[发明专利]加密块确定装置以及加密块确定方法

说明书

本发明涉及为了对恶意软件在通信的隐匿中利用的加密逻辑进行分析而在恶意软件的程序内确定存储有加密逻辑的加密块的加密块确定装置。加密块确定装置具有：块候选提取部，其对记录有恶意软件的执行步骤的执行轨迹进行分析，根据执行步骤中是否包含加密性方面具有特征的运算类别，计算表示执行步骤的加密性的评价值，提取该评价值超过阈值L的执行步骤作为加密块的候选即块候选；以及加密块确定部，其将块候选连续超过阈值M的执行轨迹的区域确定为加密块。

技术领域

本发明涉及为了对恶意软件在通信的隐匿中利用的加密逻辑进行分析而在恶意软件的程序内确定存储有加密逻辑的加密块的加密块确定装置。

背景技术

作为近年来的安全威胁，瞄准特定组织而顽强地进行攻击的标的型攻击日益严重化。标的型攻击通过向标的组织发送邮件，使标的组织的终端感染恶意软件。感染的恶意软件从组织内部与外部的攻击者服务器进行通信，进行攻击程序的下载和组织系统内的信息窃取。

以由于恶意软件感染而引起的信息泄露损害的严重化为背景，确定恶意软件泄露了什么信息的技术受到关注。在确定实际已泄露的信息时，通过对个人计算机或服务器等设备生成的日志进行分析，得知恶意软件的活动。

但是，在最近的恶意软件中，有的使用加密技术来隐匿通信。这种恶意软件的通信无法直接分析，因此，很难得知恶意软件的活动。

因此，需要确定恶意软件在通信的隐匿中利用的加密逻辑及其密钥，对被加密的通信进行解密。通常，该作业需要对恶意软件的机器语言即二进制数据进行分析，需要庞大的劳力和时间。因此，作为确定加密逻辑及其密钥的现有技术，例如有以下的专利文献1、非专利文献1、非专利文献2中公开的方法。

在专利文献1中，在内部具有加密函数，为了确定对信息进行加密并上载的恶意软件的加密密钥，记录恶意软件执行的命令的执行轨迹，包含运算数据在内进行分析，由此确定密钥。

非专利文献1、非专利文献2提出了如下技术：对执行恶意软件而得到的日志即执行轨迹进行分析，确定恶意软件正在利用的加密逻辑。

在非专利文献1中，利用加密处理大多为算术/比特运算的性质，在执行轨迹中，计算比特/逻辑运算的比例，由此确定加密块。

在非专利文献2中，利用加密处理大多反复进行同一处理而对信息进行加密的特征，从执行轨迹中检测同一处理的反复即循环，由此确定加密块。

现有技术文献

专利文献

专利文献1：日本特开2013-114637号公报

非专利文献

非专利文献1：Zhi Wang,Xuxian Jiang,Weidong Cui,Xinyuan Wang and MikeGrace,ReFormat：automatic reverse engineering of encrypted messages,Proceedings of the 14th European Conference on Research in Computer Security,ESORICS'09 2009.

非专利文献2：Joan Calvet,Jose M.Fernandez,Jean-Yves Marion,Aligot：Cryptographic Function Identification in Obfuscated Binary Programs,Proceedings of the 19th ACM Conference on Computer and CommunicationsSecurity,CCS 2012.

发明内容

发明要解决的课题