラムを実行可能な第1の実行環境の少なくとも一部の構成を模倣可能な第2の実行環境において実行することにより、当該分析対象プログラムの動作を分析する処理と、
当該分析された前記分析対象プログラムの動作に応じて、前記第2の実行環境の少なくとも一部の構成を変更することにより、前記分析対象プログラムの動作に関連する前記第1の実行環境における特定の構成を模倣可能な前記第2の実行環境を構築する処理と、をコンピュータに実行させる
コンピュータ・プログラムが記録された記録媒体。 - 分析対象のプログラムである分析対象プログラムを、当該分析対象プログラムを実行可能な第1の実行環境の少なくとも一部の構成を模倣可能な第2の実行環境において実行することにより、当該分析対象プログラムの動作を分析する動作分析手段と、
前記動作分析手段において分析された前記分析対象プログラムの動作に応じて、前記第2の実行環境の少なくとも一部の構成を変更することにより、前記分析対象プログラムの動作に関連する前記第1の実行環境における特定の構成を模倣可能な前記第2の実行環境を構築する構成手段と、を単体の装置として備える
分析装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015120712 | 2015-06-16 | ||
JP2015120712 | 2015-06-16 | ||
PCT/JP2016/002846 WO2016203759A1 (ja) | 2015-06-16 | 2016-06-13 | 分析システム、分析方法、分析装置及び、コンピュータ・プログラムが記憶された記録媒体 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020182033A Division JP7115526B2 (ja) | 2015-06-16 | 2020-10-30 | 分析システム、方法、及び、プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2016203759A1 true JPWO2016203759A1 (ja) | 2018-04-05 |
JP6791134B2 JP6791134B2 (ja) | 2020-11-25 |
Family
ID=57545401
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017524609A Active JP6791134B2 (ja) | 2015-06-16 | 2016-06-13 | 分析システム、分析方法、分析装置及び、コンピュータ・プログラム |
JP2020182033A Active JP7115526B2 (ja) | 2015-06-16 | 2020-10-30 | 分析システム、方法、及び、プログラム |
JP2022119188A Active JP7392775B2 (ja) | 2015-06-16 | 2022-07-27 | 分析システム、方法、及び、プログラム |
Family Applications After (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020182033A Active JP7115526B2 (ja) | 2015-06-16 | 2020-10-30 | 分析システム、方法、及び、プログラム |
JP2022119188A Active JP7392775B2 (ja) | 2015-06-16 | 2022-07-27 | 分析システム、方法、及び、プログラム |
Country Status (3)
Country | Link |
---|---|
US (2) | US10776486B2 (ja) |
JP (3) | JP6791134B2 (ja) |
WO (1) | WO2016203759A1 (ja) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7045050B2 (ja) * | 2017-11-28 | 2022-03-31 | 国立研究開発法人情報通信研究機構 | 通信監視システム及び通信監視方法 |
US11223534B2 (en) | 2017-12-29 | 2022-01-11 | Virtual Instruments Worldwide, Inc. | Systems and methods for hub and spoke cross topology traversal |
US20190205153A1 (en) | 2017-12-29 | 2019-07-04 | Virtual Instruments Corporation | System and method of dynamically assigning device tiers based on application |
US10956573B2 (en) * | 2018-06-29 | 2021-03-23 | Palo Alto Networks, Inc. | Dynamic analysis techniques for applications |
CN108958725B (zh) * | 2018-07-06 | 2022-06-14 | 广州慧通编程教育科技有限公司 | 图形化模式编程平台生成方法、装置及计算机设备 |
CN109656714B (zh) * | 2018-12-04 | 2022-10-28 | 成都雨云科技有限公司 | 一种虚拟化显卡的gpu资源调度方法 |
JP2020108011A (ja) * | 2018-12-27 | 2020-07-09 | 富士通株式会社 | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 |
US11336690B1 (en) * | 2019-11-15 | 2022-05-17 | National Technology & Engineering Solutions Of Sandia, Llc | Threat emulation framework |
JP7249968B2 (ja) * | 2020-03-09 | 2023-03-31 | 株式会社東芝 | 情報処理装置およびストレージ |
CN113438273B (zh) * | 2021-05-21 | 2022-08-16 | 中国科学院信息工程研究所 | 一种物联网设备中应用程序的用户级仿真方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009181335A (ja) * | 2008-01-30 | 2009-08-13 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析方法および解析プログラム |
US20110145926A1 (en) * | 2009-12-15 | 2011-06-16 | Mcafee, Inc. | Systems and methods for behavioral sandboxing |
JP2014504765A (ja) * | 2011-01-21 | 2014-02-24 | ファイヤアイ インク | 悪意あるpdfネットワークコンテンツを検出するシステムおよび方法 |
Family Cites Families (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2708608B2 (ja) * | 1990-05-25 | 1998-02-04 | 富士通株式会社 | 仮想計算機のipl処理方式 |
JPH07281874A (ja) * | 1994-04-15 | 1995-10-27 | Fuji Photo Film Co Ltd | 環境設定システム |
US6253224B1 (en) * | 1998-03-24 | 2001-06-26 | International Business Machines Corporation | Method and system for providing a hardware machine function in a protected virtual machine |
US6907396B1 (en) * | 2000-06-01 | 2005-06-14 | Networks Associates Technology, Inc. | Detecting computer viruses or malicious software by patching instructions into an emulator |
JPWO2004075060A1 (ja) | 2003-02-21 | 2006-06-01 | 田部井 光 | コンピュータウィルス判断方法 |
US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
JP4613094B2 (ja) | 2005-05-13 | 2011-01-12 | パナソニック株式会社 | 通信端末及び通信方法 |
GB0513375D0 (en) * | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
US7664626B1 (en) * | 2006-03-24 | 2010-02-16 | Symantec Corporation | Ambiguous-state support in virtual machine emulators |
JP2007334536A (ja) | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
US20080016339A1 (en) * | 2006-06-29 | 2008-01-17 | Jayant Shukla | Application Sandbox to Detect, Remove, and Prevent Malware |
JP4711979B2 (ja) | 2007-01-25 | 2011-06-29 | 株式会社クボタ | 作業機 |
JP4564972B2 (ja) | 2007-01-23 | 2010-10-20 | Necアクセステクニカ株式会社 | ネットワーク装置、シミュレータユニットおよびそれらのソフトウエアならびにファイル更新方法 |
US8438609B2 (en) * | 2007-03-22 | 2013-05-07 | The Invention Science Fund I, Llc | Resource authorizations dependent on emulation environment isolation policies |
US20080307397A1 (en) * | 2007-06-08 | 2008-12-11 | Bill Angell | Program Analysis by Partial Emulation |
JP2010146420A (ja) | 2008-12-22 | 2010-07-01 | Hitachi Ltd | 余剰資源管理システム、その管理方法、及びサーバ装置 |
US8635694B2 (en) * | 2009-01-10 | 2014-01-21 | Kaspersky Lab Zao | Systems and methods for malware classification |
JP5440973B2 (ja) | 2009-02-23 | 2014-03-12 | 独立行政法人情報通信研究機構 | コンピュータ検査システム、コンピュータ検査方法 |
JP5225942B2 (ja) | 2009-07-01 | 2013-07-03 | 日本電信電話株式会社 | 解析システム、解析方法、及び解析プログラム |
US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
US9116733B2 (en) * | 2010-05-28 | 2015-08-25 | Bromium, Inc. | Automated provisioning of secure virtual execution environment using virtual machine templates based on requested activity |
JP5592303B2 (ja) | 2011-04-07 | 2014-09-17 | 株式会社日立製作所 | 実行環境構築装置および実行環境構築システム |
JP5389855B2 (ja) | 2011-04-28 | 2014-01-15 | 日本電信電話株式会社 | 解析システム、解析方法および解析プログラム |
US9792430B2 (en) * | 2011-11-03 | 2017-10-17 | Cyphort Inc. | Systems and methods for virtualized malware detection |
EP2864876B1 (en) * | 2012-06-26 | 2017-10-04 | Lynuxworks, Inc. | Systems and methods involving features of hardware virtualization such as separation kernel hypervisors, hypervisors, hypervisor guest context, hypervisor context, rootkit detection/prevention, and/or other features |
US9626509B1 (en) * | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
RU2553056C2 (ru) * | 2013-10-24 | 2015-06-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ сохранения состояния эмулятора и его последующего восстановления |
US9223964B2 (en) * | 2013-12-05 | 2015-12-29 | Mcafee, Inc. | Detecting JAVA sandbox escaping attacks based on JAVA bytecode instrumentation and JAVA method hooking |
WO2015142755A1 (en) * | 2014-03-17 | 2015-09-24 | Proofpoint, Inc. | Behavior profiling for malware detection |
-
2016
- 2016-06-13 WO PCT/JP2016/002846 patent/WO2016203759A1/ja active Application Filing
- 2016-06-13 US US15/575,480 patent/US10776486B2/en active Active
- 2016-06-13 JP JP2017524609A patent/JP6791134B2/ja active Active
-
2020
- 2020-08-11 US US16/990,319 patent/US20200401698A1/en active Pending
- 2020-10-30 JP JP2020182033A patent/JP7115526B2/ja active Active
-
2022
- 2022-07-27 JP JP2022119188A patent/JP7392775B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009181335A (ja) * | 2008-01-30 | 2009-08-13 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析方法および解析プログラム |
US20110145926A1 (en) * | 2009-12-15 | 2011-06-16 | Mcafee, Inc. | Systems and methods for behavioral sandboxing |
JP2013514594A (ja) * | 2009-12-15 | 2013-04-25 | マカフィー, インコーポレイテッド | 挙動サンドボックスのためのシステム及び方法 |
JP2014504765A (ja) * | 2011-01-21 | 2014-02-24 | ファイヤアイ インク | 悪意あるpdfネットワークコンテンツを検出するシステムおよび方法 |
Non-Patent Citations (3)
Title |
---|
"セキュリティトレンド", 日経コミュニケーション, vol. 第607号, JPN6016025936, 1 August 2014 (2014-08-01), JP, pages 50 - 51, ISSN: 0004310043 * |
"最新の回避型マルウェアにも新技術で対応 XTMだけができる"次世代型セキュリティ"", テレコミュニケーション, vol. 第31巻,第8号, JPN6016025937, 25 July 2014 (2014-07-25), JP, pages 54 - 55, ISSN: 0004310044 * |
来間 一郎: "SDNによるマルウェア調査のためのネットワーク切り替え手法", 情報処理学会 研究報告 セキュリティ心理学とトラスト(SPT) [ONLINE], vol. Vol.2014−SPT−10,NO18, JPN6016025935, 26 June 2014 (2014-06-26), JP, pages 1 - 8, ISSN: 0004310042 * |
Also Published As
Publication number | Publication date |
---|---|
WO2016203759A1 (ja) | 2016-12-22 |
JP6791134B2 (ja) | 2020-11-25 |
US20200401698A1 (en) | 2020-12-24 |
JP7392775B2 (ja) | 2023-12-06 |
JP2022141917A (ja) | 2022-09-29 |
JP7115526B2 (ja) | 2022-08-09 |
JP2021022400A (ja) | 2021-02-18 |
US20180165451A1 (en) | 2018-06-14 |
US10776486B2 (en) | 2020-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7392775B2 (ja) | 分析システム、方法、及び、プログラム | |
US11868795B1 (en) | Selective virtualization for security threat detection | |
US10887328B1 (en) | System and method for detecting interpreter-based exploit attacks | |
US11080399B2 (en) | System and method for vetting mobile phone software applications | |
US9436603B1 (en) | Detection and mitigation of timing side-channel attacks | |
US9355246B1 (en) | Tuning sandbox behavior based on static characteristics of malware | |
JP6378758B2 (ja) | 仮想マシンにおけるマルウェア検出のためのプロセス評価 | |
US9383934B1 (en) | Bare-metal computer security appliance | |
US9355247B1 (en) | File extraction from memory dump for malicious content analysis | |
US8707417B1 (en) | Driver domain as security monitor in virtualization environment | |
US9405708B1 (en) | Preventing attacks that rely on same-page merging by virtualization environment guests | |
CN113260993B (zh) | 虚拟平台系统的安全部署和操作 | |
US20240104205A1 (en) | Malware detection based on user interactions | |
US9742804B2 (en) | Computer network defense system | |
RU2649794C1 (ru) | Система и способ формирования журнала в виртуальной машине для проведения антивирусной проверки файла | |
CN113821297A (zh) | 仿真器和仿真方法 | |
Mohanta et al. | Malware Analysis Lab Setup | |
Maggio | Improving Memory Forensics Through Emulation and Program Analysis | |
CN118094545A (zh) | 虚拟机恶意软件检测方法、装置、电子设备及存储介质 | |
Sharma | Generating smartphone phishing applications for deception based defense | |
Kar | Planning a virtual lab for analysis of malware: A study of virtualization on an Intel platform | |
Mogicato et al. | Design and Implementation of a Collaborative, Lightweight Malware Analysis Sandbox using Container Virtualization | |
JP2016081348A (ja) | 情報処理システム、情報処理装置、制御サーバ、生成サーバ、動作制御方法及び動作制御プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171120 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190515 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200721 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200917 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201006 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201019 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6791134 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |