TOP > 国内特許検索 > マルウェアの類似性検査方法及び装置

マルウェアの類似性検査方法及び装置 コモンズ

国内特許コード P140010440
整理番号 07-52
掲載日 2014年4月9日
出願番号 特願2007-203281
公開番号 特開2009-037545
登録番号 特許第5083760号
出願日 平成19年8月3日(2007.8.3)
公開日 平成21年2月19日(2009.2.19)
登録日 平成24年9月14日(2012.9.14)
発明者
  • 中尾 康二
  • 吉岡 克成
  • 井上 大介
  • 衛藤 将史
出願人
  • 国立研究開発法人情報通信研究機構
発明の名称 マルウェアの類似性検査方法及び装置 コモンズ
発明の概要 【課題】 マルウェアのミクロ分析及びマクロ分析の相関に基づくマルウェアの検査精度を向上させると共に、効率よくマルウェアの検査を行う技術を提供すること。
【解決手段】 ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査方法を提供する。ミクロ分析側ではアドレス走査情報検出手段71、脆弱性攻撃コード検出手段72、マルウェア分析手段73がそれぞれ設定可能サンドボックス80を用いて複数のレベル81~83の分析を行うと共に、マクロ分析側でも入力したマルウェアに対して各レベルのセンサ51~53により走査層、脆弱性攻撃コード層、マルウェア層について観察し、アドレス走査情報検出手段41、脆弱性攻撃コード検出手段42、マルウェア分析手段43が分析する。両者の結果は挙動比較手段61によって同一性の比較、又は相関関係を算出する。
【選択図】 図3
従来技術、競合技術の概要


ボットのような高度に組織化され、精巧になったマルウェアの最近の異常発生により、それらを検出し、解析し、対応する技法の必要性が高まっている。多様な商業的なプロジェクト、学問的なプロジェクト、または政府支援によるプロジェクトが研究を進めている。(非特許文献1~13参照)。



従前のステップとして、これらのプロジェクトの多くは、ネットワーク・イベント監視に基づいて、特定のポート番号でのアクセスの急激な増加等、統計的なデータの提供に集中している。これらの活動の過程で、世界的に公表されている未使用のIPアドレス(非特許文献1、2、14参照)の集合であるダークアドレス空間を監視することが一般的な手法である。



これらのアドレス空間では、多様なマルウェアをひき付けるためにハニーポットを設置したり、あるいはマルウェアが感染先を探索するために行う走査、DDoS攻撃のバックスキャタ等を含む入信パケットを監視する(ブラックホール監視)センサを用意する(非特許文献15~18参照)。



別の一般的な方法は、実際のネットワークに設置されたIDSログとFWログを分析することである。ネットワーク・イベント監視に基づいたこれらの巨視的観察をマクロ分析と呼ぶ。マクロ分析は、世界的に分散されたセンサによって、インターネット上のマルウェア動作の過程で(走査等の)巨視的な挙動を把握するために使用する。しかし、それは巨視的なレベルの遠隔観察に基づいて、攻撃者の挙動及び攻撃者とセンサ間の環境に関する明示的な情報なしに実行されるため、多くの場合、結果にある程度の不確実性を残す問題がある。



他方、実際のマルウェア実行ファイルを分析することには別の課題がある。マルウェアの構造を解析する際、マルウェア実行ファイルを逆アセンブルするためにリバース・エンジニアリング技法が適用される(非特許文献19、20参照)。
また、マルウェア・コードが実際には閉じられた(アクセスが制御された)実験環境で実行されるサンドボックス分析はその挙動を観察することができる(非特許文献19、21~23参照)。



マルウェア・コード自体を目標としたこれらの微視的分析をミクロ分析と呼ぶ。ミクロ分析は、閉じられた実験環境において実行されるため、実際のネットワークでのマルウェアの活動を観察することはできないが、マルウェアの詳細な構造及び挙動を明らかにする。
前述したマクロ分析とミクロ分析が研究され、多様な分析システムに配備されているが、これらの活動から得られた知識は効果的かつ効率的にリンクされておらず、セキュリティ・インシデントの根本原因の特定をさらに難しくしている。



これらの課題を解決するため、本件発明者は戦術的緊急対応のためのネットワーク・インシデント分析センタ(nicter)を開発されている(非特許文献3、19、23、24参照)。nicterは、マクロ分析による実ネットワーク上の攻撃の観察及びミクロ分析による「実験室内の」マルウェア分析を関連付けることで、観察された攻撃について、その考えられる根本原因、すなわちマルウェアとを結び付けることを可能とする、マクロ-ミクロ相関分析を実現している。



しかしながら、相関分析はおもにブラックホール監視によって観察されるマルウェアの走査挙動の関連付けによってだけ行われてきたため、マクロ分析とミクロ分析の間のリンクは詳細な攻撃の挙動の正確な識別を保証するほど強力ではなかった。
なお、このような2つ以上のマルウェアによる挙動の類似性を検査する技術として、非特許文献24、25が開示されており、本発明出願時未公開の特許文献1、2において開示されている。



【非特許文献1】
Bailey, M., Cooke, E., Jahanian,F., Nazario, J., Watson, D.: The internet motion sensor: a distributedblackhole monitoring system, The 12th Annual Network and Distributed SystemSecurity Symposium (NDSS05), 2005年
【非特許文献2】
Moore, D.: Network telescopes:tracking Denial-of-Service attacks and internet worms around the globe, 17thLarge Installation Systems Administration Conference (LISA’03), USENIX, 2003年
【非特許文献3】
Nakao, K., Yoshioka, K., Inoue,D., Eto, M., Rikitake, K.: nicter: an incident analysis system usingcorrelation between network monitoring and malware analysis, The 1st JointWorkshop on Information Security (JWIS06), pp. 363 - 377, 2006年
【非特許文献4】
Yegneswaran, V., Barford, P.,Plonka, D.: On the design and use of Internet sinks for network abusemonitoring. Recent Advances in Intrusion Detection (RAID 2004), LNCS 3224, pp146 - 165, 2004年
【非特許文献5】
Honeypot project,http://www.leurrecom.org/
【非特許文献6】
Internet Motion Sensor,http://ims.eecs.umich.edu/
【非特許文献7】
IT Security Center, Information-TechnologyPromotion Agency, Japan, https://www.ipa.go.jp/security/index-e.html
【非特許文献8】
Japan Computer Emergency ResponseTeam Coordination Center, http://jpcert.jp/isdas/index-en.html
【非特許文献9】
National Cyber Security Center,Korea, http://www.ncsc.go.kr/eng/
【非特許文献10】
REN-ISAC: Research and EducationNetworking Information Sharing and Analysis Center, http://www.ren-isac.net/
【非特許文献11】
SANS Internet Storm Center,http://isc.sans.org/
【非特許文献12】
Telecom Information Sharing andAnalysis Center, Japan, https://www.telecom-isac.jp/
【非特許文献13】
@police,http://www.cyberpolice.go.jp/english/obs_e.html
【非特許文献14】
Bailey, M., Cooke, E., Jahanian,F., Myrick, A., Sinha, S.: Practical darknet measurement, 2006 Conference onInformation Sciences and Systems (CISS '06), pp. 1496 - 1501, 2006年
【非特許文献15】
Alata, E., Nicomette, V.,Kaaniche, M., Dacier, M.: Lessons learned from the deployment of ahigh-interaction honeypot, 6th European Dependable Computing Conference(EDCC-6), pp. 39 - 44, 2006年
【非特許文献16】
Leita, C., Dacier, M.,Massicotte, F.: Automatic handling of protocol dependencies and reaction to0-day attacks with ScriptGen based honeypots, 9th International Symposium onRecent Advances in Intrusion Detection (RAID2006), pp. 185 - 205, 2006年
【非特許文献17】
Provos, N.: Honeyd A virtualhoneypot daemon. 10th DFN-CERT Workshop, 2003年
【非特許文献18】
Provos, N.: A virtual honeypotframework. 13th USENIX Security Symposium, pp 1 - 14, 2004年
【非特許文献19】
Nakao, K., Matsumoto, F., Inoue,D., Baba, S., Suzuki, K., Eto, M., Yoshioka, K., Rikitake, K., Hori, Y.:Visualization technologies of nicter incident analysis system, IEICE TechnicalReport, vol.106, no.ISEC-176 pp.83 - 89, 2006年
【非特許文献20】
Isawa, R., Ichikawa, S.,Shiraishi, Y., Mohri, M, Morii, M.: A virus analysis supporting system; forautomatic grasping virus behavior by code-analysis result, The ComputerSecurity Symposium 2005 (CSS2005), vol. 1, pp. 169 - 174, 2006年
【非特許文献21】
Hoshizawa, Y., Morii, M., Nakao,K.: A proposal of automated malware behavior analysis system, Information andCommunication System Security, IEICE, ICSS2006-07, pp. 41 - 46, 2006年
【非特許文献22】
C. Willems, T. Holz, and F.Freiling, "Toward Automated Dynamic Malware Analysis Using CWSandbox"Security & Privacy Magazine, IEEE, Volume 5, Issue 2, pp. 32 - 39, 2007年
【非特許文献23】
Nakao, K., Matsumoto, F., Inoue,D., Baba, S., Suzuki, K., Eto, M., Yoshioka, K., Rikitake, K., Hori, Y.:Visualization technologies of nicter incident analysis system, IEICE TechnicalReport, vol.106, no.ISEC-176 pp.83 - 89, 2006年
【非特許文献24】
Yoshioka, K., Eto, M., Inoue, D.,Nakao, K.: Macro-micro correlation analysis for binding darknet traffic andmalwares, The 2007 Symposium on Cryptography and Information Security(SCIS2007), 2F2-2, 2007年
【非特許文献25】
衛藤 将史、薗田 光太郎、吉岡 克成、井上 大介、竹内 純一、中尾 康二、「スペクトラム解析を用いたマルウェアの類似性検査手法の提案」 IEICE、SCIS2007、2007年
【特許文献1】
日本特許出願2007年12070号
【特許文献2】
日本特許出願2007年12071号

産業上の利用分野



本発明はマルウェアの類似性を検査する方法と装置に関し、特に2種類以上の異なる程度の検査を組み合わせて効率的にマルウェアの特定を行う技術に関する。

特許請求の範囲 【請求項1】
ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査方法であって、
コンピュータの第1アドレス走査情報検出手段が、該第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出工程、
コンピュータの第1マルウェア分析手段が、該第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析工程、
コンピュータの第2アドレス走査情報検出手段が、該第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出工程、
コンピュータの第2マルウェア分析手段が、該第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析工程、
コンピュータの挙動比較手段が、上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較工程
を有することを特徴とするマルウェアの類似性検査方法。

【請求項2】
ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査方法であって、
コンピュータの第1アドレス走査情報検出手段が、該第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出工程、
コンピュータの第1脆弱性攻撃コード検出手段が、該第1の挙動情報のうち脆弱性攻撃コードを検出して記憶手段に格納する第1脆弱性攻撃コード検出工程、
コンピュータの第1マルウェア分析手段が、該第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析工程、
コンピュータの第2アドレス走査情報検出手段が、該第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出工程、
コンピュータの第2脆弱性攻撃コード検出手段が、該第2の挙動情報のうち脆弱性攻撃コードを検出して記憶手段に格納する第2脆弱性攻撃コード検出工程、
コンピュータの第2マルウェア分析手段が、該第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析工程、
コンピュータの挙動比較手段が、上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較工程
を有することを特徴とするマルウェアの類似性検査方法。

【請求項3】
前記第1アドレス走査情報検出工程において前記第1アドレス走査情報検出手段が、及び前記第2アドレス走査情報検出工程において前記第2アドレス走査情報検出手段が、それぞれ、
各宛先ポートのアクセス回数の比率か、連続するパケットのソースポート番号間の差異の平均値か、用いられるプロトコルの比率か、TCP(Transmission Control Protocol)におけるTCPフラグの比率か、単位時間あたりのパケットの平均個数かの少なくともいずれかの統計情報を検出する
請求項1又は2に記載のマルウェアの類似性検査方法。

【請求項4】
前記第1脆弱性攻撃コード検出工程において前記第1脆弱性攻撃コード検出手段が、及び前記第2脆弱性攻撃コード検出工程において前記第2脆弱性攻撃コード検出手段が、それぞれ、
脆弱性攻撃コードに含まれるシェルコード内の命令のシーケンスを検出する
請求項に記載のマルウェアの類似性検査方法。

【請求項5】
前記第1マルウェア分析工程において前記第1マルウェア分析手段が、及び前記第2マルウェア分析工程において前記第2マルウェア分析手段が、それぞれ、
マルウェア本体を逆アセンブリし、そのアセンブリコードを取得する
請求項1ないし4のいずれかに記載のマルウェアの類似性検査方法。

【請求項6】
前記第1マルウェア分析工程において前記第1マルウェア分析手段が、及び前記第2マルウェア分析工程おいて前記第2マルウェア分析手段が、それぞれ、
マルウェアの実行によるファイル又はレジストリのアクセスログか、プラットフォーム上のAPI(Application Program Interface)ログか、複数のサーバへのアクセスログか、マルウェアにより生成されるパケットログかの少なくともいずれかのログを取得する
請求項1ないし5のいずれかに記載のマルウェアの類似性検査方法。

【請求項7】
前記挙動比較工程においてコンピュータの挙動比較手段が、
前記第1アドレス走査情報検出手段で検出された走査シグネチャと、前記第2アドレス走査情報検出手段で検出された走査シグネチャとの同一性を照合する
請求項1ないし6のいずれかに記載のマルウェアの類似性検査方法。

【請求項8】
前記挙動比較工程においてコンピュータの挙動比較手段が、
前記第1アドレス走査情報検出手段で検出された宛先ポートのポート番号の比率と、前記第2アドレス走査情報検出手段で検出された宛先ポートのポート番号の比率との類似性を相関関係式により算出する
請求項1ないし7のいずれかに記載のマルウェアの類似性検査方法。

【請求項9】
前記挙動比較工程においてコンピュータの挙動比較手段が、
前記第1脆弱性攻撃コード検出手段で検出した脆弱性攻撃コードと、前記第2脆弱性攻撃コード検出手段で検出した脆弱性攻撃コードとを、それぞれ要約処理し両者の同一性を照合する
請求項に記載のマルウェアの類似性検査方法。

【請求項10】
前記挙動比較工程においてコンピュータの挙動比較手段が、
前記第1マルウェア分析手段で検出したマルウェアのコードと、前記第2マルウェア分析手段で検出したマルウェアのコードとを、それぞれ要約処理し両者の同一性を照合する
請求項1ないし9のいずれかに記載のマルウェアの類似性検査方法。

【請求項11】
ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査システムであって、
該第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出手段と、
該第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析手段と、
該第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出手段と、
該第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析手段と、
上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較手段と
を少なくとも備えたことを特徴とするマルウェアの類似性検査システム。

【請求項12】
ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査システムであって、
該第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出手段と、
該第1の挙動情報のうち脆弱性攻撃コードを検出して記憶手段に格納する第1脆弱性攻撃コード検出手段と、
該第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析手段と、
該第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出手段と、
該第2の挙動情報のうち脆弱性攻撃コードを検出して記憶手段に格納する第2脆弱性攻撃コード検出手段と、
第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析手段と、
上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較手段と
を少なくとも備えたことを特徴とするマルウェアの類似性検査システム。

【請求項13】
前記第1アドレス走査情報検出手段及び前記第2アドレス走査情報検出手段が、それぞれ、
各宛先ポートのアクセス回数の比率か、連続するパケットのソースポート番号間の差異の平均値か、用いられるプロトコルの比率か、TCP(Transmission Control Protocol)におけるTCPフラグの比率か、単位時間あたりのパケットの平均個数かの少なくともいずれかの統計情報を検出する
請求項11又は12に記載のマルウェアの類似性検査システム。

【請求項14】
前記第1脆弱性攻撃コード検出手段及び前記第2脆弱性攻撃コード検出手段が、それぞれ、
脆弱性攻撃コードに含まれるシェルコード内の命令のシーケンスを検出する
請求項12に記載のマルウェアの類似性検査システム。

【請求項15】
前記第1マルウェア分析手段及び前記第2マルウェア分析手段が、それぞれ、
マルウェア本体を逆アセンブリし、そのアセンブリコードを取得する
請求項11ないし14のいずれかに記載のマルウェアの類似性検査システム。

【請求項16】
前記第1マルウェア分析手段及び前記第2マルウェア分析手段が、それぞれ、
マルウェアの実行によるファイル又はレジストリのアクセスログか、プラットフォーム上のAPI(Application Program Interface)ログか、複数のサーバへのアクセスログか、マルウェアにより生成されるパケットログかの少なくともいずれかのログを取得する
請求項11ないし15のいずれかに記載のマルウェアの類似性検査システム。

【請求項17】
前記挙動比較手段が、
前記第1アドレス走査情報検出手段で検出された走査シグネチャと、前記第2アドレス走査情報検出手段で検出された走査シグネチャとの同一性を照合する
請求項11ないし16のいずれかに記載のマルウェアの類似性検査システム。

【請求項18】
前記挙動比較手段が、
前記第1アドレス走査情報検出手段で検出された宛先ポートのポート番号の比率と、前記第2アドレス走査情報検出手段で検出された宛先ポートのポート番号の比率との類似性を相関関係式により算出する
請求項11ないし17のいずれかに記載のマルウェアの類似性検査システム。

【請求項19】
前記挙動比較手段が、
前記第1脆弱性攻撃コード検出手段で検出した脆弱性攻撃コードと、前記第2脆弱性攻撃コード検出手段で検出した脆弱性攻撃コードとを、それぞれ要約処理し両者の同一性を照合する
請求項12に記載のマルウェアの類似性検査システム。

【請求項20】
前記挙動比較手段が、
前記第1マルウェア分析手段で検出したマルウェアのコードと、前記第2マルウェア分析手段で検出したマルウェアのコードとを、それぞれ要約処理し両者の同一性を照合する
請求項11ないし19のいずれかに記載のマルウェアの類似性検査システム。
国際特許分類(IPC)
Fターム
画像

※ 画像をクリックすると拡大します。

JP2007203281thum.jpg
出願権利状態 登録
参考情報 (研究プロジェクト等) サイバー攻撃観測・分析・対策システム NICTER(http://www.nict.go.jp/nsri/cyber/index.html)
※ 詳細内容の開示にあたっては、別途、JSTと秘密保持契約を締結していただくことが必要となります。


PAGE TOP

close
close
close
close
close
close
close