WO2016027292A1

WO2016027292A1 - 分析装置、分析方法及びコンピュータ読み取り可能な記録媒体

Info

Publication number: WO2016027292A1
Application number: PCT/JP2014/004320
Authority: WO
Inventors: 正文渡部; 佑樹芦野
Original assignee: 日本電気株式会社
Priority date: 2014-08-22
Filing date: 2014-08-22
Publication date: 2016-02-25
Also published as: JPWO2016027292A1; JP6380537B2; US10360378B2; US20200012788A1; US20170270297A1; US11847216B2; DE112014006880T5; US20220318382A1; US11640463B2

Abstract

　攻撃者の意図や目的に関する情報を求めることができる分析装置を提供する。　分析装置は、コンピュータにおける所定の振る舞いと、振る舞いと振る舞いを実行する目的との関係を含む知識情報とに基づいて、振る舞いの目的を推定する目的推定手段を備える。

Description

分析装置、分析方法及びコンピュータ読み取り可能な記録媒体

　本発明は、分析装置、分析方法及びコンピュータ読み取り可能な記録媒体に関する。

　企業や政府機関等の情報システムでは、いわゆるサイバーテロに対するセキュリティ対策の必要性が高まっている。セキュリティ対策を講じる場合には、情報システムに対して何らかの危害を加えようとする攻撃者の意図や目的を踏まえて、それらを阻害する対策を講じることが好ましい。

　セキュリティ対策の一つであるセキュリティ監視業務においては、種々の技術が用いられている。例えば、侵入検知システム（Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ：ＩＤＳ）や、ＳＩＥＭ（Ｓｅｃｕｒｉｔｙ　Ｉｎｆｏｒｍａｔｉｏｎ　ａｎｄ　Ｅｖｅｎｔ　Ｍａｎａｇｅｍｅｎｔ）等の技術がある。

　特許文献１には、コンピュータをマルウェアから保護するシステム等が記載されている。特許文献１に記載のシステムは、ローカルマシンイベントを収集し、アンチマルウェアサービスおよび他のイベント検出システムからナレッジベースをアグリゲートしてコンピュータをマルウェアから事前に保護する。

　特許文献２には、コンピュータシステムにおいて所定の時間枠内で実行されたコンピュータシステム上の複数の活動が疑いのあるファイルのインストール中に監視される、疑いのあるマルウェアの挙動を監視する方法が記載されている。

　特許文献３には、マルウェア検知のシステム等が記載されている。特許文献３に記載のシステム等は、バイナリファイルからアセンブリ言語シーケンスを受け取り、アセンブリ言語シーケンスから命令シーケンスを識別し、エキスパートシステムの知識ベースによって、命令シーケンスを分類する。

　特許文献４には、ソフトウェアを実行する実行装置に対する不正なソフトウェアの入力経路を推定する解析システムが記載されている。

特開２００６－２８５９８３号公報特開２０１４‐３８５９６号公報特表２０１２－５０１５０４号公報特開２０１０－２６７１２８号公報

　各特許文献に記載の技術は、監視対象とする情報システムにおけるセキュリティに関する問題を検知した場合に、検知された事象の情報を提示するのみである。すなわち、各特許文献に記載の技術は、監視対象とする情報システムにおけるセキュリティに関する問題を検知した場合に、攻撃者の意図や目的に関する情報を提供することが困難である。

　本発明は、上記課題を解決するためになされたものであって、攻撃者の意図や目的に関する情報を求めることができる分析装置、分析方法及びコンピュータ読み取り可能な記録媒体を提供することを主たる目的とする。

　本発明の一態様における分析装置は、コンピュータにおける所定の振る舞いと、振る舞いと振る舞いを実行する目的との関係を含む知識情報とに基づいて、振る舞いの目的を推定する目的推定手段を備える。

　本発明によると、攻撃者の意図や目的に関する情報を求めることができる分析装置等を提供することができる。

本発明の第１の実施形態における分析装置及び当該分析装置を含む分析システム等の構成を示す図である。本発明の第１の実施形態における分析装置及び当該分析装置を含む分析システム等の別の構成を示す図である。本発明の各実施形態における分析装置を実現する情報処理装置の一例の構成を示す図である。本発明の第１の実施形態における分析装置によって用いられる振る舞い等の例を示す図である。本発明の第１の実施形態における分析装置によって用いられる振る舞いと目的との関係の例を示す図である。本発明の第１の実施形態における分析装置によって用いられる知識情報の例を示す図である。本発明の第１の実施形態における分析装置によって推定された振る舞いに対する目的の例である。本発明の第１の実施形態における分析装置の動作を示すフローチャートである。本発明の第１の実施形態における分析装置の変形例の構成を示す図である。本発明の第１の実施形態における分析装置の変形例の構成を示す図である。本発明の第１の実施形態における分析装置の別の変形例の構成を示す図である。本発明の第１の実施形態における分析装置の別の変形例の構成を示す図である。本発明の第２の実施形態における分析装置が用いる振る舞いの適合度を算出する方法の例を示す図である。本発明の第２の実施形態における分析装置が用いる振る舞いの適合度を算出する方法の別の例を示す図である。本発明の第２の実施形態における分析装置が振る舞いの適合度を用いて目的を推定する場合の推定方法の例を示す図である。本発明の第２の実施形態における分析装置１００が用いる知識情報に対して追加情報を特定した例を示す図である。本発明の第２の実施形態における分析装置１００が用いる知識情報に対して追加情報を特定した別の例を示す図である。本発明の第２の実施形態における分析装置１００が用いる振る舞いと当該振る舞いを引き起こすマルウェアとの対応を示す情報の例を示す図である。本発明の第２の実施形態における分析装置１００が用いる振る舞いと目的との関係を含む知識情報に関連する分析者に関する情報の例を示す図である。本発明の第３の実施形態における分析装置３００及び当該分析装置を含む分析システム等の構成を示す図である。本発明の第３の実施形態における分析装置３００において、知識情報入力部１３０が知識情報を受付ける場合の手順を示すフローチャートである。知識情報入力部１３０が知識情報を受付ける場合における入力画面の一例である。本発明の第４の実施形態における分析装置４００及び当該分析装置を含む分析システム等の構成を示す図である。本発明の第４の実施形態における分析装置４００によって予測される振る舞い又は機能の例を示す図である。

　本発明の各実施形態について、添付の図面を参照して説明する。なお、本発明の各実施形態において、各装置の各構成要素は、機能単位のブロックを示している。各装置の各構成要素は、例えば図３に示すような情報処理装置５０とソフトウェアとの任意の組み合わせにより実現することができる。情報処理装置５０は、例えばＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）５１、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）５２、ＲＡＭ（Ｒａｍｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）５３、ＲＡＭ５３にロードされるプログラム５４、プログラム５４を格納する記憶装置５５、記憶媒体５６の読み書きを行うドライブ装置５７、ネットワーク５９と接続する通信インターフェイス５８、データの入出力を行う入出力インターフェイス６０、及び各構成要素を接続するバス６１を含む。また、各装置の実現方法には様々な変形例がある。例えば、各装置は、専用の装置として実現することができる。また、各装置は、複数の装置の組み合わせにより実現することができる。

　（第１の実施形態）
　まず、本発明の第１の実施形態について説明する。図１は、本発明の第１の実施形態における分析装置及び当該分析装置を含む分析システム等の構成を示す図である。図２は、本発明の第１の実施形態における分析装置及び当該分析装置を含む分析システム等の別の構成を示す図である。図４は、本発明の第１の実施形態における分析装置によって用いられる振る舞いパターン等の例を示す図である。図５は、本発明の第１の実施形態における分析装置によって用いられる振る舞いパターンと目的との関係の例を示す図である。図６は、本発明の第１の実施形態における分析装置によって用いられる知識情報の例を示す図である。図７は、本発明の第１の実施形態における分析装置によって推定された振る舞いに対する目的の例である。図８は、本発明の第１の実施形態における分析装置の動作を示すフローチャートである。図９及び図１０は、本発明の第１の実施形態における分析装置の変形例の構成を示す図である。図１１及び図１２は、本発明の第１の実施形態における分析装置の別の変形例の構成を示す図である。

　図１に示すとおり、本発明の第１の実施形態における分析装置１００は、目的推定部１１０を備える。目的推定部１１０は、コンピュータにおける所定の振る舞いと、当該所定の振る舞いと当該所定の振る舞いを実行する目的との関係を含む知識情報とに基づいて、当該所定の振る舞いの目的を推定する。

　なお、本実施形態の一例として、分析装置１００は、図２のように、振る舞いとその振る舞いを実行する目的との関係を含む知識情報を記憶する知識情報記憶部１２０に記憶する構成とすることができる。この場合に、目的推定部１１０は、知識情報記憶部１２０に記憶された知識情報を用いて、振る舞いの目的を推定する。ただし、分析装置１００は、このような構成に限られず、知識情報が目的推定部１１０によって利用可能となるような任意の構成とすることができる。

　最初に、本実施形態における分析装置１００にて用いられる知識情報と、その構成要素等について説明する。本実施形態において、知識情報は、分析装置１００が振る舞いに対する目的を推定する場合に用いる情報である。知識情報には、ある振る舞いと、当該振る舞いに対する目的と、当該振る舞いと当該目的との関係とが少なくとも含まれる。

　本実施形態において、振る舞いは、例えばネットワークに接続されたコンピュータにおける何らかの動作であり、より詳しくは、マルウェア（ｍａｌｗａｒｅ）のように、悪意のある不正なソフトウェア等によって行われる特徴的な動作である。

　なお、本実施形態における分析装置１００によって主に目的の推定対象となる振る舞いは、例えば、マルウェア等の動作を検知する検知装置１５０によって検知されたマルウェアの振る舞いである。

　検知装置１５０は、例えば上述したＩＤＳやＳＩＥＭツールであり、公知の手法を用いてマルウェア等の動作を検知する。検知装置１５０は、例えば、マルウェア動作ログ１５１に記録された動作が、マルウェアの振る舞いを記録した振る舞いパターンに該当するパターンが存在するか否かを判定することによって、マルウェア等の動作を検知する。マルウェア動作ログ１５１は、マルウェアを動作させた場合に行われたネットワーク通信、ＡＰＩ（Ａｐｐｌｉｃａｔｉｏｎ　Ｐｒｏｇｒａｍｍｉｎｇ　Ｉｎｔｅｒｆａｃｅ）の呼び出し、ファイルやメモリへのアクセス等のコンピュータの動作の記録を含む。また、検知装置１５０は、ネットワーク１５２における通信内容を読み取り、当該読み取った動作が、振る舞いパターンに該当するパターンが存在するか否かを判定することによって、マルウェア等の動作を検知することもできる。

　図４（Ａ）は、マルウェア動作ログ１５１の一例である。図４（Ｂ）は、検知装置１５０にて用いられる振る舞いパターンの一例である。本実施形態において、振る舞いパターンは、検知装置１５０によって検知対象となる、マルウェアの一つ以上の振る舞いである。検知装置１５０は、例えば、マルウェア動作ログに記録された動作の各々が、振る舞いパターンに含まれる振る舞いのいずれかに該当すると、マルウェア等の動作を検知したとして、その旨を該当した振る舞いと共に示す。一つの具体例として、図４（Ａ）に示すマルウェア動作ログに記載された動作Ｌ０１は、“Ａｃｔｉｏｎ”が振る舞いパターンＰ０１の“Ａｃｔｉｏｎ”と同様に“Ｗａｉｔ”である。また、動作Ｌ０１は、“Ｄｕｒａｔｉｏｎ”の値である“４９４８”が、振る舞いパターンＰ０１の“ＤｕｒａｔｉｏｎＭｉｎ”の値である３００より大きく、“ＤｕｒａｔｉｏｎＭａｘ”の値である“８６４００”より小さい。したがって、この動作Ｌ０１は、図４（Ｂ）に示す振る舞いパターンのＰ０１に該当する。この場合に、検知装置１５０は、マルウェアの動作を検出した旨を、図４（Ｂ）に示す振る舞いパターンのＰ０１と併せて任意の形式で出力する。

　また、本実施形態において、目的とは、コンピュータにおいて上述した振る舞いを実行することによって、例えばマルウェアを利用する攻撃者が実現しようとする事柄である。本実施形態において、目的は、情報システム等の構成要素や動作に関連する事項に限られない。例えば、本実施形態における分析装置１００は、「個人情報販売ビジネス」のように、情報システム等の構成要素や動作がどうなるかを全く説明していない事項を目的として扱うことができる。すなわち、本実施形態における目的は、お金を儲けるなどのように、社会的な達成事項を含むことができる。なお、この場合において、攻撃者は、例えばネットワークや情報システムに対して何らかの危害を加える意図を持つ者である。そして、振る舞いと当該振る舞いを実行する目的との関係は、上述した振る舞いと、攻撃者がマルウェアを用いて当該振る舞いを行う目的とを結びつける関係である。

　なお、上述した目的は、１つ以上の機能によって実現されると考えることができる。また、上述した振る舞いは、ある機能の一部が現れたものと考えることができる。したがって、振る舞いとその振る舞いを実行する目的との関係は、これらが直接に結びつけられる場合に限られない。すなわち、振る舞いとその振る舞いを実行する目的との関係は、振る舞いと振る舞いによって実現される機能との関係と、当該機能と当該機能を実行する目的との関係を用いて表される場合がある。知識情報には、機能、振る舞いと機能との関係、及びその機能と目的との関係が含まれる。

　また、上述した目的や機能は、より詳細な機能や目的に具体化できる場合がある。すなわち、目的、機能は、階層的である場合がある。このような場合には、振る舞いとその振る舞いを実行する目的との関係は、更に目的同士の関係や、機能同士の関係を用いて表される場合がある。知識情報には、これらの関係が含まれる。

　図５は、振る舞いと、その振る舞いを実行する目的との関係の一例を示す図である。図５においては、すなわち、振る舞いとその振る舞いを実行する目的との関係は、振る舞いと振る舞いによって実現される機能との関係と、当該機能と当該機能を実行する目的との関係を用いて表されている。

　図５（Ａ）に示す通り、例えば検知装置１５０等によって検知される「時間待ち」という振る舞いは、「ボット（ｂｏｔ）の発見を困難にする」との機能に関係付けられている。また、「ボットの発見を困難にする」という機能は、「ＤＤｏＳ（Ｄｉｓｔｒｉｂｕｔｅｄ　Ｄｅｎｉａｌ　ｏｆ　Ｓｅｒｖｉｃｅ）攻撃帯域販売ビジネス」という目的に関係付けられている。図５（Ａ）に示す関係に基づくと、したがって、「時間待ち」という振る舞いは、例えば「ＤＤｏＳ攻撃帯域販売ビジネス」を目的として行われていると考えることが可能である。また、これらの振る舞い、機能、目的及び関係は、例えば図５（Ｂ）から（Ｅ）の各々に示すように、各々に識別子を付与することによって表現される。

　図６は、知識情報の一例を示す。図６に示すような知識情報は、例えば、上述した検知装置１５０等によって検知された事実から、攻撃者の真の目的や意図を発想することができる分析者の知識や経験に基づいて作成される。ただし、図６に示すような知識情報は、任意の方法によって作成される。また、分析装置１００が知識情報記憶部１２０を備える場合、図５に示す関係や図６に示す知識情報は、例えば知識情報記憶部１２０に記憶される。また、分析装置１００は、図５に示す関係や図６に示す知識情報を、図示しない表示装置等に表示することができる。

　次に、本実施形態における分析装置１００の各構成要素について詳細を説明する。本実施形態において、目的推定部１１０は、コンピュータにおける所定の振る舞い及び当該振る舞いと当該振る舞いを実行する目的との関係に基づいて、振る舞いを実行する目的を推定する。

　目的推定部１１０は、例えば上述した図５に示す振る舞いと目的との関係や、図６に示す知識情報に基づいて、振る舞いを実行する目的を推定する。
すなわち、目的推定部１１０は、これらの関係や知識情報に基づいて、振る舞いに関係付けられた目的を特定する。そして、目的推定部１１０は、当該特定した目的を、振る舞いを実行する目的として推定する。例えば、図５に示す振る舞いと目的との関係に基づく場合、目的推定部１１０は、「時間待ち」という振る舞いは、「ＤＤｏＳ攻撃帯域販売ビジネス」という目的に関係付けられていると特定することができる。したがって、目的推定部１１０は、「時間待ち」という振る舞いは、「ＤＤｏＳ攻撃帯域販売ビジネス」を目的とすると推定する。また、図６に示す知識情報に基づく場合、目的推定部１１０は、“ＭＡＣＴ－２０１４－０００５”とラベル付された振る舞いは、図７に示す目的の少なくとも一つを目的とすると推定する。すなわち、目的推定部１１０は、「カード・個人情報販売ビジネス」、「クリック詐欺ビジネス」、「身代金ビジネス」、「ＤＤｏＳ攻撃帯域販売ビジネス」の少なくとも一つを目的とすると推定する。また、分析装置１００は、図７によって示されるような、目的推定部１１０によって推定された振る舞いと目的との関係を、任意の形式にて出力することができる。例えば、分析装置１００は、当該振る舞いと目的との関係を、図示しない表示装置等に表示したり、任意のファイルに出力したりすることができる。

　続いて、図８を用いて、本実施形態における分析装置１００の動作の一例を説明する。

　分析装置１００の目的推定部１１０は、まず、目的の推定対象となる振る舞いのリストを取得する（ステップＳ１０１）。

　続いて、分析装置１００は、ステップＳ１０１にて取得した振る舞いのリストから、当該リストに含まれる振る舞いの一つを取得する（ステップＳ１０２）。この場合において、分析装置１００は、任意の基準で当該リストから振る舞いの一つを取得することができる。

　続いて、目的推定部１１０は、ステップＳ１０２にて取得した振る舞いから関係のリストを取得する（ステップＳ１０３）。分析装置１００が知識情報記憶部１２０を備える場合、関係のリストは知識情報記憶部１２０から読み出される。

　続いて、目的推定部１１０は、関係のリストから、一方にステップＳ１０２にて選択した振る舞いを含む関係を選択する（ステップＳ１０４）。

　続いて、目的推定部１１０は、ステップＳ１０４にて選択された関係を用いて、ステップＳ１０２にて取得した振る舞いに対して当該関係によって対応付けられている目的を取得する（ステップＳ１０５）。ステップＳ１０４にて選択された関係が、上述した振る舞いとその振る舞いを実行する目的とを直接に関係付けていない場合には、目的推定部１１０は、当該関係から関係リストに含まれる関係を順次辿ることによって目的を推定する。

　続いて、目的推定部１１０は、ステップＳ１０３にて取得した関係のリストに含まれる全ての関係について、ステップＳ１０４及びステップＳ１０５の処理を実行したかを確認する（ステップＳ１０６）。全ての関係について処理を実行していない場合、目的推定部１１０は、ステップＳ１０４に戻り、上述した関係リストに含まれる関係のうち、処理を実行していない関係を選択して処理を継続する。全ての関係について処理を実行した場合、目的推定部１１０は、次のステップＳ１０７の処理へ進む。

　続いて、目的推定部１１０は、振る舞いのリストに含まれるすべての振る舞いについて処理を実行したかを確認する（ステップＳ１０７）。全ての振る舞いについて処理を実行していない場合（ステップＳ１０７：Ｎｏ）、目的推定部１１０は、ステップＳ１０２に戻り、上述した振る舞いのリストから、処理を実行していない振る舞いを選択して処理を継続する。

　全ての振る舞いについて処理を実行した場合（ステップＳ１０７：Ｙｅｓ）、分析装置は、目的推定部１１０がステップＳ１０５にて取得した目的を、振る舞いを実行するための目的であると推定して終了する。なお、分析装置１００は、推定された目的を任意の形式で出力することができる。

　以上のとおり、本実施形態における分析装置１００は、目的推定部１１０が、コンピュータにおける所定の振る舞い及び当該振る舞いと当該振る舞いを実行する目的との関係に基づいて、前記振る舞いの目的を推定する。したがって、本実施形態における分析装置１００は、攻撃者の意図や目的に関する情報を求めることができる。

　一般的なセキュリティ監視業務において、上述したＩＤＳやＳＩＥＭ等の技術によって検知されたマルウェア等の振る舞いから、マルウェアを利用する攻撃者の意図や、攻撃者が攻撃を行う目的を推測することは必ずしも容易ではない。マルウェア等の振る舞いから攻撃者の意図や目的を推測することが可能であるのは、一般的に、マルウェア等の活動に関する多くの知識や分析経験を有する分析者に限られている。

　しかしながら、本実施形態における分析装置１００を用いることにより、例えばマルウェア等の活動に関する知識や分析経験の少ない分析者であっても、振る舞いから攻撃者の意図や目的を推測することが可能となる。すなわち、本実施形態における分析装置１００を用いることにより、マルウェア等の活動に関する知識や分析経験の少ない分析者が、例えば攻撃者の真の目的や意図を阻害する対策を講じることが可能となる。

　（第１の実施形態の変形例）
　本実施形態における分析装置１００は、種々の変形例が考えられる。例えば、本実施形態において、目的の推定対象となる振る舞いは、検知装置１５０にて検知した振る舞いに限られない。本実施形態における分析装置１００は、その目的を推定すべき任意の振る舞いを目的の推定対象とすることができる。

　また、本実施形態における分析装置１００が、検知装置１５０にて検知した振る舞いに対する目的を推定する場合においては、分析装置１００及び検知装置１５０は、種々の動作を行うことができる。

　例えば、検知装置１５０は、マルウェアが実行されている監視対象であるネットワーク１５２に接続し、ネットワーク１５２からパケットを受信するたびに、マルウェアの動作を検知する構成とすることができる。また、この場合において、検知装置１５０がマルウェアの動作を検知した場合には、分析装置１００は、検知装置１５０にて検知されたマルウェアの振る舞いに対する目的を推定することができる。このようにすることで、分析者は、マルウェアの振る舞いをリアルタイムに観察しつつ、マルウェアの分析を行うことが可能となる。

　また、分析装置１００の具体的構成は、種々の形態が考えられる。例えば、分析装置１００及び検知装置１５０等は、一つの分析システムとして構成されることができる。図９は、分析装置１００及び検知装置１５０を一体の分析システム１０として構成する場合の一例を示す。また、分析装置１００と一つ以上の検知装置１５０－１・・・Ｎとが、図１０に示すように、ネットワークを介して接続される構成とすることができる。

　また、分析装置１００が知識情報記憶部１２０を備える場合、図１１に示すように、目的推定部１１０と知識情報記憶部１２０とは、ネットワークを介して接続される構成とすることができる。この場合には、例えばクラウドのサービスとして、知識情報記憶部１２０に記憶された知識情報が、複数の目的推定部１１０に対して提供される構成とすることができる。

　また、本実施形態における分析装置１００は、図１２に示すように、いわゆるクラウドのサービスとして提供される構成とすることができる。この場合には、分析装置１００の利用者は、例えば端末装置１６０を用いてネットワークを介して分析装置１００に接続する。このような構成とすることで、分析装置１００の知識情報記憶部１２０に記憶された知識情報が、複数の分析者によって共有される。

　（第２の実施形態）
　続いて、本発明の第２の実施形態について説明する。図１３は、本発明の第２の実施形態における分析装置が用いる振る舞いの適合度を算出する方法の例を示す図である。図１４は、本発明の第２の実施形態における分析装置１００が用いる振る舞いの適合度を算出する方法の別の例を示す図である。図１５は、本発明の第２の実施形態における分析装置１００が振る舞いの適合度を用いて目的を推定する場合の推定方法の例を示す図である。図１６は、本発明の第２の実施形態における分析装置１００が用いる知識情報に対して追加情報を特定した例を示す図である。図１７は、本発明の第２の実施形態における分析装置１００が用いる知識情報に対して追加情報を特定した別の例を示す図である。図１８は、本発明の第２の実施形態における分析装置１００が用いる振る舞いと当該振る舞いを引き起こすマルウェアとの対応を示す情報の例を示す図である。図１９は、本発明の第２の実施形態における分析装置１００が用いる振る舞いと目的との関係を含む知識情報に関連する分析者に関する情報の例を示す図である。

　本実施形態における分析装置１００は、本発明の第１の実施形態における分析装置１００と同様の構成とすることができる。本実施形態における分析装置１００は、振る舞い又は振る舞いと目的との関係に関する付加情報を用いて振る舞いの目的を推定する点が、本発明の第１の実施形態における分析装置１００と異なる。

　本実施形態における分析装置１００を用いて、検知装置にて検知されたマルウェアの振る舞いに対してその目的を求める場合、検知された振る舞いが複数である場合や、結果として複数の目的が推定されることがある。振る舞いから推定される目的が、振る舞いによって攻撃者が実現しようとする実際の目的と一致する可能性は、各々の目的によって異なる場合がある。

　本実施形態における分析装置１００は、振る舞い又は振る舞いと目的との関係に関する付加情報を用いて振る舞いの目的を推定する。このようにすることで、本実施形態における分析装置１００は、目的を推定する精度を高めることができる。

　（付加情報が振る舞いの適合度である例）
　本実施形態において、分析装置１００が用いる付加情報の例を説明する。
一つの例として、分析装置１００は、付加情報として、マルウェアの動作に対する目的の推定対象となる振る舞いの適合度を用いる。

　例えば図１に示す構成において、検知装置１５０によって検知されたマルウェアの振る舞いは、検知装置１５０が保持するマルウェアの振る舞いパターンと完全に一致する場合に限られず、一部が一致する場合がある。そこで、本実施形態における分析装置１００は、目的の推定対象となる振る舞いと、予め特定されたマルウェアの振る舞いとの一致の程度を振る舞いの適合度として利用して、振る舞いに対する目的を推定する。

　図１３から図１５を用いて、適合度の算出方法及び適合度を利用した分析装置１００による目的の推定方法の例を説明する。この例においては、適合度は、検知装置１５０によって算出される。なお、振る舞いの適合度は、検知装置１５０によって算出される場合に限られない。振る舞いの適合度は、例えば、分析者が、自身の経験に基づいて振る舞いの各々に対して与える形で算出されることもできる。振る舞いの適合度は、分析装置１００によって利用できる形式であれば任意の方法で算出することができる。

　図１３は、振る舞いの適合度の算出方法の例を示す。適合度の算出方法に示す例では、マルウェア動作ログに、マルウェアの動作として動作Ｌ０１が記録されている。また、検知装置１５０は、振る舞いパターンとしてＰ０１からＰ０６までのパターンを用いる。この場合において、動作Ｌ０１は、振る舞いパターンＰ０１と“Ａｃｔｉｏｎ”が一致する。また、動作Ｌ０１の“Ｄｕｒａｔｉｏｎ”の値は、振る舞いパターンＰ０１の“ＤｕｒａｔｉｏｎＭｉｎ”の値と“ＤｕｒａｔｉｏｎＭａｘ”の値との間に含まれる。すなわち、動作Ｌ０１は、振る舞いパターンＰ０１に該当する。また、動作Ｌ０１の“Ａｃｔｉｏｎ”は、振る舞いパターンＰ０２又はＰ０３の“Ａｃｔｉｏｎ”と一致する。すなわち、動作Ｌ０１は、振る舞いパターンＰ０２又はＰ０３の一部と一致する。この場合において、検知装置１５０は、例えば動作Ｌ０１に対する振る舞いパターンＰ０１の適合度を１．０とする。また、検知装置１５０は、例えば動作Ｌ０１に対する振る舞いパターンＰ０２又はＰ０３の適合度を０．５とする。

　図１４は、振る舞いの適合度の算出方法に関する別の例を示す。図１４に示す例では、マルウェア動作ログに、マルウェアの動作として動作Ｌ０９が記録されている。また、検知装置１５０は、振る舞いパターンとしてＰ３１及びＰ３２のパターンを用いる。この場合において、動作Ｌ０９は、振る舞いパターンＰ３１及びＰ３２の双方と“Ａｃｔｉｏｎ”が一致する。また、動作Ｌ０９の“ＤｓｔＰｏｒｔ”の値は、振る舞いパターンＰ３１の“ＤｓｔＰｏｒｔ”の値と一致する。そして、動作Ｌ０９の“ＤｓｔＰｏｒｔ”の値は、振る舞いパターンＰ３２の“ＤｓｔＰｏｒｔ”の値と一部の桁が一致する。すなわち、動作Ｌ０９は、振る舞いパターンＰ３１に該当する。また、動作Ｌ０９は、振る舞いパターンＰ３２の一部と一致する。この場合において、検知装置１５０は、例えば動作Ｌ０９に対する振る舞いパターンＰ３１の適合度を１．０とする。また、検知装置１５０は、例えば動作Ｌ０９に対する振る舞いパターンＰ３２の適合度を０．５とする。

　次に、図１５を用いて、振る舞いの適合度が与えられた場合における分析装置１００による目的の推定方法の一例を説明する。図１５においては、目的との推定対象である振る舞いＰ２１からＰ２９は、機能Ｆ３１からＦ３５を介して、目的Ｂ２１又はＢ２２と関係付けられている。また、振る舞いＰ２１からＰ２９の各々には、適合度が割り当てられている。

　振る舞いの適合度が与えられた場合の一例として、分析装置１００は、振る舞いから目的を推定することと併せて、推定された目的に対する適合度を算出する。この場合において、分析装置１００は、振る舞いＰ２１からＰ２９の適合度に基づいて、機能Ｆ３１からＦ３５の各々の適合度を算出する。また、分析装置１００は、一例として機能Ｆ３１からＦ３５の各々の適合度に基づいて、目的Ｂ２１又はＢ２２の各々の適合度を算出する。

　この例において、下位要素から推定される上位要素が、一つの下位要素のみから推定される場合は、分析装置１００は、当該上位要素の適合度は、推定される基となる下位要素と同じとして算出することができる。図１４に示す例では、振る舞いＰ２１と機能Ｆ３１との関係が該当する。

　また、この例において、下位要素から推定される上位要素が複数の下位要素から推定され、かつ、当該上位要素を実現するためには、複数の下位要素の各々が必要とされる場合がある。この場合において、分析装置１００は、例えば複数の下位要素の各々の適合度を重みづけした値を、上位要素の適合度として算出する。図１５に示す例では、分析装置１００は、機能Ｆ３４の適合度を、関係付けられている振る舞いＰ２５及びＰ２６の適合度をそれぞれ０．７及び０．３にて重みづけし、０．３＊０．７＋０．０＊０．３＝０．２１として算出する。なお“＊”は乗算を示す記号である。

　更に、この例において、下位要素から推定される上位要素が複数の下位要素から推定され、かつ、当該上位要素を実現するためには、複数の下位要素のいずれか一つがあれば十分である場合がある。この場合において、分析装置１００は、例えば複数の下位要素の各々の適合度のうち、最も大きな値を、上位要素の適合度として算出する。図１４に示す例では、分析装置１００は、機能Ｆ３５の適合度を、関係付けられている振る舞いＰ２７からＰ２９のうち最も大きな適合度である０．８として算出する。

　図１５に示す例では、分析装置１００は、目的Ｂ２１及びＢ２２の適合度を上記の説明と同様の手順にて算出する。例えば、目的Ｂ２１の適合度は０．６０３、目的Ｂ２２の適合度は０．３として算出される。

　したがって、図１５に示す例では、分析装置１００の利用者は、適合度に基づいて、振る舞いＰ２１からＰ２９を基に推定された目的Ｂ２１及びＢ２２のうち、目的Ｂ２１の可能性が高いと判断することができる。すなわち、分析装置１００の利用者は、例えば外部からネットワークや情報システムへの攻撃が「ＤＤｏＳ攻撃帯域販売ビジネス」を目的であることを前提として、当該攻撃に対する対策を取ることが可能となる。

　なお、上記の例では、振る舞いの適合度は、数値で表した。しかしながら、振る舞いの適合度は、上記の形式に限られず、本実施形態における分析装置１００が利用することができる任意の形式とすることができる。例えば、振る舞いの適合度は、予め定められた複数の段階のいずれかに格付けする形式で与えられる。

　（付加情報が振る舞いの履歴情報である例）
　本実施形態において、分析装置１００が用いる付加情報の別の一例を説明する。この例において、分析装置１００は、付加情報として、目的を推定した振る舞いの履歴情報を用いる。

　この場合において、分析装置１００は、振る舞いに対する目的の推定を行う場合に、推定対象とされた振る舞いを履歴情報として例えば図２に示す知識情報記憶部１２０に記憶する。そして、分析装置１００は、記憶された履歴情報に基づいて、振る舞いに対する目的の推定結果と併せて、又は、目的の推定結果と別に、履歴情報に基づいて所定の条件を満たす振る舞いに関する情報を特定する。

　分析装置１００によって特定される振る舞いに関する情報は、いくつかの例が考えられる。このような情報の一つの例は、履歴情報において所定の回数を超えて現れる振る舞いに関する情報である。

　履歴情報において、所定の回数を超え、例えば目的を推定する場合に常に現れる振る舞いは、実際にマルウェアによって常に同一の動作が行われている場合を示すだけに限られない。例えば、上述した振る舞いは、検知装置１５０によってマルウェアの動作を検知するためには適当な条件ではない可能性があることが考えられる。したがって、分析装置１００は、例えば履歴情報において所定の回数を超えて現れる振る舞いを特定する。

　分析装置１００は、上述する振る舞いに関する情報を、種々の方法にて特定することができる。一例として、分析装置１００は、上述したような振る舞いを検知した場合に、その旨を振る舞いに対して推定した目的と併せて任意の形式にて出力する。このようにすることで、分析装置１００の利用者は、出力された振る舞いを参照し、振る舞いの条件を修正したり、検知装置１５０に用いて検知するマルウェアの動作の対象から除外するよう検知装置１５０の振る舞いパターンを設定したりすることができる。

　また、分析装置１００は、例えば履歴情報において所定の回数を超えて現れる振る舞いに関する情報を検知装置１５０に提供することができる。この場合に、検知装置１５０は、当該振る舞いを検知対象とするマルウェアの振る舞いパターンから除外することができる。

　分析装置１００によって特定される振る舞いに関する情報の別の例は、履歴情報において出現する振る舞いの数又は頻度に関する情報である。

　分析装置１００が保持する履歴情報は、分析装置１００を用いて目的の推定対象となる振る舞いの数が減少していることを示す場合が考えられる。このような場合には、マルウェアは、例えば、検知装置１５０にて検知対象とされる振る舞いパターンにない未知の動作を行っている（すなわち、検知装置１５０はマルウェアの動作を検知できない）可能性がある。

　したがって、分析装置１００は、例えば目的の推定対象となる振る舞いの数が減少している場合に、履歴情報において出現する振る舞いの数が減少していることを、振る舞いに関する情報として特定する。

　分析装置１００は、任意の形式にて、履歴情報において出現する振る舞いの数が減少していることを、振る舞いに関する情報として特定することができる。分析装置１００は、例えば図１６に示すように、知識情報記憶部１２０に記憶される知識情報に、特別な振る舞いを追加して表すことができる。この特別な振る舞いは、例えばマルウェアの動作に関して状況が不明である旨を表す。また、この特別な振る舞いは、例えばすべての機能と関係付けられる形式とすることができる。この場合に、分析装置１００の目的推定部１１０は、振る舞いに対する目的を推定する場合に、当該特別な振る舞いに対して常に目的を推定する構成とすることができる。このようにすることで、分析装置１００の利用者は、検知装置１５０によって検知できない未知のマルウェアの動作が存在する可能性があることを知ることができる。

　また、分析装置１００が保持する履歴情報は、分析装置１００を用いて目的の推定対象となる特定の振る舞いの出現頻度が減少していることを示す場合が考えられる。このような場合には、分析装置１００は、履歴情報において出現する特定の振る舞いの出現頻度が減少していることを、振る舞いに関する情報として特定する。

　この場合に、分析装置１００は、知識情報記憶部１２０に記憶される知識情報を、例えば図１７に示すような形式とすることで表すことができる。つまり、分析装置１００は、知識情報記憶部１２０に記憶される知識情報に、特別な振る舞いを、履歴情報にて出現数が減少した振る舞いと関連付けて追加することで、振る舞いに関する情報として特定する。この場合において、特別な振る舞いは、例えば関連付けられた振る舞いに関するマルウェアの動作について状況が不明である旨を表す。

　また、分析装置１００は、例えば上述した特別な振る舞いに関する情報を、履歴情報にて出現数が減少した振る舞いと関連付けて検知装置１５０に提供することができる。この場合において、検知装置１５０は、例えば分析装置１００の履歴情報にて出現数が減少した振る舞いが検知される場合に、当該特別な振る舞いが検知装置１５０にて常に検知される構成とすることができる。

　このようにすることで、分析装置１００の利用者は、例えば検知装置１５０によって検知している特定のマルウェアの動作が変化した可能性があることを知ることができる。また、分析装置１００の利用者は、攻撃者が同一の目的を達成するために、別のマルウェアを利用するようになった可能性があることを知ることができる。更に、マルウェアの分析者は、分析装置１００によって追加された特別な振る舞いが、履歴情報にて出現頻度が減少した振る舞いと関係付けられていることから、分析に注力すべきマルウェアの動作等を明確に知ることが可能となる。

　なお、図１６や図１７に示すように、分析装置１００によって知識情報に特別な振る舞いが追加された場合、分析装置１００は、例えば特別な振る舞いが追加された知識情報を図示しない表示装置等に表示することができる。このようにすることで、分析装置１００の利用者は、振る舞いに関する情報を知ることが容易になる。

　また、知識情報に特別な振る舞いが追加される場合は、上述した場合に限られない。分析装置１００は、知識情報に、特別な振る舞いを、履歴情報が上述した条件以外の所定の条件を満たす振る舞いと関連付けて追加するができる。また、分析装置１００は、上述した意味合いと異なる意味合いで、特別な振る舞いを知識情報に追加することができる。

　（付加情報が振る舞いとマルウェアとの関係である例）
　本実施形態において、分析装置１００が用いる付加情報の更に別の一例を説明する。この例において、分析装置１００は、付加情報として、目的の推定対象となる振る舞いと、その振る舞いを引き起こすマルウェアとの関係に関する情報を用いる。

　既知のマルウェアに関しては、既知のマルウェアと、マルウェアによって引き起こされる振る舞いと、当該マルウェアによって実現しようとする目的との対応が既に明らかである場合がある。この場合には、分析装置１００は、その対応関係を用いることで、振る舞いに対する目的を（推定するのではなく）特定することが可能となる。したがって、この例においては、分析装置１００は、目的の推定対象となる振る舞いと、その振る舞いを引き起こすマルウェアとの関係に関する情報を用いることで、振る舞いに対する目的を特定しようとする。

　この場合において、分析装置１００の知識情報記憶部１２０は、振る舞いと当該振る舞いを引き起こすマルウェアとの対応を示す情報を保持する。図１８（Ａ）は、知識情報記憶部１２０に記憶される情報の例である。図１８（Ａ）に示す例では、マルウェアの検体識別名が、そのマルウェアと関連する振る舞いとその機能との関係、又は機能と目的との間の関係と対応付けられている。このような情報は、例えば既知の分析結果に基づいて分析者により作成される。

　また、分析装置１００の目的推定部１１０は、振る舞いに対応する目的を推定する場合に、上述した情報を参照する。そして、例えば振る舞いと、振る舞いに対して推定された目的との関係に、マルウェアとの対応を示す情報が存在する場合には、目的推定部１１０は、当該目的を、振る舞いによって実現されようとする目的であるとして特定する。

　分析装置１００が目的の推定対象となる振る舞いと、その振る舞いを引き起こすマルウェアとの関係に関する情報を用いる場合の例を示す。一例として、図１８（Ｂ）に示す例において、分析装置１００の目的推定部１１０が振る舞い“ＭＡＣＴ－２０１４－００１０”に対する目的を推定する場合を想定する。図１８（Ｂ）によると、振る舞い“ＭＡＣＴ－２０１４－００１０”に対しては、４つの目的が推定される。

　一方、図１８（Ａ）によると、関係識別子としてＲ３０及びＲ３２が付された関係に対して、マルウェアの検体識別名“Ｗ３２．Ｍｏｒｔｏ．Ｂ”が対応付けられている。したがって、目的推定部１１０は、“ＭＡＣＴ－２０１４－００１０”は、検体識別子が“Ｗ３２．Ｍｏｒｔｏ．Ｂ”であるマルウェアにて引き起こされたものであり、この振る舞いに対する目的を「クリック詐欺ビジネス」と特定する。

　なお、マルウェアの検体識別名は、知識情報記憶部１２０に記憶される知識情報に含まれる振る舞いや機能と関連付けられることもできる。

　また、分析装置１００は、目的の推定対象となる振る舞いと、その振る舞いを引き起こすマルウェアとの関係に関する情報を用いて目的を推定した結果を任意の形式で出力することができる。例えば、分析装置１００は、振る舞いに対して推定された目的のうち、上記の情報に基づいて特定された目的の表示形式を変えて任意の出力装置に出力することができる。

　（付加情報が分析者に関する情報である例）
　本実施形態において、分析装置１００が用いる付加情報の更に別の一例を説明する。この例において、分析装置１００は、付加情報として、振る舞いと目的との関係を含む知識情報に関連する分析者に関する情報を用いる。

　知識情報として知識情報記憶部１２０に記憶される振る舞いと目的との関係は、一例として、マルウェアの活動に関して知識や経験を有する分析者によって作成される。この場合に、作成される振る舞いと目的との関係に関する知識情報は、分析者の知識や経験に依存する。すなわち、作成される知識情報の信頼度（例えば、情報の正確さ）は、当該情報を作成した分析者によって異なる場合がある。

　そこで、分析装置１００は、振る舞いと目的との関係を含む知識情報に関連する分析者に関する情報を用いる。このようにすることで分析装置１００は、信頼度の高い情報に基づいて振る舞いに対する目的を推定することが可能となる。

　知識情報を作成した分析者に関する情報の一例として、分析者の各々に対して信頼度を表すランク（階級）付けした情報がある。図１９（Ａ）は、分析者と、分析者に関するランクとの関係を示す。図１９（Ａ）においては、ランクの値は、マルウェアの活動に関する知識や経験の多さや、作成した情報の信頼度の高さを示す。すなわち、図１９（Ａ）の例では、識別子がＡ２２である分析者が、最も信頼度が高いといえる。

　また、図１９（Ｂ）は、知識情報記憶部１２０に記憶される知識情報に含まれる振る舞いと目的との関係と、当該関係を作成した分析者との対応を示す図である。図１９（Ｂ）によると、関係識別子Ｒ４０、Ｒ４１及びＲ４２である関係の各々は、識別子がＡ１１である分析者によって当該関係が作成されている。また、図１９（Ｂ）によると、関係識別子Ｒ４３及びＲ４４である関係は、識別子がＡ２２である分析者によって当該関係が作成されている。

　そして、分析装置１００の目的推定部１１０は、振る舞いと目的との関係に加え、図１９（Ａ）及び（Ｂ）に示す情報を用いて、振る舞いに対する目的を推定する。

　一例として、目的推定部１１０は、振る舞いに対して推定された目的と併せて、目的を推定するために用いた関係とその関係を作成した分析者の情報を出力する。このようにすることで、分析装置１００の利用者は、分析装置１００によって推定された振る舞いに対する目的のうち、識別子がＡ２２である分析者によって関係付けられた目的の可能性が高いと判断することができる。

　なお、分析装置１００は、上述した方法以外の方法にて、振る舞いと目的との関係を含む知識情報を作成した分析者に関する情報を用いることができる。例えば、分析装置１００の目的推定部１１０は、ランクが所定値以上の分析者によって作成された知識情報を用いて、振る舞いに対する目的を推定することができる。また、目的推定部１１０は、特定の分析者によって作成された知識情報を用いて、振る舞いに対する目的を推定することができる。更に、目的推定部１１０は、上述した適合度を算出する場合に、分析者に対するランクの値も用いて適合度を算出することもできる。

　以上のとおり、本実施形態における分析装置１００は、振る舞い又は振る舞いと目的との関係に関する付加情報を用いて振る舞いの目的を推定する。すなわち、本実施形態における分析装置１００は、振る舞い又は振る舞いと目的との関係では表すことのできない情報をも用いて振る舞いに対する目的を推定することができる。したがって、本実施形態における分析装置１００は、目的を推定する精度を高めることができる。

　なお、本実施形態における分析装置１００は、上記説明した情報と異なる情報を、付加情報として用いて振る舞いに対する目的を推定することができる。また、本実施形態における分析装置１００は、上述した付加情報を、互いに組み合わせて用いることができる。

　更に、本発明の第１の実施形態における分析装置１００の変形例に関する構成は、本実施形態における分析装置１００の各々の例と互いに組み合わせて用いることが可能である。

　（第３の実施形態）
　続いて、本発明の第３の実施形態について説明する。図２０は、本発明の第３の実施形態における分析装置３００及び当該分析装置を含む分析システム等の構成を示す図である。図２１は、本発明の第３の実施形態における分析装置３００において、知識情報入力部１３０が知識情報を受付ける場合の手順を示すフローチャートである。図２２は、知識情報入力部１３０が知識情報を受付ける場合における入力画面の一例である。

　図２０に示すとおり、本発明の第３の実施形態における分析装置３００は、目的推定部１１０と、知識情報記憶部１２０と、知識情報入力部１３０とを備える。目的推定部１１０及び知識情報記憶部１２０は、本発明の第１の実施形態における分析装置１００と同様の機能を備える。知識情報入力部１３０は、振る舞いと目的との関係を含む知識情報を受付ける。

　すなわち、本実施形態における分析装置３００は、知識情報入力部１３０を備える点が、本発明の第１の実施形態における分析装置１００と異なる。本実施形態における分析装置３００は、これ以外の構成は、本発明の第１の実施形態における分析装置１００と同様とすることができる。

　本実施形態において、知識情報入力部１３０は、少なくとも振る舞いと目的との関係を含む知識情報を受付ける。知識情報入力部１３０によって新たに受付けられた知識情報は、例えば知識情報記憶部１２０に追加される。そして、知識情報記憶部１２０によって記憶された新たな知識情報は、目的推定部１１０にて振る舞いに対する目的を推定する場合に用いられる。

　このように、本実施形態における分析装置３００は、知識情報入力部１３０を備えることで、知識情報入力部１３０によって新たに追加された知識情報を用いて、振る舞いに対する目的を推定することができる。したがって、本実施形態における分析装置３００は、新たなマルウェアが検出された場合や、分析者によってマルウェアに対する分析が行われた場合に、それらに関する情報を知識情報に反映して目的を推定することが容易になる。

　なお、知識情報入力部１３０が受付ける知識情報は、振る舞いと目的との関係に限られない。知識情報入力部１３０は、振る舞いを実行する目的も受け付けることができる。また、知識情報入力部１３０は、振る舞いによって実現される機能、振る舞いと機能との関係、又は機能と目的との関係を受付けることができる。

　また、知識情報入力部１３０が受付ける知識情報は、知識情報記憶部１２０に記憶されなくともよい。知識情報入力部１３０が受付ける知識情報は、目的推定部１１０にて目的を推定する際に利用可能であればよい。

　次に、図２１を用いて、知識情報入力部１３０によって知識情報を受付ける手順の例を説明する。なお、以下の例では、知識情報入力部１３０は、振る舞いを実行する目的、振る舞いによって実現される機能、振る舞いと機能との関係、又は機能と目的との関係を受付けるものとする。

　知識情報入力部１３０は、最初に、知識情報記憶部１２０から、知識情報である、振る舞い、機能、目的及び関係の情報を各々読み出して取得する（ステップＳ３０１）。

　続いて、知識情報入力部１３０は、追加する知識情報を図示しない入力部などから受付ける（ステップＳ３０２）。

　続いて、知識情報入力部１３０は、受付けて追加する知識情報の種類を確認する（ステップＳ３０３）。受付ける知識情報が目的である場合、知識情報入力部１３０は、目的を受付けて知識情報記憶部１２０に追加する（ステップＳ３０４）。受付ける知識情報が機能である場合、知識情報入力部１３０は、機能を受付けて知識情報記憶部１２０に追加する（ステップＳ３０５）。ステップＳ３０４又はステップＳ３０５の処理が終わると、知識情報入力部１３０は、ステップＳ３１５の処理へ進む。また、受付ける知識情報が関係である場合、知識情報入力部１３０は、次のステップＳ３０６へ進む。

　ステップＳ３０６において、知識情報入力部１３０は、受付ける関係の種類を確認する。図２１に示す例では、知識情報入力部１３０は、知識情報記憶部１２０に追加する関係が、振る舞いと機能との関係か否かを確認する。知識情報記憶部１２０に追加する関係が、振る舞いと機能との関係である場合（ステップＳ３０６：Ｙｅｓ）、知識情報入力部１３０は、関係の追加対象となる振る舞いをステップＳ３０１にて取得した情報から選択する（ステップＳ３０７）。続いて、知識情報入力部１３０は、関係の追加対象となる機能をステップＳ３０１にて取得した情報から選択する（ステップＳ３０８）。続いて、知識情報入力部１３０は、ステップＳ３０７及びＳ３０８で各々選択された振る舞いと機能との関係が知識情報記憶部１２０に知識情報として存在するか否かを確認する（ステップＳ３０９）。当該関係が知識情報記憶部１２０に存在しない場合（ステップＳ３０９：Ｎｏ）、知識情報入力部１３０は、振る舞いと機能との関係を作成し知識情報記憶部１２０に追加する（ステップＳ３１０）。当該関係が知識情報記憶部１２０に既に存在する場合（ステップＳ３０９：Ｙｅｓ）、知識情報入力部１３０は、特に処理を行わない。ステップＳ３０９及びステップＳ３１０の処理が終わると、知識情報入力部１３０は、ステップＳ３１５の処理へ進む。

　一方、知識情報記憶部１２０に追加する関係が、振る舞いと機能との関係ではない場合（ステップＳ３０６：Ｎｏ）、知識情報入力部１３０は、機能と目的との関係を追加すると判断する。そして、知識情報入力部１３０は、関係の追加対象となる機能をステップＳ３０１にて取得した情報から選択する（ステップＳ３１１）。続いて、知識情報入力部１３０は、関係の追加対象となる目的をステップＳ３０１にて取得した情報から選択する（ステップＳ３１２）。

　続いて、知識情報入力部１３０は、ステップＳ３１１及びＳ３１２で各々選択された機能と目的との関係が知識情報記憶部１２０に知識情報として存在するか否かを確認する（ステップＳ３１３）。当該関係が知識情報記憶部１２０に存在しない場合（ステップＳ３１３：Ｎｏ）、知識情報入力部１３０は、機能と目的との関係を作成し知識情報記憶部１２０に追加する（ステップＳ３１４）。当該関係が知識情報記憶部１２０に既に存在する場合（ステップＳ３１３：Ｙｅｓ）、知識情報入力部１３０は、特に処理を行わない。ステップＳ３１３及びステップＳ３１４の処理が終わると、知識情報入力部１３０は、ステップＳ３１５の処理へ進む。

　最後に、知識情報入力部１３０は、他に追加する知識情報の有無を確認する（ステップＳ３１５）。追加する情報がある場合、知識情報入力部１３０は、ステップＳ３０２に戻って処理を継続する。追加する情報がない場合、知識情報入力部１３０は、処理を終了する。

　なお、知識情報入力部１３０は、図示しない表示装置等に入力画面を表示することで、知識情報を受付けることができる。図２２は、入力画面の例を示す。知識情報入力部１３０は、機能又は目的を受付ける場合に、例えば図２２（Ａ）又は図２２（Ｂ）の各々のような入力画面を表示装置等に表示する。また、知識情報入力部１３０は、例えば関係を受付ける場合に、例えば図２２（Ｃ）のような入力画面を表示装置等に表示する。この場合に、分析装置３００の利用者は、例えばこの入力画面に対し、振る舞いから機能まで、又は機能から目的をマウスでドラッグ操作を行うことで、登録したい関係を知識情報入力部１３０に与えることができる。図２２（Ｃ）における矢印は、マウスでドラッグ操作を行うことで、登録したい関係を知識情報入力部１３０に与える場合の例である。

　以上のとおり、本実施形態における分析装置３００は、知識情報入力部１３０を備えることで、新たな知識情報を受付けることができる。そのため、本実施形態における分析装置３００は、新たに受付けた知識情報を用いて振る舞いに対する目的を推定することができる。したがって、本実施形態における分析装置３００は、目的を推定する精度を高めることができる。

　なお、本発明の第１及び第２の各実施形態における分析装置及びその変形例に関する構成は、本実施形態における分析装置３００と互いに組み合わせて用いることができる。

　（第４の実施形態）
　続いて、本発明の第４の実施形態について説明する。図２３は、本発明の第４の実施形態における分析装置４００及び当該分析装置を含む分析システム等の構成を示す図である。図２４は、本発明の第４の実施形態における分析装置４００によって予測される振る舞い又は機能の例を示す図である。

　図２３に示すとおり、本発明の第４の実施形態における分析装置４００は、目的推定部１１０と、知識情報記憶部１２０と、活動予測部１４０とを備える。目的推定部１１０及び知識情報記憶部１２０は、本発明の第１の実施形態における分析装置１００と同様の機能を備える。活動予測部１４０は、知識情報記憶部１２０に記憶された知識情報に基づいて、目的推定部１１０にて推定された目的を実現する振る舞い又は機能を予測する。

　すなわち、本実施形態における分析装置４００は、活動予測部１４０を備える点が、本発明の第１の実施形態における分析装置１００と異なる。本実施形態における分析装置４００は、これ以外の構成は、本発明の第１の実施形態における分析装置１００と同様とすることができる。

　本実施形態において、活動予測部１４０は、知識情報記憶部１２０に記憶された知識情報に基づいて、目的推定部１１０にて推定された目的を実現する振る舞い又は機能を予測する。一例として、活動予測部１４０は、知識情報に基づいて推定された目的から、知識情報に含まれる関係を振る舞い又は機能に向かって推定時と逆に辿ることで、当該目的を実現する振る舞い又は機能を予測する。

　図２４は、活動予測部１４０が振る舞い又は機能を予測する場合の一例を示す。この場合において、図２４の上側にあるように、まず、目的推定部１１０が、“ＭＡＣＴ－２０１４－００１０”との振る舞いから、「感染拡大」という機能を介して「ＤＤｏＳ攻撃帯域販売ビジネス」という目的を推定する。続いて、活動予測部１４０は、図２４の下側にあるように、当該目的を実現する振る舞い又は機能を予測する。例えば、活動予測部１４０は、「感染拡大」という機能を実現するために、更に、“ＭＡＣＴ－２０１４－０００５”及び“ＭＡＣＴ－２０１４－００１１”との振る舞いがあることを予測する。また、活動予測部１４０は、「ＤＤｏＳ攻撃帯域販売ビジネス」という目的を実現するために、「回線速度調査」と「攻撃」との機能があることを予測する。更に、活動予測部１４０は、「回線速度調査」との機能を実現するために、“ＭＡＣＴ－２０１４－００１２”及び“ＭＡＣＴ－２０１４－０００２”との振る舞いがあることを予測する。なお、活動予測部１４０は、予測された機能を実現するために行われる振る舞いに関する知識情報がない場合は、その旨を任意の形式で示す。一例として、図２４の例では、また、「攻撃」の機能を実現するために行われる振る舞いが知識情報に無いことは、雲のアイコンにて示されている。

　また、活動予測部１４０にて予測された振る舞いや機能は、任意の形式で出力される。

　あるマルウェアによって実現される目的が、振る舞いの異なる他のマルウェアによっても実現可能である場合、攻撃者は、当該他のマルウェアを用いて目的を実現しようとする可能性がある。すなわち、それまで検知されていたマルウェアの振る舞いが検知されなくなった場合、攻撃者は、振る舞いの異なる別のマルウェアを作成し実行している可能性がある。本実施形態における分析装置４００は、このような場合に、活動予測部１４０が知識情報を用いることで、当該別のマルウェアによる振る舞いを予測することができる。したがって、分析装置４００の利用者は、推定された目的と共に、予測される別の振る舞いを知ることができる。そのため、分析装置４００の利用者は、例えば予測された振る舞いや機能に対する対策を講じることが可能となる。

　以上のとおり、本実施形態における分析装置４００は、活動予測部１４０を備える。そして、本実施形態における分析装置４００は、活動予測部１４０によって、推定された目的を実現する振る舞いや機能を予測する。したがって、本実施形態における分析装置４００は、その利用者が、推定された目的から、その目的を実現する他のマルウェアの活動を予測することを可能とする。すなわち、分析装置４００の利用者は、例えばマルウェアの振る舞いが検知装置等で検知された場合に、他のマルウェアの活動を予測して対策を講じることが可能となる。

　なお、本発明の第１から第３の各実施形態における分析装置及びその変形例に関する構成は、本実施形態における分析装置４００と互いに組み合わせて用いることができる。

　以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。また、各実施形態における構成は、本発明のスコープを逸脱しない限りにおいて、互いに組み合わせることが可能である。

　１０　　分析システム
　５０　　情報処理装置
　５１　　ＣＰＵ
　５２　　ＲＯＭ
　５３　　ＲＡＭ
　５４　　プログラム
　５５　　記憶装置
　５６　　記憶媒体
　５７　　ドライブ装置
　５８　　通信インターフェイス
　５９　　ネットワーク
　６０　　入出力インターフェイス
　６１　　バス
　１００、３００、４００　　分析装置
　１１０　　目的推定部
　１２０　　知識情報記憶部
　１３０　　知識情報入力部
　１４０　　活動予測部
　１５０　　検知装置
　１５１　　マルウェア動作ログ
　１５２　　ネットワーク
　１６０　　端末装置

Claims

　コンピュータにおける所定の振る舞いと、前記振る舞いと前記振る舞いを実行する目的との関係を含む知識情報とに基づいて、前記振る舞いの目的を推定する目的推定手段を備える、分析装置。
　前記知識情報は、前記振る舞いによって実現される機能、前記振る舞いと前記機能との関係又は前記機能と前記目的との関係の少なくとも一つを更に含む、請求項１に記載の分析装置。
　前記知識情報を記憶する知識情報記憶手段を備える、請求項１又は２に記載の分析装置。
　前記振る舞いと、マルウェアの動作として予め特定された振る舞いとの適合度に基づいて、前記振る舞いの目的を推定する、請求項１から３のいずれか一項に記載の分析装置。
　前記目的推定手段は、前記目的を推定するために用いた前記振る舞いの履歴に関する情報に基づいて、所定の条件を満たす前記振る舞いを特定する、請求項１から４のいずれか一項に記載の分析装置。
　前記目的推定手段は、前記履歴が所定の条件を満たす場合に、所定の状況を表す前記振る舞いを前記知識情報に追加する、請求項５に記載の分析装置。
　前記目的推定手段は、前記知識情報に含まれる情報とマルウェアとの関係を示す情報に基づいて、前記振る舞いの目的を推定する、請求項１から６のいずれか一項に記載の分析装置。
　前記目的推定手段は、前記知識情報に関連する分析者の情報に基づいて前記振る舞いの目的を推定する、請求項１から７のいずれか一項に記載の分析装置。
　前記知識情報を受付ける知識情報入力部を備える、請求項１から８のいずれか一項に記載の分析装置。
　前記目的推定手段によって推定された前記目的と、前記知識情報とに基づいて、前記目的を実現する前記振る舞いを予測する活動予測手段を備える、請求項１から９のいずれか一項に記載の分析装置。
　請求項１から１０のいずれか一項に記載の分析装置と、
　マルウェアの振る舞いを検知する検知装置とを有し、
　前記分析装置は、前記検知装置にて検知された前記振る舞いと前記知識情報とに基づいて、前記振る舞いの目的を推定する、分析システム。
　コンピュータにおける所定の振る舞い及び前記振る舞いと前記振る舞いを実行する目的との関係に基づいて、前記振る舞いの目的を推定する、分析方法。
　コンピュータにおける所定の振る舞いと、前記振る舞いと前記振る舞いを実行する目的との関係を含む知識情報とに基づいて、前記振る舞いの目的を推定する処理をコンピュータに実行させるプログラムを記録した、コンピュータ読み取り可能な記録媒体。