JPWO2018131200A1 - 解析装置、解析方法及び解析プログラム - Google Patents

解析装置、解析方法及び解析プログラム Download PDF

Info

Publication number
JPWO2018131200A1
JPWO2018131200A1 JP2018561795A JP2018561795A JPWO2018131200A1 JP WO2018131200 A1 JPWO2018131200 A1 JP WO2018131200A1 JP 2018561795 A JP2018561795 A JP 2018561795A JP 2018561795 A JP2018561795 A JP 2018561795A JP WO2018131200 A1 JPWO2018131200 A1 JP WO2018131200A1
Authority
JP
Japan
Prior art keywords
browser
transfer path
analysis
url
real
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018561795A
Other languages
English (en)
Other versions
JP6666475B2 (ja
Inventor
雄太 高田
雄太 高田
満昭 秋山
満昭 秋山
毅 八木
毅 八木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2018131200A1 publication Critical patent/JPWO2018131200A1/ja
Application granted granted Critical
Publication of JP6666475B2 publication Critical patent/JP6666475B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/20Design optimisation, verification or simulation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Geometry (AREA)
  • Evolutionary Computation (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

解析装置(10)は、実ブラウザログLaとブラウザエミュレータログLbとを入力とし、悪性URLデータベース(14)の悪性URL情報に基づき、疑似ブラウザにおいて悪性URLへ転送されない転送パスであって実ブラウザにおいて悪性URLへ転送される転送パスを特定転送パスとして特定する転送パス照合部(151)と、特定転送パスを基に、ウェブサイトにおいて実行されたスクリプトコードの中から、ブラウザ特有の機能或いは実ブラウザと疑似ブラウザとの実装差異を利用して解析を回避する解析回避コードを特定する解析回避コード特定部(152)と、を有する。

Description

本発明は、解析装置、解析方法及び解析プログラムに関する。
ドライブバイダウンロード攻撃(Drive-by Download攻撃)は、ウェブサイトにアクセスしたクライアントを、主にHTML(HyperText Markup Language)タグやJavaScript(登録商標)を用いて異なるウェブサイトへ転送した後、攻撃コードを実行する悪性ウェブサイトへ転送する攻撃である。クライアントが悪性ウェブサイトにアクセスすると、ウェブブラウザ(以下、ブラウザと呼ぶ。)やブラウザのプラグイン(以下、プラグインと呼ぶ。)の脆弱性を悪用する攻撃コードが実行され、コンピュータウィルスなどの悪性プログラム(マルウェア)をダウンロード、インストールしてしまう。なお、以下、攻撃コードが実行されるウェブサイトやマルウェアをダウンロードするウェブサイトのURL(Uniform Resource Locator)を悪性URLと呼ぶ。
ドライブバイダウンロード攻撃を検知する方法として、実システムのブラウザ(以下、実ブラウザと呼ぶ。)で悪性ウェブサイトへアクセスし、マルウェアをダウンロード、インストールすることによって、発生するファイルシステムの変化を検知する方法(例えば、非特許文献1参照)がある。また、ドライブバイダウンロード攻撃を検知する他の方法として、JavaScriptをブラウザのエミュレータ(以下、疑似ブラウザと呼ぶ。)で実行し、実行結果を解析することで悪性なJavaScriptを検知する方法(例えば、非特許文献2参照)などもある。
これらの検知方法に対し、攻撃者は、アクセスしてきたクライアントを悪性URLへ転送する前に、このクライアントの種別やバージョンを識別し(以下、ブラウザフィンガープリンティングと呼ぶ。)、予め定めた攻撃対象とするクライアントのみを悪性URLへ転送するようJavaScriptの制御フローを変更することによって、攻撃の成功率を向上させる(例えば、非特許文献3参照)。
ブラウザフィンガープリンティングには、例えば、HTTP(Hyper Text Transfer Protocol) cookie(クッキー)を使用してクライアントを個別に管理する方法、JavaScriptの機能を用いてクライアントを識別する方法、及び、プラグインの機能を用いてクライアントを識別する方法が一般的に知られている。
これらの方法はいずれも、ブラウザやプラグインに実装されている機能を利用して、ブラウザやプラグインの種別、バージョン或いは識別子を文字列や数値として確認する。このため、ブラウザフィンガープリンティングのコードを検知、特定することは比較的容易である。
一方、ブラウザフィンガープリンティングには、ブラウザ特有の機能を利用するものが存在する(例えば、非特許文献4、非特許文献5、非特許文献6参照)。
また、悪性ウェブサイトでは、ブラウザ特有の機能を使用したり、意図的な例外処理を発生させたりすることによって、攻撃対象以外のクライアントで解析できないよう既存方法による解析を回避、妨害するコード(以下、解析回避コードと呼ぶ。)が用いられるものがある(例えば、非特許文献7参照)。
この解析回避コードについては、例えば、各ブラウザで使用されているレンダリングエンジンやJavaScriptエンジンによるウェブコンテンツの解釈差異を悪用する方法がある。特に、疑似ブラウザは、実ブラウザにおける一般的な機能を模擬するよう実装されていることが多く、ブラウザ特有の機能が実装されていないことから、解析回避コードを実行(解釈)できない。
また、解析回避コードは、一般的に公開されていない機能を使用することから、実ブラウザにおいても、監視や解析すべきコードを特定することができず、対策を講じることが困難であった。
上述した複数の転送、ブラウザフィンガープリンティングコード及び解析回避コードは、エクスプロイトキットと呼ばれるツールで悪性ウェブサイトを構築すると、自動的に組み込まれる。そのため、近年では多くの悪性ウェブサイトに用いられている。
したがって、上記した解析回避コードを特定し、既存技術で当該コードを解釈できるよう対策を講じることは、今後、悪性ウェブサイトを解析、検知する上で重要となってくる。
L. Lu, V. Yegneswaran, P. Porras, and W. Lee, "BLADE: An Attack-Agnostic Approach for Preventing Drive-By Malware Infections", Proc. ACM on Conference Computer and Communications Security, pp. 440−450, 2010. M. Cova, C. Kruegel, and G. Vigna, "Detection and Analysis of Drive-by-Download Attacks and Malicious JavaScript Code", Proc. World Wide Web Conference, pp. 281−290, 2010. Y. Takata, M. Akiyama, T. Yagi, T. Hariu, and S. Goto, "MineSpider: Extracting Hidden URLs Behind Evasive Drive-by Download Attacks", IEICE Trans. Information and System, vol. E99.D, no. 4, pp. 860−872, 2016. N. Nikiforakis, A. Kapravelos, W. Joosen, C. Kruegel, F. Piessens, and G. Vigna, "Cookieless Monster: Exploring the Ecosystem of Web-based Device Fingerprinting", Proc. IEEE Symposium on Security and Privacy, 2013. C. F. Torres, H. Jonker, and S. Mauw, "FP-Block: usable web privacy by controlling browser fingerprinting", Proc. European Symposium on Research in Computer Security, pp. 1−17, 2015. Mozilla Developer Network, "Vendor Prefix", [online]、[平成28年11月7日検索]、インターネット<URL:https://developer.mozilla.org/en-US/docs/Glossary/Vendor_Prefix> A. Kapravelos, Y. Shoshitaishvili, M. Cova, C. Kruegel, and G. Vigna, "Revolver: An Automated Approach to the Detection of Evasive Web-based Malware", In Proceedings of the USENIX Security Symposium, 2013.
このように、従来、ドライブバイダウンロード攻撃方法の一つとして、ブラウザフィンガープリンティングを用いて、特定のブラウザのみを悪性URLへ転送する方法が知られていた。そして、ドライブバイダウンロード攻撃の検知や特定する方法として、実ブラウザ、または、疑似ブラウザにより悪性URLにアクセスして動作を解析する方法がいくつか提案されている。
しかしながら、ブラウザ特有の機能や実ブラウザと疑似ブラウザとの実装差異を悪用する解析回避コードを用いたドライブバイダウンロード攻撃に対して、疑似ブラウザを用いた既存技術では、ブラウザ特有の機能が実装されていないことが多いため、解析回避コードを解釈できず、ウェブサイトを解析できないという問題があった。また、解析回避コードは、悪用する機能や実装差異の特定が困難であるという問題があった。
本発明は、上記に鑑みてなされたものであって、解析対象ウェブサイトで実行されたすべてのスクリプトコードの中から、ブラウザ特有の機能或いは実ブラウザと疑似ブラウザとの実装差異を利用して解析を回避する解析回避コードを解析対象として特定することができる解析装置、解析方法及び解析プログラムを提供することを目的とする。
本発明の解析装置は、ウェブサイトのコンテンツ及びスクリプトコードを解析する解析装置であって、実システムのブラウザである実ブラウザにおける解析対象のウェブサイトのURLへのアクセスログと、実ブラウザの環境を模擬する疑似ブラウザにおける解析対象のウェブサイトのURLへのアクセスログとを入力とし、悪性URLに基づき、疑似ブラウザにおいて悪性URLへ転送されない転送パスであって実ブラウザにおいて悪性URLへ転送される転送パスを特定転送パスとして特定する転送パス照合部と、特定転送パスを基に、ウェブサイトにおいて実行されたスクリプトコードの中から、ブラウザ特有の機能或いは実ブラウザと疑似ブラウザとの実装差異を利用して解析を回避する解析回避コードを特定する特定部と、を有することを特徴とする。
本発明によれば、解析対象ウェブサイトで実行されたすべてのスクリプトコードの中から、ブラウザ特有の機能或いは実ブラウザと疑似ブラウザとの実装差異を利用して解析を回避する解析回避コードを解析対象として特定することができる。
図1は、本実施の形態に係る解析装置の構成を示すブロック図である。 図2は、図1に示す転送パス照合部の処理を説明するための図である。 図3は、図1に示す転送パス照合部が実行するURLの分解について説明するための図である。 図4は、図1に示す転送パス照合部の処理を説明するための図である。 図5は、図1に示す解析装置による解析回避コードを特定するまでの解析処理の処理手順を示すフローチャートである。 図6は、図5に示す悪性転送パスの照合処理の処理手順を示すフローチャートである。 図7は、プログラムが実行されることにより解析装置が実現されるコンピュータの一例を示す図である。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[実施の形態]
本発明の実施の形態について説明する。本発明の実施の形態では、ウェブサイトのコンテンツ及びスクリプトコードを解析する解析装置、解析方法及び解析プログラムについて説明する。まず、実施の形態における解析装置の概略について説明する。
[解析装置の構成]
図1は、本実施の形態に係る解析装置の構成を示すブロック図である。図1に示すように、解析装置10は、入力部11、通信部12、記憶部13、悪性URLデータベース14、制御部15及び出力部16を有する。解析装置10は、ウェブブラウザの特有な機能や実ブラウザと疑似ブラウザとの実装差異を使用してブラウザの種別やバージョンを識別し、解析を回避する解析回避コードを特定する。なお、実施の形態では、スクリプトコードのうち、JavaScriptコードを解析する場合を例に説明する。
入力部11は、解析装置10の操作者からの各種操作を受け付ける入力インタフェースである。例えば、入力部11は、タッチパネル、音声入力デバイス、キーボードやマウス等の入力デバイスによって構成される。
通信部12は、ネットワーク等を介して接続された他の装置との間で、各種情報を送受信する通信インタフェースである。通信部12は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した他の装置と制御部15との間の通信を行う。
具体的には、通信部12は、実システムのブラウザである実ブラウザにおいて取得された解析対象ウェブサイトへのアクセスログである実ブラウザログLaを、ネットワークなどを介して、制御部15に入力する。そして、通信部12は、この実ブラウザを動作させる実ブラウザの環境(OS(Operating System)、ブラウザ或いはプラグイン)を模擬する疑似ブラウザにおいて取得された解析対象ウェブサイトへのアクセスログであるブラウザエミュレータログLb(疑似ブラウザのアクセスログ)を、ネットワークなどを介して、制御部15に入力する。この通信部12を介して入力される実ブラウザログLa及びブラウザエミュレータログLbは、それぞれ同じ解析対象ウェブサイトのURLにアクセスした際のログである。そして、実ブラウザログLaは、悪性URLへ転送されるログを含み、ブラウザエミュレータログLbは、悪性URLへ転送されるログを含まないものとする。
なお、疑似ブラウザは、実ブラウザが動作する環境を模擬するものとする。また、疑似ブラウザは、実ブラウザと同じブラウザ種別と同じバージョンを模擬するが、実ブラウザとは内部実装が異なるものである。これは、疑似ブラウザで実ブラウザが動作する環境とは異なる環境を模擬した場合、解析回避コードではなく、通常のブラウザフィンガープリンティングコードも解析対象となってしまうためである。これは、疑似ブラウザの代わりに、異なる環境の実ブラウザを使用した場合も同様である。
さらに、通信部12は、このウェブサイトで実行されたJavaScriptコードを示す実行されたJavaScriptコード情報Dcを、ネットワークなどを介して、制御部15に入力する。
記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、解析装置10を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。
悪性URLデータベース14は、既知の悪性URLを記録したデータベースである。悪性URLデータベース14は、アンチウィルス等の既知の悪性URLを記録する。また、これらの既知の悪性URLは、既存の攻撃検知技術(例えば、非特許文献1及び非特許文献2参照)で検知したURLであってもよい。転送パス照合部151(後述)は、悪性URLデータベース14に記録された悪性URLと、照合対象のURLとを照合することによって、悪性URLを特定する。なお、解析装置10は、悪性URLデータベース14を有する構成に限らず、既知の悪性URLを記録したリストを記憶部13に記憶する構成であってもよい。
制御部15は、各種の処理手順などを規定したプログラム及び所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。例えば、制御部15は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路である。制御部15は、転送パス照合部151及び解析回避コード特定部152(特定部)を有する。
転送パス照合部151は、実ブラウザログLaと、ブラウザエミュレータログLbとを入力とし、悪性URLに基づき、疑似ブラウザにおいて悪性URLへ転送されない転送パスであって実ブラウザにおいて悪性URLへ転送される転送パスを特定転送パスとして特定する。転送パス照合部151は、実ブラウザ及び疑似ブラウザで取得したアクセスログ(実ブラウザログLa、ブラウザエミュレータログLb)からそれぞれ転送グラフを構築する。そして、転送パス照合部151は、構築した二つの転送グラフについて各転送パス同士を照合して、特定転送パスを特定する。
具体的には、転送パス照合部151は、実ブラウザログLa及びブラウザエミュレータログLbに含まれる転送元URL情報と転送先URL情報とに基づき転送グラフを構築する(詳細は、例えば、T. Nelms, R. Perdisci, M. Antonakakis, and M. Ahamad, “WebWitness: Investigating, Categorizing, and Mitigating Malware Download Paths”, in Proceedings of USENIX Security Symposium, 2015を参照)。
そして、転送パス照合部151は、構築した転送グラフにおける各転送パス同士を照合する。転送パス照合部151は、悪性URLデータベース14に記録された悪性URLと、各転送パス内のURLとを照合することによって、各転送パス内の悪性URLを特定する。続いて、転送パス照合部151は、疑似ブラウザにおいて悪性URLへ転送されない転送パスであって実ブラウザにおいて悪性URLへ転送される転送パスを特定する。言い換えると、転送パス照合部151は、照合した転送パスに基づき、実ブラウザに含まれる悪性URLへの転送パスに該当する疑似ブラウザの転送パスを特定転送パスとして特定する。なお、転送パス照合部151は、ドメイン名、パス、クエリキー、クエリバリューを用いて転送パスを照合する。
解析回避コード特定部152は、転送パス照合部151によって特定された特定転送パスを基に、解析対象のウェブサイトで実行されたJavaScriptコード情報Dcに含まれるJavaScriptコードの中から、解析回避コードを特定する。解析回避コードは、ブラウザ特有の機能或いは実ブラウザと疑似ブラウザとの実装差異を利用して解析を回避するコードである。
具体的には、解析回避コード特定部152は、転送パス照合部151が特定した特定転送パスのうち末端のURLである末端URLを特定する。解析回避コード特定部152は、実行されたJavaScriptコード情報Dcに含まれるJavaScriptコードの中から、特定した末端URLのアクセスに起因して実行されたJavaScriptコードを、解析回避コードとして特定する。言い換えると、解析回避コード特定部152は、特定した末端URLで実行されたJavaScriptコードを、解析回避コードとして特定する。
出力部16は、例えば、液晶ディスプレイなどの表示装置、プリンター等の印刷装置、情報通信装置等によって実現される。出力部16は、解析結果等を操作者に対して出力する。
[転送パス照合部の処理]
次に、転送パス照合部151の処理について具体的に説明する。図2は、図1に示す転送パス照合部151の処理を説明するための図である。図2は、実ブラウザと疑似ブラウザの二つのアクセスログで構築した転送グラフの一例を示す。図2の(a)は、実ブラウザログLaで構築した転送グラフを示し、図2の(b)は、ブラウザエミュレータログLbで構築した転送グラフを示す。
具体的には、転送パス照合部151は、図2の(a)に示すように、実ブラウザログLaを用いて転送グラフを構築することによって、実ブラウザログLaにおける転送パス(URL1、URL2)、(URL1、URL3、URL5)、(URL1、URL4、URL6、URL7)、(URL1、URL4、URL6、URL8)を取得する。また、転送パス照合部151は、図2の(b)に示すように、ブラウザエミュレータログLbを用いて転送グラフを構築することによって、疑似ブラウザにおける転送パスP11(URL1、URL2)、P12(URL1、URL3、URL5)、P13(URL1、URL4、URL6、URL8)を取得する。
ここで、URL7が悪性URLである場合を例に説明する。この場合、転送パス照合部151は、悪性URLデータベース14を参照することによって、実ブラウザにおける転送パスP1(URL1、URL4、URL6、URL7)におけるURL7が、悪性URLであることを特定する(図2の(1)参照)。そして、転送パス照合部151は、この悪性URLであるURL7を含む、実ブラウザにおける転送パスP1が悪性URLへの転送パスであることを特定する。
続いて、転送パス照合部151は、実ブラウザにおける転送パスと、疑似ブラウザにおける転送パスとを照合する(図2の(2)参照)。そして、転送パス照合部151は、疑似ブラウザにおける転送パスP11〜P13のうち、実ブラウザにおける悪性URLへの転送パスP1と、同じURLの数が最も多い転送パスP13(URL1、URL4、URL6、URL8)を、疑似ブラウザにおいて悪性URLへ転送されない転送パスであって実ブラウザにおいて悪性URLへ転送される転送パスである特定転送パスとして特定する(図2の(3)参照)。
そして、解析回避コード特定部152は、実ブラウザの転送パスP1と、疑似ブラウザにおいて特定した転送パスP13との共通ノードにおける末端URLとして、URL6を特定する(図2の(4)参照)。なお、疑似ブラウザにおける転送パスP13内のURL8は、実ブラウザの転送パスに含まれないため、末端URLの特定対象からは除外される。
これによって、解析回避コード特定部152は、転送パス照合部151が特定した末端URLであるURL6で実行されたJavaScriptコードを、解析回避コードとして特定する。
続いて、転送パス照合部151の処理の他の例について説明する。図3は、図1に示す転送パス照合部151が実行するURLの分解について説明するための図である。図3に示すように、転送パス照合部151は、URLをドメイン名、パス、クエリキー、クエリバリューに分解する。例えば、転送パス照合部151は、枠Uaに示す「URL:http://a.example/b/c.html?d=e&f=g」を、枠Paに示すように、「ドメイン名:a.example」、「パス:/b/c.html」、「クエリキー:d,f」、「クエリバリュー:e,g」に分解する。
そして、転送パス照合部151は、転送パスをそれぞれドメイン名、パス、クエリキー、クエリバリューに分解し、分解した各ドメイン名、パス、クエリキー、クエリバリューを用いて転送パス同士を照合する。図4は、図1に示す転送パス照合部151の処理を説明するための図である。図4は、図3で説明したようにURLをドメイン名、パス、クエリキー、クエリバリューに分解して表記した実ブラウザと疑似ブラウザの二つのアクセスログで構築した転送グラフの一例を示す。図4の(a)は、実ブラウザログLaで構築した転送グラフを示し、図4の(b)は、ブラウザエミュレータログLbで構築した転送グラフを示す。
具体的には、転送パス照合部151は、図4の(a)に示すように、実ブラウザログLaについては、転送パス(domain1/path1?query1、domain2/path2?query2)、(domain1/path1?query1、domain3/path3?query3)、(domain1/path1?query1、domain4/path4?query4、domain5/path5?query5)、(domain1/path1?query1、domain4/path4?query4、domain6/path6?query6)を取得する。また、転送パス照合部151は、図4の(b)に示すように、ブラウザエミュレータログLbについては、転送パスP21(domain1/path1?query1、domain2/path2?query2)、P22(domain1/path1?query1、domain3/path3?query3)、P23(domain1/path1?query1、domain4/path4?query7、domain6/path6?query6)を取得する。
ここで、「domain5/path5?query5」が悪性URLである場合を例に説明する。この場合、転送パス照合部151は、実ブラウザにおける転送パスP2の「domain5/path5?query5」(図4の(a)の枠U1参照)が、悪性URLであることを特定する(図4の(1)参照)。そして、転送パス照合部151は、「domain5/path5?query5」を含む、実ブラウザにおける転送パスP2が悪性URLへの転送パスであることを特定する。
そして、転送パス照合部151は、実ブラウザにおける転送パスと、疑似ブラウザにおける転送パスとを照合する(図4の(2)参照)。この場合、疑似ブラウザにおける転送パスP21〜P23は、実ブラウザにおける転送パスP2に対し、URLの粒度ではいずれの転送パスも同じURLの数が等しい。すなわち、疑似ブラウザにおける転送パスP21〜P23は、実ブラウザログLaにおける転送パスP2に対し、いずれの転送パスも「domain1/path1?query1」と「domain2/path2?query2」または「domain3/path3?query3」または「domain6/path6?query6」の2つのURLが等しい。
このような場合は、転送パス照合部151は、ドメイン名、パス、クエリキー、クエリバリューの粒度で照合を行い、各粒度で一致する数が最も多いURLを等しいとみなし、転送パスの照合を行う。
具体的には、転送パス照合部151は、疑似ブラウザにおける転送パスP21〜P23のうち、実ブラウザにおける転送パスP2におけるURL「domain4/path4?query4」(図4の枠U2参照)と一致する数が最も多い疑似ブラウザのURLを求める(図4の(3)参照)。
図4の例では、転送パス照合部151は、実ブラウザにおける転送パスP2におけるURL「domain4/path4?query4」と一致する数が最も多い疑似ブラウザのURLとして、転送パスP23の「domain4/path4?query7」(図4の枠U3参照)を求める。そして、転送パス照合部151は、この転送パスP23の「domain4/path4?query7」(図4の枠U3参照)を、実ブラウザにおける転送パスP2におけるURL「domain4/path4?query4」(図4の枠U2参照)と等しいとみなす。
なお、転送パス照合部151は、URLの照合粒度のうち、ドメイン名、パス、クエリキー、クエリバリューの全てを考慮して照合を行ってもよいし、ドメイン名、パス、クエリキー、クエリバリューいずれかを考慮するように照合処理を変更してもよい。
続いて、解析回避コード特定部152は、疑似ブラウザの転送パスP23(domain1/path1?query1、domain4/path4?query7、domain6/path6?query6)上の「domain4/path4?query7」を、末端URLとして特定する(図4の(4)参照)。なお、疑似ブラウザにおける転送パスP23内の「domain6/path6?query6」は、末端URLの特定対象からは除外される。
そして、解析回避コード特定部152は、特定した末端URLである「domain4/path4?query7」で実行されたJavaScriptコードを、解析回避コードとして特定する。
[解析処理の処理手順]
図5は、図1に示す解析装置10による解析回避コードを特定するまでの解析処理の処理手順を示すフローチャートである。
まず、図5に示すように、転送パス照合部151は、実ブラウザ及び疑似ブラウザによるウェブサイトへのアクセスログを取得する(ステップS1)。この場合、転送パス照合部151は、同じ解析対象のウェブサイトに対する実ブラウザログLa、ブラウザエミュレータログLbを取得する。続いて、転送パス照合部151は、悪性URLデータベース14から悪性URLを一つ取得する(ステップS2)。
そして、転送パス照合部151は、ステップS1において取得した実ブラウザログLaに、ステップS2において取得した悪性URLを含むか否かを判断する(ステップS3)。転送パス照合部151は、取得した実ブラウザログLaに悪性URLを含むと判断した場合(ステップS3:Yes)、ステップS4に進む。
転送パス照合部151は、ステップS1において取得した疑似ブラウザのアクセスログ(ブラウザエミュレータログLb)に、ステップS2において取得した悪性URLを含まないか否かを判断する(ステップS4)。
ブラウザエミュレータログLbに悪性URLを含まないと転送パス照合部151が判断した場合(ステップS4:Yes)、転送パス照合部151及び解析回避コード特定部152は、悪性転送パスの照合処理を行う(ステップS5)。このステップS5の処理においては、転送パス照合部151及び解析回避コード特定部152は、実ブラウザログLa、ブラウザエミュレータログLb、及び、解析対象のウェブサイトにおいて実行されたJavaScriptコード情報Dcを入力とする。そして、転送パス照合部151は、ステップS5の処理においては、実ブラウザ中の悪性URLへの転送パスに該当する疑似ブラウザログ中の転送パスを照合し、解析回避コード特定部152は、照合して得られた疑似ブラウザログ中の転送パスの末端URLを特定する。続いて、解析回避コード特定部152は、実行されたJavaScriptコード情報Dcから、特定した末端URLへのアクセスに起因して実行されたJavaScriptコードを解析回避コードとして特定する。
そして、転送パス照合部151が、取得した実ブラウザログLaに悪性URLを含まないと判断した場合(ステップS3:No)、ブラウザエミュレータログLbに悪性URLを含むと判断した場合(ステップS4:No)、或いは、悪性転送パスの照合処理を終了した場合、ステップS6に進む。転送パス照合部151は、ステップS6として、取得した実ブラウザログLa及びブラウザエミュレータログLbに対し、悪性URLデータベース14に含まれるすべての悪性URLを照合したか否かを判断する(ステップS6)。
転送パス照合部151は、悪性URLデータベース14に含まれるすべての悪性URLを照合していないと判断した場合(ステップS6:No)、ステップS2に戻り、次に照合対象となる悪性URLを悪性URLデータベース14から取得する。一方、転送パス照合部151は、悪性URLデータベース14に含まれるすべての悪性URLを照合したと判断した場合(ステップS6:Yes)、解析結果を出力して、解析処理を終了する。
[悪性転送パスの照合処理の処理手順]
次に、図5に示す悪性転送パスの照合処理の処理手順について説明する。図6は、図5に示す悪性転送パスの照合処理の処理手順を示すフローチャートである。
まず、図6に示すように、転送パス照合部151は、実ブラウザログLa内におけるルートURLから悪性URLまでの転送パス−A(URLのリスト)を取得する(ステップS7)。次に、転送パス照合部151は、疑似ブラウザのアクセスログ(ブラウザエミュレータログLb)内におけるルートURLから各末端URLまでの転送パス群−Bを取得する(ステップS8)。転送パス照合部151は、このステップS7,S8の処理において、図2を用いて説明したように、アクセスログに含まれる転送元URL情報と転送先URL情報とに基づき転送グラフを構築することによって転送パスを取得する。或いは、転送パス照合部151は、アクセスログに含まれるURLをドメイン名、パス、クエリキー、クエリバリューに分解後に転送グラフを構築することによって転送パスを取得する。
転送パス照合部151は、取得した転送パス群−Bから一つずつ転送パスを取得し、転送パス−Aに含まれるURLと最もマッチした数の多い転送パス−Cを取得する(ステップS9)。そして、転送パス照合部151は、取得した転送パス−Cが単一か否かを判断する(ステップS10)。
転送パス照合部151は、取得した転送パス−Cが単一でない、すなわち、転送パス−Cが複数あると判断した場合(ステップS10:No)、ステップS11に進む。
転送パス照合部151は、ステップS11において、転送パス−A及び転送パス群−Bに含まれるURLをドメイン名、パス、クエリ(クエリキー、クエリバリュー)に分解し、転送パス群−Bの転送パスの内、転送パス−A内のURLと最もマッチした数の多い転送パス−Cを取得する。すなわち、転送パス照合部151は、ステップS11において、ステップS9におけるURLの照合処理と同様に、URLごとに、転送パス−Aと転送パス群−Bとにおけるドメイン名、パス、クエリをそれぞれ照合し、最もマッチした数の多い転送パス−Cを取得する。転送パス照合部151が取得した転送パス−Cは、疑似ブラウザにおいて悪性URLへ転送されない転送パスであって実ブラウザにおいて悪性URLへ転送される転送パスである特定転送パスである。
なお、転送パス照合部151は、ステップS11を行っても転送パス−Cが一つに定まらない場合は、例えば、複数の転送パス−Cの中からランダムに選択した一つの転送パスを転送パス−Cとする。
転送パス−Cが単一であると転送パス照合部151が判断した場合(ステップS10:Yes)、または、ステップS11の処理が終了した場合、解析回避コード特定部152は、ステップS12の処理を実行する。すなわち、解析回避コード特定部152は、実行されたJavaScriptコード情報Dcに含まれるJavaScriptコードの中から、転送パス照合部151が取得した転送パス−Cの末端URLにおいて実行されたJavaScriptコードを、攻撃回避コードとして取得し、悪性転送パスの照合処理を終了する。
[実施の形態の効果]
上述のように、本実施の形態では、解析対象のウェブサイトのURLに対する実ブラウザログLa及びブラウザエミュレータログLbを入力とし、悪性URLに基づいて疑似ブラウザにおいて悪性URLへ転送されない転送パスであって実ブラウザにおいて悪性URLへ転送される転送パスを特定転送パスとして特定し、該特定した転送パスを基に、ウェブサイトにおいて実行されたスクリプトコードの中から解析回避コードを特定している。
したがって、実施の形態によれば、これまで特定が難しかった、ブラウザ特有の機能或いは実ブラウザと疑似ブラウザとの実装差異を利用して解析を回避する解析回避コードの特定することが可能になる。そして、本実施の形態によれば、特定した解析回避コードを手動等で解析することによって、解析回避コードの特定の効率化、悪性ウェブサイト検知のためのシグネチャの生成、疑似ブラウザの文字性能の改善を図ることができる。
また、本実施の形態では、実ブラウザ及び当該実ブラウザ環境を模擬する疑似ブラウザで取得したアクセスログからそれぞれ転送グラフを構築し、構築した二つの転送グラフについて各転送パス同士を照合する。この結果、本実施の形態では、特定転送パスを適切に特定することができる。そして、本実施の形態では、この特定した転送パスのうちの末端URLを求め、実行されたJavaScriptコードの中から末端URLのアクセスに起因して実行されたJavaScriptコードを特定することによって、解析回避コードを適切に特定することができる。
また、本実施の形態では、疑似ブラウザにおいて悪性URLへ転送されない転送パスであって実ブラウザにおいて悪性URLへ転送される転送パスが複数ある場合であっても、ドメイン名、パス、クエリキー、クエリバリューを用いて転送パスを分解した上で転送パスの照合を行う。このため、本実施の形態によれば、特定転送パスを適切に特定することができ、解析回避コードの特定も適切に実行することができる。
[システム構成等]
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部又は一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
図7は、プログラムが実行されることにより、解析装置10が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、解析装置10の各処理を規定するプログラムは、コンピュータ1000により実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、解析装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施の形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施の形態について説明したが、本実施の形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施の形態に基づいて当業者等によりなされる他の実施の形態、実施例及び運用技術等は全て本発明の範疇に含まれる。
10 解析装置
11 入力部
12 通信部
13 記憶部
14 悪性URLデータベース
15 制御部
16 出力部
151 転送パス照合部
152 解析回避コード特定部

Claims (6)

  1. ウェブサイトのコンテンツ及びスクリプトコードを解析する解析装置であって、
    実システムのブラウザである実ブラウザにおける解析対象のウェブサイトのURL(Uniform Resource Locator)へのアクセスログと、前記実ブラウザの環境を模擬する疑似ブラウザにおける前記解析対象のウェブサイトのURLへのアクセスログとを入力とし、悪性URLに基づき、前記疑似ブラウザにおいて前記悪性URLへ転送されない転送パスであって前記実ブラウザにおいて前記悪性URLへ転送される転送パスを特定転送パスとして特定する転送パス照合部と、
    前記特定転送パスを基に、前記ウェブサイトにおいて実行されたスクリプトコードの中から、ブラウザ特有の機能或いは前記実ブラウザと前記疑似ブラウザとの実装差異を利用して解析を回避する解析回避コードを特定する特定部と、
    を有することを特徴とする解析装置。
  2. 前記転送パス照合部は、前記実ブラウザ及び前記疑似ブラウザのアクセスログからそれぞれ転送グラフを構築し、構築した二つの転送グラフについて各転送パス同士を照合して前記特定転送パスを特定し、
    前記特定部は、前記特定転送パスのうちの末端のURLを特定し、前記ウェブサイトにおいて実行されたスクリプトコードの中から、特定した前記末端のURLのアクセスに起因して実行されたスクリプトコードを、前記解析回避コードとして特定することを特徴とする請求項1に記載の解析装置。
  3. 前記転送パス照合部は、ドメイン名、パス、クエリキー、クエリバリューの少なくとも一つを用いて転送パスを照合することを特徴とする請求項1または2に記載の解析装置。
  4. 前記転送パス照合部は、ドメイン名、パス、クエリキー、クエリバリューの少なくとも一つの粒度で転送パスの照合を行い、各粒度で一致する数が最も多いURLを等しいとみなすことを特徴とする請求項3に記載の解析装置。
  5. ウェブサイトのコンテンツ及びスクリプトコードを解析する解析装置が実行する解析方法であって、
    実システムのブラウザである実ブラウザにおける解析対象のウェブサイトのURLへのアクセスログと、前記実ブラウザの環境を模擬する疑似ブラウザにおける前記解析対象のウェブサイトのURLへのアクセスログとを入力とし、悪性URLに基づき、前記疑似ブラウザにおいて前記悪性URLへ転送されない転送パスであって前記実ブラウザにおいて前記悪性URLへ転送される転送パスを特定転送パスとして特定する工程と、
    前記特定転送パスを基に、前記ウェブサイトにおいて実行されたスクリプトコードの中から、ブラウザ特有の機能或いは前記実ブラウザと前記疑似ブラウザとの実装差異を利用して解析を回避する解析回避コードを特定する工程と、
    を含んだことを特徴とする解析方法。
  6. コンピュータを、請求項1〜4のいずれか一つに記載の解析装置として機能させるための解析プログラム。
JP2018561795A 2017-01-11 2017-08-10 解析装置、解析方法及び解析プログラム Active JP6666475B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017002378 2017-01-11
JP2017002378 2017-01-11
PCT/JP2017/029066 WO2018131200A1 (ja) 2017-01-11 2017-08-10 解析装置、解析方法及び解析プログラム

Publications (2)

Publication Number Publication Date
JPWO2018131200A1 true JPWO2018131200A1 (ja) 2019-04-18
JP6666475B2 JP6666475B2 (ja) 2020-03-13

Family

ID=62839415

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018561795A Active JP6666475B2 (ja) 2017-01-11 2017-08-10 解析装置、解析方法及び解析プログラム

Country Status (4)

Country Link
US (1) US11163882B2 (ja)
EP (1) EP3547193B1 (ja)
JP (1) JP6666475B2 (ja)
WO (1) WO2018131200A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102113966B1 (ko) 2019-11-25 2020-05-21 숭실대학교산학협력단 분석회피기법 우회 장치, 방법 및 이를 수행하기 위한 프로그램을 기록한 기록매체
CN114640492A (zh) * 2020-12-16 2022-06-17 深信服科技股份有限公司 一种url检测方法、系统、设备及计算机可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014071796A (ja) * 2012-10-01 2014-04-21 Nec Corp マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム
WO2015087835A1 (ja) * 2013-12-10 2015-06-18 日本電信電話株式会社 Urlマッチング装置、urlマッチング方法、および、urlマッチングプログラム
WO2016024480A1 (ja) * 2014-08-11 2016-02-18 日本電信電話株式会社 ブラウザエミュレータ装置、構築装置、ブラウザエミュレート方法、ブラウザエミュレートプログラム、構築方法、および、構築プログラム
WO2016060110A1 (ja) * 2014-10-14 2016-04-21 日本電信電話株式会社 解析装置、解析方法、および、解析プログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7774459B2 (en) * 2006-03-01 2010-08-10 Microsoft Corporation Honey monkey network exploration
US9015843B2 (en) * 2010-12-03 2015-04-21 Microsoft Corporation Predictive malware threat mitigation
US8966636B2 (en) * 2012-10-16 2015-02-24 International Business Machines Corporation Transforming unit tests for security testing

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014071796A (ja) * 2012-10-01 2014-04-21 Nec Corp マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム
WO2015087835A1 (ja) * 2013-12-10 2015-06-18 日本電信電話株式会社 Urlマッチング装置、urlマッチング方法、および、urlマッチングプログラム
WO2016024480A1 (ja) * 2014-08-11 2016-02-18 日本電信電話株式会社 ブラウザエミュレータ装置、構築装置、ブラウザエミュレート方法、ブラウザエミュレートプログラム、構築方法、および、構築プログラム
WO2016060110A1 (ja) * 2014-10-14 2016-04-21 日本電信電話株式会社 解析装置、解析方法、および、解析プログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
永井 達也,ほか5名: "マルチ環境でのDrive−by−Download攻撃のリンク構造解析について", 電子情報通信学会技術研究報告, vol. 116, no. 80, JPN6019034599, 30 May 2016 (2016-05-30), JP, pages 63 - 68, ISSN: 0004112028 *

Also Published As

Publication number Publication date
EP3547193A4 (en) 2020-07-08
US20190325136A1 (en) 2019-10-24
JP6666475B2 (ja) 2020-03-13
US11163882B2 (en) 2021-11-02
EP3547193A1 (en) 2019-10-02
EP3547193B1 (en) 2021-11-24
WO2018131200A1 (ja) 2018-07-19

Similar Documents

Publication Publication Date Title
US9300682B2 (en) Composite analysis of executable content across enterprise network
JP6687761B2 (ja) 結合装置、結合方法および結合プログラム
CN105491053A (zh) 一种Web恶意代码检测方法及系统
US10313370B2 (en) Generating malware signatures based on developer fingerprints in debug information
JP6450022B2 (ja) 解析装置、解析方法、および、解析プログラム
KR102362516B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102424014B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
JP5752642B2 (ja) 監視装置および監視方法
Lamprakis et al. Unsupervised detection of APT C&C channels using web request graphs
KR102396237B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
Burgess et al. LSTM RNN: detecting exploit kits using redirection chain sequences
JP6666475B2 (ja) 解析装置、解析方法及び解析プログラム
JP6527111B2 (ja) 解析装置、解析方法および解析プログラム
US20240054210A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
KR102420884B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102411383B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
Hatada et al. Finding new varieties of malware with the classification of network behavior
KR20210076455A (ko) Xss 공격 검증 자동화 방법 및 그 장치
Takata et al. MineSpider: Extracting hidden URLs behind evasive drive-by download attacks
KR102396236B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102396238B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102447279B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102432649B1 (ko) 사이버 위협 정보 처리 프로세서, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102447280B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
KR102437376B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181217

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190910

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191011

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200218

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200220

R150 Certificate of patent or registration of utility model

Ref document number: 6666475

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150