进程解析装置、进程解析方法和进程解析程序制造方法及图纸

本发明专利技术涉及对由信息处理装置执行的进程进行解析并提取进程中利用的加密函数或解密函数等加密逻辑的进程解析装置。进程解析装置具有：执行轨迹取得部，其取得作为解析对象的进程的执行轨迹；块提取部，其从执行轨迹中提取作为表示循环构造的处理单位的块；块信息提取部，其从块中提取包含输入信息和输出信息的块信息；以及块信息解析部，其使用块信息的输入信息或输出信息生成用于判定块的输入输出关系的特征的特征判定信息，利用该特征判定信息对块的输入输出关系进行解析，将表示加密函数或解密函数的输入输出关系的特征的块判定为加密逻辑。

Process analyzer, process analysis method, and process analyzer

The present invention relates to a process analytical device for analyzing and extracting the process performed by an information processing device and extracting encrypted logic such as encryption function or decryption function. Process analytical device has made the execution trace, as execution trace analysis object process; block extraction, the extraction from the execution trace as said processing unit loop configuration block; block information extraction, the extraction block contains information input information and output information from the block and block information; analysis of its use, block information input or output information is generated for the feature to determine the relationship between input and output block of the decision information, using the features of decision information to analyze the relationship between input and output of the block, the block features representing the relationship between input and output of the encryption function or decryption function for determining encryption logic.

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及对由信息处理装置执行的进程进行解析并提取进程中利用的加密函数或解密函数等加密逻辑的进程解析装置。
技术介绍
近年来，作为新的安全威胁，瞄准特定组织而顽强地进行攻击的被称作AdvancedPersistentThreat(APT)的“标的型攻击”日渐显现。在APT中，通过邮件使作为标的的组织的终端感染恶意软件，感染的恶意软件与外部的攻击者的服务器进行通信，进行新的攻击程序的下载和组织系统内的机密信息的发送。为了尽早检测这种安全事件的发生并防止损失的扩大，需要进行监视网络设备的各种日志并检测可疑前兆的SecurityOperationCenter(SOC)服务。另一方面，在判明了事件的发生的情况下，组织必须进行事件的原因和损失的调查、对应策略的研究、服务的恢复、再次发生防止策略的实施等事件回应。进而，对于组织的顾客和合作伙伴来说，组织需要明确机密信息的哪部分泄漏，哪部分没有泄漏。在组织进行事件的原因和损失的调查时，对个人电脑、服务器、网络设备等生成的日志以及网络上记录的分组进行解析并调查恶意软件的侵入路径、感染终端、访问的信息、来自攻击者的命令、向外部发送的信息等的网络取证发挥重要作用。但是，最近的恶意软件活用加密技术来隐匿通信。因此，即使组织进行了网络取证，也很难追踪到从攻击者发出的命令是什么以及向外部发送了什么样的信息。为了应对该问题，需要发现恶意软件在通信的隐匿中利用的加密逻辑和密钥，对加密后的通信进行解密。一般情况下，该作业需要对恶意软件的程序的二进制进行解析。在现有的多数加密逻辑提取手法中，例如如专利文献1公开的恶意软件解析系统那样，根据执行了恶意软件时的执行轨迹，搜索加密逻辑中经常出现的特征，由此进行加密逻辑和密钥的确定。并且，作为对恶意软件的程序的二进制进行解析的技术，公知有非专利文献1～9公开的技术。现有技术文献专利文献专利文献1：日本特开2013-114637号公报非专利文献非专利文献1：NoeLutz,TowardsRevealingAttacker'sIntentbyAutomaticallyDecryptingNetworkTraffic,MasterThesisMA-2008-08.非专利文献2：ZhiWang,XuxianJiang,WeidongCui,XinyuanWangandMikeGrace,ReFormat：automaticreverseengineeringofencryptedmessages,Proceedingsofthe14thEuropeanConferenceonResearchinComputerSecurity.非专利文献3：FelixMatenaar,AndreWichmann,FelixLederandElmarGerhards-Padilla,CIS：TheCryptoIntelligenceSystemforAutomaticDetectionandLocalizationofCryptographicFunctionsinCurrentMalware,Proceedingsofthe7thandUnwantedSoftware(Malware2012).非专利文献4：XinLi,XinyuanWaInternationalConferenceonMaliciousng,WentaoChang,CipherXRay：ExposingCryptographicOperationsandTransientSecretsfromMonitoredBinaryExecution,IEEETRANSACTIONSONDEPENDABLEANDSECURECOMPUTING(preprint)2012.非专利文献5：FelixGrobert,CarstenWillems,andThorstenHolz,AutomatedIdentificationofCryptographicPrimitivesinBinaryPrograms,Proceedingsofthe14thInternationalConferenceonRecentAdvancesinIntrusionDetection.非专利文献6：JoanCalvet,JoseM.Fernandez,Jean-YvesMarion,Aligot：CryptographicFunctionIdentificationinObfuscatedBinaryPrograms,Proceedingsofthe19thACMConferenceonComputerandCommunicationsSecurity,CCS2012.非专利文献7：Intel,Pin-ADynamicBinaryInstrumentationTool,https：//software.intel.com/en-us/articles/pin-a-dynamic-binary-instrumentation-tool非专利文献8：Bitblaze,TEMU：TheBitBlazeDynamicAnalysisComponent,http：//bitblaze.cs.berkeley.edu/temu.html非专利文献9：JordiTubellaandAntonioGonzalez,ControlSpeculationinMultithreadedProcessorsthroughDynamicLoopDetection,InProceedingsoftheFourthInternationalSymposiumonHigh-PerformanceComputerArchitecture,pp.14-23,1998.
技术实现思路
专利技术要解决的课题在以专利文献1为代表的现有技术中，作为加密逻辑的候选，提取多个无关的逻辑。恶意软件解析者必须通过手动作业将无关的逻辑除外，存在需要大量劳力和时间这样的课题。因此，需要抑制提取无关的逻辑的、高精度的加密逻辑提取手法。本专利技术正是为了解决上述课题而完成的，其目的在于，根据对文件或通信进行加密的恶意软件利用的加密逻辑的特征对恶意软件的执行轨迹进行解析，由此，高精度地确定恶意软件使用的加密逻辑。用于解决课题的手段为了解决上述课题，本专利技术的进程解析装置具有：执行轨迹取得部，其取得作为解析对象的进程的执行轨迹；块提取部，其从所述执行轨迹中提取作为表示循环构造的处理单位的块；块信息提取部，其从所述块中提取包含输入信息和输出信息的块信息；以及块信息解析部，其使用所述块信息的所述输入信息或所述输出信息生成用于判定所述块的输入输出关系的特征的特征判定信息，利用该特征判定信息对所述块的输入输出关系进行解析，将表示加密函数或解密函数的输入输出关系的特征的块判定为加密逻辑。专利技术效果根据本专利技术，生成用于判定从执行轨迹中提取出的块的输入输出关系的特征的特征判定信息，利用该特征判定信息对块的输入输出关系进行解析，将表示加密函数或解密函数的输入输出关系的特征的块判定为加密逻辑，由此，具有能够高精度地确定恶意软件使用的加密逻辑这样的效果。附图说明图1是示出实施方式1的进程解析装置的一个结构本文档来自技高网...

【技术保护点】
一种进程解析装置，该进程解析装置具有：执行轨迹取得部，其取得作为解析对象的进程的执行轨迹；块提取部，其从所述执行轨迹中提取作为表示循环构造的处理单位的块；块信息提取部，其从所述块中提取包含输入信息和输出信息的块信息；以及块信息解析部，其使用所述块信息的所述输入信息或所述输出信息生成用于判定所述块的输入输出关系的特征的特征判定信息，利用该特征判定信息对所述块的输入输出关系进行解析，将表示加密函数或解密函数的输入输出关系的特征的块判定为加密逻辑。

【技术特征摘要】
【国外来华专利技术】1.一种进程解析装置，该进程解析装置具有：执行轨迹取得部，其取得作为解析对象的进程的执行轨迹；块提取部，其从所述执行轨迹中提取作为表示循环构造的处理单位的块；块信息提取部，其从所述块中提取包含输入信息和输出信息的块信息；以及块信息解析部，其使用所述块信息的所述输入信息或所述输出信息生成用于判定所述块的输入输出关系的特征的特征判定信息，利用该特征判定信息对所述块的输入输出关系进行解析，将表示加密函数或解密函数的输入输出关系的特征的块判定为加密逻辑。2.根据权利要求1所述的进程解析装置，其中，所述进程解析装置具有字符串比例判定部，该字符串比例判定部判定所述块信息的所述输入信息或所述输出信息中包含的可打印的字符串的比例即可打印字符串比例，作为所述特征判定信息，所述块信息解析部计算由所述字符串比例判定部判定出的所述输入信息的第1可打印字符串比例与所述输出信息的第2可打印字符串比例的差分，在该差分为预定的阈值以上的情况下，将所述块判定为加密逻辑。3.根据权利要求1所述的进程解析装置，其中，所述进程解析装置具有数据解码部，该数据解码部对所述块信息的所述输出信息进行解码，作为所述特征判定信息，所述块信息解析部生成由所述数据解码部对所述块信息的所述输出信息进行解码后的解码结果，将具有与该解码结果一致的所述输出信息的所述块判定为加密逻辑。4.根据权利要求1所述的进程解析装置，其中，所述进程解析装置具有数据解压缩部，该数据解压缩部对所述块信息的所述输出信息进行解压缩，作为所述特征判定信息，所述块信息解析部生成由所述数据解压缩部对所述块信息的所述输出信息进行解压缩后的解码结果，将具有...

【专利技术属性】
技术研发人员：山本匠，樱井钟治，河内清人，
申请(专利权)人：三菱电机株式会社，
类型：发明
国别省市：日本;JP