平码五不中公式规律
  • / 17
  • 下载费用:30 金币  

检测装置、检测方法以及检测程序.pdf

关 键 ?#21097;?/dt>
检测 装置 方法 以及 程序
  专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
摘要
申请专利号:

CN201580033556.3

申请日:

2015.06.24

公开号:

CN106663176A

公开日:

2017.05.10

当前法律状态:

实审

有效性:

审中

法?#19978;?#24773;: 实质审查的生效IPC(主分类):G06F 21/64申请日:20150624|||公开
IPC分类号: G06F21/64; H04L12/70 主分类号: G06F21/64
申请人: 日?#38236;?#20449;电话株式会社
发明人: 几世知范; 青木一史; 针生刚男
地址: 日本东京都
优?#28909;ǎ?/td> 2014.06.30 JP 2014-134055
专利代理机构: ?#26412;?#19977;友知识产权代理有限公司 11127 代理人: 李辉;黄纶伟
PDF完整版下载: PDF下载
法律状态
申请(专利)号:

CN201580033556.3

授权公告号:

|||

法律状态公告日:

2017.06.06|||2017.05.10

法律状态类型:

实质审查的生效|||公开

摘要

检测装置(10)的特征在于,具有:数据传播跟踪部(110),其对通信数据赋予包含与该通信数据的通信目的地信息关联的属性信息在内的标签,且对被赋予了包含该属性信息在内的标签的通信数据的传播进行跟踪;以及篡改检测部(112),当在通信数据中存在包含与对应于该通信数据的发送目的地或发送源的属性信息不同的属性信息在内的标签的情况下,该篡改检测部(112)检测到该通信数据的篡改。

权利要求书

1.一种检测装置,其特征在于,该检测装置具有:
跟踪部,其对通信数据赋予包含与该通信数据的通信目的地信息关联的属性信息在内
的标签,且对被赋予了该标签的通信数据的传播进行跟踪;以及
检测部,当在所述通信数据中存在包含与对应于该通信数据的发送目的地或发送源的
属性信息不同的属性信息在内的标签的情况下,该检测部检测到该通信数据的篡改。
2.根据权利要求1所述的检测装置,其特征在于,
该检测装置还具有命令监视部,该命令监视部对在系统内发布的命令进行监视,在所
述命令监视部检测出API(应用程序接口)调用或者系统调用作为所述命令的情况下,所述
检测部对接收数据进行所述篡改的检测。
3.根据权利要求1所述的检测装置,其特征在于,
所述检测部在向虚拟NIC(网络接口卡)复制发送数据的?#34987;?#23545;该发送数据进行所述
篡改的检测。
4.根据权利要求1至3中的?#25105;?#39033;所述的检测装置,其特征在于,
所述检测部在检测出所述篡改的情况下,将与包含所述不同的属性信息在内的标签对
应的数据确定为篡改内容。
5.根据权利要求1至3中的?#25105;?#39033;所述的检测装置,其特征在于,
所述检测部在检测出所述篡改的情况下,将与包含所述不同的属性信息在内的标签相
关联的通信目的地确定为C&C(命令和控制)服务器。
6.根据权利要求1至3中的?#25105;?#39033;所述的检测装置,其特征在于,
所述跟踪部以规定的数据长度为单位对所述通信数据赋予多个标签,并且对标签分配
按照该多个标签的排列顺序而连号的ID,
所述检测部对于赋予给通信数据的标签,在对包含相同的属性信息在内的一系列的标
签中的各个标签分配的ID不按照所述排列顺序的情况下,检测到所述篡改。
7.一种由检测装置执行的检测方法,其特征在于,该检测方法包括下述步骤:
跟踪步骤,对通信数据赋予包含与该通信数据的通信目的地信息关联的属性信息在内
的标签,且对被赋予了该标签的通信数据的传播进行跟踪;以及
检测步骤,当在所述通信数据中存在包含与对应于该通信数据的发送目的地或发送源
的属性信息不同的属性信息在内的标签的情况下,检测到该通信数据的篡改。
8.一种检测程序,其特征在于,该检测程序使计算机执行下述步骤:
跟踪步骤,对通信数据赋予包含与该通信数据的通信目的地信息关联的属性信息在内
的标签,且对被赋予了该标签的通信数据的传播进行跟踪;以及
检测步骤,当在所述通信数据中存在包含与对应于该通信数据的发送目的地或发送源
的属性信息不同的属性信息在内的标签的情况下,检测到该通信数据的篡改。

说明书

检测装置、检测方法以及检测程序

技术领域

本发明涉及检测装置、检测方法以及检测程序。

背景技术

近年来,利用具有MITB(Man-in-the-browser:中间人)攻击功能的恶意软件
(Malware)的联机银行诈骗造成的损失时常发生。MITB攻击是指,拦截终端的使用者与Web
服务间的通信而窃取、篡改通信内容的攻击。ZBot或SpyEye等恶意软件具有MITB攻击功能,
其拦截感染终端与联机银行之间的通信而篡改通信数据,由此进行汇款金额的操作或伪装
输入表单的显示这样的攻击。

在ZBot等恶意软件中,采用了能够通过设定文件来指定作为MITB攻击的对象的通
信数据的机制。因此,不限于联机银行,攻击者能够对与所企图的Web服务之间的通信数据
进行攻击。设定文件设置在C&C(Command and Control?#22909;?#20196;和控制)服务器上,恶意软件与
C&C服务器进行通信而取得该文件从而掌握篡改攻击的对象和篡改内容。然后,在ZBot等恶
意软件的情况下,使用API(Application Programming Interface:应用程序接口)钩子
(hook)来进行篡改攻击。例如,通过将与通信数据的发送接收相关的API钩住,而对加密前
或解密后的通信数据进行篡改攻击。在受到这样的攻击的情况下,仅通过SSL来保护通信路
径是无法防止篡改攻击的。

在对这样的威胁采取对策的情况下,防止恶意软件感染本身是理想的。但是,感染
攻击的手法?#25214;?#24039;妙,将感染防患于未然处于困难的状况。因此,以用户终端感染到恶意软
件为前提的对策是不可缺少的。

在客户端侧采取恶意软件感染后的对策的方法主要有2个。1个是对作为攻击对象
的进程进行保护以使得不会进行API钩子等的方法,另1个是阻止取得对篡改对象和内容进
行指定的设定文件的方法。只要能够防止API钩子,就能够将篡改的发生防患于未然。但是,
很难在感染了恶意软件的状态下可靠地实?#25191;?#26041;法。另一方面,在阻止取得设定文件的方
法的情况下,由于能够采用网络上的对策,因此即使终端感染了恶意软件也能够采取对策。
不过,必须事?#26085;?#25569;对设定文件进行分发的C&C服务器的IP(Internet Protocol:互联网协
议)地址?#21462;?br />

为了事先收集C&C服务器的IP地址等,一般进行恶意软件解析。迄今为止,作为通
过恶意软件解析自动地确定C&C服务器的方法,在非专利文献1中提出了根据系统调用间的
通信数据的传递关系来确定C&C服务器的方法。该方法着重于仅在恶意软件与C&C服务器通
信时出现的系统调用间的数据的传递关系,具有错误检测较少这样的特征。但是,在系统调
用间的数据的传递关系上未显现出特征的情况下无法检测。

另外,迄今为止,作为进行MITB攻击的恶意软件的解析方法提出了非专利文献2这
样的方法。非专利文献2的方法在如下的方面上优秀:能够在不会给Web服务带来影响的情
况下对恶意软件进行分析,且进行篡改检测和篡改部位的确定。但是,没有实现到指定了篡
改内容的C&C服务器的确定。

现有技术文献

非专利文献

非专利文献1:P.Wurzinger,L.Bilge,T.Holz,J.Goebel,C.Kruegel,and
E.Kirda,"Automatically Generating Models for Botnet Detection",In Proceedings
of the 14th European Conference on Research in Computer Security

非专利文献2:瀬川達也、神薗雅紀、星?#31245;?#20108;、吉岡?#39034;傘?#26494;本勉「Man-in-the-
Browser攻撃を行うマルウェア?#20255;?#20840;な動的解析手法」電子情報通信学会技術研究報告

发明内容

发明要解决的课题

本发明的目的在于提供一种能够详细地分析通信数据的篡改的检测装置、检测方
法以及检测程序。

用于解决课题的手段

为了解决上述的课题并达成目的,所公开的检测装置的特征在于,具有:跟踪部,
其对通信数据赋予包含与该通信数据的通信目的地信息关联的属性信息在内的标签,且对
被赋予了该标签的通信数据的传播进行跟踪;以及检测部,当在所述通信数据中存在包含
与对应于该通信数据的发送目的地或发送源的属性信息不同的属性信息在内的标签的情
况下,该检测部检测到该通信数据的篡改。

发明效果

根据本申请所公开的实施方式,实现如下的效果:能够详细地分析通信数据的篡
改。

附图说明

图1是示出本实施方式的检测装置的概要的结构图。

图2是示出本实施方式的检测装置中的虚拟计算机和数据传播跟踪部的结构的框
图。

图3是示出本实施方式的标签的结构例的图。

图4是示出本实施方式的通信目的地信息DB中存储的信息的一例的图。

图5是示出本实施方式的篡改检测部中的对于接收数据的处理流程的流程图。

图6是示出本实施方式的篡改检测部中的对于发送数据的处理流程的流程图。

图7是示出执行检测程序的计算机的图。

具体实施方式

以下根据附图详细地说明本申请的检测装置、检测方法以及检测程序的实施方
式。?#36865;猓?#26412;申请的检测装置、检测方法以及检测程序不限于该实施方式。

[实施方式]

在以下的实施方式中,?#26469;?#35828;明实施方式的检测装置的结构和处理流程,然后,最
后说明实施方式的效果。

[检测装置的结构]

首先,使用图1来说明检测装置10的结构。图1是示出本实施方式的检测装置的概
要的结构图。如图1所示,该检测装置10具有:恶意软件执行环境部11、解析结果DB(Data
Base:数据库)12以及C&C服务器通信目的地信息DB 13。以下说明这些各部件的处理。

恶意软件执行环境部11由进程11B、进程11C、访客OS(Operating System:操作系
统)11D以及虚拟计算机11E构成。访客OS 11D是用于对恶意软件11A进行动态解析的环境。
另外,恶意软件11A在访客OS 11D上被执行而在访客OS 11D上使浏览器等作为恶意软件11A
的攻击对象的进程11B、进程11C进行动作。

虚拟计算机11E由数据传播跟踪部110、命令监视部111、篡改检测部112以及通信
目的地信息DB 113构成。

数据传播跟踪部110对通信数据赋予标签,跟踪通信数据的传播。此时,由于唯一
地确定通信数据的发送目的地或发送源,因此使标签保持与通信目的地信息对应的属性信
息?#21462;4送猓?#22312;以下的说明中,在统称发送目的地和发送源的情况下,记为“通信目的地?#34180;?#21478;
外,通信目的地信息是指,例如通信目的地的IP地址或FQDN(Fully Qualified Domain
Name?#21644;?#20840;限定域名)、URL(Uniform Resource Locator?#21644;?#19968;资源定位符)等信息。

这里,使用图3来说明标签的结构例。图3是示出本实施方式的标签的结构例的图。
如图3所示,标签包含“ID(identification:标识)”和“属性信息?#34180;?#36825;里,属性信息是与通信
数据的发送源或发送目的地的通信目的地信息对应的信息。ID是被设定成按照每个该属性
信息连续的值(连号(通番))的信息。即,能够根据属性信息与ID的组合而唯一地识别标签。
?#36865;猓?#20363;如以规定的数据长度为单位对某通信数据赋予标签。

作为一例,说明对从IP地址“192.168.0.1”的通信目的地接收到的10?#32440;?#30340;接收
数据赋予标签的情况。?#36865;猓?#22312;该例中,说明以1?#32440;?#20026;单位赋予标签、且与IP地址
“192.168.0.1”对应的属性信息是“0x1”的情况。在该情况下,由于以1?#32440;?#20026;单位对10?#32440;?br />的接收数据赋予标签,因此对该接收数据赋予10个标签。其中,第1个标签包含ID“1”和属性
信息“0x1?#20445;?#31532;2个标签包含ID“2”和属性信息“0x1?#20445;?#31532;3个标签包含ID“3”和属性信息
“0x1?#20445;?#31532;10个标签包含ID“10”和属性信息“0x1?#34180;?#36825;样,各个标签包含被赋予连号的ID和
与通信目的地对应的属性信息。?#36865;猓?#22312;从IP地址“192.168.0.1”的通信目的地再次接收到
数据的情况下,对该接收数据赋予例如包含从ID“11”开始的连号的ID在内的多个标签。另
外,在从“192.168.0.2”等与上述IP地址不同的IP地址的通信目的地接收到数据的情况下,
对该接收数据赋予例如包含从ID“1”开始的连号的ID在内的多个标签。

?#36865;猓?#22914;上所述,以规定的数据长度为单位对通信数据赋予多个本实施方式的标
签并且将多个标签各自的ID分配成连号?#19988;?#20026;由此能够确定通信数据的篡改内容。例如,
如果分配成连号,则多个标签各?#36816;?#21253;含的ID的值按照标签的排列顺序而连续。但是,如果
多个标签各?#36816;?#21253;含的ID的值不按照标签的排列顺序连续,则篡改检测部112能够检测到
通信数据的篡改,并且能够确定不连续的附近的数据被篡改。?#36865;猓?#20363;如,如果ID的编号消
失或者其他标签混入,则篡改检测部112能够确定进行了通信数据的改写或追记。另外,如
果在ID的编号中发生偏差,则篡改检测部112能够确定其附近的数据被?#22659;?br />

即,数据传播跟踪部110对通信数据设定标签,将所设定的标签所包含的属性信息
和与该属性信息对应的通信目的地信息转发给通信目的地信息DB 113之后,在虚拟计算机
11E上对通信数据的传播进行跟踪。通信目的地信息DB 113将从数据传播跟踪部110转发的
属性信息与通信目的地信息关联起来进行存储。?#36865;猓?#20851;于通信目的地信息DB 113中存储
的信息,将会后面进行说明。

命令监视部111监视在系统内发布的命令。例如,命令监视部111监视由恶意软件
11A所执行的API(Application Programming Interface)调用或系统调用的发布这样的命
令。

当在通信数据中存在包含与对应于该通信数据的发送目的地或发送源的属性信
息不同的属性信息在内的标签的情况下,篡改检测部112检测到通信数据的篡改。例如,篡
改检测部112根据设定于通信数据的标签而检测篡改。而且,篡改检测部112在检测出篡改
的情况下,将与所包含的属性信息不同于与通信数据的发送目的地或发送源对应的属性信
息的标签对应的数据确定为篡改内容,将所确定的篡改内容转发给解析结果DB 12。解析结
果DB 12存储以从篡改检测部112转发的篡改内容为代表的解析结果。

另外,篡改检测部112在检测出篡改的情况下,将与所包含的属性信息不同于与通
信数据的发送目的地或发送源对应的属性信息的标签相关联的通信目的地确定为C&C服务
器。另外,篡改检测部112将所确定的通信目的地信息作为C&C服务器的通信目的地信息而
转发给C&C服务器通信目的地信息DB 13。C&C服务器通信目的地信息DB 13存储从篡改检测
部112转发的C&C服务器的通信目的地信息。

接着,使用图2来说明虚拟计算机11E的结构例。图2是示出本实施方式的检测装置
中的虚拟计算机和数据传播跟踪部的结构的框图。虚拟计算机11E是向访客OS11D提供虚拟
的?#24067;?#30340;软件。另外,虚拟计算机11E由虚拟NIC(Network Interface Card:网络接口卡)
114和虚拟盘115、虚拟HW控制器116、虚拟存储器117、虚拟CPU 118等构成。

为了对数据设定标签而进行数据的传播跟踪,数据传播跟踪部110具有:用于保存
与虚拟盘115上的数据对应的标签的盘标签保存区域110A、用于保存与虚拟存储器117上的
数据对应的标签的存储器标签保存区域110D、以及用于保存与虚拟寄存器118B上的数据对
应的标签的寄存器标签保存区域110F。

数据传播跟踪部110的标签赋予部110B对通信数据设定能够唯一地确定发送源的
标签,在转发给通信目的地信息DB 113之后,将标签保存在存储器标签保存区域110D中。关
于设定标签的?#34987;?#22312;接收数据的情况下,是数据?#26377;?#25311;NIC 114向虚拟存储器117复制的
?#34987;?#25110;者是刚刚调用了用于接收数据的API/系统调用之后(从函数返回到调用源的时
机),另外,在发送数据的情况下,是浏览器?#26085;?#35268;的应用对用于发送数据的API调用或系统
调用进行发布的?#34987;?#30001;标签传播部110C(标签传播部A)与数据的传播配合地传播对数据
所设定的标签。

标签传播部110C进?#20449;?#26631;签保存区域110A与存储器标签保存区域110D之间的标
签的传播。另外,标签传播部110E(标签传播部B)进行存储器标签保存区域110D与寄存器标
签保存区域110F之间的传播或寄存器标签保存区域110F之间的标签的传播。

另外,命令监视部111监视浏览器?#26085;?#35268;应用所执行的API调用。在正规应用调用
了与数据接收相关的API的情况下,在调用时记录函数的所有自变量,在返回时向篡改检测
部112进行通知。另外,在API与数据发送相关的情况下,命令监视部111在调用时向数据传
播跟踪部110进行通知。接收到通知的数据传播跟踪部110利用标签赋予部110B对发送数据
设定能够唯一地确定数据的发送目的地的标签。?#36865;猓?#19982;数据接收或数据发送相关的API是
恶意软件解析者等在解析前设定的。

篡改检测部112在?#29992;?#20196;监视部111收到通知之后,通过确认与接收数据对应的标
签而进行对于接收数据的篡改的检测、篡改内容的确定、指定了篡改内容的C&C服务器的确
定。?#36865;猓?#36890;过在虚拟NIC 114中数据发送时确认与发送数据对应的标签,篡改检测部112进
行对于发送数据的篡改的检测、篡改内容的确定、指定了篡改内容的C&C服务器的确定。此
外,当在数据传播时通信数据作为接收数据/发送数据传递给实施加密/解密处理的API的
情况下,?#37096;?#20197;对该API的返回值也进行强制性地传播标签的处理。此时,?#37096;?#20197;再次重新
分配ID。

这里,使用图4来说明通信目的地信息DB 113中存储的信息。图4是示出本实施方
式的通信目的地信息DB 113中存储的信息的一例的图。如图4所示,通信目的地信息DB 113
将标签所包含的属性信息、发送接收信息以及通信目的地信息关联起来进行存储。该发送
接收信息是表示与通信目的地的通信是接收还是发送的信息,例如,“R?#21271;?#31034;接收,“S?#21271;?#31034;
发送。?#36865;猓?#22312;图4中,例示出存储IP地址作为通信目的地信息的情况。

在图4所示的例子中,通信目的地信息DB 113将属性信息“0x1?#34180;?#21457;送接收信息“R”
以及通信目的地信息“192.168.0.1”关联起来进行存储。这表示赋予给来自IP地址
“192.168.0.1”的接收数据的属性信息是“0x1?#34180;?#21478;外,通信目的地信息DB 113将属性信息
“0xA?#34180;?#21457;送接收信息“R”以及通信目的地信息“192.168.1.10”关联起来进行存储。这表示
赋予给向IP地址“192.168.1.10”的接收数据的属性信息是“0xA?#34180;?br />

?#36865;猓?#22914;图4的第3行所示,通信目的地信息DB 113将属性信息“0x3?#34180;?#21457;送接收信
息“S”以及通信目的地信息“192.168.0.1”关联起来进行存储。这表示即使是与第1行的IP
地址“192.168.0.1”相同的IP地址,如果发送接收信息是与第1行的“R(接收)”不同的“S(发
送)?#20445;?#21017;也被赋予不同的属性信息“0x3?#34180;?#21363;,在通信目的地信息DB 113中,对于发送接收信
息与通信目的地信息的组合,唯一地设定属性信息。?#36865;猓?#36890;信目的地信息DB 113?#37096;?#20197;不
必须存储发送接收信息。在该情况下,属性信息不限于发送接收的方向,按照每个通信目的
地进行存储。另外,属性信息可以是可变长度的数据,?#37096;?#20197;是固定长度的数据。

?#36865;猓?#22914;上所述,通信目的地信息DB 113将属性信息与通信目的地的信息关联起
来进行存储?#19988;?#20026;由此能够进行通信数据的篡改的检测。例如,篡改检测部112参照通信目
的地信息DB 113,取得与作为处理对象的通信数据的发送目的地或发送源对应的属性信
息。而且,篡改检测部112参照通信数据所包含的属性信息,与所取得的属性信息进行对照。
这里,如果未被篡改,则通信数据所包含的所有的属性信息应该与从通信目的地信息DB
113取得的属性信息一致。另一方面,如果不一致,则篡改检测部112能够检测到篡改。?#36865;猓?br />如果与不同于原本的通信目的地的通信目的地相关联,则篡改检测部112能够将该通信目
的地确定为C&C服务器。

[基于检测装置的处理]

接着,使用图5和图6来说明检测装置10中的处理流程。图5是示出本实施方式的篡
改检测部中的对于接收数据的处理流程的流程图。图6是示出本实施方式的篡改检测部中
的对于发送数据的处理流程的流程图。

首先,使用图5来说明与篡改检测部112中的对于接收数据的篡改的检测、篡改内
容的确定、指定了篡改内容的C&C服务器的确定相关的处理。

如图5所示,篡改检测部112最初取得在与数据接收相关的API的调用时命令监视
部111所记录的自变量信息和返回值(步骤S101),且取得与各接收数据对应的标签(步骤
S102)。而且,在对接收数据设定有标签的情况下(步骤S103,“是”),篡改检测部112开始进
行对篡改攻击的检测处理。另一方面,在对接收数据未设定标签的情况下(步骤S103,
“否”),篡改检测部112结束对于该接收数据的处理。

作为对篡改攻击的检测处理,篡改检测部112首先从自变量信息取得通信目的地
(步骤S104)。而且,篡改检测部112对于与接收数据对应的标签,确认是否带有与接收数据
的发送源对应的属性信息以外的属性信息(步骤S105)。这里,当存在带有与接收数据的发
送源对应的属性信息以外的属性信息的标签的情况下(步骤S105,“是”),篡改检测部112判
断为进行了篡改攻击,而对进行了篡改攻击的部位进行确定的处理(步骤S106)。在该情况
下,篡改检测部112判断为带有属性信息为与来自通信目的地的接收数据对应的属性信息
以外的标签的数据被篡改,在解析结果DB 12中登记篡改内容(步骤S107)。而且,篡改检测
部112从通信目的地信息DB 113提取与篡改后的数据相关联的通信目的地(步骤S108)。而
且,当存在从与从自变量信息取得的通信目的地不同的通信目的地取得的标签的情况下
(步骤S109,“是”),篡改检测部112将与该标签相关联的通信目的地确定为C&C服务器(步骤
S110),将所确定的通信目的地登记于C&C服务器通信目的地信息DB 13中(步骤S111)。

而且,篡改检测部112确认具有相同的属性信息的标签的ID是否成为按照数据的
排列顺序而连续的值(步骤S112)。这?#19988;?#20026;将标签的ID分配成连号,所以当顺序在中途发
生偏差的情况下可判断为进行了基于数据?#22659;?#30340;篡改攻击。这里,在未成为连续的值的情
况下(步骤S112,“否”),篡改检测部112判断为进行了基于数据?#22659;?#30340;篡改攻击,在解析结
果DB 12中记录标签的ID和接收数据(检查对象数据)(步骤S113),并结束处理。

?#36865;猓?#24403;不存在带有与接收数据的发送源对应的属性信息以外的属性信息的标签
的情况下(步骤S105,“否”)以及不存在从与从自变量信息取得的通信目的地不同的通信目
的地取得的标签的情况下(步骤S109,“否”),篡改检测部112转移到步骤S112的处理。另外,
在具有相同的属性信息的标签的ID成为按照数据的排列顺序而连续的值的情况下(步骤
S112,“是”),篡改检测部112结束对于该接收数据的处理。

接着,使用图6来说明与篡改检测部112中的对于发送数据的篡改的检测、篡改内
容的确定、指定了篡改内容的C&C服务器的确定相关的处理。对到达虚拟NIC 114的发送数
据进行该处理。

如图6所示,篡改检测部112取得与发送数据对应的标签(步骤S201),当存在标签
的情况下(步骤S202,“是”),开始进行对篡改攻击的检测处理。另一方面,当在发送数据中
不存在标签的情况下(步骤S202,“否”),篡改检测部112结束对于该发送数据的处理。

作为对篡改攻击的检测处理,篡改检测部112首先从发送数据所包含的报头信息
取得发送数据的发送目的地(步骤S203)。而且,确认包含与发送目的地对应的属性信息以
外的属性信息在内的标签是否存在于发送数据内(步骤S204)。这里,当包含与发送目的地
对应的属性信息以外的属性信息在内的标签存在于发送数据内的情况下(步骤S204,
“是”),篡改检测部112判断为进行了篡改攻击,提取出包含与发送目的地对应的属性信息
以外的属性信息在内的标签(步骤S205)。而且,篡改检测部112将与提取出的标签对应的数
据作为篡改部位而登记于解析结果DB 12中(步骤S206)。而且,篡改检测部112从自通信目
的地信息DB 113提取出的标签取得通信目的地(步骤S207),如果标签与通信目的地相关联
(步骤S208,“是”),则将与标签相关联的通信目的地确定为C&C服务器(步骤S209)。而且,篡
改检测部112将所确定的通信目的地登记于C&C服务器通信目的地信息DB 13中(步骤
S210)。

另外,篡改检测部112确认具有相同的属性信息的标签的ID是否成为按照数据的
排列顺序而连续的值(步骤S211)。这?#19988;?#20026;将标签的ID分配成连号,所以当顺序在中途发
生偏差的情况下判断为进行了基于数据?#22659;?#30340;篡改攻击。这里,在未成为连续的值的情况
下(步骤S211,“否”),篡改检测部112判断为进行了基于数据?#22659;?#30340;篡改攻击,在解析结果
DB 12中记录标签的ID和发送数据(检查对象数据)(步骤S212),并结束处理。

?#36865;猓?#24403;包含与发送目的地对应的属性信息以外的属性信息在内的标签不存在于
发送数据内的情况下(步骤S204,“否”)以及标签与通信目的地不相关联的情况下(步骤
S208,“否”),篡改检测部112转移到步骤S211的处理。另外,在具有相同的属性信息的标签
的ID按照数据的排列顺序而连续的情况下(步骤S211,“是”),篡改检测部112结束对于该发
送数据的处理。

[实施方式的效果]

如上所述,检测装置10对通信数据赋予包含与该通信数据的通信目的地信息关联
的属性信息在内的标签,对被赋予了该标签的通信数据的传播进行跟踪。而且,当在通信数
据中存在包含与对应于该通信数据的发送目的地或发送源的属性信息不同的属性信息在
内的标签的情况下,检测装置10检测到该通信数据的篡改。由此,检测装置10能够详细地分
析通信数据的篡改。

例如,在以往的解析方法中,虽然进行了篡改的检测和篡改内容的确定,但存在无
法对指示了篡改内容的C&C服务器进行确定的问题。为了确定C&C服务器,要求如下的机制:
该机制在进行了篡改的检测和篡改内容的确定之后,能够对在篡改时所?#24230;?#30340;数据的出处
进行解析。因此,在本实施方式中,对解析系统内的数据的传播进行跟踪,应用污点(taint)
解析而对在特定的2点间流动的数据包含原本不应该存在的数据的情况进行检测,不仅实
现了篡改检测和篡改内容的确定,还实现了指示篡改内容的C&C服务器的确定。

[其他实施方式]

?#36865;猓?#22312;上述的实施方式中,说明了对恶意软件执行环境中的解析应用的情况,但
不限于此。例如,本实施方式的各部件?#37096;?#20197;引入到用户终端中。另外,在利用本实施方式
时,?#37096;?#20197;只以是否是具有篡改功能的恶意软件的判定或发生了篡改攻击的警告通知为目
的,不进行C&C服务器确定处理,而只实施对篡改攻击的检测处理。?#36865;猓?#22312;实施C&C服务器
确定处理时,?#37096;?#20197;根据C&C服务器通信目的地信息DB 13的内容而在VMM(Virtual
Machine Monitor:虚拟机监视器)侧实施通信的阻断,?#37096;?#20197;与外部IPS(Intrusion
Prevention System:入?#22336;?#24481;系统)装置等协作而采取通信阻断的措施。?#36865;猓珻&C服务器
也称为“指令服务器?#34180;?br />

[系统结构等]

另外,图示的各装置的各结构要素是功能概念性的,不需要必须在物理上如图示
那样构成。即,各装置的分散/整合的具体方式不限于图示的方式,能够根据各种负载或使
用状况等而将其全部或者一部分以?#25105;?#30340;单位在功能上或者物理上进行分散/整合而构
成。?#36865;猓?#20851;于各装置所执行的各处理功能,其全部或者?#25105;?#30340;一部分可以由CPU和该CPU所
解析执行的程序?#35789;?#29616;、或者作为基于布线逻辑的?#24067;词?#29616;。

另外,在本实施方式中所说明的各处理中,?#37096;?#20197;手动地进行作为自动地进行的
处理而说明的处理的全部或者一部分,或者?#37096;?#20197;通过公知的方法自动地进行作为手动地
进行的处理而说明的处理的全部或者一部分。除此之外,关于上述文档中或附图中所示的
处理过程、控制过程、具体的名称、包含各种数据或参数在内的信息,除了特殊说明的情况
以外可以?#25105;?#21464;更。

[程序]

另外,关于在上述实施方式中说明的检测装置10所执行的处理,?#37096;?#20197;创建以计
算机可执行的语言进行了描述的程序。例如,关于实施方式的检测装置10所执行的处理,也
可以创建以计算机可执行的语言进行了描述的检测程序。在该情况下,通过由计算机执行
检测程序,能够得到与上述实施方式相同的效果。?#36865;猓部?#20197;将该检测程序记录在计算机
可读取的记录介质中,通过使计算机读入并执行该记录介质中记录的检测程序,由此实现
与上述实施方式相同的处理。以下对执行实现与图1所示的检测装置10相同的功能的检测
程序的计算机的一例进行说明。

图7是示出执行检测程序的计算机1000的图。如图7所例示,计算机1000例如具有
存储器1010、CPU 1020、硬盘驱动器接口1030、盘驱动器接口1040、串行端口接口1050、视频
适配器1060以及网络接口1070,这些各部件通过总线1080连接。

如图7所例示,存储器1010包含ROM(Read Only Memory:只读存储器)1011和RAM
(Random Access Memory:随机存取存储器)1012。ROM 1011例如存储BIOS(Basic Input
Output System:基本输入输出系统)等引导程序。如图7所例示,硬盘驱动器接口1030与硬
盘驱动器1090连接。如图7所例示,盘驱动器接口1040与盘驱动器1041连接。例如?#25490;?#25110;光
盘等可装卸的存储介质插入到盘驱动器中。如图7所例示,串行端口接口1050例如与鼠标
1110、键盘1120连接。如图7所例示,视频适配器1060与例如显示器1130连接。

这里,如图7所例示,硬盘驱动器1090例如存储OS 1091、应用程序1092、程序模块
1093、程序数据1094。即,上述的检测程序作为描述有由计算机1000执行的指令的程序模块
而存储于例如硬盘驱动器1090中。

另外,上述实施方式中所说明的各种数据作为程序数据存储于例如存储器1010或
硬盘驱动器1090中。另外,CPU 1020根据需要将存储器1010和硬盘驱动器1090中存储的程
序模块1093和程序数据1094读出到RAM 1012而执行。

?#36865;猓?#26816;测程序的程序模块1093和程序数据1094不限于存储于硬盘驱动器1090中
的情况,例如?#37096;?#20197;存储于可装卸的存储介质中,经由盘驱动器等由CPU 1020读出。或者,
检测程序的程序模块1093和程序数据1094?#37096;?#20197;存储于经由网络(LAN(Local Area
Network:局域网)、WAN(Wide Area Network:广域网)等)连接的其他计算机中而经由网络
接口1070由CPU 1020读出。

标号说明

10:检测装置;11:恶意软件执行环境部;11A:恶意软件;11B、11C:进程;11D:访客
OS;11E:虚拟计算机;110:数据传播跟踪部;110A?#21495;?#26631;签保存区域;110B:标签赋予部;
110C:标签传播部A;110D:存储器标签保存区域;110E:标签传播部B;110F:寄存器标签保存
区域;111?#22909;?#20196;监视部;112:篡改检测部;113:通信目的地信息DB;114:虚拟NIC;115:虚拟
盘;116:虚拟HW控制器;117:虚拟存储器;118:虚拟CPU;118B:虚拟寄存器;12:解析结果DB;
13:C&C服务器通信目的地信息DB。

关于本文
本文标题:检测装置、检测方法以及检测程序.pdf
链接地址:http://www.pqiex.tw/p-6091913.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

[email protected] 2017-2018 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备17046363号-1 
 


收起
展开
平码五不中公式规律 麻将风云老虎机下下载 pt老虎机平台送体验金 百搭二王app下载 悬赏主怎么赚钱 pk10官网开奖历史记录 抢庄牌九技巧规则 用文章赚钱软件好 七星彩长规律表 宅基地如何赚钱 写故事赚钱app下载