CN106663176B - 检测装置以及检测方法 - Google Patents
检测装置以及检测方法 Download PDFInfo
- Publication number
- CN106663176B CN106663176B CN201580033556.3A CN201580033556A CN106663176B CN 106663176 B CN106663176 B CN 106663176B CN 201580033556 A CN201580033556 A CN 201580033556A CN 106663176 B CN106663176 B CN 106663176B
- Authority
- CN
- China
- Prior art keywords
- data
- attribute information
- tag
- communication data
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/02—Banking, e.g. interest calculation or account maintenance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Technology Law (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
检测装置(10)的特征在于,具有:数据传播跟踪部(110),其对通信数据赋予包含与该通信数据的通信目的地信息关联的属性信息在内的标签,且对被赋予了包含该属性信息在内的标签的通信数据的传播进行跟踪;以及篡改检测部(112),当在通信数据中存在包含与对应于该通信数据的发送目的地或发送源的属性信息不同的属性信息在内的标签的情况下,该篡改检测部(112)检测到该通信数据的篡改。
Description
技术领域
本发明涉及检测装置以及检测方法。
背景技术
近年来,利用具有MITB(Man-in-the-browser:中间人)攻击功能的恶意软件(Malware)的联机银行诈骗造成的损失时常发生。MITB攻击是指,拦截终端的使用者与Web服务间的通信而窃取、篡改通信内容的攻击。ZBot或SpyEye等恶意软件具有MITB攻击功能,其拦截感染终端与联机银行之间的通信而篡改通信数据,由此进行汇款金额的操作或伪装输入表单的显示这样的攻击。
在ZBot等恶意软件中,采用了能够通过设定文件来指定作为MITB攻击的对象的通信数据的机制。因此,不限于联机银行,攻击者能够对与所企图的Web服务之间的通信数据进行攻击。设定文件设置在C&C(Command and Control:命令和控制)服务器上,恶意软件与C&C服务器进行通信而取得该文件从而掌握篡改攻击的对象和篡改内容。然后,在ZBot等恶意软件的情况下,使用API(Application Programming Interface:应用程序接口)钩子(hook)来进行篡改攻击。例如,通过将与通信数据的发送接收相关的API钩住,而对加密前或解密后的通信数据进行篡改攻击。在受到这样的攻击的情况下,仅通过SSL来保护通信路径是无法防止篡改攻击的。
在对这样的威胁采取对策的情况下,防止恶意软件感染本身是理想的。但是,感染攻击的手法日益巧妙,将感染防患于未然处于困难的状况。因此,以用户终端感染到恶意软件为前提的对策是不可缺少的。
在客户端侧采取恶意软件感染后的对策的方法主要有2个。1个是对作为攻击对象的进程进行保护以使得不会进行API钩子等的方法,另1个是阻止取得对篡改对象和内容进行指定的设定文件的方法。只要能够防止API钩子,就能够将篡改的发生防患于未然。但是,很难在感染了恶意软件的状态下可靠地实现此方法。另一方面,在阻止取得设定文件的方法的情况下,由于能够采用网络上的对策,因此即使终端感染了恶意软件也能够采取对策。不过,必须事先掌握对设定文件进行分发的C&C服务器的IP(Internet Protocol:互联网协议)地址等。
为了事先收集C&C服务器的IP地址等,一般进行恶意软件解析。迄今为止,作为通过恶意软件解析自动地确定C&C服务器的方法,在非专利文献1中提出了根据系统调用间的通信数据的传递关系来确定C&C服务器的方法。该方法着重于仅在恶意软件与C&C服务器通信时出现的系统调用间的数据的传递关系,具有错误检测较少这样的特征。但是,在系统调用间的数据的传递关系上未显现出特征的情况下无法检测。
另外,迄今为止,作为进行MITB攻击的恶意软件的解析方法提出了非专利文献2这样的方法。非专利文献2的方法在如下的方面上优秀:能够在不会给Web服务带来影响的情况下对恶意软件进行分析,且进行篡改检测和篡改部位的确定。但是,没有实现到指定了篡改内容的C&C服务器的确定。
现有技术文献
非专利文献
非专利文献1:P.Wurzinger,L.Bilge,T.Holz,J.Goebel,C.Kruegel,andE.Kirda,"Automatically Generating Models for Botnet Detection",In Proceedingsof the 14th European Conference on Research in Computer Security
非专利文献2:瀬川達也、神薗雅紀、星澤裕二、吉岡克成、松本勉「Man-in-the-Browser攻撃を行うマルウェアの安全な動的解析手法」電子情報通信学会技術研究報告
发明内容
发明要解决的课题
本发明的目的在于提供一种能够详细地分析通信数据的篡改的检测装置、检测方法以及检测程序。
用于解决课题的手段
为了解决上述的课题并达成目的,所公开的检测装置的特征在于,具有:跟踪部,其对通信数据赋予包含与该通信数据的通信目的地信息关联的属性信息在内的标签,且对被赋予了该标签的通信数据的传播进行跟踪;以及检测部,当在所述通信数据中存在包含与对应于该通信数据的发送目的地或发送源的属性信息不同的属性信息在内的标签的情况下,该检测部检测到该通信数据的篡改。
发明效果
根据本申请所公开的实施方式,实现如下的效果:能够详细地分析通信数据的篡改。
附图说明
图1是示出本实施方式的检测装置的概要的结构图。
图2是示出本实施方式的检测装置中的虚拟计算机和数据传播跟踪部的结构的框图。
图3是示出本实施方式的标签的结构例的图。
图4是示出本实施方式的通信目的地信息DB中存储的信息的一例的图。
图5是示出本实施方式的篡改检测部中的对于接收数据的处理流程的流程图。
图6是示出本实施方式的篡改检测部中的对于发送数据的处理流程的流程图。
图7是示出执行检测程序的计算机的图。
具体实施方式
以下根据附图详细地说明本申请的检测装置、检测方法以及检测程序的实施方式。此外,本申请的检测装置、检测方法以及检测程序不限于该实施方式。
[实施方式]
在以下的实施方式中,依次说明实施方式的检测装置的结构和处理流程,然后,最后说明实施方式的效果。
[检测装置的结构]
首先,使用图1来说明检测装置10的结构。图1是示出本实施方式的检测装置的概要的结构图。如图1所示,该检测装置10具有:恶意软件执行环境部11、解析结果DB(DataBase:数据库)12以及C&C服务器通信目的地信息DB 13。以下说明这些各部件的处理。
恶意软件执行环境部11由进程11B、进程11C、访客OS(Operating System:操作系统)11D以及虚拟计算机11E构成。访客OS 11D是用于对恶意软件11A进行动态解析的环境。另外,恶意软件11A在访客OS 11D上被执行而在访客OS 11D上使浏览器等作为恶意软件11A的攻击对象的进程11B、进程11C进行动作。
虚拟计算机11E由数据传播跟踪部110、命令监视部111、篡改检测部112以及通信目的地信息DB 113构成。
数据传播跟踪部110对通信数据赋予标签,跟踪通信数据的传播。此时,由于唯一地确定通信数据的发送目的地或发送源,因此使标签保持与通信目的地信息对应的属性信息等。此外,在以下的说明中,在统称发送目的地和发送源的情况下,记为“通信目的地”。另外,通信目的地信息是指,例如通信目的地的IP地址或FQDN(Fully Qualified DomainName:完全限定域名)、URL(Uniform Resource Locator:统一资源定位符)等信息。
这里,使用图3来说明标签的结构例。图3是示出本实施方式的标签的结构例的图。如图3所示,标签包含“ID(identification:标识)”和“属性信息”。这里,属性信息是与通信数据的发送源或发送目的地的通信目的地信息对应的信息。ID是被设定成按照每个该属性信息连续的值(连号(通番))的信息。即,能够根据属性信息与ID的组合而唯一地识别标签。此外,例如以规定的数据长度为单位对某通信数据赋予标签。
作为一例,说明对从IP地址“192.168.0.1”的通信目的地接收到的10字节的接收数据赋予标签的情况。此外,在该例中,说明以1字节为单位赋予标签、且与IP地址“192.168.0.1”对应的属性信息是“0x1”的情况。在该情况下,由于以1字节为单位对10字节的接收数据赋予标签,因此对该接收数据赋予10个标签。其中,第1个标签包含ID“1”和属性信息“0x1”,第2个标签包含ID“2”和属性信息“0x1”,第3个标签包含ID“3”和属性信息“0x1”,…第10个标签包含ID“10”和属性信息“0x1”。这样,各个标签包含被赋予连号的ID和与通信目的地对应的属性信息。此外,在从IP地址“192.168.0.1”的通信目的地再次接收到数据的情况下,对该接收数据赋予例如包含从ID“11”开始的连号的ID在内的多个标签。另外,在从“192.168.0.2”等与上述IP地址不同的IP地址的通信目的地接收到数据的情况下,对该接收数据赋予例如包含从ID“1”开始的连号的ID在内的多个标签。
此外,如上所述,以规定的数据长度为单位对通信数据赋予多个本实施方式的标签并且将多个标签各自的ID分配成连号是因为由此能够确定通信数据的篡改内容。例如,如果分配成连号,则多个标签各自所包含的ID的值按照标签的排列顺序而连续。但是,如果多个标签各自所包含的ID的值不按照标签的排列顺序连续,则篡改检测部112能够检测到通信数据的篡改,并且能够确定不连续的附近的数据被篡改。此外,例如,如果ID的编号消失或者其他标签混入,则篡改检测部112能够确定进行了通信数据的改写或追记。另外,如果在ID的编号中发生偏差,则篡改检测部112能够确定其附近的数据被删除。
即,数据传播跟踪部110对通信数据设定标签,将所设定的标签所包含的属性信息和与该属性信息对应的通信目的地信息转发给通信目的地信息DB 113之后,在虚拟计算机11E上对通信数据的传播进行跟踪。通信目的地信息DB 113将从数据传播跟踪部110转发的属性信息与通信目的地信息关联起来进行存储。此外,关于通信目的地信息DB 113中存储的信息,将会后面进行说明。
命令监视部111监视在系统内发布的命令。例如,命令监视部111监视由恶意软件11A所执行的API(Application Programming Interface)调用或系统调用的发布这样的命令。
当在通信数据中存在包含与对应于该通信数据的发送目的地或发送源的属性信息不同的属性信息在内的标签的情况下,篡改检测部112检测到通信数据的篡改。例如,篡改检测部112根据设定于通信数据的标签而检测篡改。而且,篡改检测部112在检测出篡改的情况下,将与所包含的属性信息不同于与通信数据的发送目的地或发送源对应的属性信息的标签对应的数据确定为篡改内容,将所确定的篡改内容转发给解析结果DB 12。解析结果DB 12存储以从篡改检测部112转发的篡改内容为代表的解析结果。
另外,篡改检测部112在检测出篡改的情况下,将与所包含的属性信息不同于与通信数据的发送目的地或发送源对应的属性信息的标签相关联的通信目的地确定为C&C服务器。另外,篡改检测部112将所确定的通信目的地信息作为C&C服务器的通信目的地信息而转发给C&C服务器通信目的地信息DB 13。C&C服务器通信目的地信息DB 13存储从篡改检测部112转发的C&C服务器的通信目的地信息。
接着,使用图2来说明虚拟计算机11E的结构例。图2是示出本实施方式的检测装置中的虚拟计算机和数据传播跟踪部的结构的框图。虚拟计算机11E是向访客OS11D提供虚拟的硬件的软件。另外,虚拟计算机11E由虚拟NIC(Network Interface Card:网络接口卡)114和虚拟盘115、虚拟HW控制器116、虚拟存储器117、虚拟CPU 118等构成。
为了对数据设定标签而进行数据的传播跟踪,数据传播跟踪部110具有:用于保存与虚拟盘115上的数据对应的标签的盘标签保存区域110A、用于保存与虚拟存储器117上的数据对应的标签的存储器标签保存区域110D、以及用于保存与虚拟寄存器118B上的数据对应的标签的寄存器标签保存区域110F。
数据传播跟踪部110的标签赋予部110B对通信数据设定能够唯一地确定发送源的标签,在转发给通信目的地信息DB 113之后,将标签保存在存储器标签保存区域110D中。关于设定标签的时机,在接收数据的情况下,是数据从虚拟NIC 114向虚拟存储器117复制的时机、或者是刚刚调用了用于接收数据的API/系统调用之后(从函数返回到调用源的时机),另外,在发送数据的情况下,是浏览器等正规的应用对用于发送数据的API调用或系统调用进行发布的时机。由标签传播部110C(标签传播部A)与数据的传播配合地传播对数据所设定的标签。
标签传播部110C进行盘标签保存区域110A与存储器标签保存区域110D之间的标签的传播。另外,标签传播部110E(标签传播部B)进行存储器标签保存区域110D与寄存器标签保存区域110F之间的传播或寄存器标签保存区域110F之间的标签的传播。
另外,命令监视部111监视浏览器等正规应用所执行的API调用。在正规应用调用了与数据接收相关的API的情况下,在调用时记录函数的所有自变量,在返回时向篡改检测部112进行通知。另外,在API与数据发送相关的情况下,命令监视部111在调用时向数据传播跟踪部110进行通知。接收到通知的数据传播跟踪部110利用标签赋予部110B对发送数据设定能够唯一地确定数据的发送目的地的标签。此外,与数据接收或数据发送相关的API是恶意软件解析者等在解析前设定的。
篡改检测部112在从命令监视部111收到通知之后,通过确认与接收数据对应的标签而进行对于接收数据的篡改的检测、篡改内容的确定、指定了篡改内容的C&C服务器的确定。此外,通过在虚拟NIC 114中数据发送时确认与发送数据对应的标签,篡改检测部112进行对于发送数据的篡改的检测、篡改内容的确定、指定了篡改内容的C&C服务器的确定。此外,当在数据传播时通信数据作为接收数据/发送数据传递给实施加密/解密处理的API的情况下,也可以对该API的返回值也进行强制性地传播标签的处理。此时,也可以再次重新分配ID。
这里,使用图4来说明通信目的地信息DB 113中存储的信息。图4是示出本实施方式的通信目的地信息DB 113中存储的信息的一例的图。如图4所示,通信目的地信息DB 113将标签所包含的属性信息、发送接收信息以及通信目的地信息关联起来进行存储。该发送接收信息是表示与通信目的地的通信是接收还是发送的信息,例如,“R”表示接收,“S”表示发送。此外,在图4中,例示出存储IP地址作为通信目的地信息的情况。
在图4所示的例子中,通信目的地信息DB 113将属性信息“0x1”、发送接收信息“R”以及通信目的地信息“192.168.0.1”关联起来进行存储。这表示赋予给来自IP地址“192.168.0.1”的接收数据的属性信息是“0x1”。另外,通信目的地信息DB 113将属性信息“0xA”、发送接收信息“R”以及通信目的地信息“192.168.1.10”关联起来进行存储。这表示赋予给向IP地址“192.168.1.10”的接收数据的属性信息是“0xA”。
此外,如图4的第3行所示,通信目的地信息DB 113将属性信息“0x3”、发送接收信息“S”以及通信目的地信息“192.168.0.1”关联起来进行存储。这表示即使是与第1行的IP地址“192.168.0.1”相同的IP地址,如果发送接收信息是与第1行的“R(接收)”不同的“S(发送)”,则也被赋予不同的属性信息“0x3”。即,在通信目的地信息DB 113中,对于发送接收信息与通信目的地信息的组合,唯一地设定属性信息。此外,通信目的地信息DB 113也可以不必须存储发送接收信息。在该情况下,属性信息不限于发送接收的方向,按照每个通信目的地进行存储。另外,属性信息可以是可变长度的数据,也可以是固定长度的数据。
此外,如上所述,通信目的地信息DB 113将属性信息与通信目的地的信息关联起来进行存储是因为由此能够进行通信数据的篡改的检测。例如,篡改检测部112参照通信目的地信息DB 113,取得与作为处理对象的通信数据的发送目的地或发送源对应的属性信息。而且,篡改检测部112参照通信数据所包含的属性信息,与所取得的属性信息进行对照。这里,如果未被篡改,则通信数据所包含的所有的属性信息应该与从通信目的地信息DB113取得的属性信息一致。另一方面,如果不一致,则篡改检测部112能够检测到篡改。此外,如果与不同于原本的通信目的地的通信目的地相关联,则篡改检测部112能够将该通信目的地确定为C&C服务器。
[基于检测装置的处理]
接着,使用图5和图6来说明检测装置10中的处理流程。图5是示出本实施方式的篡改检测部中的对于接收数据的处理流程的流程图。图6是示出本实施方式的篡改检测部中的对于发送数据的处理流程的流程图。
首先,使用图5来说明与篡改检测部112中的对于接收数据的篡改的检测、篡改内容的确定、指定了篡改内容的C&C服务器的确定相关的处理。
如图5所示,篡改检测部112最初取得在与数据接收相关的API的调用时命令监视部111所记录的自变量信息和返回值(步骤S101),且取得与各接收数据对应的标签(步骤S102)。而且,在对接收数据设定有标签的情况下(步骤S103,“是”),篡改检测部112开始进行对篡改攻击的检测处理。另一方面,在对接收数据未设定标签的情况下(步骤S103,“否”),篡改检测部112结束对于该接收数据的处理。
作为对篡改攻击的检测处理,篡改检测部112首先从自变量信息取得通信目的地(步骤S104)。而且,篡改检测部112对于与接收数据对应的标签,确认是否带有与接收数据的发送源对应的属性信息以外的属性信息(步骤S105)。这里,当存在带有与接收数据的发送源对应的属性信息以外的属性信息的标签的情况下(步骤S105,“是”),篡改检测部112判断为进行了篡改攻击,而对进行了篡改攻击的部位进行确定的处理(步骤S106)。在该情况下,篡改检测部112判断为带有属性信息为与来自通信目的地的接收数据对应的属性信息以外的标签的数据被篡改,在解析结果DB 12中登记篡改内容(步骤S107)。而且,篡改检测部112从通信目的地信息DB 113提取与篡改后的数据相关联的通信目的地(步骤S108)。而且,当存在从与从自变量信息取得的通信目的地不同的通信目的地取得的标签的情况下(步骤S109,“是”),篡改检测部112将与该标签相关联的通信目的地确定为C&C服务器(步骤S110),将所确定的通信目的地登记于C&C服务器通信目的地信息DB 13中(步骤S111)。
而且,篡改检测部112确认具有相同的属性信息的标签的ID是否成为按照数据的排列顺序而连续的值(步骤S112)。这是因为将标签的ID分配成连号,所以当顺序在中途发生偏差的情况下可判断为进行了基于数据删除的篡改攻击。这里,在未成为连续的值的情况下(步骤S112,“否”),篡改检测部112判断为进行了基于数据删除的篡改攻击,在解析结果DB 12中记录标签的ID和接收数据(检查对象数据)(步骤S113),并结束处理。
此外,当不存在带有与接收数据的发送源对应的属性信息以外的属性信息的标签的情况下(步骤S105,“否”)以及不存在从与从自变量信息取得的通信目的地不同的通信目的地取得的标签的情况下(步骤S109,“否”),篡改检测部112转移到步骤S112的处理。另外,在具有相同的属性信息的标签的ID成为按照数据的排列顺序而连续的值的情况下(步骤S112,“是”),篡改检测部112结束对于该接收数据的处理。
接着,使用图6来说明与篡改检测部112中的对于发送数据的篡改的检测、篡改内容的确定、指定了篡改内容的C&C服务器的确定相关的处理。对到达虚拟NIC 114的发送数据进行该处理。
如图6所示,篡改检测部112取得与发送数据对应的标签(步骤S201),当存在标签的情况下(步骤S202,“是”),开始进行对篡改攻击的检测处理。另一方面,当在发送数据中不存在标签的情况下(步骤S202,“否”),篡改检测部112结束对于该发送数据的处理。
作为对篡改攻击的检测处理,篡改检测部112首先从发送数据所包含的报头信息取得发送数据的发送目的地(步骤S203)。而且,确认包含与发送目的地对应的属性信息以外的属性信息在内的标签是否存在于发送数据内(步骤S204)。这里,当包含与发送目的地对应的属性信息以外的属性信息在内的标签存在于发送数据内的情况下(步骤S204,“是”),篡改检测部112判断为进行了篡改攻击,提取出包含与发送目的地对应的属性信息以外的属性信息在内的标签(步骤S205)。而且,篡改检测部112将与提取出的标签对应的数据作为篡改部位而登记于解析结果DB 12中(步骤S206)。而且,篡改检测部112从自通信目的地信息DB 113提取出的标签取得通信目的地(步骤S207),如果标签与通信目的地相关联(步骤S208,“是”),则将与标签相关联的通信目的地确定为C&C服务器(步骤S209)。而且,篡改检测部112将所确定的通信目的地登记于C&C服务器通信目的地信息DB 13中(步骤S210)。
另外,篡改检测部112确认具有相同的属性信息的标签的ID是否成为按照数据的排列顺序而连续的值(步骤S211)。这是因为将标签的ID分配成连号,所以当顺序在中途发生偏差的情况下判断为进行了基于数据删除的篡改攻击。这里,在未成为连续的值的情况下(步骤S211,“否”),篡改检测部112判断为进行了基于数据删除的篡改攻击,在解析结果DB 12中记录标签的ID和发送数据(检查对象数据)(步骤S212),并结束处理。
此外,当包含与发送目的地对应的属性信息以外的属性信息在内的标签不存在于发送数据内的情况下(步骤S204,“否”)以及标签与通信目的地不相关联的情况下(步骤S208,“否”),篡改检测部112转移到步骤S211的处理。另外,在具有相同的属性信息的标签的ID按照数据的排列顺序而连续的情况下(步骤S211,“是”),篡改检测部112结束对于该发送数据的处理。
[实施方式的效果]
如上所述,检测装置10对通信数据赋予包含与该通信数据的通信目的地信息关联的属性信息在内的标签,对被赋予了该标签的通信数据的传播进行跟踪。而且,当在通信数据中存在包含与对应于该通信数据的发送目的地或发送源的属性信息不同的属性信息在内的标签的情况下,检测装置10检测到该通信数据的篡改。由此,检测装置10能够详细地分析通信数据的篡改。
例如,在以往的解析方法中,虽然进行了篡改的检测和篡改内容的确定,但存在无法对指示了篡改内容的C&C服务器进行确定的问题。为了确定C&C服务器,要求如下的机制:该机制在进行了篡改的检测和篡改内容的确定之后,能够对在篡改时所嵌入的数据的出处进行解析。因此,在本实施方式中,对解析系统内的数据的传播进行跟踪,应用污点(taint)解析而对在特定的2点间流动的数据包含原本不应该存在的数据的情况进行检测,不仅实现了篡改检测和篡改内容的确定,还实现了指示篡改内容的C&C服务器的确定。
[其他实施方式]
此外,在上述的实施方式中,说明了对恶意软件执行环境中的解析应用的情况,但不限于此。例如,本实施方式的各部件也可以引入到用户终端中。另外,在利用本实施方式时,也可以只以是否是具有篡改功能的恶意软件的判定或发生了篡改攻击的警告通知为目的,不进行C&C服务器确定处理,而只实施对篡改攻击的检测处理。此外,在实施C&C服务器确定处理时,也可以根据C&C服务器通信目的地信息DB 13的内容而在VMM(VirtualMachine Monitor:虚拟机监视器)侧实施通信的阻断,也可以与外部IPS(IntrusionPrevention System:入侵防御系统)装置等协作而采取通信阻断的措施。此外,C&C服务器也称为“指令服务器”。
[系统结构等]
另外,图示的各装置的各结构要素是功能概念性的,不需要必须在物理上如图示那样构成。即,各装置的分散/整合的具体方式不限于图示的方式,能够根据各种负载或使用状况等而将其全部或者一部分以任意的单位在功能上或者物理上进行分散/整合而构成。此外,关于各装置所执行的各处理功能,其全部或者任意的一部分可以由CPU和该CPU所解析执行的程序来实现、或者作为基于布线逻辑的硬件来实现。
另外,在本实施方式中所说明的各处理中,也可以手动地进行作为自动地进行的处理而说明的处理的全部或者一部分,或者也可以通过公知的方法自动地进行作为手动地进行的处理而说明的处理的全部或者一部分。除此之外,关于上述文档中或附图中所示的处理过程、控制过程、具体的名称、包含各种数据或参数在内的信息,除了特殊说明的情况以外可以任意变更。
[程序]
另外,关于在上述实施方式中说明的检测装置10所执行的处理,也可以创建以计算机可执行的语言进行了描述的程序。例如,关于实施方式的检测装置10所执行的处理,也可以创建以计算机可执行的语言进行了描述的检测程序。在该情况下,通过由计算机执行检测程序,能够得到与上述实施方式相同的效果。此外,也可以将该检测程序记录在计算机可读取的记录介质中,通过使计算机读入并执行该记录介质中记录的检测程序,由此实现与上述实施方式相同的处理。以下对执行实现与图1所示的检测装置10相同的功能的检测程序的计算机的一例进行说明。
图7是示出执行检测程序的计算机1000的图。如图7所例示,计算机1000例如具有存储器1010、CPU 1020、硬盘驱动器接口1030、盘驱动器接口1040、串行端口接口1050、视频适配器1060以及网络接口1070,这些各部件通过总线1080连接。
如图7所例示,存储器1010包含ROM(Read Only Memory:只读存储器)1011和RAM(Random Access Memory:随机存取存储器)1012。ROM 1011例如存储BIOS(Basic InputOutput System:基本输入输出系统)等引导程序。如图7所例示,硬盘驱动器接口1030与硬盘驱动器1090连接。如图7所例示,盘驱动器接口1040与盘驱动器1041连接。例如磁盘或光盘等可装卸的存储介质插入到盘驱动器中。如图7所例示,串行端口接口1050例如与鼠标1110、键盘1120连接。如图7所例示,视频适配器1060与例如显示器1130连接。
这里,如图7所例示,硬盘驱动器1090例如存储OS 1091、应用程序1092、程序模块1093、程序数据1094。即,上述的检测程序作为描述有由计算机1000执行的指令的程序模块而存储于例如硬盘驱动器1090中。
另外,上述实施方式中所说明的各种数据作为程序数据存储于例如存储器1010或硬盘驱动器1090中。另外,CPU 1020根据需要将存储器1010和硬盘驱动器1090中存储的程序模块1093和程序数据1094读出到RAM 1012而执行。
此外,检测程序的程序模块1093和程序数据1094不限于存储于硬盘驱动器1090中的情况,例如也可以存储于可装卸的存储介质中,经由盘驱动器等由CPU 1020读出。或者,检测程序的程序模块1093和程序数据1094也可以存储于经由网络(LAN(Local AreaNetwork:局域网)、WAN(Wide Area Network:广域网)等)连接的其他计算机中而经由网络接口1070由CPU 1020读出。
标号说明
10:检测装置;11:恶意软件执行环境部;11A:恶意软件;11B、11C:进程;11D:访客OS;11E:虚拟计算机;110:数据传播跟踪部;110A:盘标签保存区域;110B:标签赋予部;110C:标签传播部A;110D:存储器标签保存区域;110E:标签传播部B;110F:寄存器标签保存区域;111:命令监视部;112:篡改检测部;113:通信目的地信息DB;114:虚拟NIC;115:虚拟盘;116:虚拟HW控制器;117:虚拟存储器;118:虚拟CPU;118B:虚拟寄存器;12:解析结果DB;13:C&C服务器通信目的地信息DB。
Claims (6)
1.一种检测装置,其特征在于,该检测装置具有:
跟踪部,其对通信数据赋予包含与该通信数据的通信目的地信息关联的属性信息在内的标签,且对被赋予了该标签的通信数据的传播进行跟踪;以及
检测部,当在所述通信数据中存在包含与对应于该通信数据的发送目的地或发送源的属性信息不同的属性信息在内的标签的情况下,该检测部检测到该通信数据的篡改,
所述检测部在检测出所述篡改的情况下,将与包含所述不同的属性信息在内的标签相关联的通信目的地确定为C&C服务器,其中所述C&C是命令和控制。
2.根据权利要求1所述的检测装置,其特征在于,
该检测装置还具有命令监视部,该命令监视部对在系统内发布的命令进行监视,
在所述命令监视部检测出API调用或者系统调用作为所述命令的情况下,所述检测部对接收数据进行所述篡改的检测,其中所述API是应用程序接口。
3.根据权利要求1所述的检测装置,其特征在于,
所述检测部在向虚拟NIC复制发送数据的时机,对该发送数据进行所述篡改的检测,其中所述NIC是网络接口卡。
4.根据权利要求1至3中的任一项所述的检测装置,其特征在于,
所述检测部在检测出所述篡改的情况下,将与包含所述不同的属性信息在内的标签对应的数据确定为篡改内容。
5.根据权利要求1至3中的任一项所述的检测装置,其特征在于,
所述跟踪部以规定的数据长度为单位对所述通信数据赋予多个标签,并且对标签分配按照该多个标签的排列顺序而连号的ID,
所述检测部对于赋予给通信数据的标签,在对包含相同的属性信息在内的一系列的标签中的各个标签分配的ID不按照所述排列顺序的情况下,检测到所述篡改。
6.一种由检测装置执行的检测方法,其特征在于,该检测方法包括下述步骤:
跟踪步骤,对通信数据赋予包含与该通信数据的通信目的地信息关联的属性信息在内的标签,且对被赋予了该标签的通信数据的传播进行跟踪;以及
检测步骤,当在所述通信数据中存在包含与对应于该通信数据的发送目的地或发送源的属性信息不同的属性信息在内的标签的情况下,检测到该通信数据的篡改,
在所述检测步骤中,在检测出所述篡改的情况下,将与包含所述不同的属性信息在内的标签相关联的通信目的地确定为C&C服务器,其中所述C&C是命令和控制。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014-134055 | 2014-06-30 | ||
JP2014134055 | 2014-06-30 | ||
PCT/JP2015/068269 WO2016002605A1 (ja) | 2014-06-30 | 2015-06-24 | 検知装置、検知方法及び検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106663176A CN106663176A (zh) | 2017-05-10 |
CN106663176B true CN106663176B (zh) | 2020-03-10 |
Family
ID=55019147
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580033556.3A Active CN106663176B (zh) | 2014-06-30 | 2015-06-24 | 检测装置以及检测方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US10412101B2 (zh) |
EP (1) | EP3144845B1 (zh) |
JP (1) | JP6096389B2 (zh) |
CN (1) | CN106663176B (zh) |
WO (1) | WO2016002605A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE112011100682B4 (de) | 2010-02-25 | 2018-05-09 | Honda Motor Co., Ltd. | Elektrische Servolenkungsvorrichtung |
US10176325B1 (en) * | 2016-06-21 | 2019-01-08 | Symantec Corporation | System and method for dynamic detection of command and control malware |
WO2018216205A1 (ja) * | 2017-05-26 | 2018-11-29 | 日本電気株式会社 | 流通履歴管理システム、流通履歴管理装置、方法およびプログラム |
CN108322444B (zh) * | 2017-12-29 | 2021-05-14 | 山石网科通信技术股份有限公司 | 命令与控制信道的检测方法、装置和系统 |
CN108540652B (zh) * | 2018-03-15 | 2019-12-17 | 北京华大智宝电子系统有限公司 | 一种安全交互方法及装置 |
CN108920589B (zh) * | 2018-06-26 | 2021-08-10 | 百度在线网络技术(北京)有限公司 | 浏览劫持识别方法、装置、服务器及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006128989A (ja) * | 2004-10-28 | 2006-05-18 | Furukawa Electric Co Ltd:The | パケット中継装置、パケット中継方法およびパケット中継プログラム |
KR20120057059A (ko) * | 2010-11-26 | 2012-06-05 | 고려대학교 산학협력단 | 봇 프로세스 탐지 장치 및 방법 |
CN102855568A (zh) * | 2012-08-14 | 2013-01-02 | 广东汇卡商务服务有限公司 | 一种防止pos终端非法移机的支付系统及方法 |
CN103595590A (zh) * | 2013-11-28 | 2014-02-19 | 成都科来软件有限公司 | 一种数据包篡改检测方法、装置及系统 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06197133A (ja) * | 1992-12-24 | 1994-07-15 | Toshiba Corp | 通信システム |
US8566928B2 (en) | 2005-10-27 | 2013-10-22 | Georgia Tech Research Corporation | Method and system for detecting and responding to attacking networks |
US9043919B2 (en) * | 2008-10-21 | 2015-05-26 | Lookout, Inc. | Crawling multiple markets and correlating |
EP2222048A1 (en) * | 2009-02-24 | 2010-08-25 | BRITISH TELECOMMUNICATIONS public limited company | Detecting malicious behaviour on a computer network |
JP5316217B2 (ja) * | 2009-05-19 | 2013-10-16 | ソニー株式会社 | データ送信方法および装置、データ通信方法および装置 |
JP5396314B2 (ja) * | 2010-03-10 | 2014-01-22 | 株式会社日立製作所 | 不正操作検知システム及び不正操作検知方法 |
KR101086451B1 (ko) * | 2011-08-30 | 2011-11-25 | 한국전자통신연구원 | 클라이언트 화면 변조 방어 장치 및 방법 |
JP5770602B2 (ja) * | 2011-10-31 | 2015-08-26 | トヨタ自動車株式会社 | 通信システムにおけるメッセージ認証方法および通信システム |
US9225730B1 (en) * | 2014-03-19 | 2015-12-29 | Amazon Technologies, Inc. | Graph based detection of anomalous activity |
US20150271196A1 (en) * | 2014-03-20 | 2015-09-24 | International Business Machines Corporation | Comparing source and sink values in security analysis |
-
2015
- 2015-06-24 US US15/320,186 patent/US10412101B2/en active Active
- 2015-06-24 CN CN201580033556.3A patent/CN106663176B/zh active Active
- 2015-06-24 JP JP2016531302A patent/JP6096389B2/ja active Active
- 2015-06-24 EP EP15814747.0A patent/EP3144845B1/en active Active
- 2015-06-24 WO PCT/JP2015/068269 patent/WO2016002605A1/ja active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006128989A (ja) * | 2004-10-28 | 2006-05-18 | Furukawa Electric Co Ltd:The | パケット中継装置、パケット中継方法およびパケット中継プログラム |
KR20120057059A (ko) * | 2010-11-26 | 2012-06-05 | 고려대학교 산학협력단 | 봇 프로세스 탐지 장치 및 방법 |
CN102855568A (zh) * | 2012-08-14 | 2013-01-02 | 广东汇卡商务服务有限公司 | 一种防止pos终端非法移机的支付系统及方法 |
CN103595590A (zh) * | 2013-11-28 | 2014-02-19 | 成都科来软件有限公司 | 一种数据包篡改检测方法、装置及系统 |
Also Published As
Publication number | Publication date |
---|---|
WO2016002605A1 (ja) | 2016-01-07 |
JP6096389B2 (ja) | 2017-03-15 |
EP3144845B1 (en) | 2019-04-03 |
JPWO2016002605A1 (ja) | 2017-04-27 |
US10412101B2 (en) | 2019-09-10 |
CN106663176A (zh) | 2017-05-10 |
EP3144845A1 (en) | 2017-03-22 |
US20170126715A1 (en) | 2017-05-04 |
EP3144845A4 (en) | 2017-11-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106663176B (zh) | 检测装置以及检测方法 | |
JP7046111B2 (ja) | マルウェアのランタイム中の自動検出 | |
US8805995B1 (en) | Capturing data relating to a threat | |
EP3225009B1 (en) | Systems and methods for malicious code detection | |
US8434151B1 (en) | Detecting malicious software | |
WO2015163953A2 (en) | Behavioral analytics driven host-based malicious behavior and data exfiltration disruption | |
EP3091466B1 (en) | Identification device, identification method, and identification program | |
JP4938576B2 (ja) | 情報収集システムおよび情報収集方法 | |
US20070016914A1 (en) | Kernel validation layer | |
CN107004088B (zh) | 确定装置、确定方法及记录介质 | |
US9916443B1 (en) | Detecting an attempt to exploit a memory allocation vulnerability | |
CN106685899B (zh) | 用于识别恶意访问的方法和设备 | |
CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
US7650640B1 (en) | Method and system for detecting IA32 targeted buffer overflow attacks | |
KR101499470B1 (ko) | 악성코드 전이 탐지를 이용한 apt 공격 방어 시스템 및 그 방어 방법 | |
JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム | |
Sparks et al. | A chipset level network backdoor: bypassing host-based firewall & ids | |
US20160210474A1 (en) | Data processing apparatus, data processing method, and program | |
US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
WO2015178002A1 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
US11451584B2 (en) | Detecting a remote exploitation attack | |
US20090276853A1 (en) | Filtering intrusion detection system events on a single host | |
KR20100074470A (ko) | 네트워크 기반의 irc 봇넷 탐지 방법 | |
CN108737359B (zh) | 用于固定环境的资安防护系统及其资安防护方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |