JPWO2018131200A1 - 解析装置、解析方法及び解析プログラム - Google Patents
解析装置、解析方法及び解析プログラム Download PDFInfo
- Publication number
- JPWO2018131200A1 JPWO2018131200A1 JP2018561795A JP2018561795A JPWO2018131200A1 JP WO2018131200 A1 JPWO2018131200 A1 JP WO2018131200A1 JP 2018561795 A JP2018561795 A JP 2018561795A JP 2018561795 A JP2018561795 A JP 2018561795A JP WO2018131200 A1 JPWO2018131200 A1 JP WO2018131200A1
- Authority
- JP
- Japan
- Prior art keywords
- browser
- transfer path
- analysis
- url
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 108
- 238000012546 transfer Methods 0.000 claims abstract description 226
- 230000003211 malignant effect Effects 0.000 claims abstract description 85
- 238000000034 method Methods 0.000 claims description 56
- 230000006870 function Effects 0.000 description 17
- 238000012545 processing Methods 0.000 description 14
- 238000004891 communication Methods 0.000 description 11
- 238000012795 verification Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000001514 detection method Methods 0.000 description 3
- 238000000354 decomposition reaction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000008571 general function Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
- G06F30/20—Design optimisation, verification or simulation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Geometry (AREA)
- Evolutionary Computation (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
本発明の実施の形態について説明する。本発明の実施の形態では、ウェブサイトのコンテンツ及びスクリプトコードを解析する解析装置、解析方法及び解析プログラムについて説明する。まず、実施の形態における解析装置の概略について説明する。
図1は、本実施の形態に係る解析装置の構成を示すブロック図である。図1に示すように、解析装置10は、入力部11、通信部12、記憶部13、悪性URLデータベース14、制御部15及び出力部16を有する。解析装置10は、ウェブブラウザの特有な機能や実ブラウザと疑似ブラウザとの実装差異を使用してブラウザの種別やバージョンを識別し、解析を回避する解析回避コードを特定する。なお、実施の形態では、スクリプトコードのうち、JavaScriptコードを解析する場合を例に説明する。
次に、転送パス照合部151の処理について具体的に説明する。図2は、図1に示す転送パス照合部151の処理を説明するための図である。図2は、実ブラウザと疑似ブラウザの二つのアクセスログで構築した転送グラフの一例を示す。図2の(a)は、実ブラウザログLaで構築した転送グラフを示し、図2の(b)は、ブラウザエミュレータログLbで構築した転送グラフを示す。
図5は、図1に示す解析装置10による解析回避コードを特定するまでの解析処理の処理手順を示すフローチャートである。
次に、図5に示す悪性転送パスの照合処理の処理手順について説明する。図6は、図5に示す悪性転送パスの照合処理の処理手順を示すフローチャートである。
上述のように、本実施の形態では、解析対象のウェブサイトのURLに対する実ブラウザログLa及びブラウザエミュレータログLbを入力とし、悪性URLに基づいて疑似ブラウザにおいて悪性URLへ転送されない転送パスであって実ブラウザにおいて悪性URLへ転送される転送パスを特定転送パスとして特定し、該特定した転送パスを基に、ウェブサイトにおいて実行されたスクリプトコードの中から解析回避コードを特定している。
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
図7は、プログラムが実行されることにより、解析装置10が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
11 入力部
12 通信部
13 記憶部
14 悪性URLデータベース
15 制御部
16 出力部
151 転送パス照合部
152 解析回避コード特定部
Claims (6)
- ウェブサイトのコンテンツ及びスクリプトコードを解析する解析装置であって、
実システムのブラウザである実ブラウザにおける解析対象のウェブサイトのURL(Uniform Resource Locator)へのアクセスログと、前記実ブラウザの環境を模擬する疑似ブラウザにおける前記解析対象のウェブサイトのURLへのアクセスログとを入力とし、悪性URLに基づき、前記疑似ブラウザにおいて前記悪性URLへ転送されない転送パスであって前記実ブラウザにおいて前記悪性URLへ転送される転送パスを特定転送パスとして特定する転送パス照合部と、
前記特定転送パスを基に、前記ウェブサイトにおいて実行されたスクリプトコードの中から、ブラウザ特有の機能或いは前記実ブラウザと前記疑似ブラウザとの実装差異を利用して解析を回避する解析回避コードを特定する特定部と、
を有することを特徴とする解析装置。 - 前記転送パス照合部は、前記実ブラウザ及び前記疑似ブラウザのアクセスログからそれぞれ転送グラフを構築し、構築した二つの転送グラフについて各転送パス同士を照合して前記特定転送パスを特定し、
前記特定部は、前記特定転送パスのうちの末端のURLを特定し、前記ウェブサイトにおいて実行されたスクリプトコードの中から、特定した前記末端のURLのアクセスに起因して実行されたスクリプトコードを、前記解析回避コードとして特定することを特徴とする請求項1に記載の解析装置。 - 前記転送パス照合部は、ドメイン名、パス、クエリキー、クエリバリューの少なくとも一つを用いて転送パスを照合することを特徴とする請求項1または2に記載の解析装置。
- 前記転送パス照合部は、ドメイン名、パス、クエリキー、クエリバリューの少なくとも一つの粒度で転送パスの照合を行い、各粒度で一致する数が最も多いURLを等しいとみなすことを特徴とする請求項3に記載の解析装置。
- ウェブサイトのコンテンツ及びスクリプトコードを解析する解析装置が実行する解析方法であって、
実システムのブラウザである実ブラウザにおける解析対象のウェブサイトのURLへのアクセスログと、前記実ブラウザの環境を模擬する疑似ブラウザにおける前記解析対象のウェブサイトのURLへのアクセスログとを入力とし、悪性URLに基づき、前記疑似ブラウザにおいて前記悪性URLへ転送されない転送パスであって前記実ブラウザにおいて前記悪性URLへ転送される転送パスを特定転送パスとして特定する工程と、
前記特定転送パスを基に、前記ウェブサイトにおいて実行されたスクリプトコードの中から、ブラウザ特有の機能或いは前記実ブラウザと前記疑似ブラウザとの実装差異を利用して解析を回避する解析回避コードを特定する工程と、
を含んだことを特徴とする解析方法。 - コンピュータを、請求項1〜4のいずれか一つに記載の解析装置として機能させるための解析プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017002378 | 2017-01-11 | ||
JP2017002378 | 2017-01-11 | ||
PCT/JP2017/029066 WO2018131200A1 (ja) | 2017-01-11 | 2017-08-10 | 解析装置、解析方法及び解析プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2018131200A1 true JPWO2018131200A1 (ja) | 2019-04-18 |
JP6666475B2 JP6666475B2 (ja) | 2020-03-13 |
Family
ID=62839415
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018561795A Active JP6666475B2 (ja) | 2017-01-11 | 2017-08-10 | 解析装置、解析方法及び解析プログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US11163882B2 (ja) |
EP (1) | EP3547193B1 (ja) |
JP (1) | JP6666475B2 (ja) |
WO (1) | WO2018131200A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102113966B1 (ko) | 2019-11-25 | 2020-05-21 | 숭실대학교산학협력단 | 분석회피기법 우회 장치, 방법 및 이를 수행하기 위한 프로그램을 기록한 기록매체 |
CN114640492A (zh) * | 2020-12-16 | 2022-06-17 | 深信服科技股份有限公司 | 一种url检测方法、系统、设备及计算机可读存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014071796A (ja) * | 2012-10-01 | 2014-04-21 | Nec Corp | マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム |
WO2015087835A1 (ja) * | 2013-12-10 | 2015-06-18 | 日本電信電話株式会社 | Urlマッチング装置、urlマッチング方法、および、urlマッチングプログラム |
WO2016024480A1 (ja) * | 2014-08-11 | 2016-02-18 | 日本電信電話株式会社 | ブラウザエミュレータ装置、構築装置、ブラウザエミュレート方法、ブラウザエミュレートプログラム、構築方法、および、構築プログラム |
WO2016060110A1 (ja) * | 2014-10-14 | 2016-04-21 | 日本電信電話株式会社 | 解析装置、解析方法、および、解析プログラム |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7774459B2 (en) * | 2006-03-01 | 2010-08-10 | Microsoft Corporation | Honey monkey network exploration |
US9015843B2 (en) * | 2010-12-03 | 2015-04-21 | Microsoft Corporation | Predictive malware threat mitigation |
US8966636B2 (en) * | 2012-10-16 | 2015-02-24 | International Business Machines Corporation | Transforming unit tests for security testing |
-
2017
- 2017-08-10 EP EP17891283.8A patent/EP3547193B1/en active Active
- 2017-08-10 US US16/476,551 patent/US11163882B2/en active Active
- 2017-08-10 JP JP2018561795A patent/JP6666475B2/ja active Active
- 2017-08-10 WO PCT/JP2017/029066 patent/WO2018131200A1/ja unknown
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014071796A (ja) * | 2012-10-01 | 2014-04-21 | Nec Corp | マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム |
WO2015087835A1 (ja) * | 2013-12-10 | 2015-06-18 | 日本電信電話株式会社 | Urlマッチング装置、urlマッチング方法、および、urlマッチングプログラム |
WO2016024480A1 (ja) * | 2014-08-11 | 2016-02-18 | 日本電信電話株式会社 | ブラウザエミュレータ装置、構築装置、ブラウザエミュレート方法、ブラウザエミュレートプログラム、構築方法、および、構築プログラム |
WO2016060110A1 (ja) * | 2014-10-14 | 2016-04-21 | 日本電信電話株式会社 | 解析装置、解析方法、および、解析プログラム |
Non-Patent Citations (1)
Title |
---|
永井 達也,ほか5名: "マルチ環境でのDrive−by−Download攻撃のリンク構造解析について", 電子情報通信学会技術研究報告, vol. 116, no. 80, JPN6019034599, 30 May 2016 (2016-05-30), JP, pages 63 - 68, ISSN: 0004112028 * |
Also Published As
Publication number | Publication date |
---|---|
EP3547193A4 (en) | 2020-07-08 |
US20190325136A1 (en) | 2019-10-24 |
JP6666475B2 (ja) | 2020-03-13 |
US11163882B2 (en) | 2021-11-02 |
EP3547193A1 (en) | 2019-10-02 |
EP3547193B1 (en) | 2021-11-24 |
WO2018131200A1 (ja) | 2018-07-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
JP6687761B2 (ja) | 結合装置、結合方法および結合プログラム | |
CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
US10313370B2 (en) | Generating malware signatures based on developer fingerprints in debug information | |
JP6450022B2 (ja) | 解析装置、解析方法、および、解析プログラム | |
KR102362516B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
KR102424014B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
JP5752642B2 (ja) | 監視装置および監視方法 | |
Lamprakis et al. | Unsupervised detection of APT C&C channels using web request graphs | |
KR102396237B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
Burgess et al. | LSTM RNN: detecting exploit kits using redirection chain sequences | |
JP6666475B2 (ja) | 解析装置、解析方法及び解析プログラム | |
JP6527111B2 (ja) | 解析装置、解析方法および解析プログラム | |
US20240054210A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
KR102420884B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
KR102411383B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
Hatada et al. | Finding new varieties of malware with the classification of network behavior | |
KR20210076455A (ko) | Xss 공격 검증 자동화 방법 및 그 장치 | |
Takata et al. | MineSpider: Extracting hidden URLs behind evasive drive-by download attacks | |
KR102396236B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
KR102396238B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
KR102447279B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
KR102432649B1 (ko) | 사이버 위협 정보 처리 프로세서, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
KR102447280B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
KR102437376B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181217 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190910 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191011 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200218 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200220 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6666475 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |