| 出願番号 |
特願2007-203281 |
| 出願日 |
2007/8/3 |
| 出願人 |
独立行政法人情報通信研究機構 |
| 公開番号 |
特開2009-037545 |
| 公開日 |
2009/2/19 |
| 登録番号 |
特許第5083760号 |
| 特許権者 |
国立研究開発法人情報通信研究機構 |
| 発明の名称 |
マルウェアの類似性検査方法及び装置 |
| 技術分野 |
情報・通信、その他 |
| 機能 |
制御・ソフトウェア、その他 |
| 適用製品 |
マルウェアの類似性を検査する装置 |
| 目的 |
マルウェアのミクロ分析及びマクロ分析の相関に基づくマルウェアの検査精度を向上させると共に、効率よくマルウェアの検査を行う技術の提供を目的とする。 |
| 効果 |
マルウェアのミクロ分析とマクロ分析の結果から相関度を求める際に従来のように走査のプロファイルを比較するだけでなく、脆弱性攻撃コードやマルウェア自体のコード、挙動をも比較対象とすることにより高精度の相関分析が実現できる。 例えば、走査の挙動が類似した2つの異なるマルウェアに対しても、脆弱性攻撃コードやマルウェア自体のコード、挙動の相関度を求めることで正確な識別を行うことができる。 |
技術概要
 |
この技術は、ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の挙動情報と、検査対象の第2のソフトウェアの処理結果から得られる第2の挙動情報とを比較して両者の類似性を検査するマルウェアの類似性検査方法である。 ミクロ分析側ではアドレス走査情報検出手段、脆弱性攻撃コード検出手段、マルウェア分析手段がそれぞれ設定可能サンドボックスを用いて複数のレベルの分析を行うと共に、マクロ分析側でも入力したマルウェアに対して各レベルのセンサにより走査層、脆弱性攻撃コード層、マルウェア層について観察し、アドレス走査情報検出手段、脆弱性攻撃コード検出手段、マルウェア分析手段が分析する。両者の結果は挙動比較手段によって同一性の比較、又は相関関係を算出する。 |
| イメージ図 |
|
| 実施実績 |
【無】 |
| 許諾実績 |
【無】 |
| 特許権譲渡 |
【否】
|
| 特許権実施許諾 |
【可】
|
)
)