確定裝置、確定方法制造方法及圖紙

確定裝置(10)對分析對象的惡意軟件(11)進行監視，作為日志數據而取得該惡意軟件(11)、從通信目的地下載的下載數據、與惡意軟件(11)或下載數據的通信目的地之間進行的數據的交接關系。并且，確定裝置(10)使用所取得的日志數據，生成將惡意軟件、下載數據及通信目的地作為節點并將各節點的依賴關系作為邊緣的有向圖形即依賴關系圖形。并且，確定裝置(10)將所生成的依賴關系圖形的各節點與已知的惡意信息進行對照來檢測惡意節點，并以該惡意的節點為基點而從終點向起點方向追溯邊緣，將所追溯的節點確定為新的惡意節點。

Determining device, determining method and determining program

Determine the device (10) for analysis of malicious software (11) monitored as log data and obtained the malicious software (11), data download, download from the communication destination and malicious software (11) for the data communication between the destination or download data connections. And determine the device (10) using log data obtained in the generation of malicious software, download data and communication as the nodes and dependence of each node as the edge of the directed graph is dependency graph. And determine the device (10) of each node and known the generated dependency graph of the malicious information control to detect malicious nodes, and the nodes as the starting point and end point from the malicious back edge to the starting point to the back direction, nodes identified as malicious nodes new.

【技術實現步驟摘要】
【國外來華專利技術】確定裝置、確定方法及確定程序
本專利技術涉及確定裝置、確定方法及確定程序。
技術介紹
眾所周知，近年來以BOT、下載器為代表的很多惡意軟件從設有惡意的程序的站點(以下，稱為惡意軟件下載站點)取得程序代碼并執行，并且進行功能擴充。在這樣的功能擴充中，追加了向外部服務器的攻擊、信息榨取等造成進一步的受害的功能。因此，為了將感染后的受害抑制到最小限度，必須干擾向惡意軟件下載站點的通信，并阻礙功能擴充。當前，為了干擾向惡意軟件下載站點的通信，采取了對通過惡意軟件的動態分析而得到的通信目的地進行黑名單化的對策。由于惡意軟件也從正規站點取得程序代碼并執行，因此如果將通過動態分析而得到的通信目的地全部黑名單化，則會導致通信的誤切斷。因此，如非專利文獻1所記載，執行了基于所下載的文件是否為惡意軟件而進行的下載站點的確定。一般地，是否為惡意軟件的判定處理是基于防病毒軟件的檢查結果、執行文件時所發生的注冊表操作等行為而進行的。現有技術文獻非專利文獻非專利文獻1：畑田充弘、田中恭之、稻積孝紀、“基于砂箱分析結果的對URL黑名單生成的研究”計算機安全研討會2013論文集(畑田充弘、田中恭之、稲積孝紀、「サンドボックス分析結果に基づくURLブラックリスト生成についての一検討」コンピュータセキュリティシンポジウム2013論文集)
技術實現思路
專利技術要解決的課題但是，在上述的以往技術中，存在無法確切地確定惡意的站點、惡意的下載數據的課題。即，在以往的技術中，無法正確地識別惡意軟件與所下載的數據。因此，無法對在惡意軟件的動態分析中發生的通信的通信目的地與OS(操作系統)上的對象(程序代碼、文件)的依賴關系進行分析，無法確定通信發生的原因、文件數據的取得源。其結果，在無法直接惡意判定執行數據、在從下載站點取得的程序代碼進一步從其它下載站點取得程序代碼來執行這樣的成為多級結構的情況下，存在看漏惡意的站點、惡意的下載數據這樣的課題。另外，惡意軟件大多從惡意軟件下載站點取得程序代碼并執行，由此進行功能擴充。在上述的以往的技術中，為了防止該功能擴充，通過動態分析而得到用于干擾惡意軟件向惡意軟件下載站點進行通信的黑名單，在通過動態分析得到的站點中還包括正規站點，因此有時將正規站點錯誤地確定為下載站點。解決課題的手段為了解決上述課題并達到目的，本專利技術的確定裝置的特征在于，其具備：監視部，其對分析對象的惡意軟件進行監視，作為日志數據而取得該惡意軟件、從通信目的地下載的下載數據、與所述惡意軟件或所述下載數據的通信目的地之間進行的數據的交接關系；生成部，其使用由所述監視部取得的日志數據，生成依賴關系圖形，該依賴關系圖形是將所述惡意軟件、所述下載數據及所述通信目的地作為節點，將各節點的依賴關系作為邊緣的有向圖形；及確定部，其將由所述生成部生成的依賴關系圖形的各節點與已知的惡意信息進行對照來檢測惡意節點，以該惡意的節點為基點而從終點向起點方向追溯邊緣，將所追溯的節點確定為新的惡意節點。并且，本專利技術的特定方法為通過確定裝置執行的確定方法，其特征在于，具備：對分析對象的惡意軟件進行監視，作為日志數據而取得該惡意軟件、從通信目的地下載的下載數據、與所述惡意軟件或所述下載數據的通信目的地之間進行的數據的交接關系的監視工序；使用通過所述監視工序取得的日志數據，生成將所述惡意軟件、所述下載數據及所述通信目的地作為節點并將各節點的依賴關系作為邊緣的有向圖形即依賴關系圖形的生成工序；及將通過所述生成工序生成的依賴關系圖形的各節點與已知的惡意信息進行對照來檢測惡意節點，并以該惡意的節點為基點而從終點向起點方向追溯邊緣，將所追溯的節點確定為新的惡意節點的確定工序。并且，本專利技術的確定程序使計算機執行如下步驟：對分析對象的惡意軟件進行監視，作為日志數據而取得該惡意軟件、從通信目的地下載的下載數據、與所述惡意軟件或所述下載數據的通信目的地之間進行的數據的交接關系的監視步驟；使用通過所述監視步驟取得的日志數據，生成將所述惡意軟件、所述下載數據及所述通信目的地作為節點并將各節點的依賴關系作為邊緣的有向圖形即依賴關系圖形的生成步驟；及將通過所述生成步驟生成的依賴關系圖形的各節點與已知的惡意信息進行對照來檢測惡意節點，并以該惡意的節點為基點而從終點向起點方向追溯邊緣，將所追溯的節點確定為新的惡意節點的確定步驟。專利技術效果根據本專利技術，能夠確切地確定惡意的站點、惡意的下載數據。附圖說明圖1是表示第一實施方式的確定裝置的整體結構的概要結構圖。圖2是表示標簽的結構例的圖。圖3是表示依賴關系圖形的例子的圖。圖4是對使用已知的惡意信息來判定惡意的節點的惡意判定處理進行說明的圖。圖5是對以惡意的節點為起點來追溯依賴關系而確定惡意的通信目的地的確定處理進行說明的圖。圖6是表示由第一實施方式的確定裝置而進行的日志的取得處理的流程的流程圖。圖7是表示由第一實施方式的確定裝置而進行的惡意通信目的地的確定處理的流程的流程圖。圖8是表示執行確定程序的計算機的圖。具體實施方式下面，根據附圖，對本申請的確定裝置、確定方法及確定程序的實施方式進行詳細說明。另外，本申請的確定裝置、確定方法及確定程序不限于該實施方式。[第一實施方式]在下面的實施方式中，依次說明第一實施方式的確定裝置的結構及處理的流程，最后對第一實施方式的效果進行說明。[第一實施方式的確定裝置的結構]首先，使用圖1，對第一實施方式的確定裝置10進行說明。圖1是表示第一實施方式的確定裝置的整體結構的概要結構圖。如圖1所示，確定裝置10具備惡意軟件11、客戶OS12、虛擬計算機13、日志DB(數據庫)14、生成部15及確定部16。另外，確定裝置10與多個惡意信息DB20連接，從惡意信息DB20取得已知的惡意信息。確定裝置10的惡意軟件執行環境部10a由惡意軟件11、客戶OS12及虛擬計算機13構成。客戶OS12是用于對惡意軟件11進行動態分析的環境。另外，惡意軟件11在客戶OS12上執行，執行API(ApplicationProgrammingInterface：應用編程接口)調用、系統呼叫的發行這樣的命令。另外，在客戶OS12上也可以使成為瀏覽器等惡意軟件11的攻擊對象的進程進行動作。惡意軟件執行環境部10a使惡意軟件11在客戶OS12上進行動作，使用污點分析技術而對惡意軟件11執行的命令和執行時的數據流進行追蹤。污點分析技術是指，對數據設定標簽，按照傳輸規則來傳輸標簽，從而對分析系統內的數據的傳輸進行追蹤的技術。標簽是指對數據賦予的屬性信息，設定數據的出處、種類。另外，傳輸規則是指傳輸標簽的條件，一般將數據的復制、計算設定為傳輸的條件。例如，在對接收數據的利用用途進行分析的情況下，對接收數據設定可以唯一地確定取得源的標簽，根據數據的復制、計算而傳輸標簽。通過確認對作為API的自變量而傳遞的數據設定標簽，從而能夠分析接收數據是用作API的自變量的數據。另外，污點分析技術通常使用虛擬計算機技術來實現，標簽在與數據不同的專用的記錄區域中以與數據取得對應的方式被保持。具體地，惡意軟件執行環境部10a首先將成為分析對象的惡意軟件11設置在客戶OS12上，在與惡意軟件11的文件對應的盤區域中設定監視對象標簽(監視對象標志為有效的標簽)。之后，惡意軟件執行環境部10a本文檔來自技高網...

【技術保護點】
一種確定裝置，其特征在于，其具備：監視部，其對分析對象的惡意軟件進行監視，作為日志數據而取得該惡意軟件、從通信目的地下載的下載數據、與所述惡意軟件或所述下載數據的通信目的地之間進行的數據的交接關系；生成部，其使用由所述監視部取得的日志數據，生成依賴關系圖形，該依賴關系圖形是將所述惡意軟件、所述下載數據及所述通信目的地作為節點并將各節點的依賴關系作為邊緣的有向圖形；及確定部，其將由所述生成部生成的依賴關系圖形的各節點與已知的惡意信息進行對照來檢測惡意節點，以該惡意節點為基點而從終點向起點方向追溯邊緣，將所追溯的節點確定為新的惡意節點。

【技術特征摘要】
【國外來華專利技術】2014.10.14 JP 2014-2102211.一種確定裝置，其特征在于，其具備：監視部，其對分析對象的惡意軟件進行監視，作為日志數據而取得該惡意軟件、從通信目的地下載的下載數據、與所述惡意軟件或所述下載數據的通信目的地之間進行的數據的交接關系；生成部，其使用由所述監視部取得的日志數據，生成依賴關系圖形，該依賴關系圖形是將所述惡意軟件、所述下載數據及所述通信目的地作為節點并將各節點的依賴關系作為邊緣的有向圖形；及確定部，其將由所述生成部生成的依賴關系圖形的各節點與已知的惡意信息進行對照來檢測惡意節點，以該惡意節點為基點而從終點向起點方向追溯邊緣，將所追溯的節點確定為新的惡意節點。2.根據權利要求1所述的確定裝置，其特征在于，所述監視部對所述惡意軟件的文件賦予標簽來進行監視，在該惡意軟件調用了監視對象的API的情況下，對與該API相關的數據賦予能夠唯一地確定該數據的發送源的標簽，追蹤賦予了該標簽的數據的傳輸，從而取得所述日志數據。3.根據權利要求1或2所述的確定裝置，其特征在于，在確定為所述惡意節點的節點是通信目的地的節點的情況下，所述確定部將該通信目的地的節點確定為惡意站點。4.根據權利要求3所述的確定裝置，其特征在于，在確定為所述惡意節點的節點是通信目的地的節點的情況下，所述確定部將該通信目的地的節點確定為惡意站點，而且在到達該通信目的地的節點的緊前...

【專利技術屬性】
技術研發人員：幾世知范，青木一史，針生剛男，
申請(專利權)人：日本電信電話株式會社，
類型：發明
國別省市：日本,JP