JP2017142744A - 情報処理装置、ウィルス検出方法及びプログラム - Google Patents
情報処理装置、ウィルス検出方法及びプログラム Download PDFInfo
- Publication number
- JP2017142744A JP2017142744A JP2016025099A JP2016025099A JP2017142744A JP 2017142744 A JP2017142744 A JP 2017142744A JP 2016025099 A JP2016025099 A JP 2016025099A JP 2016025099 A JP2016025099 A JP 2016025099A JP 2017142744 A JP2017142744 A JP 2017142744A
- Authority
- JP
- Japan
- Prior art keywords
- virus
- target file
- action
- possibility
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
Description
ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リストを記憶する記憶部と、
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備える。
対象ファイルを仮想マシン上で実行し、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する。
対象ファイルを仮想マシン上で実行する処理と、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
をコンピュータに実行させる。
図1は、本発明の実施の形態1にかかる情報処理装置100の構成を示すブロック図である。情報処理装置100は、記憶部110と、仮想マシン120と、検出部130と、算出部140と、判定部150とを備える。記憶部110は、行動リスト111を記憶する。行動リスト111は、複数の行動112と複数の重み付け値113とを対応付けた情報である。
本実施の形態2は、上述した実施の形態1の具体的な実施例である。図3は、本発明の実施の形態2にかかる情報システムの全体構成を示すブロック図である。情報システムには、端末群1と、ウィルススキャンサーバ2と、NW機器群3とが含まれる。端末群1には、複数の端末11〜16が含まれ、各端末は、ウィルススキャンサーバ2と通信回線により接続されている。また、NW機器群3には、複数のNW機器31〜33が含まれ、各NW機器は、ウィルススキャンサーバ2と通信回線により接続されている。つまり、ウィルススキャンサーバ2は、端末群1とNW機器群3の間に配置されている。そして、ウィルススキャンサーバ2は、外部のネットワーク(インターネット等)からNW機器群3を経由して端末群1へ転送されるファイルについて、事前にウィルス検査を行うものである。
(I)隠す行動:ファイルを隠す、サービスを隠す、レジストリを隠す、ポートを隠す、プロセスを隠す等の行動が挙げられる。例えば、「ファイルを隠す」とは、フォルダ内に保存されているファイルの属性を変更して、一般ユーザに対しては非表示にする処理を示す。また、「プロセスを隠す」とは、例えば、対象ファイルの実行に起因して、何らかのプロセスをプロセス監視ツール上で認識できないようにする処理を示す。
尚、上述した実施の形態は、クラウドコンピューティング以外にも適用可能である。また、上述した図6及び図7の処理の流れは一例であり、本実施の形態はこれらに限定されない。
(付記1)
ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リストを記憶する記憶部と、
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備える情報処理装置。
(付記2)
前記算出部は、前記対象ファイルについて、前記検出された全ての行動に前記重み付け値を合計して、前記ウィルス可能性情報を算出する
付記1に記載の情報処理装置。
(付記3)
前記記憶部は、ウィルスの可能性の高いファイルの取得元を記録したブラックリストをさらに記憶し、
前記対象ファイルの取得元が前記ブラックリストに含まれる場合に、当該対象ファイルについてディープインスペクションを実行し、当該取得元が前記ブラックリストに含まれない場合に、クイックインスペクションを実行するウィルススキャン部をさらに備える、
付記1又は2に記載の情報処理装置。
(付記4)
前記検出部は、
前記ディープインスペクション又は前記クイックインスペクションの結果、ウィルスが検出されなかった場合に、前記仮想マシン上で前記対象ファイルの実行を行う
付記3に記載の情報処理装置。
(付記5)
前記情報処理装置は、前記仮想マシンを複数有し、
前記検出部は、異なる前記対象ファイルについて、異なる前記仮想マシン上で並列に実行を行う
付記1乃至4のいずれか1項に記載の情報処理装置。
(付記6)
前記重み付け値は、複数のサンプルウィルスにおいて前記行動リスト内の行動が実行される度合いに基づく値である
付記1乃至5のいずれか1項に記載の情報処理装置。
(付記7)
前記判定部は、
前記ウィルス可能性情報が所定の閾値を上回る場合に、前記対象ファイルをウィルスとして判定する
付記2に記載の情報処理装置。
(付記8)
対象ファイルを仮想マシン上で実行し、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する
ウィルス検出方法。
(付記9)
対象ファイルを仮想マシン上で実行する処理と、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
を前記コンピュータに実行させるウィルス検出プログラム。
110 記憶部
111 行動リスト
112 行動
113 重み付け値
120 仮想マシン
130 検出部
140 算出部
150 判定部
1 端末群
11〜16 端末
2 ウィルススキャンサーバ
3 NW機器群
31〜33 NW機器
21 分析部
22 HASH計算部
23 ウィルススキャン部
24 ウィルス実行部
25 データ処理部
26 記憶部
261 ブラックリスト
262 HASH値
263 行動リスト
Claims (9)
- ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リストを記憶する記憶部と、
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備える情報処理装置。 - 前記算出部は、前記対象ファイルについて、前記検出された全ての行動に前記重み付け値を合計して、前記ウィルス可能性情報を算出する
請求項1に記載の情報処理装置。 - 前記記憶部は、ウィルスの可能性の高いファイルの取得元を記録したブラックリストをさらに記憶し、
前記対象ファイルの取得元が前記ブラックリストに含まれる場合に、当該対象ファイルについてディープインスペクションを実行し、当該取得元が前記ブラックリストに含まれない場合に、クイックインスペクションを実行するウィルススキャン部をさらに備える、
請求項1又は2に記載の情報処理装置。 - 前記検出部は、
前記ディープインスペクション又は前記クイックインスペクションの結果、ウィルスが検出されなかった場合に、前記仮想マシン上で前記対象ファイルの実行を行う
請求項3に記載の情報処理装置。 - 前記情報処理装置は、前記仮想マシンを複数有し、
前記検出部は、異なる前記対象ファイルについて、異なる前記仮想マシン上で並列に実行を行う
請求項1乃至4のいずれか1項に記載の情報処理装置。 - 前記重み付け値は、複数のサンプルウィルスにおいて前記行動リスト内の行動が実行される度合いに基づく値である
請求項1乃至5のいずれか1項に記載の情報処理装置。 - 前記判定部は、
前記ウィルス可能性情報が所定の閾値を上回る場合に、前記対象ファイルをウィルスとして判定する
請求項2に記載の情報処理装置。 - 対象ファイルを仮想マシン上で実行し、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する
ウィルス検出方法。 - 対象ファイルを仮想マシン上で実行する処理と、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
を前記コンピュータに実行させるウィルス検出プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016025099A JP6711000B2 (ja) | 2016-02-12 | 2016-02-12 | 情報処理装置、ウィルス検出方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016025099A JP6711000B2 (ja) | 2016-02-12 | 2016-02-12 | 情報処理装置、ウィルス検出方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017142744A true JP2017142744A (ja) | 2017-08-17 |
JP6711000B2 JP6711000B2 (ja) | 2020-06-17 |
Family
ID=59627340
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016025099A Active JP6711000B2 (ja) | 2016-02-12 | 2016-02-12 | 情報処理装置、ウィルス検出方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6711000B2 (ja) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019152912A (ja) * | 2018-02-28 | 2019-09-12 | 沖電気工業株式会社 | 不正通信対処システム及び方法 |
WO2019180804A1 (ja) * | 2018-03-20 | 2019-09-26 | 株式会社Pfu | 情報処理装置、通信種類判別方法及びプログラム |
JP2020149390A (ja) * | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | サイバー攻撃検知装置 |
CN112580041A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 恶意程序检测方法及装置、存储介质、计算机设备 |
CN112580043A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 基于虚拟机的杀毒方法及装置、存储介质、计算机设备 |
CN112580042A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 恶意程序的对抗方法及装置、存储介质、计算机设备 |
CN112580025A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 基于虚拟机的报毒方法及装置、存储介质、计算机设备 |
CN116680696A (zh) * | 2023-08-04 | 2023-09-01 | 深圳市科力锐科技有限公司 | 病毒程序检测方法、装置及*** |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007537626A (ja) * | 2004-04-19 | 2007-12-20 | ザ・リージェンツ・オブ・ザ・ユニバーシティ・オブ・カリフォルニア | 深いパケットフィルタリングのためのプログラム可能なハードウエア |
JP2009223908A (ja) * | 2001-04-16 | 2009-10-01 | Xaxon R & D Corp | コンピュータウイルス検査装置及び半導体集積回路 |
JP2011530121A (ja) * | 2008-08-05 | 2011-12-15 | 北京金山▲軟▼件有限公司 | プログラム動作をフィルタリング・モニタリングするための方法とシステム |
JP2013524336A (ja) * | 2010-03-30 | 2013-06-17 | アンラブ,インコーポレイテッド | ビヘイビアベース悪性コード診断機能を有する移動通信端末及びその診断方法 |
JP2014225302A (ja) * | 2014-09-08 | 2014-12-04 | 富士通株式会社 | ウイルス検出プログラム、ウイルス検出方法、及びコンピュータ |
WO2015137249A1 (ja) * | 2014-03-13 | 2015-09-17 | 日本電信電話株式会社 | 監視装置、監視方法、および、監視プログラム |
WO2015152748A1 (en) * | 2013-07-05 | 2015-10-08 | Bitdefender Ipr Management Ltd | Process evaluation for malware detection in virtual machines |
JP2015230601A (ja) * | 2014-06-05 | 2015-12-21 | 株式会社日立システムズ | プログラム解析装置、プログラム解析方法及びプログラム解析システム |
-
2016
- 2016-02-12 JP JP2016025099A patent/JP6711000B2/ja active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009223908A (ja) * | 2001-04-16 | 2009-10-01 | Xaxon R & D Corp | コンピュータウイルス検査装置及び半導体集積回路 |
JP2007537626A (ja) * | 2004-04-19 | 2007-12-20 | ザ・リージェンツ・オブ・ザ・ユニバーシティ・オブ・カリフォルニア | 深いパケットフィルタリングのためのプログラム可能なハードウエア |
JP2011530121A (ja) * | 2008-08-05 | 2011-12-15 | 北京金山▲軟▼件有限公司 | プログラム動作をフィルタリング・モニタリングするための方法とシステム |
JP2013524336A (ja) * | 2010-03-30 | 2013-06-17 | アンラブ,インコーポレイテッド | ビヘイビアベース悪性コード診断機能を有する移動通信端末及びその診断方法 |
WO2015152748A1 (en) * | 2013-07-05 | 2015-10-08 | Bitdefender Ipr Management Ltd | Process evaluation for malware detection in virtual machines |
JP2016526730A (ja) * | 2013-07-05 | 2016-09-05 | ビットディフェンダー アイピーアール マネジメント リミテッド | 仮想マシンにおけるマルウェア検出のためのプロセス評価 |
WO2015137249A1 (ja) * | 2014-03-13 | 2015-09-17 | 日本電信電話株式会社 | 監視装置、監視方法、および、監視プログラム |
JP2015230601A (ja) * | 2014-06-05 | 2015-12-21 | 株式会社日立システムズ | プログラム解析装置、プログラム解析方法及びプログラム解析システム |
JP2014225302A (ja) * | 2014-09-08 | 2014-12-04 | 富士通株式会社 | ウイルス検出プログラム、ウイルス検出方法、及びコンピュータ |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019152912A (ja) * | 2018-02-28 | 2019-09-12 | 沖電気工業株式会社 | 不正通信対処システム及び方法 |
JP7102780B2 (ja) | 2018-02-28 | 2022-07-20 | 沖電気工業株式会社 | 不正通信対処システム及び方法 |
WO2019180804A1 (ja) * | 2018-03-20 | 2019-09-26 | 株式会社Pfu | 情報処理装置、通信種類判別方法及びプログラム |
JP2020149390A (ja) * | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | サイバー攻撃検知装置 |
JP7202932B2 (ja) | 2019-03-14 | 2023-01-12 | 三菱電機株式会社 | サイバー攻撃検知装置 |
CN112580025A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 基于虚拟机的报毒方法及装置、存储介质、计算机设备 |
CN112580042A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 恶意程序的对抗方法及装置、存储介质、计算机设备 |
CN112580043A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 基于虚拟机的杀毒方法及装置、存储介质、计算机设备 |
CN112580041A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 恶意程序检测方法及装置、存储介质、计算机设备 |
CN112580041B (zh) * | 2019-09-30 | 2023-07-07 | 奇安信安全技术(珠海)有限公司 | 恶意程序检测方法及装置、存储介质、计算机设备 |
CN112580043B (zh) * | 2019-09-30 | 2023-08-01 | 奇安信安全技术(珠海)有限公司 | 基于虚拟机的杀毒方法及装置、存储介质、计算机设备 |
CN112580042B (zh) * | 2019-09-30 | 2024-02-02 | 奇安信安全技术(珠海)有限公司 | 恶意程序的对抗方法及装置、存储介质、计算机设备 |
CN116680696A (zh) * | 2023-08-04 | 2023-09-01 | 深圳市科力锐科技有限公司 | 病毒程序检测方法、装置及*** |
CN116680696B (zh) * | 2023-08-04 | 2024-02-13 | 深圳市科力锐科技有限公司 | 病毒程序检测方法、装置及*** |
Also Published As
Publication number | Publication date |
---|---|
JP6711000B2 (ja) | 2020-06-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6711000B2 (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
Arshad et al. | SAMADroid: a novel 3-level hybrid malware detection model for android operating system | |
US10210332B2 (en) | Identifying an evasive malicious object based on a behavior delta | |
US11356467B2 (en) | Log analysis device, log analysis method, and log analysis program | |
CN110383278A (zh) | 用于检测恶意计算事件的***和方法 | |
CN109586282B (zh) | 一种电网未知威胁检测***及方法 | |
KR101043299B1 (ko) | 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체 | |
TW201712586A (zh) | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 | |
CN102664875A (zh) | 基于云模式的恶意代码类别检测方法 | |
JP6717206B2 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
US20200125728A1 (en) | Data-driven identification of malicious files using machine learning and an ensemble of malware detection procedures | |
US11270001B2 (en) | Classification apparatus, classification method, and classification program | |
US11797668B2 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
CN112084497A (zh) | 嵌入式Linux***恶意程序检测方法及装置 | |
RU2531565C2 (ru) | Система и способ анализа событий запуска файлов для определения рейтинга их безопасности | |
US8938807B1 (en) | Malware removal without virus pattern | |
Yang et al. | Detecting android malware with intensive feature engineering | |
US11321453B2 (en) | Method and system for detecting and classifying malware based on families | |
KR101988747B1 (ko) | 하이브리드 분석을 통한 머신러닝 기반의 랜섬웨어 탐지 방법 및 장치 | |
JP4050253B2 (ja) | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム | |
KR101880689B1 (ko) | 악성코드 진단장치 및 방법 | |
KR101942442B1 (ko) | 악성코드 검증을 위한 자동화 시스템 및 방법 | |
WO2022137883A1 (ja) | 攻撃情報生成装置、制御方法、及び非一時的なコンピュータ可読媒体 | |
Alsmadi et al. | Behavioral-based malware clustering and classification | |
KR101726360B1 (ko) | 서픽스 트리 생성 방법 및 서버, 및 상기 서픽스 트리를 이용하는 악성 코드 탐지 방법 및 서버 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190110 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191031 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191112 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191219 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200428 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200511 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6711000 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |