JP5389739B2 - 解析システム、解析装置、解析方法及び解析プログラム - Google Patents
解析システム、解析装置、解析方法及び解析プログラム Download PDFInfo
- Publication number
- JP5389739B2 JP5389739B2 JP2010130722A JP2010130722A JP5389739B2 JP 5389739 B2 JP5389739 B2 JP 5389739B2 JP 2010130722 A JP2010130722 A JP 2010130722A JP 2010130722 A JP2010130722 A JP 2010130722A JP 5389739 B2 JP5389739 B2 JP 5389739B2
- Authority
- JP
- Japan
- Prior art keywords
- connection destination
- connection
- database
- permitted
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
実施例1に係る解析システム400の構成について説明する。図1は、実施例1に係る解析システム400の構成の一例を示す図である。図1に示すように、解析システム400は、マルウェアの挙動を解析する解析装置100と、ネットワーク300に接続された接続先に関する情報を記憶するデータベースを有する検索サーバ200とを含んでいる。そして、解析システム400は、解析装置100及び検索サーバ200が、ネットワーク300を介して接続先101〜103と接続されている。接続先101〜103は、解析装置100において実行されるマルウェアによって要求される通信の接続先である。例えば、接続先101〜103は、ネットワーク300に接続された所定のホストや、或いは、ホストに記憶されている所定のコンテンツなどである。例を挙げれば、接続先101〜103は、悪性又は正規のホストやコンテンツなどである。
次に、実施例1に係る解析システム400による判定処理の手順を説明する。図7は、実施例1に係る解析システム400による判定処理の手順を示すフローチャートである。図7に示すように、実施例1に係る解析システム400においては、接続判定部63が接続先のIPアドレス又はFQDNを受信すると(ステップS101肯定)、受信した接続先のIPアドレス又はFQDNが許可リストに含まれているか否かを判定する(ステップS102)。
次に、実施例1に係る解析システム400による応答処理の手順を説明する。図8は、実施例1に係る解析システム400による応答処理の手順を示すフローチャートである。図8に示すように、実施例1に係る解析システム400においては、応答処理部64がマルウェアの通信データを受信すると(ステップS201肯定)、受信したマルウェアの通信データの接続先が許可されているか否かを判定する(ステップS202)。
上述したように、実施例1によれば、不正プログラムの挙動を解析する解析装置と、ネットワークに接続された接続先に関する情報を記憶するデータベースとを含む解析システムにおいて、マルウェア実行部62がコンピュータ内で不正な動作を行うマルウェアを実行する。そして、接続判定部63がマルウェア実行部62によって実行されたマルウェアが接続を要求する接続先に関する情報をデータベース220に問い合わせ、問い合わせの結果に基づいて当該接続先が通信を許可された接続先か否かを判定する。そして、応答処理部64が接続判定部63により接続先が通信を許可された接続先であると判定された場合に、当該接続先と通信を行ってマルウェアに対する応答を取得する。従って、実施例1に係る解析システム400は、接続先が正規の接続先である場合には通信を行わず、接続先が悪性の接続先の場合にのみ通信を行うことができ、ネットワークからの応答を要するマルウェアの挙動を安全に解析することを可能にする。
上述した実施例1では、接続先に関する情報としてIPアドレス又はFQDNを用いる場合について説明した。しかしながら、本実施例はこれに限定されるものではなく、例えば、接続先に関する情報としてURL(Uniform Resource Locator)を用いる場合であってもよい。例えば、URLを用いる場合には、許可リスト記憶部52は、解析者が入力部20を介して予め入力したり、過去の解析において通信が許可されたりしたURLの許可リストを記憶する。
上述した実施例1では、接続先を1つの検索エンジンで検索する場合について説明したが、本実施例はこれに限定されるものではなく、例えば、複数の検索エンジンを用いる場合であってもよい。かかる場合には、複数の検索結果を総合して判定する場合であってもよい。例えば、検索に用いた複数の検索エンジンの数の内、所定の数の検索エンジンで接続先がヒットしない場合に、接続先を悪性の接続先として判定する。また、複数の検索結果から任意の結果を抽出して、抽出した結果に基づいて判定する場合であってもよい。
上述した実施例1では、1つの検索エンジンを用いて被リンク数を検索する場合について説明したが、本実施例はこれに限定されるものではなく、例えば、複数の検索エンジンを用いる場合であってもよい。図9は、変形例を示す図である。図9においては、検索サイト「AAA」、「BBB」及び「CCC」における「www.malware.com」のリンク検索を実行した検索結果を示している。図9の検索サイトとは、検索に用いられた検索エンジンを意味している。また、図9の被リンク数とは、接続先をリンクしている他のコンテンツの数を意味している。
上述した実施例1では、接続先のIPアドレス又はFQDNがデータベース220に記憶されていた場合に、被リンク数を用いた判定処理を実行する例について説明した。しかしながら、本実施例はこれに限定されるものではなく、例えば、接続先のIPアドレス又はFQDNの検索のみで判定処理を行う場合であってもよい。すなわち、被リンク数を用いた判定処理を実行しない場合であってもよい。
上述した実施例1では、応答処理部64がマルウェア実行部62に対して応答データを転送する場合について説明したが、本実施例はこれに限定されるものではなく、例えば、応答データをマルウェア実行部62に転送しない場合でもよい。例えば、接続先との通信が許可されなかった場合に、応答処理部64が応答データを生成しない場合であってもよい。また、接続先との通信が許可された場合であっても、応答処理部64が応答データをマルウェア実行部62に転送しない場合であってもよい。
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示された構成要素と同一であることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、図1に示す解析データ記憶部51と許可リスト記憶部52とを一つの記憶部として統合してもよい。また、一方で、図1に示す接続判定部63を、検索サーバ200にコマンドを送信するコマンド実行部と、検索サーバ200の検索結果に基づいて判定処理を実行する判定部とに分散してもよい。
ところで、上記実施例1では、ハードウェアロジックによって各種の処理を実現する場合を説明したが、本実施例はこれに限定されるものではなく、予め用意されたプログラムをコンピュータで実行するようにしてもよい。そこで、以下では、図10を用いて上記実施例1に示した解析装置100と同様の機能を有する解析プログラムを実行するコンピュータの一例を説明する。図10は、解析プログラムを実行するコンピュータを示す図である。
63 接続判定部
64 応答処理部
100 解析装置
101、102、103 接続先
220 データベース
300 ネットワーク
400 解析システム
Claims (7)
- 不正プログラムの挙動を解析する解析装置と、ネットワークに接続された接続先に関する情報を記憶するデータベースとを含む解析システムであって、
解析装置が、
コンピュータ内で不正な動作を行う不正プログラムを実行する実行手段と、
前記実行手段によって実行された不正プログラムが接続を要求する接続先に関する情報を前記データベースに問い合わせ、問い合わせの結果に基づいて当該接続先が通信を許可された接続先であるか否かを判定する判定手段と、
前記判定手段により前記接続先が通信を許可された接続先であると判定された場合に、当該接続先と通信を行って前記不正プログラムに対する応答を取得する応答処理手段と
を有し、
前記判定手段は、前記データベースによって前記接続先のアドレス、FQDN又はURLが記憶されていた場合には、当該接続先に関連する他の接続先の数を前記データベースにさらに問い合わせ、前記他の接続先の数が所定の閾値以下であった場合には、アドレス、FQDN又はURLが記憶されていた接続先を通信が許可された接続先であると判定することを特徴とする解析システム。 - 前記判定手段は、前記接続先のアドレス、FQDN又はURLを前記接続先の情報としてデータベースに問い合わせ、当該アドレス、FQDN又はURLが前記データベースによって記憶されていなかった場合に、当該接続先を通信が許可された接続先であると判定することを特徴とする請求項1に記載の解析システム。
- 前記不正プログラムの動作の対象として事前に許可された接続先に関する情報を記憶する記憶手段をさらに有し、
前記判定手段は、前記不正プログラムによって要求された接続先に関する情報が前記記憶手段によって記憶されていた場合に、当該接続先を通信が許可された接続先であると判定することを特徴とする請求項1又は2に記載の解析システム。 - 前記判定手段は、前記接続先に関する情報が前記データベースによって記憶されており、かつ前記接続先に関連する他の接続先の数が所定の閾値を超えていた場合には、前記接続先を通信が許可されていない接続先であると判定し、
前記応答処理手段は、前記判定手段により前記接続先が通信を許可されていない接続先であると判定された場合に、前記不正プログラムに対する応答を生成し、生成した応答を前記不正プログラムに転送することを特徴とする請求項1又は2に記載の解析システム。 - コンピュータ内で不正な動作を行う不正プログラムを実行する実行手段と、
前記実行手段によって実行された不正プログラムが接続を要求する接続先に関する情報を外部データベースに問い合わせ、問い合わせの結果に基づいて当該接続先が通信を許可された接続先であるか否かを判定する判定手段と、
前記判定手段により前記接続先が通信を許可された接続先であると判定された場合に、当該接続先と通信を行って前記不正プログラムに対する応答を取得する応答処理手段と、
を有し、
前記判定手段は、前記データベースによって前記接続先のアドレス、FQDN又はURLが記憶されていた場合には、当該接続先に関連する他の接続先の数を前記データベースにさらに問い合わせ、前記他の接続先の数が所定の閾値以下であった場合には、アドレス、FQDN又はURLが記憶されていた接続先を通信が許可された接続先であると判定することを特徴とする解析装置。 - 不正プログラムの挙動を解析する解析装置によって実行される解析方法であって、
コンピュータ内で不正な動作を行う不正プログラムを実行する実行ステップと、
前記実行ステップによって実行された不正プログラムが接続を要求する接続先に関する情報を外部データベースに問い合わせ、問い合わせの結果に基づいて当該接続先が通信を許可された接続先であるか否かを判定する判定ステップと、
前記判定ステップにより前記接続先が通信を許可された接続先であると判定された場合に、当該接続先と通信を行って前記不正プログラムに対する応答を取得する応答処理ステップと、
を含み、
前記判定ステップは、前記データベースによって前記接続先のアドレス、FQDN又はURLが記憶されていた場合には、当該接続先に関連する他の接続先の数を前記データベースにさらに問い合わせ、前記他の接続先の数が所定の閾値以下であった場合には、アドレス、FQDN又はURLが記憶されていた接続先を通信が許可された接続先であると判定することを特徴とする解析方法。 - コンピュータ内で不正な動作を行う不正プログラムを実行する実行手順と、
前記実行手順によって実行された不正プログラムが接続を要求する接続先に関する情報を外部データベースに問い合わせ、問い合わせの結果に基づいて当該接続先が通信を許可された接続先であるか否かを判定する判定手順と、
前記判定手順により前記接続先が通信を許可された接続先であると判定された場合に、当該接続先と通信を行って前記不正プログラムに対する応答を取得する応答処理手順と、
コンピュータに実行させ、
前記判定手順は、前記データベースによって前記接続先のアドレス、FQDN又はURLが記憶されていた場合には、当該接続先に関連する他の接続先の数を前記データベースにさらに問い合わせ、前記他の接続先の数が所定の閾値以下であった場合には、アドレス、FQDN又はURLが記憶されていた接続先を通信が許可された接続先であると判定することを特徴とする解析プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010130722A JP5389739B2 (ja) | 2010-06-08 | 2010-06-08 | 解析システム、解析装置、解析方法及び解析プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010130722A JP5389739B2 (ja) | 2010-06-08 | 2010-06-08 | 解析システム、解析装置、解析方法及び解析プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011257901A JP2011257901A (ja) | 2011-12-22 |
JP5389739B2 true JP5389739B2 (ja) | 2014-01-15 |
Family
ID=45474035
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010130722A Active JP5389739B2 (ja) | 2010-06-08 | 2010-06-08 | 解析システム、解析装置、解析方法及び解析プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5389739B2 (ja) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013171556A (ja) * | 2012-02-23 | 2013-09-02 | Hitachi Ltd | プログラム解析システム及び方法 |
JPWO2014175250A1 (ja) * | 2013-04-23 | 2017-02-23 | 日本電気株式会社 | 通信端末、制御装置、通信システム、通信方法及びプログラム |
EP2985716B1 (en) * | 2013-05-20 | 2020-08-12 | Nippon Telegraph and Telephone Corporation | Information processing device and identifying method |
JP2015130008A (ja) * | 2014-01-06 | 2015-07-16 | 富士通株式会社 | 動態解析方法及び動態解析装置 |
JP6018346B2 (ja) * | 2014-06-17 | 2016-11-02 | 日本電信電話株式会社 | 情報処理システム、制御方法及び制御プログラム |
JP2016038627A (ja) * | 2014-08-05 | 2016-03-22 | Kddi株式会社 | 監視システム、観測装置、解析装置、監視方法およびコンピュータプログラム |
JP2016057767A (ja) * | 2014-09-08 | 2016-04-21 | Kddi株式会社 | 解析装置、解析方法およびコンピュータプログラム |
JP6081031B2 (ja) | 2014-09-17 | 2017-02-15 | 三菱電機株式会社 | 攻撃観察装置、及び攻撃観察方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4755658B2 (ja) * | 2008-01-30 | 2011-08-24 | 日本電信電話株式会社 | 解析システム、解析方法および解析プログラム |
-
2010
- 2010-06-08 JP JP2010130722A patent/JP5389739B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2011257901A (ja) | 2011-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5389739B2 (ja) | 解析システム、解析装置、解析方法及び解析プログラム | |
KR102271545B1 (ko) | 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들 | |
US9635041B1 (en) | Distributed split browser content inspection and analysis | |
US8677493B2 (en) | Dynamic cleaning for malware using cloud technology | |
JP5396051B2 (ja) | 承認済みファイルと信頼されたドメインのデータベースを作成及び更新する方法及びシステム | |
JP6687761B2 (ja) | 結合装置、結合方法および結合プログラム | |
WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
JP6050162B2 (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
JP5752642B2 (ja) | 監視装置および監視方法 | |
CN109688153A (zh) | 使用主机应用/程序到用户代理的映射的零日威胁检测 | |
JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
US9124472B1 (en) | Providing file information to a client responsive to a file download stability prediction | |
US20230171267A1 (en) | Selective security scan to reduce signature candidates | |
JP5385867B2 (ja) | データ転送装置及びアクセス解析方法 | |
KR20100124441A (ko) | 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법 | |
JP6286314B2 (ja) | マルウェア通信制御装置 | |
JP6676790B2 (ja) | リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム | |
JP5456636B2 (ja) | ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム | |
US11966477B2 (en) | Methods and apparatus for generic process chain entity mapping | |
JP2016170524A (ja) | 悪性url候補取得装置、悪性url候補取得方法、及びプログラム | |
Ikinci | Monkey-spider: Detecting malicious web sites | |
JP5655185B2 (ja) | マルウェア感染端末検知装置、マルウェア感染端末検知方法及びマルウェア感染端末検知プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120626 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130703 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130730 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130911 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131008 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131009 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5389739 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |