特許
J-GLOBAL ID:200903051372949227
マルウェアの挙動解析システム
発明者:
出願人/特許権者:
代理人 (1件):
金原 正道
公報種別:公開公報
出願番号(国際出願番号):特願2006-164285
公開番号(公開出願番号):特開2007-334536
出願日: 2006年06月14日
公開日(公表日): 2007年12月27日
要約:
【課題】 ウィルス、ワーム、スパイウェアなどのマルウェアの挙動を自動的に解析するシステムの提供に関する。【解決手段】 マルウェア実行端末3とダミーサーバ4とログ解析端末5を備えた隔離された環境の下、マルウェア実行端末3上でマルウェアを実行させ、マルウェアによりAPI呼び出しがなされたとき、実際の関数ではなく、マルウェア実行端末3がログ収集のために用意した関数を呼び出すように仕向けることでAPI呼び出しログを収集する。また、マルウェアがサーバへのアクセスを要求したとき、そのリクエストを実際のサーバへではなく、ダミーサーバ4へ送信することでサーバアクセスログを収集する。このように収集されたログは、ログ解析端末5に送信され、ログ定義ファイルを参照して必要なログのみが取り出され、ビヘイビア定義ファイルを参照してビヘイビアが抽出される。【選択図】 図1
請求項(抜粋):
マルウェアの挙動を自動的に解析するシステムであって、
監視対象のマルウェアを実行させて監視するマルウェア実行端末と、このマルウェア実行端末に接続するダミーサーバと、監視対象マルウェアの挙動に関するログデータを解析するログ解析端末を備え、
前記マルウェア実行端末は、
監視対象のマルウェアによるAPI呼び出しを記録し、API呼び出しログを生成するAPIログ収集手段と、
前記マルウェアからのサーバへのリクエストを受け取ったときに実際のサーバへではなく、前記ダミーサーバへ受け取ったリクエストを送信するとともに、前記ダミーサーバからのリスポンスを前記マルウェアに送信する対ダミーサーバI/F手段を備え、
前記ダミーサーバは、
前記マルウェア実行端末から送信されるリクエストに対して、実際のサーバに代わって応答するダミーサーバプログラムと、
サーバアクセスログを作成するサーバアクセスログ収集手段と、
前記API呼び出しログと前記サーバアクセスログを前記ログ解析端末に送信するログ送信手段を備え、
前記ログ解析端末は、
不要なログをフィルタリングするためのフィルタ定義ファイルと、監視対象マルウェアの挙動パターンを記述したビヘイビア定義ファイルとを記憶する定義ファイル記憶手段と、
前記API呼び出しログおよび前記サーバアクセスログから前記フィルタ定義ファイルを使用して不要なログをフィルタリングするログフィルタリング手段と、
前記のフィルタリングされなかったログに対し、前記ビヘイビア定義ファイルを使用して前記監視対象のマルウェアの挙動パターンを抽出するビヘイビア抽出手段を備えることを特徴とするマルウェアの挙動解析システム。
IPC (2件):
FI (3件):
G06F9/06 660Z
, G06F9/06 660N
, G06F15/00 330A
5B276FD05
, 5B276FD08
, 5B285AA05
, 5B285BA01
, 5B285CA32
, 5B285CA36
, 5B285CA37
