本發(fā)明涉及確定裝置、確定方法及確定程序。

背景技術(shù)：

眾所周知，近年來(lái)以BOT、下載器為代表的很多惡意軟件從設(shè)有惡意的程序的站點(diǎn)(以下，稱(chēng)為惡意軟件下載站點(diǎn))取得程序代碼并執(zhí)行，并且進(jìn)行功能擴(kuò)充。在這樣的功能擴(kuò)充中，追加了向外部服務(wù)器的攻擊、信息榨取等造成進(jìn)一步的受害的功能。因此，為了將感染后的受害抑制到最小限度，必須干擾向惡意軟件下載站點(diǎn)的通信，并阻礙功能擴(kuò)充。

當(dāng)前，為了干擾向惡意軟件下載站點(diǎn)的通信，采取了對(duì)通過(guò)惡意軟件的動(dòng)態(tài)分析而得到的通信目的地進(jìn)行黑名單化的對(duì)策。由于惡意軟件也從正規(guī)站點(diǎn)取得程序代碼并執(zhí)行，因此如果將通過(guò)動(dòng)態(tài)分析而得到的通信目的地全部黑名單化，則會(huì)導(dǎo)致通信的誤切斷。

因此，如非專(zhuān)利文獻(xiàn)1所記載，執(zhí)行了基于所下載的文件是否為惡意軟件而進(jìn)行的下載站點(diǎn)的確定。一般地，是否為惡意軟件的判定處理是基于防病毒軟件的檢查結(jié)果、執(zhí)行文件時(shí)所發(fā)生的注冊(cè)表操作等行為而進(jìn)行的。

現(xiàn)有技術(shù)文獻(xiàn)

非專(zhuān)利文獻(xiàn)

非專(zhuān)利文獻(xiàn)1：畑田充弘、田中恭之、稻積孝紀(jì)、“基于砂箱分析結(jié)果的對(duì)URL黑名單生成的研究”計(jì)算機(jī)安全研討會(huì)2013論文集(畑田充弘、田中恭之、稲積孝紀(jì)、「サンドボックス分析結(jié)果に基づくURLブラックリスト生成についての一検討」コンピュータセキュリティシンポジウム2013論文集)

技術(shù)實(shí)現(xiàn)要素：

發(fā)明要解決的課題

但是，在上述的以往技術(shù)中，存在無(wú)法確切地確定惡意的站點(diǎn)、惡意的下載數(shù)據(jù)的課題。即，在以往的技術(shù)中，無(wú)法正確地識(shí)別惡意軟件與所下載的數(shù)據(jù)。因此，無(wú)法對(duì)在惡意軟件的動(dòng)態(tài)分析中發(fā)生的通信的通信目的地與OS(操作系統(tǒng))上的對(duì)象(程序代碼、文件)的依賴(lài)關(guān)系進(jìn)行分析，無(wú)法確定通信發(fā)生的原因、文件數(shù)據(jù)的取得源。

其結(jié)果，在無(wú)法直接惡意判定執(zhí)行數(shù)據(jù)、在從下載站點(diǎn)取得的程序代碼進(jìn)一步從其它下載站點(diǎn)取得程序代碼來(lái)執(zhí)行這樣的成為多級(jí)結(jié)構(gòu)的情況下，存在看漏惡意的站點(diǎn)、惡意的下載數(shù)據(jù)這樣的課題。

另外，惡意軟件大多從惡意軟件下載站點(diǎn)取得程序代碼并執(zhí)行，由此進(jìn)行功能擴(kuò)充。在上述的以往的技術(shù)中，為了防止該功能擴(kuò)充，通過(guò)動(dòng)態(tài)分析而得到用于干擾惡意軟件向惡意軟件下載站點(diǎn)進(jìn)行通信的黑名單，在通過(guò)動(dòng)態(tài)分析得到的站點(diǎn)中還包括正規(guī)站點(diǎn)，因此有時(shí)將正規(guī)站點(diǎn)錯(cuò)誤地確定為下載站點(diǎn)。

解決課題的手段

為了解決上述課題并達(dá)到目的，本發(fā)明的確定裝置的特征在于，其具備：監(jiān)視部，其對(duì)分析對(duì)象的惡意軟件進(jìn)行監(jiān)視，作為日志數(shù)據(jù)而取得該惡意軟件、從通信目的地下載的下載數(shù)據(jù)、與所述惡意軟件或所述下載數(shù)據(jù)的通信目的地之間進(jìn)行的數(shù)據(jù)的交接關(guān)系；生成部，其使用由所述監(jiān)視部取得的日志數(shù)據(jù)，生成依賴(lài)關(guān)系圖形，該依賴(lài)關(guān)系圖形是將所述惡意軟件、所述下載數(shù)據(jù)及所述通信目的地作為節(jié)點(diǎn)，將各節(jié)點(diǎn)的依賴(lài)關(guān)系作為邊緣的有向圖形；及確定部，其將由所述生成部生成的依賴(lài)關(guān)系圖形的各節(jié)點(diǎn)與已知的惡意信息進(jìn)行對(duì)照來(lái)檢測(cè)惡意節(jié)點(diǎn)，以該惡意的節(jié)點(diǎn)為基點(diǎn)而從終點(diǎn)向起點(diǎn)方向追溯邊緣，將所追溯的節(jié)點(diǎn)確定為新的惡意節(jié)點(diǎn)。

并且，本發(fā)明的特定方法為通過(guò)確定裝置執(zhí)行的確定方法，其特征在于，具備：對(duì)分析對(duì)象的惡意軟件進(jìn)行監(jiān)視，作為日志數(shù)據(jù)而取得該惡意軟件、從通信目的地下載的下載數(shù)據(jù)、與所述惡意軟件或所述下載數(shù)據(jù)的通信目的地之間進(jìn)行的數(shù)據(jù)的交接關(guān)系的監(jiān)視工序；使用通過(guò)所述監(jiān)視工序取得的日志數(shù)據(jù)，生成將所述惡意軟件、所述下載數(shù)據(jù)及所述通信目的地作為節(jié)點(diǎn)并將各節(jié)點(diǎn)的依賴(lài)關(guān)系作為邊緣的有向圖形即依賴(lài)關(guān)系圖形的生成工序；及將通過(guò)所述生成工序生成的依賴(lài)關(guān)系圖形的各節(jié)點(diǎn)與已知的惡意信息進(jìn)行對(duì)照來(lái)檢測(cè)惡意節(jié)點(diǎn)，并以該惡意的節(jié)點(diǎn)為基點(diǎn)而從終點(diǎn)向起點(diǎn)方向追溯邊緣，將所追溯的節(jié)點(diǎn)確定為新的惡意節(jié)點(diǎn)的確定工序。

并且，本發(fā)明的確定程序使計(jì)算機(jī)執(zhí)行如下步驟：對(duì)分析對(duì)象的惡意軟件進(jìn)行監(jiān)視，作為日志數(shù)據(jù)而取得該惡意軟件、從通信目的地下載的下載數(shù)據(jù)、與所述惡意軟件或所述下載數(shù)據(jù)的通信目的地之間進(jìn)行的數(shù)據(jù)的交接關(guān)系的監(jiān)視步驟；使用通過(guò)所述監(jiān)視步驟取得的日志數(shù)據(jù)，生成將所述惡意軟件、所述下載數(shù)據(jù)及所述通信目的地作為節(jié)點(diǎn)并將各節(jié)點(diǎn)的依賴(lài)關(guān)系作為邊緣的有向圖形即依賴(lài)關(guān)系圖形的生成步驟；及將通過(guò)所述生成步驟生成的依賴(lài)關(guān)系圖形的各節(jié)點(diǎn)與已知的惡意信息進(jìn)行對(duì)照來(lái)檢測(cè)惡意節(jié)點(diǎn)，并以該惡意的節(jié)點(diǎn)為基點(diǎn)而從終點(diǎn)向起點(diǎn)方向追溯邊緣，將所追溯的節(jié)點(diǎn)確定為新的惡意節(jié)點(diǎn)的確定步驟。

發(fā)明效果

根據(jù)本發(fā)明，能夠確切地確定惡意的站點(diǎn)、惡意的下載數(shù)據(jù)。

附圖說(shuō)明

圖1是表示第一實(shí)施方式的確定裝置的整體結(jié)構(gòu)的概要結(jié)構(gòu)圖。

圖2是表示標(biāo)簽的結(jié)構(gòu)例的圖。

圖3是表示依賴(lài)關(guān)系圖形的例子的圖。

圖4是對(duì)使用已知的惡意信息來(lái)判定惡意的節(jié)點(diǎn)的惡意判定處理進(jìn)行說(shuō)明的圖。

圖5是對(duì)以惡意的節(jié)點(diǎn)為起點(diǎn)來(lái)追溯依賴(lài)關(guān)系而確定惡意的通信目的地的確定處理進(jìn)行說(shuō)明的圖。

圖6是表示由第一實(shí)施方式的確定裝置而進(jìn)行的日志的取得處理的流程的流程圖。

圖7是表示由第一實(shí)施方式的確定裝置而進(jìn)行的惡意通信目的地的確定處理的流程的流程圖。

圖8是表示執(zhí)行確定程序的計(jì)算機(jī)的圖。

具體實(shí)施方式

下面，根據(jù)附圖，對(duì)本申請(qǐng)的確定裝置、確定方法及確定程序的實(shí)施方式進(jìn)行詳細(xì)說(shuō)明。另外，本申請(qǐng)的確定裝置、確定方法及確定程序不限于該實(shí)施方式。

[第一實(shí)施方式]

在下面的實(shí)施方式中，依次說(shuō)明第一實(shí)施方式的確定裝置的結(jié)構(gòu)及處理的流程，最后對(duì)第一實(shí)施方式的效果進(jìn)行說(shuō)明。

[第一實(shí)施方式的確定裝置的結(jié)構(gòu)]

首先，使用圖1，對(duì)第一實(shí)施方式的確定裝置10進(jìn)行說(shuō)明。圖1是表示第一實(shí)施方式的確定裝置的整體結(jié)構(gòu)的概要結(jié)構(gòu)圖。如圖1所示，確定裝置10具備惡意軟件11、客戶(hù)OS12、虛擬計(jì)算機(jī)13、日志DB(數(shù)據(jù)庫(kù))14、生成部15及確定部16。另外，確定裝置10與多個(gè)惡意信息DB20連接，從惡意信息DB20取得已知的惡意信息。

確定裝置10的惡意軟件執(zhí)行環(huán)境部10a由惡意軟件11、客戶(hù)OS12及虛擬計(jì)算機(jī)13構(gòu)成?？蛻?hù)OS12是用于對(duì)惡意軟件11進(jìn)行動(dòng)態(tài)分析的環(huán)境。另外，惡意軟件11在客戶(hù)OS12上執(zhí)行，執(zhí)行API(Application Programming Interface：應(yīng)用編程接口)調(diào)用、系統(tǒng)呼叫的發(fā)行這樣的命令。另外，在客戶(hù)OS12上也可以使成為瀏覽器等惡意軟件11的攻擊對(duì)象的進(jìn)程進(jìn)行動(dòng)作。

惡意軟件執(zhí)行環(huán)境部10a使惡意軟件11在客戶(hù)OS12上進(jìn)行動(dòng)作，使用污點(diǎn)分析技術(shù)而對(duì)惡意軟件11執(zhí)行的命令和執(zhí)行時(shí)的數(shù)據(jù)流進(jìn)行追蹤。污點(diǎn)分析技術(shù)是指，對(duì)數(shù)據(jù)設(shè)定標(biāo)簽，按照傳輸規(guī)則來(lái)傳輸標(biāo)簽，從而對(duì)分析系統(tǒng)內(nèi)的數(shù)據(jù)的傳輸進(jìn)行追蹤的技術(shù)。標(biāo)簽是指對(duì)數(shù)據(jù)賦予的屬性信息，設(shè)定數(shù)據(jù)的出處、種類(lèi)。另外，傳輸規(guī)則是指?jìng)鬏敇?biāo)簽的條件，一般將數(shù)據(jù)的復(fù)制、計(jì)算設(shè)定為傳輸?shù)臈l件。例如，在對(duì)接收數(shù)據(jù)的利用用途進(jìn)行分析的情況下，對(duì)接收數(shù)據(jù)設(shè)定可以唯一地確定取得源的標(biāo)簽，根據(jù)數(shù)據(jù)的復(fù)制、計(jì)算而傳輸標(biāo)簽。通過(guò)確認(rèn)對(duì)作為API的自變量而傳遞的數(shù)據(jù)設(shè)定標(biāo)簽，從而能夠分析接收數(shù)據(jù)是用作API的自變量的數(shù)據(jù)。另外，污點(diǎn)分析技術(shù)通常使用虛擬計(jì)算機(jī)技術(shù)來(lái)實(shí)現(xiàn)，標(biāo)簽在與數(shù)據(jù)不同的專(zhuān)用的記錄區(qū)域中以與數(shù)據(jù)取得對(duì)應(yīng)的方式被保持。具體地，惡意軟件執(zhí)行環(huán)境部10a首先將成為分析對(duì)象的惡意軟件11設(shè)置在客戶(hù)OS12上，在與惡意軟件11的文件對(duì)應(yīng)的盤(pán)區(qū)域中設(shè)定監(jiān)視對(duì)象標(biāo)簽(監(jiān)視對(duì)象標(biāo)志為有效的標(biāo)簽)。之后，惡意軟件執(zhí)行環(huán)境部10a執(zhí)行分析對(duì)象的惡意軟件11。

在惡意軟件執(zhí)行環(huán)境部10a中，命令監(jiān)視部13a對(duì)惡意軟件11執(zhí)行的命令進(jìn)行監(jiān)視，數(shù)據(jù)流分析部13b以數(shù)據(jù)接收API與惡意軟件的程序代碼數(shù)據(jù)為起點(diǎn)，對(duì)惡意軟件執(zhí)行環(huán)境部10a內(nèi)的數(shù)據(jù)流進(jìn)行追蹤。虛擬計(jì)算機(jī)13具備命令監(jiān)視部13a及數(shù)據(jù)流分析部13b。

命令監(jiān)視部13a對(duì)分析對(duì)象的惡意軟件11進(jìn)行監(jiān)視，作為日志數(shù)據(jù)而取得該惡意軟件11、從通信目的地下載的下載數(shù)據(jù)、與惡意軟件11或下載數(shù)據(jù)的通信目的地之間進(jìn)行的數(shù)據(jù)的交接關(guān)系。

具體地，命令監(jiān)視部13a對(duì)惡意軟件11的文件賦予標(biāo)簽來(lái)進(jìn)行監(jiān)視，在該惡意軟件11調(diào)用了作為監(jiān)視對(duì)象的API的數(shù)據(jù)接收API的情況下，在將監(jiān)視對(duì)象標(biāo)志設(shè)為有效的基礎(chǔ)上，對(duì)與該API相關(guān)的數(shù)據(jù)賦予能夠唯一地確定該數(shù)據(jù)的發(fā)送源的標(biāo)簽，通過(guò)對(duì)賦予了該標(biāo)簽的數(shù)據(jù)的傳輸進(jìn)行追蹤，從而取得日志數(shù)據(jù)。

對(duì)命令監(jiān)視部13a的處理具體說(shuō)明如下：首先，命令監(jiān)視部13a在惡意軟件11的分析中取得命令指針寄存器的值，并向數(shù)據(jù)流分析部13b詢(xún)問(wèn)在命令指針寄存器所指的存儲(chǔ)器區(qū)域中是否賦有監(jiān)視對(duì)象標(biāo)簽。然后，進(jìn)行了詢(xún)問(wèn)的結(jié)果，在對(duì)數(shù)據(jù)設(shè)定有監(jiān)視對(duì)象標(biāo)簽的情況下，命令監(jiān)視部13a將該命令判斷為監(jiān)視對(duì)象。執(zhí)行監(jiān)視對(duì)象的call(呼叫)命令，在通過(guò)該call命令調(diào)用的對(duì)象不是監(jiān)視對(duì)象API的情況下，將比該命令更深的嵌套的全部命令判斷為執(zhí)行了監(jiān)視對(duì)象的call命令的程序代碼的動(dòng)作內(nèi)容，并設(shè)為監(jiān)視對(duì)象。另外，命令監(jiān)視部13a在也考慮了呼叫堆棧的基礎(chǔ)上，識(shí)別監(jiān)視對(duì)象的各個(gè)命令。該登記在返回到call命令的下一個(gè)地址時(shí)被解除。

接著，命令監(jiān)視部13a在調(diào)出了監(jiān)視對(duì)象的API的情況下，進(jìn)行與監(jiān)視對(duì)象API的類(lèi)別相應(yīng)的處理。類(lèi)別大體存在三個(gè)。一個(gè)是用于設(shè)定標(biāo)簽的API，另一個(gè)是用于確認(rèn)標(biāo)簽的API，最后一個(gè)是進(jìn)行設(shè)定及確認(rèn)的API。哪個(gè)API屬于哪個(gè)類(lèi)別是事先設(shè)定的。

例如，假設(shè)數(shù)據(jù)接收API是設(shè)定標(biāo)簽的API，數(shù)據(jù)發(fā)送API是確認(rèn)標(biāo)簽的API。另外，假設(shè)文件寫(xiě)入API及用于代碼植入的存儲(chǔ)器寫(xiě)入API是確認(rèn)標(biāo)簽來(lái)設(shè)定標(biāo)簽的API的。在設(shè)定標(biāo)簽的API中，設(shè)定能夠唯一地確定取得源的標(biāo)簽。通過(guò)進(jìn)行這樣的處理，從而對(duì)惡意軟件分析時(shí)的惡意軟件的程序代碼和接收數(shù)據(jù)的接收用途進(jìn)行分析，并將其結(jié)果保存到日志DB14。

在此，使用圖2，對(duì)所設(shè)定的標(biāo)簽的結(jié)構(gòu)例進(jìn)行說(shuō)明。圖2是表示標(biāo)簽的結(jié)構(gòu)例的圖。在圖2的例子中，表示64比特長(zhǎng)的標(biāo)簽。如圖2所示，標(biāo)簽由監(jiān)視對(duì)象標(biāo)志、寫(xiě)入ID、數(shù)據(jù)ID構(gòu)成。

監(jiān)視對(duì)象標(biāo)志是表示是監(jiān)視執(zhí)行的對(duì)象的標(biāo)志值。另外，寫(xiě)入ID是對(duì)被賦予了標(biāo)簽的數(shù)據(jù)是否為寫(xiě)入到文件、存儲(chǔ)器的數(shù)據(jù)的情況進(jìn)行管理的值，在文件寫(xiě)入時(shí)和代碼植入時(shí)被提供唯一的值。最后的數(shù)據(jù)ID是能夠唯一地確定數(shù)據(jù)的取得源的值。

在此，取得源是指與接收數(shù)據(jù)的發(fā)送源相關(guān)的信息即通信目的地信息(IP地址、FQDN(Fully Qualified Domain Name：完全限定域名)、URL(Uniform Resource Locator：統(tǒng)一資源定位符)等)。通信目的地信息的粒度是根據(jù)由確定部16想要抽取的信息而在分析前事先決定的。另外，寫(xiě)入ID、數(shù)據(jù)ID作為未設(shè)定的狀態(tài)的值而設(shè)為0。即，監(jiān)視對(duì)象標(biāo)志是1(有效)，除此之外成為0的狀態(tài)的標(biāo)簽是對(duì)分析對(duì)象的惡意軟件設(shè)定的監(jiān)視對(duì)象標(biāo)簽。另外，對(duì)由數(shù)據(jù)接收API接收到的數(shù)據(jù)設(shè)定的是監(jiān)視對(duì)象標(biāo)志為1，寫(xiě)入ID為0且數(shù)據(jù)ID為0以外的標(biāo)簽。另外，標(biāo)簽所附帶的通信目的地信息通過(guò)在執(zhí)行惡意軟件分析時(shí)對(duì)由惡意軟件所執(zhí)行的網(wǎng)絡(luò)關(guān)聯(lián)API進(jìn)行監(jiān)視、記錄來(lái)確定，關(guān)于該標(biāo)簽的長(zhǎng)度，可根據(jù)安裝而在可保持監(jiān)視對(duì)象標(biāo)志、寫(xiě)入ID、數(shù)據(jù)ID的范圍中任意地變更。

當(dāng)數(shù)據(jù)流分析部13b從命令監(jiān)視部13a受理在命令指針寄存器所指的存儲(chǔ)器區(qū)域中是否賦有監(jiān)視對(duì)象標(biāo)簽的詢(xún)問(wèn)時(shí)，判定對(duì)發(fā)出該詢(xún)問(wèn)的存儲(chǔ)器區(qū)域是否賦有監(jiān)視對(duì)象標(biāo)簽，并將判定的結(jié)果作為詢(xún)問(wèn)的結(jié)果而通知給命令監(jiān)視部13a。日志DB14保持由惡意軟件執(zhí)行環(huán)境部10a収集的日志。

生成部15使用通過(guò)命令監(jiān)視部13a而取得的日志數(shù)據(jù)，生成將惡意軟件11、下載數(shù)據(jù)及通信目的地作為節(jié)點(diǎn)并將各節(jié)點(diǎn)的依賴(lài)關(guān)系作為邊緣的有向圖形即依賴(lài)關(guān)系圖形。在此，關(guān)于各節(jié)點(diǎn)，使依賴(lài)關(guān)系圖形中具備能夠映射已有的惡意信息的粒度的節(jié)點(diǎn)。另外，連結(jié)節(jié)點(diǎn)間的邊緣作為以終點(diǎn)節(jié)點(diǎn)的惡意為依據(jù)而能夠說(shuō)明起點(diǎn)節(jié)點(diǎn)的惡意的關(guān)系性而保持?jǐn)?shù)據(jù)依賴(lài)關(guān)系。具體地，使用邊緣來(lái)保持與數(shù)據(jù)執(zhí)行相關(guān)的依賴(lài)關(guān)系、與數(shù)據(jù)保存相關(guān)的依賴(lài)關(guān)系、與通信目的地決定相關(guān)的依賴(lài)關(guān)系。

在與數(shù)據(jù)執(zhí)行相關(guān)的依賴(lài)關(guān)系中，保持程序代碼的取得源信息，表示有無(wú)數(shù)據(jù)的執(zhí)行。關(guān)于該依賴(lài)關(guān)系，相當(dāng)于如下情況：在存儲(chǔ)器上直接執(zhí)行來(lái)自通信目的地的接收數(shù)據(jù)的情況及執(zhí)行從文件讀入的數(shù)據(jù)的情況、執(zhí)行通過(guò)其它程序而植入的數(shù)據(jù)的情況。通過(guò)在終點(diǎn)節(jié)點(diǎn)中具備程序代碼的邊緣來(lái)表現(xiàn)該依賴(lài)關(guān)系。

在與數(shù)據(jù)保存相關(guān)的依賴(lài)關(guān)系中，保持文件數(shù)據(jù)的取得源信息。通過(guò)保持該依賴(lài)關(guān)系，能夠根據(jù)文件的惡意判定結(jié)果而對(duì)文件內(nèi)數(shù)據(jù)的取得源進(jìn)行惡意判定。從通信目的地接收到的數(shù)據(jù)被保存到文件的情況、進(jìn)行文件的復(fù)制的情況、程序代碼將自己作為文件而切出的情況相當(dāng)于該依賴(lài)關(guān)系。通過(guò)在終點(diǎn)節(jié)點(diǎn)中具備文件的邊緣來(lái)表現(xiàn)該依賴(lài)關(guān)系。

在與通信目的地決定相關(guān)的依賴(lài)關(guān)系中，本依賴(lài)關(guān)系保持通信目的地信息的出處。在根據(jù)通信目的地的惡意判定結(jié)果來(lái)判斷惡意的情況下，決定了通信目的地的通信目的地信息的出處很重要，而通信內(nèi)容的出處并不重要。本依賴(lài)關(guān)系能夠根據(jù)通信目的地的惡意信息來(lái)進(jìn)行通信目的地信息的出處的惡意判定?；谕ㄐ拍康牡?、文件、程序代碼的通信目的地的決定相當(dāng)于該依賴(lài)關(guān)系，在終點(diǎn)節(jié)點(diǎn)中具備通信目的地的邊緣表現(xiàn)本依賴(lài)關(guān)系。

在此，使用圖3，對(duì)依賴(lài)關(guān)系圖形的例子進(jìn)行說(shuō)明。圖3是表示依賴(lài)關(guān)系圖形的例子的圖。如圖3所示，表示執(zhí)行從通信目的地A下載的文件，進(jìn)行通信目的地B與通信目的地C的通信，并從通信目的地C下載新的文件時(shí)的依賴(lài)關(guān)系。在該例子中，依賴(lài)關(guān)系圖形在節(jié)點(diǎn)中具有通信目的地、程序代碼、文件。對(duì)通信目的地映射公開(kāi)黑名單，對(duì)程序代碼映射調(diào)用了確定API等啟發(fā)式檢測(cè)結(jié)果，對(duì)文件映射基于防病毒軟件的檢查結(jié)果。

另外，在這些節(jié)點(diǎn)之間存在如下的依賴(lài)關(guān)系。首先，在終點(diǎn)節(jié)點(diǎn)中具備通信目的地的情況下，并非是進(jìn)行了通信的程序代碼自身而是決定了通信目的地的要因是惡意，因此將通信目的地信息的出處作為起點(diǎn)節(jié)點(diǎn)。另外，在終點(diǎn)節(jié)點(diǎn)中具備文件節(jié)點(diǎn)的情況下，將文件數(shù)據(jù)的出處作為起點(diǎn)節(jié)點(diǎn)。最后，在終點(diǎn)中具備程序代碼節(jié)點(diǎn)的情況下，將程序代碼數(shù)據(jù)的出處作為起點(diǎn)節(jié)點(diǎn)。使用以上的節(jié)點(diǎn)和邊緣，圖3表示執(zhí)行從通信目的地A下載的文件A，并從通信目的地C取得新的文件B為止的一系列的依賴(lài)關(guān)系。

在此，對(duì)生成依賴(lài)關(guān)系圖形的過(guò)程進(jìn)行說(shuō)明。在此的例子中，假設(shè)每當(dāng)生成圖3例示的依賴(lài)關(guān)系圖形時(shí)，在惡意軟件執(zhí)行環(huán)境部10a中進(jìn)行以下的動(dòng)作。首先，分析對(duì)象的惡意軟件11指定通信目的地A來(lái)進(jìn)行通信，從通信目的地A下載了文件A。之后，將文件A作為程序代碼而執(zhí)行，該程序代碼分別指定通信目的地B和通信目的地C而進(jìn)行了通信。其結(jié)果，從通信目的地C下載了新的文件B。假設(shè)在惡意軟件執(zhí)行環(huán)境部10a中進(jìn)行了這樣的動(dòng)作，下面對(duì)生成依賴(lài)關(guān)系圖形的過(guò)程進(jìn)行說(shuō)明。

首先，僅對(duì)分析對(duì)象程序代碼所引起的動(dòng)作進(jìn)行監(jiān)視，因此惡意軟件執(zhí)行環(huán)境部10a在設(shè)定了監(jiān)視對(duì)象標(biāo)簽之后執(zhí)行分析對(duì)象的惡意軟件11。然后，在執(zhí)行分析對(duì)象的惡意軟件11的期間，命令監(jiān)視部13a對(duì)與通信、文件寫(xiě)入，存儲(chǔ)器寫(xiě)入相關(guān)的API調(diào)用、賦有監(jiān)視對(duì)象標(biāo)簽的數(shù)據(jù)的執(zhí)行有無(wú)進(jìn)行監(jiān)視。在分析中程序代碼調(diào)用了數(shù)據(jù)發(fā)送API的情況下，命令監(jiān)視部13a關(guān)于指定對(duì)數(shù)據(jù)發(fā)送API作為自變量傳遞的通信目的地信息的數(shù)據(jù)，確定所設(shè)定的標(biāo)簽，與通信目的地信息匹配地記錄到日志。

此時(shí)，在設(shè)定有與對(duì)指定作為自變量而傳遞的通信目的地信息的數(shù)據(jù)調(diào)用數(shù)據(jù)發(fā)送API的程序代碼相同的標(biāo)簽的情況或未設(shè)定有標(biāo)簽的情況下，生成部15判斷為該程序代碼指定了通信目的地。由此，惡意軟件與通信目的地A的依賴(lài)關(guān)系(圖4的(1))、程序代碼與通信目的地B的依賴(lài)關(guān)系(圖4的(4))及程序代碼與通信目的地C的依賴(lài)關(guān)系(圖4的(5))被明確，生成部15在邊緣連結(jié)分析對(duì)象程序代碼與通信目的地A，另外，在邊緣連結(jié)程序代碼與通信目的地B。

另外，命令監(jiān)視部13a在調(diào)用數(shù)據(jù)接收API的情況下，惡意軟件執(zhí)行環(huán)境部設(shè)定對(duì)接收數(shù)據(jù)而具備數(shù)據(jù)ID的標(biāo)簽，與取得源的通信目的地信息匹配地記錄到日志。

之后，在程序代碼調(diào)用了文件寫(xiě)入API的情況下，命令監(jiān)視部13a在設(shè)定寫(xiě)入ID的基礎(chǔ)上向文件數(shù)據(jù)傳輸標(biāo)簽。由此，可追蹤表示來(lái)自通信目的地A的接收數(shù)據(jù)被寫(xiě)入文件A的依賴(lài)關(guān)系(圖4的(2))、表示從通信目的地C接收到的數(shù)據(jù)被寫(xiě)入文件B的依賴(lài)關(guān)系(圖4的(6))。另外，在已經(jīng)設(shè)定有寫(xiě)入ID的情況下，將寫(xiě)入ID覆蓋重寫(xiě)。命令監(jiān)視部13a為了表現(xiàn)該依賴(lài)關(guān)系，將對(duì)與文件名匹配地寫(xiě)入文件的數(shù)據(jù)設(shè)定的標(biāo)簽和對(duì)寫(xiě)入文件的數(shù)據(jù)重新設(shè)定的標(biāo)簽保存到日志DB14。生成部15使用存儲(chǔ)在日志DB14的日志，在邊緣連結(jié)通信目的地A與文件A，另外，在邊緣連結(jié)通信目的地C與文件B。

另外，關(guān)于寫(xiě)入接收數(shù)據(jù)、文件的數(shù)據(jù)是否被執(zhí)行，通過(guò)在命令指針寄存器所指的存儲(chǔ)器區(qū)域中是否設(shè)定有具備數(shù)據(jù)ID、寫(xiě)入ID的標(biāo)簽來(lái)判斷。例如，在執(zhí)行了從信目的地A下載的文件的情況下，在被執(zhí)行的數(shù)據(jù)中設(shè)定有寫(xiě)入ID。在寫(xiě)入ID與對(duì)寫(xiě)入文件的數(shù)據(jù)設(shè)定的標(biāo)簽相同，則可判斷為文件被執(zhí)行。另外，在與代碼植入時(shí)設(shè)定的標(biāo)簽相同的情況下，可判斷為執(zhí)行了被植入的數(shù)據(jù)。

另外，在僅設(shè)定有數(shù)據(jù)ID的情況下，可判斷為接收數(shù)據(jù)直接在存儲(chǔ)器上被執(zhí)行。通過(guò)該工作原理，可追蹤從通信目的地A下載的文件A作為程序代碼而執(zhí)行的依賴(lài)關(guān)系(圖4的(3))。命令監(jiān)視部13a將與所執(zhí)行的數(shù)據(jù)綁定的標(biāo)簽記錄到日志，以由生成部15在圖形上表現(xiàn)通信目的地與程序代碼及文件與程序代碼間的依賴(lài)關(guān)系。生成部15使用存儲(chǔ)在日志DB14的日志，在邊緣連結(jié)文件A與程序代碼。

確定部16將通過(guò)生成部15生成的依賴(lài)關(guān)系圖形的各節(jié)點(diǎn)與已知的惡意信息對(duì)照來(lái)檢測(cè)惡意的節(jié)點(diǎn)，并將該惡意的節(jié)點(diǎn)為基點(diǎn)而從終點(diǎn)向起點(diǎn)方向追溯邊緣，將所追溯的節(jié)點(diǎn)確定為新的惡意的節(jié)點(diǎn)。另外，在確定為惡意的節(jié)點(diǎn)的節(jié)點(diǎn)是通信目的地的節(jié)點(diǎn)的情況下，確定部16將該通信目的地的節(jié)點(diǎn)確定為惡意的站點(diǎn)，進(jìn)而到達(dá)該通信目的地的節(jié)點(diǎn)的緊前節(jié)點(diǎn)為文件、程序代碼等下載數(shù)據(jù)的情況下，將該通信目的地的節(jié)點(diǎn)作為惡意軟件下載站點(diǎn)而檢測(cè)。

具體地，確定部16對(duì)通過(guò)生成部15生成的依賴(lài)關(guān)系圖形，眏射已有的惡意信息。例如，在通信目的地的主機(jī)名為“example.co.jp”，在公開(kāi)黑名單等已有的惡意信息中登記有該主機(jī)名的情況下，對(duì)依賴(lài)關(guān)系圖形上的相應(yīng)節(jié)點(diǎn)賦予表示惡意的信息。

最后，確定部16以通過(guò)映射處理而判定為惡意的節(jié)點(diǎn)為起點(diǎn)追溯依賴(lài)關(guān)系，將從該節(jié)點(diǎn)可到達(dá)的通信目的地判定為惡意。另外，將可到達(dá)的文件確定為惡意的文件。之后，確定部16輸出包括惡意軟件下載站點(diǎn)的惡意通信目的地名單和在其過(guò)程中被判定為惡意的文件信息。這樣，在依賴(lài)關(guān)系圖形中保持以終點(diǎn)節(jié)點(diǎn)的惡意為由可提及起點(diǎn)節(jié)點(diǎn)的惡意的依賴(lài)關(guān)系。

例如，如圖4所示，確定部16將依賴(lài)關(guān)系圖形的各節(jié)點(diǎn)與已知的惡意信息對(duì)照而將惡意軟件的節(jié)點(diǎn)和通信目的地C的節(jié)點(diǎn)作為惡意的節(jié)點(diǎn)而檢測(cè)。并且，如圖5所示，確定部16以惡意的節(jié)點(diǎn)為基點(diǎn)而從終點(diǎn)向起點(diǎn)方向追溯邊緣，作為追溯的節(jié)點(diǎn)，將通信目的地A、文件A、程序代碼確定為惡意的節(jié)點(diǎn)。因此，依次追溯在邊緣連結(jié)的2個(gè)節(jié)點(diǎn)之間的依賴(lài)關(guān)系，進(jìn)行惡意判定。

另外，在上述的惡意判定處理中，依賴(lài)關(guān)系的朝向起到防止誤檢的重要的作用。一般情況下，惡意軟件11為了避免在分析環(huán)境中的執(zhí)行，具備分析干擾功能。其中之一就是利用了正規(guī)站點(diǎn)的向互聯(lián)網(wǎng)的連接確認(rèn)，惡意軟件11通過(guò)確認(rèn)向正規(guī)站點(diǎn)的連接性的有無(wú)，從而分辨是否為從互聯(lián)網(wǎng)隔離的分析環(huán)境。

在惡意軟件11的動(dòng)態(tài)分析中進(jìn)行了連接確認(rèn)的情況下，連接確認(rèn)用的站點(diǎn)也作為依賴(lài)關(guān)系圖形上的一個(gè)的節(jié)點(diǎn)而表現(xiàn)，數(shù)據(jù)依賴(lài)關(guān)系在從通信目的地信息的出處向通信目的地的邊緣被表現(xiàn)。因此，例如，即便如圖4這樣通過(guò)已知的惡意信息而判定為通信目的地C為惡意，也無(wú)法追隨程序代碼與通信目的地B的依賴(lài)關(guān)系，因此成為圖5這樣的惡意判定結(jié)果。因此，通信目的地B不會(huì)被判定為惡意。這樣，將數(shù)據(jù)依賴(lài)關(guān)系作為依賴(lài)關(guān)系圖形而保持并利用的本手法中即便發(fā)生了以連接確認(rèn)等為目的的與正規(guī)站點(diǎn)的通信，也不會(huì)產(chǎn)生誤檢。

另外，在上述的說(shuō)明中，以分析對(duì)象為惡意軟件的情況為前提進(jìn)行了說(shuō)明，但分析對(duì)象也可以是可疑程序代碼。在該情況下，也可以使用確定裝置10而判定可疑程序代碼的惡意。就是說(shuō)，也可適用如下手法：使懷疑為惡意軟件的可疑程序進(jìn)行動(dòng)作，從已有的與惡意信息匹配的節(jié)點(diǎn)追溯，通過(guò)遵循該可疑程序而確定惡意軟件。

另外，在上述的說(shuō)明中，僅參照了已知的惡意信息，但也可以限定使用已知的良性信息而適用的惡意信息。作為已知的良性信息，例如，如果是文件，可例舉在OS上標(biāo)準(zhǔn)地安裝的文件的哈希值，如果是通信目的地，則可例舉DNS(Domain Name System：域名系統(tǒng))服務(wù)器等分析中必然發(fā)生通信的通信目的地、有名站點(diǎn)的名單等。

[確定裝置的處理的一例]

接著，使用圖6及圖7，對(duì)確定裝置10的處理進(jìn)行說(shuō)明。圖6是表示由第一實(shí)施方式的確定裝置進(jìn)行的日志的取得處理的流程的流程圖。圖7是表示由第一實(shí)施方式的確定裝置進(jìn)行的惡意通信目的地的確定處理的流程的流程圖。

首先，使用圖6，對(duì)由確定裝置10進(jìn)行的日志的取得處理的流程進(jìn)行說(shuō)明。如圖6所示，確定裝置10的惡意軟件執(zhí)行環(huán)境部10a首先將成為分析對(duì)象的惡意軟件11設(shè)置在客戶(hù)OS12上(步驟S101)，對(duì)與惡意軟件11的文件對(duì)應(yīng)的盤(pán)區(qū)域設(shè)定監(jiān)視對(duì)象標(biāo)簽(步驟S102)。之后，惡意軟件執(zhí)行環(huán)境部10a執(zhí)行惡意軟件11(步驟S103)。

然后，命令監(jiān)視部13a在惡意軟件11的分析中取得命令指針寄存器的值(步驟S104)，向數(shù)據(jù)流分析部13b詢(xún)問(wèn)在命令指針寄存器所指的存儲(chǔ)器區(qū)域中是否賦有監(jiān)視對(duì)象標(biāo)簽。然后，數(shù)據(jù)流分析部13b取得命令指針寄存器所指的地址區(qū)域的標(biāo)簽(步驟S105)，將詢(xún)問(wèn)結(jié)果通知給命令監(jiān)視部13a。然后，在詢(xún)問(wèn)的結(jié)果是對(duì)數(shù)據(jù)未賦有監(jiān)視對(duì)象標(biāo)簽的情況下(步驟S106，否)，命令監(jiān)視部13a判定當(dāng)前監(jiān)視的線程是否為監(jiān)視對(duì)象(步驟S107)。其結(jié)果，在判定為當(dāng)前監(jiān)視的線程不是監(jiān)視對(duì)象的情況下(步驟S107，否)，命令監(jiān)視部13a返回到步驟S104。另外，在判定為當(dāng)前監(jiān)視的線程是監(jiān)視對(duì)象的情況下(步驟S107，是)，命令監(jiān)視部13a轉(zhuǎn)移到步驟S108的處理。

在步驟S108的處理中，命令監(jiān)視部13a將該命令判斷為監(jiān)視對(duì)象，判定是否執(zhí)行監(jiān)視對(duì)象的call命令(步驟S108)。其結(jié)果，在判定為沒(méi)有執(zhí)行call命令的情況下(步驟S108，否)，命令監(jiān)視部13a判定是否返回到通過(guò)Ret命令而監(jiān)視對(duì)象登記之后的命令指針地址(步驟S109)。

其結(jié)果，在判定為沒(méi)有返回到通過(guò)Ret命令而監(jiān)視對(duì)象登記之后的命令指針地址的情況下(步驟S109，否)，命令監(jiān)視部13a返回到步驟S104。另外，在判定為返回到通過(guò)Ret命令而監(jiān)視對(duì)象登記之后的命令指針地址的情況下(步驟S109，是)，命令監(jiān)視部13a從監(jiān)視對(duì)象解除(步驟S110)，返回到步驟S104。

另外，在判定為執(zhí)行了call命令的情況下(步驟S108，是)，命令監(jiān)視部13a判定監(jiān)視對(duì)象API是否被調(diào)用(步驟S111)。其結(jié)果，在監(jiān)視對(duì)象API沒(méi)有被調(diào)用的情況下(步驟S111，否)，命令監(jiān)視部13a將線程登記為監(jiān)視對(duì)象(步驟S112)，返回到步驟S104。

另外，在監(jiān)視對(duì)象API被調(diào)用的情況下(步驟S111，是)，命令監(jiān)視部13a判定是否為標(biāo)簽設(shè)定API(步驟S113)。其結(jié)果，在判定為是標(biāo)簽設(shè)定API的情況下(步驟S113，是)，命令監(jiān)視部13a設(shè)定能夠唯一地確定取得源的標(biāo)簽(步驟S114)，與取得源的通信目的地信息匹配地將標(biāo)簽記錄到日志DB14(步驟S115)。例如，在是數(shù)據(jù)接收API的情況下，命令監(jiān)視部13a對(duì)通過(guò)數(shù)據(jù)接收API而接收到的數(shù)據(jù)設(shè)定標(biāo)簽，與接收數(shù)據(jù)的取得源的通信目的地信息匹配地將標(biāo)簽記錄到日志DB14。

另外，在判定為不是標(biāo)簽設(shè)定API的情況下(步驟S113，否)，命令監(jiān)視部13a判定是否為標(biāo)簽確認(rèn)API(步驟S116)。其結(jié)果，在判定為是標(biāo)簽確認(rèn)API的情況下(步驟S116，是)，命令監(jiān)視部13a確認(rèn)標(biāo)簽(步驟S117)，將標(biāo)簽等日志記錄到日志DB14(步驟S118)。例如，在是數(shù)據(jù)發(fā)送API的情況下，命令監(jiān)視部13a對(duì)于作為通信目的地信息而傳遞到自變量的數(shù)據(jù)，確認(rèn)所設(shè)定的標(biāo)簽，與通信目的地信息、成為該API的執(zhí)行原因的緊前監(jiān)視對(duì)象標(biāo)簽匹配地將標(biāo)簽記錄到日志DB14。另外，成為執(zhí)行原因的緊前監(jiān)視對(duì)象標(biāo)簽追溯呼叫堆棧，通過(guò)確認(rèn)賦有最近的監(jiān)視對(duì)象標(biāo)簽的程序代碼來(lái)進(jìn)行確定。

另外，在判定為不是標(biāo)簽確認(rèn)API的情況下(步驟S116，否)，命令監(jiān)視部13a在標(biāo)簽確認(rèn)后設(shè)定標(biāo)簽(步驟S119)，與寫(xiě)入目的地名匹配地將標(biāo)簽記錄到日志DB14(步驟S120)。例如，是文件寫(xiě)入API及用于代碼植入的存儲(chǔ)器寫(xiě)入API的情況下，命令監(jiān)視部13a在標(biāo)簽確認(rèn)后設(shè)定標(biāo)簽，與寫(xiě)入目的地名、成為該API的執(zhí)行原因的緊前監(jiān)視對(duì)象標(biāo)簽匹配地將確認(rèn)的標(biāo)簽和設(shè)定的標(biāo)簽記錄到日志DB14。在此，關(guān)于寫(xiě)入目的地名，如果是文件寫(xiě)入API，則指文件名，如果是用于代碼植入的存儲(chǔ)器寫(xiě)入API，則指寫(xiě)入目的地的進(jìn)程名。

在步驟S115、步驟S118或步驟S120的處理結(jié)束之后，命令監(jiān)視部13a判定是否經(jīng)過(guò)了一定時(shí)間(步驟S121)，在判定為沒(méi)有經(jīng)過(guò)一定時(shí)間的情況下(步驟S121，否)，返回到步驟S104的處理。另外，在判定為經(jīng)過(guò)了一定時(shí)間的情況下(步驟S121，是)，命令監(jiān)視部13a結(jié)束處理。

接著，對(duì)依賴(lài)關(guān)系圖形的構(gòu)建方法進(jìn)行說(shuō)明。在生成部15中，從存儲(chǔ)在日志DB14中的日志抽取依賴(lài)關(guān)系圖形的節(jié)點(diǎn)、邊緣。依賴(lài)關(guān)系圖形中保持的依賴(lài)關(guān)系是與數(shù)據(jù)執(zhí)行相關(guān)的依賴(lài)關(guān)系、與數(shù)據(jù)保存相關(guān)的依賴(lài)關(guān)系、與通信目的地決定相關(guān)的依賴(lài)關(guān)系。

在保持與數(shù)據(jù)執(zhí)行相關(guān)的依賴(lài)關(guān)系的邊緣中，在終點(diǎn)節(jié)點(diǎn)中具備程序代碼，在起點(diǎn)節(jié)點(diǎn)中具備程序代碼或文件、通信目的地。該邊緣根據(jù)記錄在日志DB14中的日志而被生成如下。

終點(diǎn)節(jié)點(diǎn)和起點(diǎn)節(jié)點(diǎn)均為程序代碼的邊緣是在成為執(zhí)行原因的緊前監(jiān)視對(duì)象標(biāo)簽是通過(guò)存儲(chǔ)器寫(xiě)入API而寫(xiě)入的標(biāo)簽的情況下被生成的。此時(shí)，賦有成為存儲(chǔ)器寫(xiě)入API的執(zhí)行原因的緊前監(jiān)視對(duì)象標(biāo)簽的程序代碼成為起點(diǎn)節(jié)點(diǎn)。

終點(diǎn)節(jié)點(diǎn)是程序代碼且起點(diǎn)節(jié)點(diǎn)是文件的邊緣是在成為執(zhí)行原因的緊前監(jiān)視對(duì)象標(biāo)簽是通過(guò)文件寫(xiě)入API而寫(xiě)入的標(biāo)簽的情況下被生成的。此時(shí)，設(shè)定有該標(biāo)簽的文件成為起點(diǎn)節(jié)點(diǎn)。

終點(diǎn)節(jié)點(diǎn)是程序代碼且起點(diǎn)節(jié)點(diǎn)是通信目的地的邊緣是在成為執(zhí)行原因的緊前監(jiān)視對(duì)象標(biāo)簽是對(duì)來(lái)自該通信目的地的接收數(shù)據(jù)設(shè)定的標(biāo)簽的情況下被生成的。此時(shí)，該通信目的地成為起點(diǎn)節(jié)點(diǎn)。

在保持與數(shù)據(jù)保存相關(guān)的依賴(lài)關(guān)系的邊緣中，在終點(diǎn)節(jié)點(diǎn)中具備文件，在起點(diǎn)節(jié)點(diǎn)中具備程序代碼或文件、通信目的地。該邊緣根據(jù)記錄在日志DB14中的日志而被生成如下。

起點(diǎn)節(jié)點(diǎn)和終點(diǎn)節(jié)點(diǎn)均為文件的邊緣是在向不同的文件的寫(xiě)入數(shù)據(jù)中觀測(cè)到通過(guò)文件寫(xiě)入API對(duì)某個(gè)文件設(shè)定的標(biāo)簽的情況下被生成的。例如，相當(dāng)于向文件X寫(xiě)入時(shí)所設(shè)定的標(biāo)簽被設(shè)定在向文件Y寫(xiě)入的數(shù)據(jù)中的情況。此時(shí)，文件X成為起點(diǎn)節(jié)點(diǎn)，文件Y成為終點(diǎn)節(jié)點(diǎn)。

終點(diǎn)節(jié)點(diǎn)是文件且起點(diǎn)節(jié)點(diǎn)是程序代碼的邊緣是在觀測(cè)到程序代碼將具有與程序代碼相同的標(biāo)簽的數(shù)據(jù)寫(xiě)入到文件的情況下被生成的。

終點(diǎn)節(jié)點(diǎn)是文件且起點(diǎn)節(jié)點(diǎn)是通信目的地的邊緣是在文件寫(xiě)入API中確認(rèn)向文件寫(xiě)入的數(shù)據(jù)的標(biāo)簽，進(jìn)行所確認(rèn)的寫(xiě)入ID的設(shè)定之前的標(biāo)簽是對(duì)來(lái)自該通信目的地的接收數(shù)據(jù)設(shè)定的標(biāo)簽的情況下生成的。

在保持與通信目的地決定相關(guān)的依賴(lài)關(guān)系的邊緣中，在終點(diǎn)節(jié)點(diǎn)中具有通信目的地，在起點(diǎn)節(jié)點(diǎn)中具有程序代碼或文件、通信目的地。該邊緣根據(jù)記錄在日志DB14中的日志而備生成如下。

起點(diǎn)節(jié)點(diǎn)和終點(diǎn)節(jié)點(diǎn)均為通信目的地的邊緣是在對(duì)數(shù)據(jù)發(fā)送API作為通信目的地信息而傳遞的數(shù)據(jù)中所設(shè)定的標(biāo)簽與在數(shù)據(jù)接收API中對(duì)接收數(shù)據(jù)所設(shè)定的標(biāo)簽相同的情況下被生成的。起點(diǎn)節(jié)點(diǎn)成為該接收數(shù)據(jù)的發(fā)送源。

終點(diǎn)節(jié)點(diǎn)是通信目的地且起點(diǎn)節(jié)點(diǎn)是程序代碼的邊緣是在對(duì)數(shù)據(jù)發(fā)送API作為通信目的地信息而傳遞的數(shù)據(jù)中未設(shè)定標(biāo)簽的情況下或所設(shè)定的標(biāo)簽與成為該數(shù)據(jù)發(fā)送API的執(zhí)行原因的緊前監(jiān)視對(duì)象標(biāo)簽相同的情況下被生成的。此時(shí)，起點(diǎn)節(jié)點(diǎn)成為具備成為該數(shù)據(jù)發(fā)送API的執(zhí)行原因的緊前監(jiān)視對(duì)象標(biāo)簽的程序代碼。

終點(diǎn)節(jié)點(diǎn)是通信目的地且起點(diǎn)節(jié)點(diǎn)是文件的邊緣是在對(duì)數(shù)據(jù)發(fā)送API作為通信目的地信息而傳遞的數(shù)據(jù)中設(shè)定的標(biāo)簽與通過(guò)文件寫(xiě)入API對(duì)寫(xiě)入數(shù)據(jù)新設(shè)定的標(biāo)簽相同的情況下被生成的。此時(shí)，起點(diǎn)節(jié)點(diǎn)成為該文件寫(xiě)入API的寫(xiě)入目的地文件。通過(guò)以上的方法而生成的邊緣的起點(diǎn)節(jié)點(diǎn)與終點(diǎn)節(jié)點(diǎn)成為依賴(lài)關(guān)系圖形上的節(jié)點(diǎn)。

接著，使用圖7，對(duì)由確定裝置10進(jìn)行的惡意通信目的地的確定處理的流程進(jìn)行說(shuō)明。如圖7所示，確定裝置10的生成部15使用存儲(chǔ)在日志DB14中日志，構(gòu)建依賴(lài)關(guān)系圖形(步驟S201)。然后，確定部16判定在依賴(lài)關(guān)系圖形中是否存在節(jié)點(diǎn)(步驟S202)。其結(jié)果，在不存在節(jié)點(diǎn)的情況下(步驟S202，否)，確定部16結(jié)束該處理。

另外，在存在節(jié)點(diǎn)的情況下(步驟S202，是)，確定部16對(duì)通過(guò)生成部15生成的依賴(lài)關(guān)系圖形，映射已有的惡意信息(步驟S203)。然后，確定部16判定是否存在映射惡意信息的節(jié)點(diǎn)(步驟S204)。其結(jié)果，在不存在映射惡意信息的節(jié)點(diǎn)的情況下(步驟S204，否)，確定部16結(jié)束處理。另外，在存在映射惡意信息的節(jié)點(diǎn)的情況下(步驟S204，是)，確定部16逆向地變更依賴(lài)關(guān)系圖形的邊緣(步驟S205)，將惡意的節(jié)點(diǎn)作為基點(diǎn)，從終點(diǎn)向起點(diǎn)方向追溯邊緣，將從映射惡意信息的節(jié)點(diǎn)可到達(dá)的所有節(jié)點(diǎn)判定為惡意(步驟S206)，并結(jié)束處理。此時(shí)，將與判定為惡意的節(jié)點(diǎn)的通信目的地的節(jié)點(diǎn)對(duì)應(yīng)的通信目的地作為惡意的站點(diǎn)而檢測(cè)，并且在到達(dá)至該通信目的地的節(jié)點(diǎn)的緊前節(jié)點(diǎn)是文件、程序代碼等下載數(shù)據(jù)的情況下，將該通信目的地節(jié)點(diǎn)作為惡意軟件下載站點(diǎn)而檢測(cè)。另外，無(wú)需必須逆向地變更依賴(lài)關(guān)系圖形的邊緣之后追溯邊緣，也可以不將邊緣設(shè)為逆向，而是從終點(diǎn)向起點(diǎn)方向逆向地追溯邊緣。

[第一實(shí)施方式的效果]

這樣，第一實(shí)施方式的確定裝置10對(duì)分析對(duì)象的惡意軟件11進(jìn)行監(jiān)視，作為日志數(shù)據(jù)而取得該惡意軟件11、從通信目的地下載的下載數(shù)據(jù)、與惡意軟件11或下載數(shù)據(jù)的通信目的地之間進(jìn)行的數(shù)據(jù)的交接關(guān)系。然后，確定裝置10使用所取得的日志數(shù)據(jù)，生成將惡意軟件、下載數(shù)據(jù)及通信目的地作為節(jié)點(diǎn)并將各節(jié)點(diǎn)的依賴(lài)關(guān)系作為邊緣的有向圖形即依賴(lài)關(guān)系圖形。然后，確定裝置10將所生成的依賴(lài)關(guān)系圖形的各節(jié)點(diǎn)與已知的惡意信息進(jìn)行對(duì)照來(lái)檢測(cè)惡意的節(jié)點(diǎn)，并以該惡意的節(jié)點(diǎn)為基點(diǎn)而從終點(diǎn)向起點(diǎn)方向追溯邊緣，將所追溯的節(jié)點(diǎn)確定為新的惡意的節(jié)點(diǎn)。因此，能夠確切地確定惡意的站點(diǎn)、惡意的下載數(shù)據(jù)。即，確定裝置10在確定包含惡意軟件下載站點(diǎn)的惡意通信目的地時(shí)有用，在無(wú)法惡意判定執(zhí)行數(shù)據(jù)的情況下、下載站點(diǎn)由多級(jí)構(gòu)成的情況下均有效果。

例如，如果所確定的節(jié)點(diǎn)是通信目的地，則將該節(jié)點(diǎn)作為惡意軟件下載站點(diǎn)而檢測(cè)。另外，惡意軟件11所進(jìn)行的向正規(guī)站點(diǎn)的通信不是從已知的惡意信息進(jìn)行追溯(邊緣不是從終點(diǎn)向起點(diǎn)方向連接)，因此還具有如下效果：不會(huì)錯(cuò)誤地將正規(guī)站點(diǎn)誤檢為惡意軟件下載站點(diǎn)。

(系統(tǒng)結(jié)構(gòu)等)

另外，圖示的各個(gè)裝置的各個(gè)結(jié)構(gòu)要件是功能概念性的結(jié)構(gòu)要件，無(wú)需必須物理性地形成為如圖示的結(jié)構(gòu)。即，各個(gè)裝置的分散、合并的具體方式不限于圖示的方式，能夠?qū)⑵淙炕蛞徊糠指鶕?jù)各種負(fù)荷、使用狀況等，以任意的單位在功能上或物理性上分散、合并而構(gòu)成。并且，關(guān)于由各個(gè)裝置進(jìn)行的各個(gè)處理功能，其全部或任意的一部分可通過(guò)CPU及由該CPU分析執(zhí)行的程序來(lái)實(shí)現(xiàn)或作為基于有線邏輯的硬件來(lái)實(shí)現(xiàn)。例如，也可以將生成部15與確定部16進(jìn)行合并。

另外，也可以將在本實(shí)施方式的各個(gè)處理中，作為自動(dòng)地進(jìn)行的處理而說(shuō)明的全部處理或一部分處理手動(dòng)地進(jìn)行或也可以將作為手動(dòng)地進(jìn)行的處理而說(shuō)明的全部處理或一部分處理通過(guò)公知的方法來(lái)自動(dòng)地進(jìn)行。除此之外，關(guān)于包括在上述文件中、附圖中表示的處理步驟、控制步驟、具體的名稱(chēng)、各種數(shù)據(jù)、參數(shù)的信息，除了特別記載的情況之外，可任意地變更。

(程序)

另外，也可以生成能夠?qū)⑸鲜鰧?shí)施方式的確定裝置10所執(zhí)行的處理用計(jì)算機(jī)可執(zhí)行的語(yǔ)言來(lái)記載的程序。在該情況下，計(jì)算機(jī)執(zhí)行程序，從而能夠得到與上述實(shí)施方式相同的效果。并且，也可以將上述程序記錄到由計(jì)算機(jī)可讀取的記錄介質(zhì)，使計(jì)算機(jī)讀入記錄于該記錄介質(zhì)的程序并執(zhí)行，從而實(shí)現(xiàn)與上述實(shí)施方式相同的處理。下面，對(duì)執(zhí)行與確定裝置10相同的功能的確定程序的計(jì)算機(jī)的一例進(jìn)行說(shuō)明。

圖8是表示執(zhí)行確定程序的計(jì)算機(jī)的圖。如圖8所示，計(jì)算機(jī)1000例如具有存儲(chǔ)器1010、CPU1020、硬盤(pán)驅(qū)動(dòng)器接口1030、盤(pán)驅(qū)動(dòng)器接口1040、串行端口接口1050、視頻適配器1060、網(wǎng)絡(luò)接口1070。這些各個(gè)部件通過(guò)總線1080而連接。

存儲(chǔ)器1010包括ROM(Read Only Memory：只讀存儲(chǔ)器)1011及RAM(Random Access Memory：隨機(jī)存取存儲(chǔ)器)1012。ROM1011例如存儲(chǔ)BIOS(Basic Input Output System：基本輸入輸出系統(tǒng))等引導(dǎo)程序。硬盤(pán)驅(qū)動(dòng)器接口1030連接于硬盤(pán)驅(qū)動(dòng)器1090。盤(pán)驅(qū)動(dòng)器接口1040連接于盤(pán)驅(qū)動(dòng)器1041。盤(pán)驅(qū)動(dòng)器1041中例如插入磁気盤(pán)、光盤(pán)等可拆裝的存儲(chǔ)介質(zhì)。在串行端口接口1050例如連接鼠標(biāo)1110及鍵盤(pán)1120。在視頻適配器1060例如連接顯示器1130。

在此，如圖8所示，硬盤(pán)驅(qū)動(dòng)器1090例如存儲(chǔ)OS1091、應(yīng)用程序1092、程序模塊1093及程序數(shù)據(jù)1094。在上述實(shí)施方式中說(shuō)明的各個(gè)表格例如存儲(chǔ)于硬盤(pán)驅(qū)動(dòng)器1090、存儲(chǔ)器1010。

另外，確定程序例如作為記述了由計(jì)算機(jī)1000執(zhí)行的指令的程序模塊而存儲(chǔ)于硬盤(pán)驅(qū)動(dòng)器1090。具體地，記述了在上述實(shí)施方式中說(shuō)明的確定裝置10所執(zhí)行的各個(gè)處理的程序模塊存儲(chǔ)于硬盤(pán)驅(qū)動(dòng)器1090。

另外，用于由確定程序進(jìn)行的信息處理的數(shù)據(jù)作為程序數(shù)據(jù)而例如存儲(chǔ)于硬盤(pán)驅(qū)動(dòng)器1090。然后，CPU1020根據(jù)需要而讀出存儲(chǔ)于硬盤(pán)驅(qū)動(dòng)器1090的程序模塊1093、程序數(shù)據(jù)1094，執(zhí)行上述的各個(gè)步驟。

另外，與確定程序相關(guān)的程序模塊1093、程序數(shù)據(jù)1094不限于存儲(chǔ)到硬盤(pán)驅(qū)動(dòng)器1090的情況，例如也可以存儲(chǔ)于可拆裝的存儲(chǔ)介質(zhì)，并經(jīng)由盤(pán)驅(qū)動(dòng)器1041等而由CPU1020讀出。或者，與確定程序相關(guān)的程序模塊1093、程序數(shù)據(jù)1094也可以存儲(chǔ)于經(jīng)由LAN(Local Area Network)、WAN(Wide Area Network)等網(wǎng)絡(luò)來(lái)連接的其它計(jì)算機(jī)，并經(jīng)由網(wǎng)絡(luò)接口1070而由CPU1020讀出。

符號(hào)的說(shuō)明

10 確定裝置

10a 惡意軟件執(zhí)行環(huán)境部

11 惡意軟件

12 客戶(hù)OS

13 虛擬計(jì)算機(jī)

13a 命令監(jiān)視部

13b 數(shù)據(jù)流分析部

14 日志DB

15 生成部

16 確定部

20 惡意信息DB