检测装置(10)的特征在于,具有:数据传播跟踪部(110),其对通信数据赋予包含与该通信数据的通信目的地信息关联的属性信息在内的标签,且对被赋予了包含该属性信息在内的标签的通信数据的传播进行跟踪;以及篡改检测部(112),当在通信数据中存在包含与对应于该通信数据的发送目的地或发送源的属性信息不同的属性信息在内的标签的情况下,该篡改检测部(112)检测到该通信数据的篡改。
【技术实现步骤摘要】
【国外来华专利技术】检测装置、检测方法以及检测程序
本专利技术涉及检测装置、检测方法以及检测程序。
技术介绍
近年来,利用具有MITB(Man-in-the-browser:中间人)攻击功能的恶意软件(Malware)的联机银行诈骗造成的损失时常发生。MITB攻击是指,拦截终端的使用者与Web服务间的通信而窃取、篡改通信内容的攻击。ZBot或SpyEye等恶意软件具有MITB攻击功能,其拦截感染终端与联机银行之间的通信而篡改通信数据,由此进行汇款金额的操作或伪装输入表单的显示这样的攻击。在ZBot等恶意软件中,采用了能够通过设定文件来指定作为MITB攻击的对象的通信数据的机制。因此,不限于联机银行,攻击者能够对与所企图的Web服务之间的通信数据进行攻击。设定文件设置在C&C(CommandandControl:命令和控制)服务器上,恶意软件与C&C服务器进行通信而取得该文件从而掌握篡改攻击的对象和篡改内容。然后,在ZBot等恶意软件的情况下,使用API(ApplicationProgrammingInterface:应用程序接口)钩子(hook)来进行篡改攻击。例如,通过将与通信数据的发送接收相关的API钩住,而对加密前或解密后的通信数据进行篡改攻击。在受到这样的攻击的情况下,仅通过SSL来保护通信路径是无法防止篡改攻击的。在对这样的威胁采取对策的情况下,防止恶意软件感染本身是理想的。但是,感染攻击的手法日益巧妙,将感染防患于未然处于困难的状况。因此,以用户终端感染到恶意软件为前提的对策是不可缺少的。在客户端侧采取恶意软件感染后的对策的方法主要有2个。1个是对作为攻击对象的进程进行保护以使得不会进行API钩子等的方法,另1个是阻止取得对篡改对象和内容进行指定的设定文件的方法。只要能够防止API钩子,就能够将篡改的发生防患于未然。但是,很难在感染了恶意软件的状态下可靠地实现此方法。另一方面,在阻止取得设定文件的方法的情况下,由于能够采用网络上的对策,因此即使终端感染了恶意软件也能够采取对策。不过,必须事先掌握对设定文件进行分发的C&C服务器的IP(InternetProtocol:互联网协议)地址等。为了事先收集C&C服务器的IP地址等,一般进行恶意软件解析。迄今为止,作为通过恶意软件解析自动地确定C&C服务器的方法,在非专利文献1中提出了根据系统调用间的通信数据的传递关系来确定C&C服务器的方法。该方法着重于仅在恶意软件与C&C服务器通信时出现的系统调用间的数据的传递关系,具有错误检测较少这样的特征。但是,在系统调用间的数据的传递关系上未显现出特征的情况下无法检测。另外,迄今为止,作为进行MITB攻击的恶意软件的解析方法提出了非专利文献2这样的方法。非专利文献2的方法在如下的方面上优秀:能够在不会给Web服务带来影响的情况下对恶意软件进行分析,且进行篡改检测和篡改部位的确定。但是,没有实现到指定了篡改内容的C&C服务器的确定。现有技术文献非专利文献非专利文献1:P.Wurzinger,L.Bilge,T.Holz,J.Goebel,C.Kruegel,andE.Kirda,"AutomaticallyGeneratingModelsforBotnetDetection",InProceedingsofthe14thEuropeanConferenceonResearchinComputerSecurity非专利文献2:瀬川達也、神薗雅紀、星澤裕二、吉岡克成、松本勉「Man-in-the-Browser攻撃を行うマルウェアの安全な動的解析手法」電子情報通信学会技術研究報告
技术实现思路
专利技术要解决的课题本专利技术的目的在于提供一种能够详细地分析通信数据的篡改的检测装置、检测方法以及检测程序。用于解决课题的手段为了解决上述的课题并达成目的,所公开的检测装置的特征在于,具有:跟踪部,其对通信数据赋予包含与该通信数据的通信目的地信息关联的属性信息在内的标签,且对被赋予了该标签的通信数据的传播进行跟踪;以及检测部,当在所述通信数据中存在包含与对应于该通信数据的发送目的地或发送源的属性信息不同的属性信息在内的标签的情况下,该检测部检测到该通信数据的篡改。专利技术效果根据本申请所公开的实施方式,实现如下的效果:能够详细地分析通信数据的篡改。附图说明图1是示出本实施方式的检测装置的概要的结构图。图2是示出本实施方式的检测装置中的虚拟计算机和数据传播跟踪部的结构的框图。图3是示出本实施方式的标签的结构例的图。图4是示出本实施方式的通信目的地信息DB中存储的信息的一例的图。图5是示出本实施方式的篡改检测部中的对于接收数据的处理流程的流程图。图6是示出本实施方式的篡改检测部中的对于发送数据的处理流程的流程图。图7是示出执行检测程序的计算机的图。具体实施方式以下根据附图详细地说明本申请的检测装置、检测方法以及检测程序的实施方式。此外,本申请的检测装置、检测方法以及检测程序不限于该实施方式。[实施方式]在以下的实施方式中,依次说明实施方式的检测装置的结构和处理流程,然后,最后说明实施方式的效果。[检测装置的结构]首先,使用图1来说明检测装置10的结构。图1是示出本实施方式的检测装置的概要的结构图。如图1所示,该检测装置10具有:恶意软件执行环境部11、解析结果DB(DataBase:数据库)12以及C&C服务器通信目的地信息DB13。以下说明这些各部件的处理。恶意软件执行环境部11由进程11B、进程11C、访客OS(OperatingSystem:操作系统)11D以及虚拟计算机11E构成。访客OS11D是用于对恶意软件11A进行动态解析的环境。另外,恶意软件11A在访客OS11D上被执行而在访客OS11D上使浏览器等作为恶意软件11A的攻击对象的进程11B、进程11C进行动作。虚拟计算机11E由数据传播跟踪部110、命令监视部111、篡改检测部112以及通信目的地信息DB113构成。数据传播跟踪部110对通信数据赋予标签,跟踪通信数据的传播。此时,由于唯一地确定通信数据的发送目的地或发送源,因此使标签保持与通信目的地信息对应的属性信息等。此外,在以下的说明中,在统称发送目的地和发送源的情况下,记为“通信目的地”。另外,通信目的地信息是指,例如通信目的地的IP地址或FQDN(FullyQualifiedDomainName:完全限定域名)、URL(UniformResourceLocator:统一资源定位符)等信息。这里,使用图3来说明标签的结构例。图3是示出本实施方式的标签的结构例的图。如图3所示,标签包含“ID(identification:标识)”和“属性信息”。这里,属性信息是与通信数据的发送源或发送目的地的通信目的地信息对应的信息。ID是被设定成按照每个该属性信息连续的值(连号(通番))的信息。即,能够根据属性信息与ID的组合而唯一地识别标签。此外,例如以规定的数据长度为单位对某通信数据赋予标签。作为一例,说明对从IP地址“192.168.0.1”的通信目的地接收到的10字节的接收数据赋予标签的情况。此外,在该例中,说明以1字节为单位赋予标签、且与IP地址“192.16本文档来自技高网...
【技术保护点】
一种检测装置,其特征在于,该检测装置具有:跟踪部,其对通信数据赋予包含与该通信数据的通信目的地信息关联的属性信息在内的标签,且对被赋予了该标签的通信数据的传播进行跟踪;以及检测部,当在所述通信数据中存在包含与对应于该通信数据的发送目的地或发送源的属性信息不同的属性信息在内的标签的情况下,该检测部检测到该通信数据的篡改。
【技术特征摘要】
【国外来华专利技术】2014.06.30 JP 2014-1340551.一种检测装置,其特征在于,该检测装置具有:跟踪部,其对通信数据赋予包含与该通信数据的通信目的地信息关联的属性信息在内的标签,且对被赋予了该标签的通信数据的传播进行跟踪;以及检测部,当在所述通信数据中存在包含与对应于该通信数据的发送目的地或发送源的属性信息不同的属性信息在内的标签的情况下,该检测部检测到该通信数据的篡改。2.根据权利要求1所述的检测装置,其特征在于,该检测装置还具有命令监视部,该命令监视部对在系统内发布的命令进行监视,在所述命令监视部检测出API(应用程序接口)调用或者系统调用作为所述命令的情况下,所述检测部对接收数据进行所述篡改的检测。3.根据权利要求1所述的检测装置,其特征在于,所述检测部在向虚拟NIC(网络接口卡)复制发送数据的时机,对该发送数据进行所述篡改的检测。4.根据权利要求1至3中的任一项所述的检测装置,其特征在于,所述检测部在检测出所述篡改的情况下,将与包含所述不同的属性信息在内的标签对应的数据确定为篡改内容。5.根据权利要求1至3中的任一项所述的检测装置,其特征在于,所述检测部在检测出所述篡改的情况下,将与包含所述不同...
【专利技术属性】
技术研发人员:几世知范,青木一史,针生刚男,
申请(专利权)人:日本电信电话株式会社,
类型:发明
国别省市:日本,JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。