[发明专利]确定装置、确定方法

说明书

确定装置(10)对分析对象的恶意软件(11)进行监视，作为日志数据而取得该恶意软件(11)、从通信目的地下载的下载数据、与恶意软件(11)或下载数据的通信目的地之间进行的数据的交接关系。并且，确定装置(10)使用所取得的日志数据，生成将恶意软件、下载数据及通信目的地作为节点并将各节点的依赖关系作为边缘的有向图形即依赖关系图形。并且，确定装置(10)将所生成的依赖关系图形的各节点与已知的恶意信息进行对照来检测恶意节点，并以该恶意的节点为基点而从终点向起点方向追溯边缘，将所追溯的节点确定为新的恶意节点。

技术领域

本发明涉及确定装置、确定方法。

背景技术

众所周知，近年来以BOT、下载器为代表的很多恶意软件从设有恶意的程序的站点(以下，称为恶意软件下载站点)取得程序代码并执行，并且进行功能扩充。在这样的功能扩充中，追加了向外部服务器的攻击、信息榨取等造成进一步的受害的功能。因此，为了将感染后的受害抑制到最小限度，必须干扰向恶意软件下载站点的通信，并阻碍功能扩充。

当前，为了干扰向恶意软件下载站点的通信，采取了对通过恶意软件的动态分析而得到的通信目的地进行黑名单化的对策。由于恶意软件也从正规站点取得程序代码并执行，因此如果将通过动态分析而得到的通信目的地全部黑名单化，则会导致通信的误切断。

因此，如非专利文献1所记载，执行了基于所下载的文件是否为恶意软件而进行的下载站点的确定。一般地，是否为恶意软件的判定处理是基于防病毒软件的检查结果、执行文件时所发生的注册表操作等行为而进行的。

现有技术文献

非专利文献

非专利文献1：畑田充弘、田中恭之、稻积孝纪、“基于砂箱分析结果的对URL黑名单生成的研究”计算机安全研讨会2013论文集(畑田充弘、田中恭之、稲積孝紀、「サンドボックス分析結果に基づくURLブラックリスト生成についての一検討」コンピュータセキュリティシンポジウム2013論文集)

发明内容

发明要解决的课题

但是，在上述的以往技术中，存在无法确切地确定恶意的站点、恶意的下载数据的课题。即，在以往的技术中，无法正确地识别恶意软件与所下载的数据。因此，无法对在恶意软件的动态分析中发生的通信的通信目的地与OS(操作系统)上的对象(程序代码、文件)的依赖关系进行分析，无法确定通信发生的原因、文件数据的取得源。

其结果，在无法直接恶意判定执行数据、在从下载站点取得的程序代码进一步从其它下载站点取得程序代码来执行这样的成为多级结构的情况下，存在看漏恶意的站点、恶意的下载数据这样的课题。

另外，恶意软件大多从恶意软件下载站点取得程序代码并执行，由此进行功能扩充。在上述的以往的技术中，为了防止该功能扩充，通过动态分析而得到用于干扰恶意软件向恶意软件下载站点进行通信的黑名单，在通过动态分析得到的站点中还包括正规站点，因此有时将正规站点错误地确定为下载站点。

解决课题的手段

为了解决上述课题并达到目的，本发明的确定装置的特征在于，其具备：监视部，其对分析对象的恶意软件进行监视，作为日志数据而取得该恶意软件、从通信目的地下载的下载数据、与所述恶意软件或所述下载数据的通信目的地之间进行的数据的交接关系；生成部，其使用由所述监视部取得的日志数据，生成依赖关系图形，该依赖关系图形是将所述恶意软件、所述下载数据及所述通信目的地作为节点，将各节点的依赖关系作为边缘的有向图形；及确定部，其将由所述生成部生成的依赖关系图形的各节点与已知的恶意信息进行对照来检测恶意节点，以该恶意的节点为基点而从终点向起点方向追溯边缘，将所追溯的节点确定为新的恶意节点。