信息处理装置和确定方法
【技术领域】
[0001 ] 本发明涉及信息处理装置和确定方法。
【背景技术】
[0002]以往,在恶意软件的分析方法中,大致有静态分析和动态分析。静态分析是通过分析恶意软件的程序代码来把握恶意软件具有的功能的方法。不过,静态分析由于综合分析恶意软件具有的功能,因而伴有大量人手的作业。另一方面,动态分析是准备用于记录恶意软件的行为的环境并在该环境内使恶意软件进行动作来分析恶意软件的功能的方法。动态分析由于是提取恶意软件的行为的分析,因而与静态分析相比较容易自动化。
[0003]作为这样的恶意软件的动态分析之一,有动态污点分析(dynamic taintanalysis)。在动态污点分析中,例如在虚拟机中,虚拟CPU (Central Processing Unit,中央处理单元)使用虚拟存储器或虚拟盘等追踪恶意软件读写的数据的流。更具体地,动态污点分析由以下3个阶段构成:污点标签的赋予、污点标签的传送、污点标签的检测。
[0004]例如,在检测出恶意软件导致机密信息发生泄漏的情况下,虚拟CPU执行以下处理。首先,在第I阶段中,虚拟CPU使恶意软件进行动作。然后,虚拟CPU在包含机密信息的文件被读入到存储器内的阶段中,对应于包含机密信息的文件在存储器中的存储位置,赋予表示机密信息的污点标签。通常,该污点标签被存储在与OS (Operating System,操作系统)管理的物理存储器分开准备的区域(也称为“影子存储器(shadow memory)”)内。该区域以从OS或应用程序(包含恶意软件)无法访问的方式来安装。
[0005]之后,在第2阶段中,虚拟CPU通过监视寄存器与存储器区域之间的传送指令等,根据机密信息的复制传送污点标签。然后,在第3阶段中,虚拟CPU确认是否向从网络接口输出的数据赋予了表示机密信息的污点标签。在向所输出的数据赋予了污点标签的情况下,虚拟CPU检测出要将机密信息输出到外部。
[0006]并且,作为应用动态污点分析的例子,有通过污点标签实现调试程序中的断点的技术。在该技术中,利用者针对使程序中断的部位(设定“断点”的部位)事先分配污点标签。然后,虚拟CPU对应于要执行的指令检测是否赋予了污点标签,在赋予了污点标签的情况下中断程序。
[0007]现有技术文献
[0008]专利文献
[0009]【专利文献I】日本特开2012— 83798号公报
【发明内容】
[0010]发明要解决的课题
[0011]然而,在上述的现有技术中,存在无法确定恶意软件的发布目标的课题。
[0012]例如,通过网络切断恶意软件的通信,可以期待抑制恶意软件导致的伤害的效果。而另一方面,在动态分析中得到的恶意软件的通信目标(communicat1n destinat1n)中,除了使终端内的信息泄漏的目标(destinat1n)以外,还包含有各种主机。例如,存在发布新的恶意软件的站点(也称为“恶意软件发布站点”)、用于确认恶意软件自身与网络连接的站点等。用于确认恶意软件自身与网络连接的站点大多是一般的检索引擎等的正规站点。
[0013]因此,在将恶意软件的通信目标全部视为一般用户不应访问的通信目标的情况下,一般用户也无法访问例如检索引擎等的正规站点。即,将恶意软件的通信目标活用于网络中的恶意软件对策是困难的。因此,期望一种确定恶意软件发布站点的方法。
[0014]公开的技术是鉴于上述而作成的,目的是确定恶意软件的发布目标。
[0015]用于解决课题的手段
[0016]本申请公开的信息处理装置具有赋予部和确定部。赋予部向由作为分析对象的程序从通信目标装置(communicat1n destinat1n device)接收到的数据赋予能够识别该通信目标装置的标签。确定部在检测出新的程序的启动或启动预约时,在该新的程序执行的数据被赋予了所述标签的情况下,确定由该标签识别的通信目标装置。
[0017]发明的效果
[0018]根据公开的信息处理装置的一个方式,取得可以确定恶意软件的发布目标的效果O
【附图说明】
[0019]图1是示出信息处理装置的结构例的图。
[0020]图2是示出虚拟硬件的结构的功能框图。
[0021]图3是示出通信目标信息表存储的信息的一例的图。
[0022]图4是用于说明赋予部的处理动作的图。
[0023]图5是示出由赋予部赋予污点标签的处理的进程的流程图。
[0024]图6是示出由确定部确定恶意软件发布站点的处理的进程的流程图。
[0025]图7是示出使用计算机具体实现用于执行计算机系统的处理的确定程序的信息处理的图。
【具体实施方式】
[0026]以下,根据附图详细说明公开的信息处理装置和确定方法的实施方式。另外,由本实施方式公开的发明不受限定。
[0027](第I实施方式)
[0028]图1是示出信息处理装置10的结构例的图。如图1所示,信息处理装置10具有物理机20和虚拟机30。物理机20具有:硬件21、主机OS (Operating System,操作系统)22、和虚拟机软件23。
[0029]硬件21是构成信息处理装置10的电子电路或外围设备,例如是存储器、CPU (Central Processing Unit,中央处理单元)等。并且,硬件21存储有后述的分析对象程序33和保存了用于进行其分析的环境的盘的图像文件。也就是说,硬件21存储在虚拟机30上进行启动的客户机0S32的图像。另外,后面对客户机0S32进行描述。
[0030]主机0S22是作为使虚拟机30进行动作的基础的OS,使用硬件21来执行。虚拟机软件23是使用硬件21提供虚拟机30的软件,这里,使虚拟机30进行动作。例如,虚拟机软件23将包含虚拟盘、虚拟存储器、虚拟CPU等的虚拟硬件31分配给客户机OS32,使虚拟机30进行动作。
[0031]虚拟机30具有例如:虚拟硬件31、客户机0S32、和分析对象程序33。虚拟硬件31是这样的虚拟的信息处理装置:使用从虚拟机软件23所提供的虚拟盘、虚拟物理存储器,虚拟CPU等来使客户机0S32进行动作,执行各种处理。客户机0S32使分析对象程序33进行动作。分析对象程序33在信息处理装置10中是分析对象即程序或应用程序,例如是恶意软件。
[0032]并且,在图1所示的例子中,信息处理装置10经由任意的网络5,与多个通信目标装置2a?2c连接。这里假定,通信目标装置2a是恶意软件发布站点,通信目标装置2b是检索站点,通信目标装置2c是机密信息泄漏目标站点。恶意软件发布站点是向恶意软件发送数据的装置。检索站点是例如包含检索引擎的装置,用于通过恶意软件确认通信的连接。机密信息泄漏目标站点是接收恶意软件取得的例如机密信息的装置。另外,恶意软件发布站点和机密信息泄漏目标站点也可以相同。并且,以下,在将通信目标装置2a?2c不加区别地广义称呼的情况下,记载为通信目标装置2。另外,信息处理装置10连接的通信目标装置2的数目不限定于图1所示的数目。
[0033]在这样的结构中,信息处理装置10的虚拟机30向通过分析对象程序33从通信目标装置2接收到的数据赋予能够识别该通信目标装置2的污点标签。然后,虚拟机30当检测出新的程序的启动或启动预约时,在向该新的程序执行的数据赋予了污点标签的情况下,将由该污点标签识别的通信目标装置2确定为恶意软件发布站点。
[0034]然后,使用图2说明图1所示的虚拟硬件31的功能结构。图2是示出虚拟硬件31的结构的功能框图。虚拟硬件31是使客户机0S32进行动作来执行各种处理的虚拟的信息处理装置,具有:虚拟存储器(virtual memory) 41a、影子存储器41b、虚拟盘42a、影子盘(shadow disk) 42b、虚拟 NIC (Network Interface Card,网络接口卡)43、通信目标信息表44、以及虚拟CPU45。另外,虚拟存储器41a、影子存储器41b、虚拟盘42a、影子盘42b、虚拟NIC43、通信目标信息表44、以及虚拟CPU45等是从虚拟机软件23提供的。
[0035]虚拟存储器41a是通过将信息处理装置10具有的物理存储器中的预定区域分配作为在虚拟机30中进行动作的客户机0S32使用的存储器来实现的虚拟的存储器。例如,虚拟存储器41a存储由虚拟CPU45从虚拟盘42a读出的程序和数据。
[003