JP4050253B2 - コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム - Google Patents
コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム Download PDFInfo
- Publication number
- JP4050253B2 JP4050253B2 JP2004184030A JP2004184030A JP4050253B2 JP 4050253 B2 JP4050253 B2 JP 4050253B2 JP 2004184030 A JP2004184030 A JP 2004184030A JP 2004184030 A JP2004184030 A JP 2004184030A JP 4050253 B2 JP4050253 B2 JP 4050253B2
- Authority
- JP
- Japan
- Prior art keywords
- operating system
- computer virus
- computer
- virtual operating
- hash value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
第一に、特許文献1では、仮想ホストを、コンピュータウィルスの挙動を安全に監視するための環境として捉え、実ホスト上で実現される検査処理部が、そのような仮想ホストで被検査ファイルを実行しているに過ぎないので、実ホストから隔離された仮想ホストを囮としてコンピュータウィルスを捕捉しその情報を収集することはできないという問題点である。
第二に、特許文献1では、実ホスト上で実現される検査処理部が、仮想ホストの動作結果を監視しているので、監視対象に制限が出て来てしまうという問題点である。即ち、ダイナミックヒューリスティック検査として可能なのは、(1)メール送信の監視によりウィルスを検知する方法、(2)ファイルの改ざんの監視によりウィルスを検知する方法等であり、実ホストから把握できない、仮想ホスト上のファイルの作成、設定の変更等については、検査することができない。
また、本発明の他の目的は、仮想オペレーティングシステム上で実オペレーティングシステムからは把握できない変化を生じさせるコンピュータウィルスについても検知できるようにすることにある。
図1は、本実施の形態が適用されるコンピュータシステムの構成を示した図である。このコンピュータシステムは、本発明のコンピュータウィルス情報収集装置10と、利用者端末21〜2nとが、コンピュータネットワーク30を介して接続することにより構成されている。
尚、利用者端末21〜2nのいずれかが、コンピュータウィルスに感染することも考えられ、その感染した利用者端末からコンピュータウィルス情報収集装置10へコンピュータウィルスが送り込まれることにより、本実施の形態の動作が開始することもある。
一方、コンピュータネットワーク30は、例えば、インターネットである。
本実施の形態では、図2に示すように、コンピュータウィルス情報収集装置10において、実オペレーティングシステム(以下、「ホストOS」という)11上で、仮想オペレーティングシステム(以下、「ゲストOS」という)12を動作させる。即ち、コンピュータウィルスの感染対象となる囮サーバをゲストOS12上に構築し、ゲストOS12上で動作するコンピュータウィルスの情報をホストOS11に記録する。尚、このようなゲストOS12上のサーバの構築は、例えば、VMware(登録商標)等の既存ソフトウェアを用いることにより実現可能である。このように構築されたゲストOS12はホストOS11からは論理的に遮断された環境であるため、ゲストOS12が感染したコンピュータウィルスによってホストOS11が影響を受けることはない。
検知部13は、ゲストOS12がコンピュータウィルスに感染したことを検知する機能であり、通知部14は、感染が検知されたコンピュータウィルスに関する情報をホストOS11に通知する機能である。一方、処理部15は、ゲストOS12から通知されたコンピュータウィルスに関する情報を用いて所定の処理を行う機能である。ここで、所定の処理には、後述するように、ゲストOS12で検知されたコンピュータウィルスの実行ファイルのハッシュ値とハッシュ値データベース(以下、「ハッシュ値DB」という)に登録された既知のコンピュータウィルスの実行ファイルのハッシュ値との比較処理、コンピュータウィルスの感染状況を管理する管理情報の更新処理、コンピュータウィルスの感染を所定の報知先に報知する報知処理等がある。また、復旧部16は、処理部15による処理の完了後にゲストOS12を感染前の状態に復旧する機能である。
図3に、ハッシュ値DBの記憶内容の一例を示す。ここでは、コンピュータウィルス「A」、「B」、「C」について、ハッシュ値が記憶されている。これらのコンピュータウィルスは、既知のコンピュータウィルスであり、そのバイナリデータを既に解析済みのものであるとする。尚、ここでいうハッシュ値とは、コンピュータウィルスの実行ファイルのバイナリデータにハッシュ関数を施して得られる値のことである。ハッシュ関数の代表的なものには、「SHA−1」、「MD5」等がある。このうち、前者は、2の64乗ビット以下のデータから160ビットのハッシュ値を生成するアルゴリズムであり、後者は、任意のビット長のデータから128ビットのハッシュ値を生成するアルゴリズムである。
図4は、ゲストOS12上で動作する検知部13及び通知部14の動作を示すフローチャートであり、図5は、ホストOS11上で動作する処理部15及び復旧部16の動作を示すフローチャートである。
まず、図4に示すように、ゲストOS12がコンピュータウィルスに感染したことを検知部13が検知する(ステップ101)。
具体的には、コンピュータウィルスに感染した場合に起こり得ることが経験的に判明しているファイルの作成や設定の変更のパターンを定義しておき、ファイルが作成された場合や設定が変更された場合に、この定義されたパターンと照合することにより、コンピュータウィルスに感染したのかどうかを判断することができる。尚、ファイルの作成のパターンは、例えば、作成されるファイルのパス、ファイル名、サイズ等によって定義され、設定の変更のパターンは、例えば、設定項目、設定値等によって定義される。
但し、かかる検知方法は、コンピュータウィルスの実行ファイルが電子メールに添付されて届けられる場合を想定していない。コンピュータウィルスの実行ファイルが電子メールに添付されて届けられた場合の検知も可能とするためには、電子メールの添付ファイルをゲストOS12上で自動実行するよう設定しておき、その自動実行後のゲストOS12上の変更を監視する等の処理が必要になる。
尚、ここでのコンピュータウィルスの実行ファイルの特定は、次のように行うことができる。即ち、ファイルが新たに作成された場合であれば、その新たに作成されたファイルがコンピュータウィルスの実行ファイルであると考えることができる。また、システムの設定が変更された場合であれば、そのシステムの設定において新たに指定されたファイルがコンピュータウィルスの実行ファイルであると考えることができる。例えば、システムが起動される度にあるプログラムが自動実行されるような設定になっているのであれば、その自動実行されるプログラムがコンピュータウィルスの実行ファイルである。
即ち、まず、処理部15が、コンピュータウィルスの実行ファイルのハッシュ値をゲストOS12から取得し(ステップ201)、ハッシュ値DBに記憶されたハッシュ値と比較する(ステップ202)。その結果、ハッシュ値DBに記憶されたハッシュ値の中に、ゲストOS12から取得したハッシュ値と一致するものがあれば(ステップ203でYes)、そのハッシュ値に対応するコンピュータウィルスの種類を特定する(ステップ204)。一方、ハッシュ値DBに記憶されたハッシュ値の中に、ゲストOS12から取得したハッシュ値と一致するものがなければ(ステップ203でNo)、コンピュータウィルスの実行ファイルの本体データ(バイナリデータ)を送付するよう、ゲストOS12に要求する(ステップ205)。
これにより、ホストOS11上では、処理部15が、コンピュータウィルスの実行ファイルの本体データ(バイナリデータ)を取得し(ステップ206)、所定の記憶領域に保存する(ステップ207)。
即ち、処理部15は、コンピュータウィルスの感染状況を管理する管理情報を更新する(ステップ208)。この場合、例えば、ステップ204で特定されたコンピュータウィルスの種類に対する管理情報を、又は、ステップ203でNoと判定された場合であれば、未知のコンピュータウィルスに対する管理情報を更新することができる。かかる管理情報の例を、図6−1(a)に示す。図6−1(a)では、時期ごと、コンピュータウィルスの種類ごとに感染数を計測している。ここでは、ハッシュ値DBに登録されていたコンピュータウィルス「A」、「B」、「C」と、未登録であったコンピュータウィルス(未知のコンピュータウィルス)とについて、その感染数を計測している。
尚、この管理情報は、ある時点において、例えば、図6−1(b)や図6−2(c)に示すようなグラフとして出力することも可能である。
そして、これらのコンピュータウィルスの解析に必要な処理が完了すると、復旧部16は、ゲストOS12の再起動を行う(ステップ210)。例えば、ゲストOS12を実現するファイルを感染前の状態に戻す処理を行う。ゲストOS12は、ソフトウェアによって構築された仮想的な環境であるため、容易にコンピュータウィルス感染前の状態へと復旧することが可能である。
また、ゲストOS12がコンピュータウィルスに感染したことの検知を、ゲストOS12上で動作するプログラムにより行う構成を採用した。かかる構成により、ホストOS11が把握できないゲストOS12上の変更に基づく感染の検知も行えるようになっている。
Claims (7)
- 実オペレーティングシステム上に、当該実オペレーティングシステムとは論理的に遮断された環境である仮想オペレーティングシステムが構築されたコンピュータにおいて、
前記仮想オペレーティングシステム上で動作し、当該仮想オペレーティングシステムがコンピュータウィルスに感染したことを検知する検知部と、
前記仮想オペレーティングシステム上で動作し、前記検知部により感染が検知された前記コンピュータウィルスのハッシュ値を前記実オペレーティングシステムに通知する通知部と、
前記実オペレーティングシステム上で動作し、前記通知部により通知された前記ハッシュ値が、予め登録された複数のコンピュータウィルスのハッシュ値の中に存在しない場合に、当該通知部に対し、感染が検知された前記コンピュータウィルスの本体データの通知を要求する処理部と
を備え、
前記通知部は、前記処理部から要求された場合に、前記コンピュータウィルスの本体データを前記実オペレーティングシステムに通知することを特徴とするコンピュータウィルス情報収集装置。 - 前記検知部は、前記仮想オペレーティングシステム上でのデータの追加又は変更を検出することにより、当該仮想オペレーティングシステムが前記コンピュータウィルスに感染したことを検知することを特徴とする請求項1記載のコンピュータウィルス情報収集装置。
- 前記処理部は、前記コンピュータウィルスの感染状況を管理する管理情報を更新し、又は、当該コンピュータウィルスの感染を所定の報知先に報知することを特徴とする請求項1記載のコンピュータウィルス情報収集装置。
- 前記処理部による処理の完了後、前記仮想オペレーティングシステムを、前記コンピュータウィルスに感染する前の状態に復旧する復旧部を更に備えたことを特徴とする請求項1記載のコンピュータウィルス情報収集装置。
- 実オペレーティングシステム上に、当該実オペレーティングシステムとは論理的に遮断された環境である仮想オペレーティングシステムが構築されたコンピュータを用いて、当該仮想オペレーティングシステムが感染したコンピュータウィルスに関する情報を収集するコンピュータウィルス情報収集方法であって、
前記仮想オペレーティングシステムによる制御の下で、前記コンピュータウィルスのハッシュ値を算出するステップと、
算出したハッシュ値を、前記仮想オペレーティングシステムから前記実オペレーティングシステムへ通知するステップと、
前記実オペレーティングシステムによる制御の下で、通知された前記ハッシュ値が、予めデータベースに登録された複数のコンピュータウィルスのハッシュ値の中に存在するかどうかを判定するステップと、
前記通知されたハッシュ値が前記データベースに登録されたハッシュ値の中に存在しない場合に、前記仮想オペレーティングシステムが感染した前記コンピュータウィルスの本体データを、当該仮想オペレーティングシステムから前記実オペレーティングシステムへ送付するステップと
を含むことを特徴とするコンピュータウィルス情報収集方法。 - 実オペレーティングシステム上に、当該実オペレーティングシステムとは論理的に遮断された環境である仮想オペレーティングシステムが構築されたコンピュータに、
前記仮想オペレーティングシステム上の機能であって、当該仮想オペレーティングシステムがコンピュータウィルスに感染したことを検知する機能と、
前記仮想オペレーティングシステム上の機能であって、感染が検知された前記コンピュータウィルスのハッシュ値を前記実オペレーティングシステムに通知する機能と、
前記仮想オペレーティングシステム上の機能であって、感染が検知された前記コンピュータウィルスの本体データを、前記実オペレーティングシステムから要求があった場合に当該実オペレーティングシステムに送付する機能と
を実現させるためのプログラム。 - 実オペレーティングシステム上に、当該実オペレーティングシステムとは論理的に遮断された環境である仮想オペレーティングシステムが構築されたコンピュータに、
前記実オペレーティングシステム上の機能であって、前記仮想オペレーティングシステムから通知されたコンピュータウィルスのハッシュ値が、予めデータベースに登録された複数のコンピュータウィルスのハッシュ値の中に存在するかどうかを判定する機能と、
前記実オペレーティングシステム上の機能であって、前記通知されたハッシュ値が前記データベースに登録されたハッシュ値の中に存在しない場合に、前記仮想オペレーティングシステムが感染した前記コンピュータウィルスの本体データの送付を、当該仮想オペレーティングシステムに要求する機能と、
前記実オペレーティングシステム上の機能であって、前記仮想オペレーティングシステムから送付された前記コンピュータウィルスの本体データを保存する機能と
を実現させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004184030A JP4050253B2 (ja) | 2004-06-22 | 2004-06-22 | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004184030A JP4050253B2 (ja) | 2004-06-22 | 2004-06-22 | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2006011552A JP2006011552A (ja) | 2006-01-12 |
JP2006011552A5 JP2006011552A5 (ja) | 2007-07-26 |
JP4050253B2 true JP4050253B2 (ja) | 2008-02-20 |
Family
ID=35778785
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004184030A Expired - Fee Related JP4050253B2 (ja) | 2004-06-22 | 2004-06-22 | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4050253B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8677484B2 (en) | 2011-03-31 | 2014-03-18 | International Business Machines Corporation | Providing protection against unauthorized network access |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1933248A1 (de) * | 2006-12-12 | 2008-06-18 | secunet Security Networks Aktiengesellschaft | Verfahren zur sicheren Datenverarbeitung auf einem Computersystem |
JP4938576B2 (ja) * | 2007-07-24 | 2012-05-23 | 日本電信電話株式会社 | 情報収集システムおよび情報収集方法 |
JP5274227B2 (ja) * | 2008-12-10 | 2013-08-28 | 株式会社ラック | ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム |
JP2010182020A (ja) * | 2009-02-04 | 2010-08-19 | Kddi Corp | 不正検知装置およびプログラム |
KR101512456B1 (ko) * | 2013-12-24 | 2015-04-16 | 한국인터넷진흥원 | 배양기반 악성코드 분석시스템의 네트워크를 통한 os재로딩 방법 |
CN112560040A (zh) * | 2020-12-25 | 2021-03-26 | 安芯网盾(北京)科技有限公司 | 一种计算机感染型病毒的通用检测的方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7089589B2 (en) * | 2001-04-10 | 2006-08-08 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for the detection, notification, and elimination of certain computer viruses on a network using a promiscuous system as bait |
-
2004
- 2004-06-22 JP JP2004184030A patent/JP4050253B2/ja not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8677484B2 (en) | 2011-03-31 | 2014-03-18 | International Business Machines Corporation | Providing protection against unauthorized network access |
US8683589B2 (en) | 2011-03-31 | 2014-03-25 | International Business Machines Corporation | Providing protection against unauthorized network access |
Also Published As
Publication number | Publication date |
---|---|
JP2006011552A (ja) | 2006-01-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11277423B2 (en) | Anomaly-based malicious-behavior detection | |
EP3506139B1 (en) | Malware detection in event loops | |
US10210332B2 (en) | Identifying an evasive malicious object based on a behavior delta | |
US9781144B1 (en) | Determining duplicate objects for malware analysis using environmental/context information | |
JP5631988B2 (ja) | ウイルス対策スキャン | |
US9679136B2 (en) | Method and system for discrete stateful behavioral analysis | |
US9294486B1 (en) | Malware detection and analysis | |
EP3420489B1 (en) | Cybersecurity systems and techniques | |
US7716736B2 (en) | Apparatus, methods and articles of manufacture for computer virus testing | |
US11356467B2 (en) | Log analysis device, log analysis method, and log analysis program | |
US20130247190A1 (en) | System, method, and computer program product for utilizing a data structure including event relationships to detect unwanted activity | |
US20130185800A1 (en) | Anti-virus protection for mobile devices | |
TWI396995B (zh) | 惡意軟體清除方法、系統及電腦程式產品與儲存媒體 | |
US8627404B2 (en) | Detecting addition of a file to a computer system and initiating remote analysis of the file for malware | |
JP6711000B2 (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
US9792436B1 (en) | Techniques for remediating an infected file | |
EP3531329B1 (en) | Anomaly-based-malicious-behavior detection | |
JP2019079492A (ja) | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 | |
WO2014082599A1 (zh) | 用于恶意程序查杀的扫描设备、云端管理设备及方法和*** | |
KR20110088042A (ko) | 악성 코드 자동 판별 장치 및 방법 | |
JP4050253B2 (ja) | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム | |
Liu et al. | A system call analysis method with mapreduce for malware detection | |
US9239907B1 (en) | Techniques for identifying misleading applications | |
JP2014089609A (ja) | プログラム解析方法およびプログラム解析システム | |
KR100632204B1 (ko) | 네트워크 상의 공격 탐지 장치 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070606 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070606 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20070607 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20070727 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070807 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071001 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20071106 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071128 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101207 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101207 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131207 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131207 Year of fee payment: 6 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131207 Year of fee payment: 6 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |