TOP > 国内特許検索 > ウイルス検出方法および装置

ウイルス検出方法および装置

国内特許コード P07A012803
整理番号 PA13-057
掲載日 2008年1月18日
出願番号 特願2001-382592
公開番号 特開2003-186687
登録番号 特許第3992136号
出願日 平成13年12月17日(2001.12.17)
公開日 平成15年7月4日(2003.7.4)
登録日 平成19年8月3日(2007.8.3)
発明者
  • 服部 進実
  • 千石 靖
出願人
  • 学校法人金沢工業大学
発明の名称 ウイルス検出方法および装置
発明の概要 【課題】 新種または変種のコンピュータウイルスを検出することは難しかった。
【解決手段】 マクロ抽出部14は、検査対象ファイル12からマクロ情報を抜き出し、ソースコードに再構築する。トレース検査部16は再構築されたマクロのソースコードを一行ずつトレースして、ウイルスの特徴コードが含まれていないかどうか検査する。危険度算出部18は、トレース検査部16により抽出された特徴コードの重みにもとづいて、マクロの危険度を算出し、マクロがウイルスであるかどうかを判定する。ウイルスが検出された場合、データベース更新部20の重み更新部24はトレース検査部16により抽出された特徴コードに関して、ウイルスデータベース26の特徴コードレコード28の重みを更新する。
従来技術、競合技術の概要


情報処理振興事業協会(IPA)が公表している国内のウイルス被害届出状況によると、1997年を境に急激に被害が増加しだしたことがわかる。1990年から1996年の間では、年間1,000件を越した年はわずか一年だけであったのに対し、1997年からは2,000件を下回ることは無くなり、2000年では11,109件と加速的に増加している。



このようにウイルス被害件数が急増してきた要因は、パソコンやネットワークが広く普及したことによる感染機会の増加や、個人や企業のウイルス対策意識が低いことの他、ウイルス対策の技術的な面にもその要因があるといえる。なぜなら、1997年の被害の急増はマクロウイルスという新たな種のウイルスの出現によるものであり、近年突発的に被害が大きく増えたのも、VBS(ビジュアルベーシック(商標)スクリプト)ウイルスやWindows(商標)ウイルスなどの新種の出現によるものだからである。

産業上の利用分野


この発明はコンピュータウイルスの検出技術、とくにコンピュータのプログラムファイルやデータファイルに感染するウイルスを検出する方法、装置およびシステムに関する。

特許請求の範囲 【請求項1】
データベース更新部が、ウイルス特有の動作に係る特徴コードにその特徴コードがウイルスとして使用された場合の危険性を示す重みを関連づけてデータベースに登録する工程と、
検査部が、検査対象ファイルをトレースして、前記データベースに登録された前記特徴コードとその重みを収集する工程と、
前記検査部が、前記収集された特徴コードをモジュールレベル、サブルーチンレベル、命令コードレベルおよびオペランドレベルのいずれかに分類する工程と、
危険度算出部が、前記モジュールレベルおよびサブルーチンレベルに分類された特徴コードの重みにもとづいて、その特徴コードがウイルス活動のトリガーになりうる危険度を算出する工程と、
前記危険度算出部が、前記命令コードレベルおよびオペランドレベルに分類された特徴コードの重みにもとづいて、その特徴コードによるウイルス活動に対する危険度を算出する工程と、
前記危険度算出部が、前記サブルーチンごとに、前記2種類の危険度を組み合わせて、前記サブルーチンの危険度を算出し、算出したサブルーチンの危険度にもとづいて、前記検査対象ファイルの危険度を算出する工程とを含むことを特徴とするウイルス検出方法。

【請求項2】
前記データベース更新部が、前記収集された特徴コードに関して、前記データベースに格納された前記重みを更新する工程をさらに含むことを特徴とする請求項1に記載のウイルス検出方法。

【請求項3】
前記データベース更新部が、前記検査対象ファイルにウイルスが検出された場合に前記重みを更新することを特徴とする請求項2に記載のウイルス検出方法。

【請求項4】
前記危険度算出部は、前記算出したサブルーチンの危険度の内、もっとも高い危険度を前記検査対象ファイルの危険度とすることを特徴とする請求項1に記載のウイルス検出方法。

【請求項5】
前記データベース更新部は、前記モジュールレベルおよびサブルーチンレベルの特徴コードの重み、その特徴コードの名前から把握された重みに設定し、前記命令コードレベルおよびオペランドレベルの特徴コードの重み前記命令コートレベルの特徴コードの操作対象から把握された重みに設定することを特徴とする請求項1に記載のウイルス検出方法。

【請求項6】
ウイルス特有の動作に係る特徴コードにその特徴コードがウイルスとして使用された場合の危険性を示す重みを関連づけて格納したデータベースと、
検査対象ファイルをトレースして、前記データベースに登録された前記特徴コードとその重みを収集し、収集した特徴コードをモジュールレベル、サブルーチンレベル、命令コードレベルおよびオペランドレベルのいずれかに分類する検査部と、
前記モジュールレベルおよびサブルーチンレベルに分類された特徴コードの重みにもとづいて、その特徴コードがウイルス活動のトリガーになりうる危険度を算出し、前記命令コードレベルおよびオペランドレベルに分類された特徴コードの重みにもとづいて、その特徴コードによるウイルス活動に対する危険度を算出し、前記サブルーチンごとに、前記2種類の危険度を組み合わせて、前記サブルーチンの危険度を算出し、算出したサブルーチンの危険度にもとづいて、前記検査対象ファイルの危険度を算出する危険度算出部とを含むことを特徴とするウイルス検査装置。

【請求項7】
前記危険度に応じて、ウイルスの動作パターンを構成する前記特徴コードに関して、前記データベースに格納された前記重みを更新する更新部をさらに含むことを特徴とする請求項6に記載のウイルス検査装置。

【請求項8】
前記データベースは、ウイルスの動作パターンを格納し、前記更新部は、前記検査部により収集された特徴コードの組み合わせから特定された動作パターンを前記データベースに格納されたウイルスの動作パターンと比較して、その類似度に応じて、前記特定された動作パターンを構成する前記特徴コードの重みを更新することを特徴とする請求項7に記載のウイルス検査装置。

【請求項9】
前記危険度算出部は、前記モジュールレベルおよびサブルーチンレベルと前記命令コードレベルおよびオペランドレベルとで前記重みの評価を異ならせて前記モジュールレベルおよびサブルーチンレベルの危険度と前記命令コードレベルおよびオペランドレベルの危険度を算出することを特徴とする請求項6に記載のウイルス検査装置。

【請求項10】
前記データベースに登録された前記モジュールレベルおよびサブルーチンレベルの特徴コードは、その特徴コードの名前から把握された重みに設定され、前記命令コードレベルおよびオペランドレベルの特徴コードは、前記命令コートレベルの特徴コードの操作対象から把握された重みに設定されることを特徴とする請求項6または9に記載のウイルス検査装置。

【請求項11】
検査部が、ウイルス特有の動作に係る特徴コードにその特徴コードがウイルスとして使用された場合の危険性を示す重みを関連づけて登録したデータベースを参照して、検査対象ファイルから前記データベースに登録された前記特徴コードとその重みを収集する工程と、
前記検査部が、前記収集された特徴コードをモジュールレベル、サブルーチンレベル、命令コードレベルおよびオペランドレベルのいずれかに分類する工程と、
危険度算出部が、前記モジュールレベルおよびサブルーチンレベルに分類された特徴コードの重みにもとづいて、その特徴コードがウイルス活動のトリガーになりうる危険度を算出する工程と、
前記危険度算出部が、前記命令コードレベルおよびオペランドレベルに分類された特徴コードの重みにもとづいて、その特徴コードによるウイルス活動に対する危険度を算出する工程と、
前記危険度算出部が、前記サブルーチンごとに、前記2種類の危険度を組み合わせて、前記サブルーチンの危険度を算出し、算出したサブルーチンの危険度にもとづいて、前記検査対象ファイルの危険度を算出する工程とをコンピュータに実行させることを特徴とするコンピュータプログラム。

【請求項12】
データベース更新部が、マクロウイルス特有の動作をとるために必要なコードと、そのコードがウイルスとして使用された場合の危険性を示す値を一つのレコードとしてデータベースに登録する工程と、
検査部が、マクロを一行ずつトレースし、前記登録したコードとその重みを収集し、コードの組み合わせを記録する工程と、
前記検査部が、前記収集された特徴コードをモジュールレベル、サブルーチンレベル、命令コードレベルおよびオペランドレベルのいずれかに分類する工程と、
前記検査部が、前記モジュールレベルおよびサブルーチンに分類された特徴コードの重みにもとづいて、その特徴コードがウイルス活動のトリガーになりうる危険度を算出する工程と、
前記検査部が、前記命令コードレベルおよびオペランドレベルに分類された特徴コードの重みにもとづいて、その特徴コードによるウイルス活動に対する危険度を算出する工程と、
前記検査部が、前記サブルーチンごとに、前記2種類の危険度を組み合わせて、前記サブルーチンの危険度を算出し、算出したサブルーチンの危険度にもとづいて、前記検査対象ファイルの危険度を算出する工程と、
前記検査部が、前記検査対象ファイルの危険度が基準となる値を超えたとき、そのマクロはウイルスであると判断する工程と、
前記データベース更新部が、ウイルスを検出した場合、収集したコードを基に重みを増減させて前記データベースを更新する工程とを含むことを特徴とするウイルス検出方法。

【請求項13】
前記更新する工程は、過去に検出したウイルスとパターン比較を行い、類似点が多ければ、収集したコードの重みを増加させることを特徴とする請求項12に記載のウイルス検出方法。
国際特許分類(IPC)
Fターム
画像

※ 画像をクリックすると拡大します。

JP2001382592thum.jpg
出願権利状態 登録
ライセンスをご希望の方、特許の内容に興味を持たれた方は、「問合せ先」まで直接お問合せ下さい。


PAGE TOP

close
close
close
close
close
close
close