特許

J-GLOBAL ID：200903064444765724

マルウェアの類似性検査方法及び装置

発明者： 中尾 康二 ,  吉岡 克成 ,  井上 大介 ,  衛藤 将史
出願人/特許権者： 独立行政法人情報通信研究機構
代理人 (1件)： 新保 斉
公報種別：公開公報
出願番号（国際出願番号）：特願2007-203281
公開番号（公開出願番号）：特開2009-037545
出願日： 2007年08月03日
公開日（公表日）： 2009年02月19日
要約：

【課題】 マルウェアのミクロ分析及びマクロ分析の相関に基づくマルウェアの検査精度を向上させると共に、効率よくマルウェアの検査を行う技術を提供すること。【解決手段】 ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査方法を提供する。ミクロ分析側ではアドレス走査情報検出手段71、脆弱性攻撃コード検出手段72、マルウェア分析手段73がそれぞれ設定可能サンドボックス80を用いて複数のレベル81〜83の分析を行うと共に、マクロ分析側でも入力したマルウェアに対して各レベルのセンサ51〜53により走査層、脆弱性攻撃コード層、マルウェア層について観察し、アドレス走査情報検出手段41、脆弱性攻撃コード検出手段42、マルウェア分析手段43が分析する。両者の結果は挙動比較手段61によって同一性の比較、又は相関関係を算出する。【選択図】 図3

請求項（抜粋）：

ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査方法であって、 コンピュータの第1アドレス走査情報検出手段が、該第1の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第1アドレス走査情報検出工程、 コンピュータの第1マルウェア分析手段が、該第1の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第1マルウェア分析工程、 コンピュータの第2アドレス走査情報検出手段が、該第2の挙動情報のうちネットワークアドレスの走査に係る挙動の統計情報を検出して記憶手段に格納する第2アドレス走査情報検出工程、 コンピュータの第2マルウェア分析手段が、該第2の挙動情報のうちマルウェア本体のコード及び挙動の少なくともいずれかを分析しその結果を記憶手段に格納する第2マルウェア分析工程、 コンピュータの挙動比較手段が、上記第1の挙動情報に関する各工程による情報と、上記第2の挙動情報に関する各工程による情報との相互の同一性又は類似性を所定の比較式に基づいて比較処理する挙動比較工程 を有することを特徴とするマルウェアの類似性検査方法。

IPC (1件)：

G06F 21/22

FI (1件)：

G06F9/06 660N

Fターム (3件)：

5B276FD05 ,  5B276FD08 ,  5B276FD09

引用特許：

出願人引用 (5件)

• 日本特許出願2007年12070号
  
• 日本特許出願2007年12071号
  
• セキュリティ管理装置
  公報種別：公開公報   出願番号：特願2003-340196   出願人：セコム上信越株式会社
• 情報処理装置及び情報処理方法及びプログラム
  公報種別：公開公報   出願番号：特願2005-242533   出願人：三菱電機株式会社
• ログ分析装置、ログ分析プログラムおよび記録媒体
  公報種別：公開公報   出願番号：特願2004-046215   出願人：KDDI株式会社

審査官引用 (3件)

• セキュリティ管理装置
  公報種別：公開公報   出願番号：特願2003-340196   出願人：セコム上信越株式会社
• 情報処理装置及び情報処理方法及びプログラム
  公報種別：公開公報   出願番号：特願2005-242533   出願人：三菱電機株式会社
• ログ分析装置、ログ分析プログラムおよび記録媒体
  公報種別：公開公報   出願番号：特願2004-046215   出願人：KDDI株式会社