JP6666475B2 - 解析装置、解析方法及び解析プログラム - Google Patents
解析装置、解析方法及び解析プログラム Download PDFInfo
- Publication number
- JP6666475B2 JP6666475B2 JP2018561795A JP2018561795A JP6666475B2 JP 6666475 B2 JP6666475 B2 JP 6666475B2 JP 2018561795 A JP2018561795 A JP 2018561795A JP 2018561795 A JP2018561795 A JP 2018561795A JP 6666475 B2 JP6666475 B2 JP 6666475B2
- Authority
- JP
- Japan
- Prior art keywords
- browser
- transfer path
- url
- analysis
- pseudo
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
- G06F30/20—Design optimisation, verification or simulation
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Geometry (AREA)
- Evolutionary Computation (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明の実施の形態について説明する。本発明の実施の形態では、ウェブサイトのコンテンツ及びスクリプトコードを解析する解析装置、解析方法及び解析プログラムについて説明する。まず、実施の形態における解析装置の概略について説明する。
図1は、本実施の形態に係る解析装置の構成を示すブロック図である。図1に示すように、解析装置10は、入力部11、通信部12、記憶部13、悪性URLデータベース14、制御部15及び出力部16を有する。解析装置10は、ウェブブラウザの特有な機能や実ブラウザと疑似ブラウザとの実装差異を使用してブラウザの種別やバージョンを識別し、解析を回避する解析回避コードを特定する。なお、実施の形態では、スクリプトコードのうち、JavaScriptコードを解析する場合を例に説明する。
次に、転送パス照合部151の処理について具体的に説明する。図2は、図1に示す転送パス照合部151の処理を説明するための図である。図2は、実ブラウザと疑似ブラウザの二つのアクセスログで構築した転送グラフの一例を示す。図2の(a)は、実ブラウザログLaで構築した転送グラフを示し、図2の(b)は、ブラウザエミュレータログLbで構築した転送グラフを示す。
図5は、図1に示す解析装置10による解析回避コードを特定するまでの解析処理の処理手順を示すフローチャートである。
次に、図5に示す悪性転送パスの照合処理の処理手順について説明する。図6は、図5に示す悪性転送パスの照合処理の処理手順を示すフローチャートである。
上述のように、本実施の形態では、解析対象のウェブサイトのURLに対する実ブラウザログLa及びブラウザエミュレータログLbを入力とし、悪性URLに基づいて疑似ブラウザにおいて悪性URLへ転送されない転送パスであって実ブラウザにおいて悪性URLへ転送される転送パスを特定転送パスとして特定し、該特定した転送パスを基に、ウェブサイトにおいて実行されたスクリプトコードの中から解析回避コードを特定している。
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
図7は、プログラムが実行されることにより、解析装置10が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
11 入力部
12 通信部
13 記憶部
14 悪性URLデータベース
15 制御部
16 出力部
151 転送パス照合部
152 解析回避コード特定部
Claims (5)
- ウェブサイトのコンテンツ及びスクリプトコードを解析する解析装置であって、
実システムのブラウザである実ブラウザにおける解析対象のウェブサイトのURL(Uniform Resource Locator)へのアクセスログと、前記実ブラウザの環境を模擬する疑似ブラウザにおける前記解析対象のウェブサイトのURLへのアクセスログとを入力とし、悪性URLに基づき、前記疑似ブラウザにおいて前記悪性URLへ転送されない転送パスであって前記実ブラウザにおいて前記悪性URLへ転送される転送パスを前記悪性URLへの特定転送パスとして特定する転送パス照合部と、
前記特定転送パスを基に、前記解析対象のウェブサイトにおいて実行されたスクリプトコードの中から、ブラウザ特有の機能或いは前記実ブラウザと前記疑似ブラウザとの実装差異を利用して解析を回避する解析回避コードを特定する特定部と、
を有し、
前記転送パス照合部は、前記実ブラウザ及び前記疑似ブラウザのアクセスログからそれぞれ転送グラフを構築し、構築した二つの転送グラフについて各転送パス同士を照合して前記特定転送パスを特定し、
前記特定部は、前記特定転送パスのうち前記疑似ブラウザにおいて前記悪性URLへ転送されない転送パスにおける前記悪性URLの直前のURLに相当するURLを末端のURLとして特定し、前記解析対象のウェブサイトにおいて実行されたスクリプトコードの中から、特定した前記末端のURLのアクセスに起因して実行されたスクリプトコードを、前記解析回避コードとして特定することを特徴とする解析装置。 - 前記転送パス照合部は、ドメイン名、パス、クエリキー、クエリバリューの少なくとも一つを用いて転送パスを照合することを特徴とする請求項1に記載の解析装置。
- 前記転送パス照合部は、ドメイン名、パス、クエリキー、クエリバリューの少なくとも一つの粒度で転送パスの照合を行い、各粒度で一致する数が最も多いURLを等しいとみなすことを特徴とする請求項2に記載の解析装置。
- ウェブサイトのコンテンツ及びスクリプトコードを解析する解析装置が実行する解析方法であって、
実システムのブラウザである実ブラウザにおける解析対象のウェブサイトのURLへのアクセスログと、前記実ブラウザの環境を模擬する疑似ブラウザにおける前記解析対象のウェブサイトのURLへのアクセスログとを入力とし、悪性URLに基づき、前記疑似ブラウザにおいて前記悪性URLへ転送されない転送パスであって前記実ブラウザにおいて前記悪性URLへ転送される転送パスを前記悪性URLへの特定転送パスとして特定する工程と、
前記特定転送パスを基に、前記解析対象のウェブサイトにおいて実行されたスクリプトコードの中から、ブラウザ特有の機能或いは前記実ブラウザと前記疑似ブラウザとの実装差異を利用して解析を回避する解析回避コードを特定する工程と、
を含み、
前記特定転送パスとして特定する工程は、前記実ブラウザ及び前記疑似ブラウザのアクセスログからそれぞれ転送グラフを構築し、構築した二つの転送グラフについて各転送パス同士を照合して前記特定転送パスを特定し、
前記解析回避コードを特定する工程は、前記特定転送パスのうち前記疑似ブラウザにおいて前記悪性URLへ転送されない転送パスにおける前記悪性URLの直前のURLに相当するURLを末端のURLとして特定し、前記解析対象のウェブサイトにおいて実行されたスクリプトコードの中から、特定した前記末端のURLのアクセスに起因して実行されたスクリプトコードを、前記解析回避コードとして特定することを特徴とする解析方法。 - コンピュータを、請求項1〜3のいずれか一つに記載の解析装置として機能させるための解析プログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017002378 | 2017-01-11 | ||
| JP2017002378 | 2017-01-11 | ||
| PCT/JP2017/029066 WO2018131200A1 (ja) | 2017-01-11 | 2017-08-10 | 解析装置、解析方法及び解析プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2018131200A1 JPWO2018131200A1 (ja) | 2019-04-18 |
| JP6666475B2 true JP6666475B2 (ja) | 2020-03-13 |
Family
ID=62839415
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018561795A Active JP6666475B2 (ja) | 2017-01-11 | 2017-08-10 | 解析装置、解析方法及び解析プログラム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11163882B2 (ja) |
| EP (1) | EP3547193B1 (ja) |
| JP (1) | JP6666475B2 (ja) |
| WO (1) | WO2018131200A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11403371B2 (en) | 2019-08-21 | 2022-08-02 | Foundation Of Soongsil University-Industry Cooperation | Device and method for bypassing analysis evasion technique, and recording medium for a program for performing the same |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114640492B (zh) * | 2020-12-16 | 2024-08-20 | 深信服科技股份有限公司 | 一种url检测方法、系统、设备及计算机可读存储介质 |
| CN119622727B (zh) * | 2025-02-11 | 2025-06-24 | 广州技客信息科技有限公司 | 用于指纹浏览器的软件安全检测方法及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7774459B2 (en) * | 2006-03-01 | 2010-08-10 | Microsoft Corporation | Honey monkey network exploration |
| US9015843B2 (en) * | 2010-12-03 | 2015-04-21 | Microsoft Corporation | Predictive malware threat mitigation |
| JP2014071796A (ja) * | 2012-10-01 | 2014-04-21 | Nec Corp | マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム |
| US8966636B2 (en) * | 2012-10-16 | 2015-02-24 | International Business Machines Corporation | Transforming unit tests for security testing |
| US10277613B2 (en) | 2013-12-10 | 2019-04-30 | Nippon Telegraph And Telephone Corporation | URL matching apparatus, URL matching method, and URL matching program |
| JP6114480B2 (ja) | 2014-08-11 | 2017-04-12 | 日本電信電話株式会社 | 構築装置、構築方法、および、構築プログラム |
| CN106796637B (zh) | 2014-10-14 | 2020-08-25 | 日本电信电话株式会社 | 分析装置、分析方法 |
-
2017
- 2017-08-10 US US16/476,551 patent/US11163882B2/en active Active
- 2017-08-10 WO PCT/JP2017/029066 patent/WO2018131200A1/ja not_active Ceased
- 2017-08-10 JP JP2018561795A patent/JP6666475B2/ja active Active
- 2017-08-10 EP EP17891283.8A patent/EP3547193B1/en active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11403371B2 (en) | 2019-08-21 | 2022-08-02 | Foundation Of Soongsil University-Industry Cooperation | Device and method for bypassing analysis evasion technique, and recording medium for a program for performing the same |
Also Published As
| Publication number | Publication date |
|---|---|
| US11163882B2 (en) | 2021-11-02 |
| EP3547193A1 (en) | 2019-10-02 |
| WO2018131200A1 (ja) | 2018-07-19 |
| US20190325136A1 (en) | 2019-10-24 |
| EP3547193B1 (en) | 2021-11-24 |
| JPWO2018131200A1 (ja) | 2019-04-18 |
| EP3547193A4 (en) | 2020-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102396237B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| KR102447279B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| KR102362516B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| KR102424014B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
| AU2013201003B2 (en) | Systems and methods for detecting malicious code | |
| CN101656710B (zh) | 主动审计系统及方法 | |
| JP6687761B2 (ja) | 結合装置、結合方法および結合プログラム | |
| KR102420884B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| JP6450022B2 (ja) | 解析装置、解析方法、および、解析プログラム | |
| KR102432649B1 (ko) | 사이버 위협 정보 처리 프로세서, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| Lamprakis et al. | Unsupervised detection of APT C&C channels using web request graphs | |
| US20240054215A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| JP5752642B2 (ja) | 監視装置および監視方法 | |
| KR102396236B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| JP6666475B2 (ja) | 解析装置、解析方法及び解析プログラム | |
| KR102411383B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| JP6527111B2 (ja) | 解析装置、解析方法および解析プログラム | |
| US12368731B2 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| KR102396238B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| KR102437376B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| KR20210076455A (ko) | Xss 공격 검증 자동화 방법 및 그 장치 | |
| Takata et al. | MineSpider: Extracting hidden URLs behind evasive drive-by download attacks | |
| US20240214406A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| KR102447280B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181217 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190910 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191011 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200218 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200220 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6666475 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |