処理装置およびプログラム
【課題】正規のアプリケーション等の挙動を異常な挙動として検知する誤検知を低減することができる処理装置およびプログラムを提供する。
【解決手段】HDD5は、ファイルを記憶可能な第1の場所および第2の場所を有する。実行部10は、第1の場所に格納されている実行ファイルを実行する。複製部12は、第1の場所に格納されている実行ファイルを第2の場所に複製する。実行部10は、第2の場所に格納されている実行ファイルを実行する。判定部14は、第1の場所に格納されている実行ファイルを実行したときの実行結果と、第2の場所に格納されている実行ファイルを実行したときの実行結果とを比較する。
【解決手段】HDD5は、ファイルを記憶可能な第1の場所および第2の場所を有する。実行部10は、第1の場所に格納されている実行ファイルを実行する。複製部12は、第1の場所に格納されている実行ファイルを第2の場所に複製する。実行部10は、第2の場所に格納されている実行ファイルを実行する。判定部14は、第1の場所に格納されている実行ファイルを実行したときの実行結果と、第2の場所に格納されている実行ファイルを実行したときの実行結果とを比較する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、PC(Personal Computer)等の処理装置に関する。また、本発明は、本処理装置としてコンピュータを機能させるためのプログラムにも関する。
【背景技術】
【0002】
近年、ウィルスに感染したコンピュータに悪質な動作を実行させる、ボットと呼ばれるウィルスによる被害が拡大している。ボットは、外部の指令サーバに通信セッションを確立して新たなコードをダウンロードする機能や、攻撃のための指令を受ける機能、指令に従って攻撃する機能などを持つ悪意のコードで構成されている。
【0003】
しかし、パターンマッチング型のウィルス対策ソフトで検知できないボットが増えている。そこで、ボットを検知する手法として、ボットがPC内の複数のファイルに感染するときに自身のコードを読み込む(Read)行為や証拠隠滅のためにコードを消去する(Delete)行為に着目した検知手法が提案されている(例えば非特許文献1参照)。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】酒井崇裕、長谷巧、竹森敬祐、西垣正勝、“自己ファイルREAD/DELETEの検出によるボット検知の可能性に関する一検討”、マルウェア対策研究人材育成ワークショップ2008(MWS2008)、セッションM6-2、2008年10月
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、正規のアプリケーションのインストーラの処理でも、自身のコードを読み込んで複製すること(自己複製)や、所望の処理後にコードを消去すること(自己消去)が行われるため、上記の手法では、一部の正常な処理を誤ってボットの処理として検知してしまう問題がある。
【0006】
本発明は、上述した課題に鑑みてなされたものであって、正規のアプリケーション等の挙動を異常な挙動として検知する誤検知を低減することができる処理装置およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明者は、正規のアプリケーションやそのインストーラの実行ファイルとボットの実行ファイルとでは、実行ファイルが格納される場所に応じて、実行ファイルの実行時の挙動が異なるということを発見した。すなわち、正規のアプリケーションやそのインストーラの実行ファイルは、第1の場所と第2の場所のどちらで実行しても、実行結果が同一となる。これに対して、ボットの実行ファイルは、第1の場所で実行した場合と第2の場所で実行した場合とで、実行結果が異なる。
【0008】
本発明は、上記に鑑みてなされたもので、ファイルを記憶可能な第1の場所および第2の場所を有する記憶手段と、前記第1の場所に格納されている実行ファイルを実行する第1の実行手段と、前記第1の場所に格納されている前記実行ファイルを前記第2の場所に複製する複製手段と、前記第2の場所に格納されている前記実行ファイルを実行する第2の実行手段と、前記第1の実行手段が前記実行ファイルを実行したときの実行結果と、前記第2の実行手段が前記実行ファイルを実行したときの実行結果とを比較する比較手段と、を備えたことを特徴とする処理装置である。
【0009】
また、本発明の処理装置において、前記第2の場所は、前記第1の実行手段が前記実行ファイルを実行したときに展開される実行ファイルが格納される場所であることを特徴とする。
【0010】
また、本発明の処理装置において、前記実行結果は、実行された前記実行ファイルが前記記憶手段にアクセスした結果であることを特徴とする。
【0011】
また、本発明の処理装置において、前記実行結果は、実行された前記実行ファイルが通信を行った結果であることを特徴とする。
【0012】
また、本発明の処理装置は、前記比較手段による比較の結果、2つの前記実行結果が一致した場合に前記実行ファイルが正規のアプリケーションまたはインストーラであると判定する判定手段をさらに備えることを特徴とする。
【0013】
また、本発明の処理装置は、前記比較手段による比較の結果、2つの前記実行結果が一致しなかった場合に前記実行ファイルがボットであると判定する判定手段をさらに備えることを特徴とする。
【0014】
また、本発明は、ファイルを記憶可能な第1の場所および第2の場所を有する記憶手段と、前記第1の場所に格納されている実行ファイルを実行する第1の実行手段と、前記第1の場所に格納されている前記実行ファイルを前記第2の場所に複製する複製手段と、前記第2の場所に格納されている前記実行ファイルを実行する第2の実行手段と、前記第1の実行手段が前記実行ファイルを実行したときの実行結果と、前記第2の実行手段が前記実行ファイルを実行したときの実行結果とを比較する比較手段と、としてコンピュータを機能させるためのプログラムである。
【発明の効果】
【0015】
本発明によれば、第1の実行手段が実行ファイルを実行したときの実行結果と、第2の実行手段が実行ファイルを実行したときの実行結果とを比較することによって、正規のアプリケーション等の挙動を異常な挙動として検知する誤検知を低減することができる。
【図面の簡単な説明】
【0016】
【図1】本発明の一実施形態による処理装置のハードウェア構成を示すブロック図である。
【図2】本発明の一実施形態による処理装置の機能構成を示すブロック図である。
【図3】本発明の一実施形態による処理装置の動作を示す参考図である。
【図4】本発明の一実施形態による処理装置の動作を示す参考図である。
【図5】本発明の一実施形態による処理装置の動作を示す参考図である。
【図6】本発明の一実施形態による処理装置の動作を示す参考図である。
【図7】ボットの挙動を示す参考図である。
【図8】正規のアプリケーションのインストーラの挙動を示す参考図である。
【発明を実施するための形態】
【0017】
以下、図面を参照し、本発明の実施形態を説明する。まず、ボットの挙動と正規のアプリケーションのインストーラの挙動の違いを説明する。通常、ボットは、実行ファイルが同一であっても、その実行ファイル(拡張子が.exe等の実行形式のファイル)が実行される場所に応じて異なる挙動を示す。図7はボットの挙動を示している。ボットは、潜伏先となるシステムフォルダ等以外のフォルダに格納されている場合には、インストーラとしての挙動を示し、潜伏先のフォルダに自己複製を行う。
【0018】
図7(a)に示すように、潜伏先のフォルダ以外のフォルダに格納されているボット700の実行ファイルが実行(起動)されると、ボット700は、自身の実行ファイルをコピー(複製)し、潜伏先のフォルダに格納する。潜伏先のフォルダに格納されたボット710の実行ファイルが実行されると、ボット710は外部へ各種攻撃を行う。
【0019】
また、図7(b)に示すように、潜伏先のフォルダに自己複製されたボット710の実行ファイルを潜伏先のフォルダ以外のフォルダにコピーしたボット720の実行ファイルが実行されると、ボット720はボット700と同様に、自身の実行ファイルをコピーし、潜伏先のフォルダに格納する。なお、ボット710,720の実行ファイルは同一である。上記のように、ボットは、実行ファイルが実行される場所に応じて異なる挙動を示す。
【0020】
一方、正規のアプリケーションのインストーラは、実行ファイルが実行される場所によらず、同一の挙動を示す。図8は正規のアプリケーションのインストーラの挙動を示している。図8に示すように、任意のフォルダに格納されているインストーラ800の実行ファイルが実行されると、インストーラ800は、圧縮ファイルを展開(解凍、伸張)し、展開後の実行ファイル810を展開先のフォルダ(システムフォルダ等)に格納する。なお、アプリケーションによっては、インストーラが実行ファイルを格納するフォルダをユーザが指定することが可能であるが、本実施形態では、説明を簡単にするため、アプリケーションがデフォルトで指定するフォルダに実行ファイル810が格納されるものとする。
【0021】
この実行ファイル810が実行されると、アプリケーションとしての機能に係る処理(ユーザが指定するファイルの読み込みや編集等)が実行される。また、実行ファイル810を、実行ファイル810が格納されているフォルダ以外のフォルダにコピーした実行ファイル820が実行すると、実行ファイル810と同様のアプリケーションとしての機能に係る処理が実行される。なお、実行ファイル810,820は同一である。また、上記において、ボットや正規のアプリケーションのインストーラの実行ファイルをコピーする際には、Configuration等の設定ファイルも一緒にコピーすることが望ましい。
【0022】
上記のように、ボットの実行ファイルは、インストーラとしての機能と、攻撃の踏み台としての機能との両方を有するため、自身がどの場所から実行されたのかを判断して、その後の挙動を変える。また、正規のアプリケーションの場合、インストーラの実行ファイルとアプリケーション本体の実行ファイルは、どの場所から実行されても、決められた挙動だけを示す。したがって、上記の挙動の違いを利用して、ボットと正規のアプリケーションまたはそのインストーラとを見分けることが可能となる。
【0023】
図1は、本実施形態による処理装置のハードウェア構成を示している。図1に示す処理装置は、CPU1、操作部2、表示部3、RAM4(メモリ)、HDD5(ハードディスクドライブ)を有し、これらがバスBで接続されている。CPU1は、HDD5に格納された各種プログラムをRAM4に読み込み、そのプログラムに従った処理を実行することで各種機能を実現する。操作部2は、ユーザが操作を行うマウスやキーボード等である。表示部3は、処理装置が実行した処理の結果等を表示する液晶ディスプレイ等である。
【0024】
RAM4は、CPU1が実行するプログラムや、演算に必要なデータを一時的に記憶する。HDD5は、各種アプリケーションが実行する処理を規定するアプリケーションプログラムや、アプリケーションが作成したファイル、OS(オペレーティングシステム)の動作に必要なシステムファイル等を記憶する。
【0025】
図2は、本実施形態による処理装置の機能構成を示している。なお、図2は、本実施形態の説明で必要な機能構成のみを示している。実行部10、監視部11、複製部12、実行結果取得部13、判定部14は、CPU1が各機能に係る処理を実行したときの各処理に対応する。HDD5は、システムファイルが格納されるシステムフォルダや、システムフォルダ以外のフォルダを有する。なお、一台のHDD内に各フォルダを一括して格納するようにしてもよいし、複数台のHDD内に各フォルダを分散して格納するようにしてもよい。
【0026】
図2に示す実行部10、監視部11、複製部12、実行結果取得部13、判定部14が実行する処理は以下の通りである。実行部10は実行ファイルを実行する。監視部11は、展開ソフトの実行ファイルが実行されてファイルが展開されるときに、その展開に係る処理を監視し、展開先のフォルダを識別する。複製部12は、HDD5内のフォルダに格納されている実行ファイルを他のフォルダにコピー(複製)する。実行結果取得部13は、実行ファイルが実行されるときに、その実行に係る処理を監視し、実行結果を取得する。判定部14は、異なる条件で同一の実行ファイルが実行されたときの実行結果を比較し、比較結果に基づいて、実行ファイルがボットと正規のアプリケーション(またはそのインストーラ)のどちらであるのかを判定する。
【0027】
次に、本実施形態による処理装置の動作を説明する。まず、図3を参照しながら、第1の動作例を説明する。第1の動作例では、ファイルを展開する展開ソフトがボットと正規のアプリケーションのインストーラのどちらであるのかが判定される。
【0028】
具体的には、以下のようになる。ネットワークやCD−ROM等から取得した展開ソフト300の実行ファイルが任意のフォルダに置かれている。実行部10が展開ソフト300の実行ファイルを実行すると、実行ファイル310が展開先のフォルダに展開される。このとき、監視部11は、実行ファイル310の展開先のフォルダを識別する。実行部10は、監視部11が識別したフォルダに格納されている実行ファイル310を実行する。このとき、実行結果取得部13は、実行ファイル310の実行を監視し、実行結果(以下、実行結果Aとする)を取得してRAM4に格納する。
【0029】
続いて、複製部12は、監視部11が識別したフォルダに格納されている実行ファイル310をコピーして実行ファイル310と同一の実行ファイル320を生成し、実行ファイル310が格納されているフォルダとは異なるフォルダに実行ファイル320を格納する。実行部10は、実行ファイル320を実行する。このとき、実行結果取得部13は、実行ファイル320の実行を監視し、実行結果(以下、実行結果A’とする)を取得してRAM4に格納する。
【0030】
続いて、判定部14は、RAM4から実行結果Aおよび実行結果A’を読み出し、両者を比較する。実行結果Aと実行結果A’が一致する場合、判定部14は、展開ソフト300が正規のアプリケーションのインストーラであると判定する。また、実行結果Aと実行結果A’が一致しない場合、判定部14は、展開ソフト300がボットであると判定する。
【0031】
本実施形態では、一例として、ファイルに対するアクセス(ファイルアクセス)の結果と通信結果の2種類の実行結果に注目する。ファイルアクセスの結果に注目する場合、以下のようになる。正規のアプリケーションは、その実行ファイルが実行されると、その実行ファイルが格納されている場所によらず、HDD5内の所定のフォルダに格納されている所定のファイルを読み出す。例えば、ワープロソフトであれば、編集対象のファイルを読み出す。このため、正規のアプリケーションの場合、実行結果Aと実行結果A’は一致する。
【0032】
一方、ボットは、自身の実行ファイルが格納されているフォルダに応じて、挙動が異なる。ボットの場合、例えば以下の2種類のファイルアクセスパターンがある。
【0033】
第1のファイルアクセスパターンでは、実行ファイル310は、指令サーバから受信した指令ファイルをHDD5に保存し、攻撃に必要なファイル(例えばスパムメールに記載される本文等が格納されたファイル)をHDD5から読み出す。また、実行ファイル320は、インストールが終了していないと判断し、HDD5に格納されている自身の実行ファイルをコピーし、実行ファイル310を生成して潜伏先のフォルダに格納する。
【0034】
第2のファイルアクセスパターンでは、実行ファイル310は、攻撃に必要なファイルをHDD5から読み出す。また、実行ファイル320は、インストールが終了していないと判断し、HDD5に格納されている自身の実行ファイルをコピーし、実行ファイル310を生成して潜伏先のフォルダに格納すると共に、指令サーバから受信した指令ファイルをHDD5に保存する。したがって、ボットの場合、第1のファイルアクセスパターンと第2のファイルアクセスパターンのいずれにおいても、実行結果Aと実行結果A’は一致しない。
【0035】
判定部14は、実行ファイルがアクセスするファイルとアクセスの種類(読み込み、書き込み、消去)が実行結果Aと実行結果A’で一致するか否かを判定する。これによって、ボットと正規のアプリケーションまたはそのインストーラとを見分けることができる。上記の判定を行うためには、実行ファイルを実行したときに生成されるプロセスが行うファイルアクセスを監視する必要があるが、この監視を行うツールとして、例えばFile Mon(http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx)等を利用することが可能である。
【0036】
また、通信結果に注目する場合、以下のようになる。通信を行う正規のアプリケーションであるブラウザは、その実行ファイルが実行されると、その実行ファイルが格納されている場所によらず、まず予め設定されているホームページを開くため、そのホームページを提供するサーバと通信を行う。このため、正規のアプリケーションの場合、実行結果Aと実行結果A’は一致する。
【0037】
一方、ボットは、自身の実行ファイルが格納されているフォルダに応じて、挙動が異なる。ボットの場合、例えば以下の2種類の通信パターンがある。
【0038】
第1の通信パターンでは、実行ファイル310は外部に対して攻撃のための通信(指令サーバからの指令ファイルの受信と外部の端末への攻撃パケットの送信)を行う。また、実行ファイル320は、自身の実行ファイルをコピーするときに通信を行わない。
【0039】
第2の通信パターンでは、実行ファイル310は、外部に対して攻撃のための通信(外部の端末への攻撃パケットの送信)を行う。また、実行ファイル320は、実行ファイル310を生成して潜伏先のフォルダに格納すると共に、指令サーバから指令ファイルを受信する。指令サーバと攻撃対象の外部の端末は、異なる端末である。したがって、ボットの場合、第1の通信パターンと第2の通信パターンのいずれにおいても、実行結果Aと実行結果A’は一致しない。
【0040】
判定部14は、実行ファイルが行う通信の宛先のFQDN(Fully Qualified Domain Name)とポート番号の組が実行結果Aと実行結果A’とで一致するか否かを判定する。これによって、ボットと正規のアプリケーションまたはそのインストーラとを見分けることができる。上記の判定を行うためには、実行ファイルを実行したときに生成されるプロセスが行う通信を監視する必要があるが、この監視を行う方法として、例えば文献(竹森敬祐、三宅優、“無操作ホストから発信されるパケットに注目したウイルス感染検知”、情処研報、CSEC36、pp.141-146、2007年3月)に記載されている方法を利用することが可能である。
【0041】
なお、実行ファイルが通信を行わなかった場合でも上記と同じ方法による判定を可能とするため、実行ファイルが通信を行わなかった場合には何らかのFQDNとポート番号が実行結果として得られるようにしておくことが望ましい。例えば、通常使用されない所定の文字列と番号をそれぞれ実行結果のFQDNとポート番号とし、判定に使用すればよい。また、上記の方法以外の方法で判定を行ってもよく、例えば比較すべき2つの実行結果として、通信したという実行結果と通信しなかったという実行結果が得られた場合には2つの実行結果が一致しないと判定してもよい。
【0042】
次に、図4を参照しながら、第2の動作例を説明する。第2の動作例では、既にHDD5に展開された後の実行ファイルがボットと正規のアプリケーションのどちらであるのかが判定される。図4に示す第2の動作例は、図3に示した第1の動作例において、実行ファイル310が展開された後の動作とほぼ同様である。
【0043】
具体的には、以下のようになる。実行部10は、展開先のフォルダに格納されている実行ファイル400を実行する。このとき、実行結果取得部13は、実行ファイル400の実行を監視し、実行結果(以下、実行結果Bとする)を取得してRAM4に格納する。
【0044】
続いて、複製部12は、実行ファイル400をコピーして実行ファイル400と同一の実行ファイル410を生成し、実行ファイル400が格納されているフォルダとは異なるフォルダに実行ファイル410を格納する。実行部10は、実行ファイル410を実行する。このとき、実行結果取得部13は、実行ファイル410の実行を監視し、実行結果(以下、実行結果B’とする)を取得してRAM4に格納する。
【0045】
続いて、判定部14は、RAM4から実行結果Bおよび実行結果B’を読み出し、両者を比較する。実行結果Bと実行結果B’が一致する場合、判定部14は、実行ファイル400が正規のアプリケーションであると判定する。また、実行結果Bと実行結果B’が一致しない場合、判定部14は、実行ファイル400がボットであると判定する。
【0046】
次に、図5および図6を参照しながら、第3の動作例を説明する。第3の動作例では、ファイルを展開する展開ソフトがボットと正規のアプリケーションのインストーラのどちらであるのかが、第1の動作例とは異なる方法で判定される。
【0047】
具体的には、以下のようになる。ネットワークやCD−ROM等から取得した展開ソフト500の実行ファイルが任意のフォルダに置かれており、実行部10が展開ソフト500の実行ファイルを実行すると、実行ファイル510が展開先のフォルダに展開される。このとき、監視部11は、実行ファイル510の展開先のフォルダを識別する。また、実行結果取得部13は、展開ソフト500の実行ファイルの実行を監視し、実行結果(以下、実行結果Cとする)を取得してRAM4に格納する。
【0048】
続いて、複製部12は、展開ソフト500の実行ファイルをコピーして、その実行ファイルと同一の展開ソフト520の実行ファイルを生成し、監視部11が識別したフォルダにその実行ファイルを格納する。実行部10は、展開ソフト520の実行ファイルを実行する。このとき、実行結果取得部13は、展開ソフト520の実行ファイルの実行を監視し、実行結果(以下、実行結果C’とする)を取得してRAM4に格納する。続いて、判定部14は、RAM4から実行結果Cおよび実行結果C’を読み出し、両者を比較する。
【0049】
正規のアプリケーションのインストーラの場合、図5に示すように、展開ソフト500,520は展開先のフォルダに実行ファイル510を展開する。このため、実行結果Cと実行結果C’が一致し、判定部14は、展開ソフト500の実行ファイルが正規のアプリケーションのインストーラであると判定する。
【0050】
ボットの場合、図6に示すように、展開ソフト500は、自身の実行ファイルが潜伏先のフォルダと異なるフォルダに格納されているときには潜伏先のフォルダに実行ファイル510を展開する。また、展開ソフト500は、自身の実行ファイルが潜伏先のフォルダに格納されているときには、攻撃に必要なファイルをHDD5から読み出して外部の端末へ攻撃パケットを送信する。このため、実行結果Cと実行結果C’が一致せず、判定部14は、展開ソフト500がボットであると判定する。なお、ボットの中には、展開ソフト500が図5に示した正規のアプリケーションのインストーラと同様の動作を行うものがある。このようなボットについては、第3の動作例では正規のアプリケーションと区別することはできない。
【0051】
上述したように、本実施形態によれば、HDD5内の異なる場所に格納されている同一の実行ファイルをそれぞれ実行したときの実行結果を比較することによって、ボットと正規のアプリケーションまたはそのインストーラとを見分けることが可能となる。したがって、正規のアプリケーション等の挙動を異常な挙動として検知する誤検知を低減することができる。
【0052】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上記の処理装置の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
【0053】
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0054】
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【符号の説明】
【0055】
1・・・CPU、2・・・操作部、3・・・表示部、4・・・RAM、5・・・HDD(記憶手段)、10・・・実行部(実行手段)、11・・・監視部、12・・・複製部(複製手段)、13・・・実行結果取得部、14・・・判定部(比較手段、判定手段)
【技術分野】
【0001】
本発明は、PC(Personal Computer)等の処理装置に関する。また、本発明は、本処理装置としてコンピュータを機能させるためのプログラムにも関する。
【背景技術】
【0002】
近年、ウィルスに感染したコンピュータに悪質な動作を実行させる、ボットと呼ばれるウィルスによる被害が拡大している。ボットは、外部の指令サーバに通信セッションを確立して新たなコードをダウンロードする機能や、攻撃のための指令を受ける機能、指令に従って攻撃する機能などを持つ悪意のコードで構成されている。
【0003】
しかし、パターンマッチング型のウィルス対策ソフトで検知できないボットが増えている。そこで、ボットを検知する手法として、ボットがPC内の複数のファイルに感染するときに自身のコードを読み込む(Read)行為や証拠隠滅のためにコードを消去する(Delete)行為に着目した検知手法が提案されている(例えば非特許文献1参照)。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】酒井崇裕、長谷巧、竹森敬祐、西垣正勝、“自己ファイルREAD/DELETEの検出によるボット検知の可能性に関する一検討”、マルウェア対策研究人材育成ワークショップ2008(MWS2008)、セッションM6-2、2008年10月
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、正規のアプリケーションのインストーラの処理でも、自身のコードを読み込んで複製すること(自己複製)や、所望の処理後にコードを消去すること(自己消去)が行われるため、上記の手法では、一部の正常な処理を誤ってボットの処理として検知してしまう問題がある。
【0006】
本発明は、上述した課題に鑑みてなされたものであって、正規のアプリケーション等の挙動を異常な挙動として検知する誤検知を低減することができる処理装置およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明者は、正規のアプリケーションやそのインストーラの実行ファイルとボットの実行ファイルとでは、実行ファイルが格納される場所に応じて、実行ファイルの実行時の挙動が異なるということを発見した。すなわち、正規のアプリケーションやそのインストーラの実行ファイルは、第1の場所と第2の場所のどちらで実行しても、実行結果が同一となる。これに対して、ボットの実行ファイルは、第1の場所で実行した場合と第2の場所で実行した場合とで、実行結果が異なる。
【0008】
本発明は、上記に鑑みてなされたもので、ファイルを記憶可能な第1の場所および第2の場所を有する記憶手段と、前記第1の場所に格納されている実行ファイルを実行する第1の実行手段と、前記第1の場所に格納されている前記実行ファイルを前記第2の場所に複製する複製手段と、前記第2の場所に格納されている前記実行ファイルを実行する第2の実行手段と、前記第1の実行手段が前記実行ファイルを実行したときの実行結果と、前記第2の実行手段が前記実行ファイルを実行したときの実行結果とを比較する比較手段と、を備えたことを特徴とする処理装置である。
【0009】
また、本発明の処理装置において、前記第2の場所は、前記第1の実行手段が前記実行ファイルを実行したときに展開される実行ファイルが格納される場所であることを特徴とする。
【0010】
また、本発明の処理装置において、前記実行結果は、実行された前記実行ファイルが前記記憶手段にアクセスした結果であることを特徴とする。
【0011】
また、本発明の処理装置において、前記実行結果は、実行された前記実行ファイルが通信を行った結果であることを特徴とする。
【0012】
また、本発明の処理装置は、前記比較手段による比較の結果、2つの前記実行結果が一致した場合に前記実行ファイルが正規のアプリケーションまたはインストーラであると判定する判定手段をさらに備えることを特徴とする。
【0013】
また、本発明の処理装置は、前記比較手段による比較の結果、2つの前記実行結果が一致しなかった場合に前記実行ファイルがボットであると判定する判定手段をさらに備えることを特徴とする。
【0014】
また、本発明は、ファイルを記憶可能な第1の場所および第2の場所を有する記憶手段と、前記第1の場所に格納されている実行ファイルを実行する第1の実行手段と、前記第1の場所に格納されている前記実行ファイルを前記第2の場所に複製する複製手段と、前記第2の場所に格納されている前記実行ファイルを実行する第2の実行手段と、前記第1の実行手段が前記実行ファイルを実行したときの実行結果と、前記第2の実行手段が前記実行ファイルを実行したときの実行結果とを比較する比較手段と、としてコンピュータを機能させるためのプログラムである。
【発明の効果】
【0015】
本発明によれば、第1の実行手段が実行ファイルを実行したときの実行結果と、第2の実行手段が実行ファイルを実行したときの実行結果とを比較することによって、正規のアプリケーション等の挙動を異常な挙動として検知する誤検知を低減することができる。
【図面の簡単な説明】
【0016】
【図1】本発明の一実施形態による処理装置のハードウェア構成を示すブロック図である。
【図2】本発明の一実施形態による処理装置の機能構成を示すブロック図である。
【図3】本発明の一実施形態による処理装置の動作を示す参考図である。
【図4】本発明の一実施形態による処理装置の動作を示す参考図である。
【図5】本発明の一実施形態による処理装置の動作を示す参考図である。
【図6】本発明の一実施形態による処理装置の動作を示す参考図である。
【図7】ボットの挙動を示す参考図である。
【図8】正規のアプリケーションのインストーラの挙動を示す参考図である。
【発明を実施するための形態】
【0017】
以下、図面を参照し、本発明の実施形態を説明する。まず、ボットの挙動と正規のアプリケーションのインストーラの挙動の違いを説明する。通常、ボットは、実行ファイルが同一であっても、その実行ファイル(拡張子が.exe等の実行形式のファイル)が実行される場所に応じて異なる挙動を示す。図7はボットの挙動を示している。ボットは、潜伏先となるシステムフォルダ等以外のフォルダに格納されている場合には、インストーラとしての挙動を示し、潜伏先のフォルダに自己複製を行う。
【0018】
図7(a)に示すように、潜伏先のフォルダ以外のフォルダに格納されているボット700の実行ファイルが実行(起動)されると、ボット700は、自身の実行ファイルをコピー(複製)し、潜伏先のフォルダに格納する。潜伏先のフォルダに格納されたボット710の実行ファイルが実行されると、ボット710は外部へ各種攻撃を行う。
【0019】
また、図7(b)に示すように、潜伏先のフォルダに自己複製されたボット710の実行ファイルを潜伏先のフォルダ以外のフォルダにコピーしたボット720の実行ファイルが実行されると、ボット720はボット700と同様に、自身の実行ファイルをコピーし、潜伏先のフォルダに格納する。なお、ボット710,720の実行ファイルは同一である。上記のように、ボットは、実行ファイルが実行される場所に応じて異なる挙動を示す。
【0020】
一方、正規のアプリケーションのインストーラは、実行ファイルが実行される場所によらず、同一の挙動を示す。図8は正規のアプリケーションのインストーラの挙動を示している。図8に示すように、任意のフォルダに格納されているインストーラ800の実行ファイルが実行されると、インストーラ800は、圧縮ファイルを展開(解凍、伸張)し、展開後の実行ファイル810を展開先のフォルダ(システムフォルダ等)に格納する。なお、アプリケーションによっては、インストーラが実行ファイルを格納するフォルダをユーザが指定することが可能であるが、本実施形態では、説明を簡単にするため、アプリケーションがデフォルトで指定するフォルダに実行ファイル810が格納されるものとする。
【0021】
この実行ファイル810が実行されると、アプリケーションとしての機能に係る処理(ユーザが指定するファイルの読み込みや編集等)が実行される。また、実行ファイル810を、実行ファイル810が格納されているフォルダ以外のフォルダにコピーした実行ファイル820が実行すると、実行ファイル810と同様のアプリケーションとしての機能に係る処理が実行される。なお、実行ファイル810,820は同一である。また、上記において、ボットや正規のアプリケーションのインストーラの実行ファイルをコピーする際には、Configuration等の設定ファイルも一緒にコピーすることが望ましい。
【0022】
上記のように、ボットの実行ファイルは、インストーラとしての機能と、攻撃の踏み台としての機能との両方を有するため、自身がどの場所から実行されたのかを判断して、その後の挙動を変える。また、正規のアプリケーションの場合、インストーラの実行ファイルとアプリケーション本体の実行ファイルは、どの場所から実行されても、決められた挙動だけを示す。したがって、上記の挙動の違いを利用して、ボットと正規のアプリケーションまたはそのインストーラとを見分けることが可能となる。
【0023】
図1は、本実施形態による処理装置のハードウェア構成を示している。図1に示す処理装置は、CPU1、操作部2、表示部3、RAM4(メモリ)、HDD5(ハードディスクドライブ)を有し、これらがバスBで接続されている。CPU1は、HDD5に格納された各種プログラムをRAM4に読み込み、そのプログラムに従った処理を実行することで各種機能を実現する。操作部2は、ユーザが操作を行うマウスやキーボード等である。表示部3は、処理装置が実行した処理の結果等を表示する液晶ディスプレイ等である。
【0024】
RAM4は、CPU1が実行するプログラムや、演算に必要なデータを一時的に記憶する。HDD5は、各種アプリケーションが実行する処理を規定するアプリケーションプログラムや、アプリケーションが作成したファイル、OS(オペレーティングシステム)の動作に必要なシステムファイル等を記憶する。
【0025】
図2は、本実施形態による処理装置の機能構成を示している。なお、図2は、本実施形態の説明で必要な機能構成のみを示している。実行部10、監視部11、複製部12、実行結果取得部13、判定部14は、CPU1が各機能に係る処理を実行したときの各処理に対応する。HDD5は、システムファイルが格納されるシステムフォルダや、システムフォルダ以外のフォルダを有する。なお、一台のHDD内に各フォルダを一括して格納するようにしてもよいし、複数台のHDD内に各フォルダを分散して格納するようにしてもよい。
【0026】
図2に示す実行部10、監視部11、複製部12、実行結果取得部13、判定部14が実行する処理は以下の通りである。実行部10は実行ファイルを実行する。監視部11は、展開ソフトの実行ファイルが実行されてファイルが展開されるときに、その展開に係る処理を監視し、展開先のフォルダを識別する。複製部12は、HDD5内のフォルダに格納されている実行ファイルを他のフォルダにコピー(複製)する。実行結果取得部13は、実行ファイルが実行されるときに、その実行に係る処理を監視し、実行結果を取得する。判定部14は、異なる条件で同一の実行ファイルが実行されたときの実行結果を比較し、比較結果に基づいて、実行ファイルがボットと正規のアプリケーション(またはそのインストーラ)のどちらであるのかを判定する。
【0027】
次に、本実施形態による処理装置の動作を説明する。まず、図3を参照しながら、第1の動作例を説明する。第1の動作例では、ファイルを展開する展開ソフトがボットと正規のアプリケーションのインストーラのどちらであるのかが判定される。
【0028】
具体的には、以下のようになる。ネットワークやCD−ROM等から取得した展開ソフト300の実行ファイルが任意のフォルダに置かれている。実行部10が展開ソフト300の実行ファイルを実行すると、実行ファイル310が展開先のフォルダに展開される。このとき、監視部11は、実行ファイル310の展開先のフォルダを識別する。実行部10は、監視部11が識別したフォルダに格納されている実行ファイル310を実行する。このとき、実行結果取得部13は、実行ファイル310の実行を監視し、実行結果(以下、実行結果Aとする)を取得してRAM4に格納する。
【0029】
続いて、複製部12は、監視部11が識別したフォルダに格納されている実行ファイル310をコピーして実行ファイル310と同一の実行ファイル320を生成し、実行ファイル310が格納されているフォルダとは異なるフォルダに実行ファイル320を格納する。実行部10は、実行ファイル320を実行する。このとき、実行結果取得部13は、実行ファイル320の実行を監視し、実行結果(以下、実行結果A’とする)を取得してRAM4に格納する。
【0030】
続いて、判定部14は、RAM4から実行結果Aおよび実行結果A’を読み出し、両者を比較する。実行結果Aと実行結果A’が一致する場合、判定部14は、展開ソフト300が正規のアプリケーションのインストーラであると判定する。また、実行結果Aと実行結果A’が一致しない場合、判定部14は、展開ソフト300がボットであると判定する。
【0031】
本実施形態では、一例として、ファイルに対するアクセス(ファイルアクセス)の結果と通信結果の2種類の実行結果に注目する。ファイルアクセスの結果に注目する場合、以下のようになる。正規のアプリケーションは、その実行ファイルが実行されると、その実行ファイルが格納されている場所によらず、HDD5内の所定のフォルダに格納されている所定のファイルを読み出す。例えば、ワープロソフトであれば、編集対象のファイルを読み出す。このため、正規のアプリケーションの場合、実行結果Aと実行結果A’は一致する。
【0032】
一方、ボットは、自身の実行ファイルが格納されているフォルダに応じて、挙動が異なる。ボットの場合、例えば以下の2種類のファイルアクセスパターンがある。
【0033】
第1のファイルアクセスパターンでは、実行ファイル310は、指令サーバから受信した指令ファイルをHDD5に保存し、攻撃に必要なファイル(例えばスパムメールに記載される本文等が格納されたファイル)をHDD5から読み出す。また、実行ファイル320は、インストールが終了していないと判断し、HDD5に格納されている自身の実行ファイルをコピーし、実行ファイル310を生成して潜伏先のフォルダに格納する。
【0034】
第2のファイルアクセスパターンでは、実行ファイル310は、攻撃に必要なファイルをHDD5から読み出す。また、実行ファイル320は、インストールが終了していないと判断し、HDD5に格納されている自身の実行ファイルをコピーし、実行ファイル310を生成して潜伏先のフォルダに格納すると共に、指令サーバから受信した指令ファイルをHDD5に保存する。したがって、ボットの場合、第1のファイルアクセスパターンと第2のファイルアクセスパターンのいずれにおいても、実行結果Aと実行結果A’は一致しない。
【0035】
判定部14は、実行ファイルがアクセスするファイルとアクセスの種類(読み込み、書き込み、消去)が実行結果Aと実行結果A’で一致するか否かを判定する。これによって、ボットと正規のアプリケーションまたはそのインストーラとを見分けることができる。上記の判定を行うためには、実行ファイルを実行したときに生成されるプロセスが行うファイルアクセスを監視する必要があるが、この監視を行うツールとして、例えばFile Mon(http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx)等を利用することが可能である。
【0036】
また、通信結果に注目する場合、以下のようになる。通信を行う正規のアプリケーションであるブラウザは、その実行ファイルが実行されると、その実行ファイルが格納されている場所によらず、まず予め設定されているホームページを開くため、そのホームページを提供するサーバと通信を行う。このため、正規のアプリケーションの場合、実行結果Aと実行結果A’は一致する。
【0037】
一方、ボットは、自身の実行ファイルが格納されているフォルダに応じて、挙動が異なる。ボットの場合、例えば以下の2種類の通信パターンがある。
【0038】
第1の通信パターンでは、実行ファイル310は外部に対して攻撃のための通信(指令サーバからの指令ファイルの受信と外部の端末への攻撃パケットの送信)を行う。また、実行ファイル320は、自身の実行ファイルをコピーするときに通信を行わない。
【0039】
第2の通信パターンでは、実行ファイル310は、外部に対して攻撃のための通信(外部の端末への攻撃パケットの送信)を行う。また、実行ファイル320は、実行ファイル310を生成して潜伏先のフォルダに格納すると共に、指令サーバから指令ファイルを受信する。指令サーバと攻撃対象の外部の端末は、異なる端末である。したがって、ボットの場合、第1の通信パターンと第2の通信パターンのいずれにおいても、実行結果Aと実行結果A’は一致しない。
【0040】
判定部14は、実行ファイルが行う通信の宛先のFQDN(Fully Qualified Domain Name)とポート番号の組が実行結果Aと実行結果A’とで一致するか否かを判定する。これによって、ボットと正規のアプリケーションまたはそのインストーラとを見分けることができる。上記の判定を行うためには、実行ファイルを実行したときに生成されるプロセスが行う通信を監視する必要があるが、この監視を行う方法として、例えば文献(竹森敬祐、三宅優、“無操作ホストから発信されるパケットに注目したウイルス感染検知”、情処研報、CSEC36、pp.141-146、2007年3月)に記載されている方法を利用することが可能である。
【0041】
なお、実行ファイルが通信を行わなかった場合でも上記と同じ方法による判定を可能とするため、実行ファイルが通信を行わなかった場合には何らかのFQDNとポート番号が実行結果として得られるようにしておくことが望ましい。例えば、通常使用されない所定の文字列と番号をそれぞれ実行結果のFQDNとポート番号とし、判定に使用すればよい。また、上記の方法以外の方法で判定を行ってもよく、例えば比較すべき2つの実行結果として、通信したという実行結果と通信しなかったという実行結果が得られた場合には2つの実行結果が一致しないと判定してもよい。
【0042】
次に、図4を参照しながら、第2の動作例を説明する。第2の動作例では、既にHDD5に展開された後の実行ファイルがボットと正規のアプリケーションのどちらであるのかが判定される。図4に示す第2の動作例は、図3に示した第1の動作例において、実行ファイル310が展開された後の動作とほぼ同様である。
【0043】
具体的には、以下のようになる。実行部10は、展開先のフォルダに格納されている実行ファイル400を実行する。このとき、実行結果取得部13は、実行ファイル400の実行を監視し、実行結果(以下、実行結果Bとする)を取得してRAM4に格納する。
【0044】
続いて、複製部12は、実行ファイル400をコピーして実行ファイル400と同一の実行ファイル410を生成し、実行ファイル400が格納されているフォルダとは異なるフォルダに実行ファイル410を格納する。実行部10は、実行ファイル410を実行する。このとき、実行結果取得部13は、実行ファイル410の実行を監視し、実行結果(以下、実行結果B’とする)を取得してRAM4に格納する。
【0045】
続いて、判定部14は、RAM4から実行結果Bおよび実行結果B’を読み出し、両者を比較する。実行結果Bと実行結果B’が一致する場合、判定部14は、実行ファイル400が正規のアプリケーションであると判定する。また、実行結果Bと実行結果B’が一致しない場合、判定部14は、実行ファイル400がボットであると判定する。
【0046】
次に、図5および図6を参照しながら、第3の動作例を説明する。第3の動作例では、ファイルを展開する展開ソフトがボットと正規のアプリケーションのインストーラのどちらであるのかが、第1の動作例とは異なる方法で判定される。
【0047】
具体的には、以下のようになる。ネットワークやCD−ROM等から取得した展開ソフト500の実行ファイルが任意のフォルダに置かれており、実行部10が展開ソフト500の実行ファイルを実行すると、実行ファイル510が展開先のフォルダに展開される。このとき、監視部11は、実行ファイル510の展開先のフォルダを識別する。また、実行結果取得部13は、展開ソフト500の実行ファイルの実行を監視し、実行結果(以下、実行結果Cとする)を取得してRAM4に格納する。
【0048】
続いて、複製部12は、展開ソフト500の実行ファイルをコピーして、その実行ファイルと同一の展開ソフト520の実行ファイルを生成し、監視部11が識別したフォルダにその実行ファイルを格納する。実行部10は、展開ソフト520の実行ファイルを実行する。このとき、実行結果取得部13は、展開ソフト520の実行ファイルの実行を監視し、実行結果(以下、実行結果C’とする)を取得してRAM4に格納する。続いて、判定部14は、RAM4から実行結果Cおよび実行結果C’を読み出し、両者を比較する。
【0049】
正規のアプリケーションのインストーラの場合、図5に示すように、展開ソフト500,520は展開先のフォルダに実行ファイル510を展開する。このため、実行結果Cと実行結果C’が一致し、判定部14は、展開ソフト500の実行ファイルが正規のアプリケーションのインストーラであると判定する。
【0050】
ボットの場合、図6に示すように、展開ソフト500は、自身の実行ファイルが潜伏先のフォルダと異なるフォルダに格納されているときには潜伏先のフォルダに実行ファイル510を展開する。また、展開ソフト500は、自身の実行ファイルが潜伏先のフォルダに格納されているときには、攻撃に必要なファイルをHDD5から読み出して外部の端末へ攻撃パケットを送信する。このため、実行結果Cと実行結果C’が一致せず、判定部14は、展開ソフト500がボットであると判定する。なお、ボットの中には、展開ソフト500が図5に示した正規のアプリケーションのインストーラと同様の動作を行うものがある。このようなボットについては、第3の動作例では正規のアプリケーションと区別することはできない。
【0051】
上述したように、本実施形態によれば、HDD5内の異なる場所に格納されている同一の実行ファイルをそれぞれ実行したときの実行結果を比較することによって、ボットと正規のアプリケーションまたはそのインストーラとを見分けることが可能となる。したがって、正規のアプリケーション等の挙動を異常な挙動として検知する誤検知を低減することができる。
【0052】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上記の処理装置の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
【0053】
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0054】
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【符号の説明】
【0055】
1・・・CPU、2・・・操作部、3・・・表示部、4・・・RAM、5・・・HDD(記憶手段)、10・・・実行部(実行手段)、11・・・監視部、12・・・複製部(複製手段)、13・・・実行結果取得部、14・・・判定部(比較手段、判定手段)
【特許請求の範囲】
【請求項1】
ファイルを記憶可能な第1の場所および第2の場所を有する記憶手段と、
前記第1の場所に格納されている実行ファイルを実行する第1の実行手段と、
前記第1の場所に格納されている前記実行ファイルを前記第2の場所に複製する複製手段と、
前記第2の場所に格納されている前記実行ファイルを実行する第2の実行手段と、
前記第1の実行手段が前記実行ファイルを実行したときの実行結果と、前記第2の実行手段が前記実行ファイルを実行したときの実行結果とを比較する比較手段と、
を備えたことを特徴とする処理装置。
【請求項2】
前記第2の場所は、前記第1の実行手段が前記実行ファイルを実行したときに展開される実行ファイルが格納される場所であることを特徴とする請求項1に記載の処理装置。
【請求項3】
前記実行結果は、実行された前記実行ファイルが前記記憶手段にアクセスした結果であることを特徴とする請求項1または請求項2に記載の処理装置。
【請求項4】
前記実行結果は、実行された前記実行ファイルが通信を行った結果であることを特徴とする請求項1または請求項2に記載の処理装置。
【請求項5】
前記比較手段による比較の結果、2つの前記実行結果が一致した場合に前記実行ファイルが正規のアプリケーションまたはインストーラであると判定する判定手段をさらに備えることを特徴とする請求項1〜請求項4のいずれかに記載の処理装置。
【請求項6】
前記比較手段による比較の結果、2つの前記実行結果が一致しなかった場合に前記実行ファイルがボットであると判定する判定手段をさらに備えることを特徴とする請求項1〜請求項4のいずれかに記載の処理装置。
【請求項7】
ファイルを記憶可能な第1の場所および第2の場所を有する記憶手段と、
前記第1の場所に格納されている実行ファイルを実行する第1の実行手段と、
前記第1の場所に格納されている前記実行ファイルを前記第2の場所に複製する複製手段と、
前記第2の場所に格納されている前記実行ファイルを実行する第2の実行手段と、
前記第1の実行手段が前記実行ファイルを実行したときの実行結果と、前記第2の実行手段が前記実行ファイルを実行したときの実行結果とを比較する比較手段と、
としてコンピュータを機能させるためのプログラム。
【請求項1】
ファイルを記憶可能な第1の場所および第2の場所を有する記憶手段と、
前記第1の場所に格納されている実行ファイルを実行する第1の実行手段と、
前記第1の場所に格納されている前記実行ファイルを前記第2の場所に複製する複製手段と、
前記第2の場所に格納されている前記実行ファイルを実行する第2の実行手段と、
前記第1の実行手段が前記実行ファイルを実行したときの実行結果と、前記第2の実行手段が前記実行ファイルを実行したときの実行結果とを比較する比較手段と、
を備えたことを特徴とする処理装置。
【請求項2】
前記第2の場所は、前記第1の実行手段が前記実行ファイルを実行したときに展開される実行ファイルが格納される場所であることを特徴とする請求項1に記載の処理装置。
【請求項3】
前記実行結果は、実行された前記実行ファイルが前記記憶手段にアクセスした結果であることを特徴とする請求項1または請求項2に記載の処理装置。
【請求項4】
前記実行結果は、実行された前記実行ファイルが通信を行った結果であることを特徴とする請求項1または請求項2に記載の処理装置。
【請求項5】
前記比較手段による比較の結果、2つの前記実行結果が一致した場合に前記実行ファイルが正規のアプリケーションまたはインストーラであると判定する判定手段をさらに備えることを特徴とする請求項1〜請求項4のいずれかに記載の処理装置。
【請求項6】
前記比較手段による比較の結果、2つの前記実行結果が一致しなかった場合に前記実行ファイルがボットであると判定する判定手段をさらに備えることを特徴とする請求項1〜請求項4のいずれかに記載の処理装置。
【請求項7】
ファイルを記憶可能な第1の場所および第2の場所を有する記憶手段と、
前記第1の場所に格納されている実行ファイルを実行する第1の実行手段と、
前記第1の場所に格納されている前記実行ファイルを前記第2の場所に複製する複製手段と、
前記第2の場所に格納されている前記実行ファイルを実行する第2の実行手段と、
前記第1の実行手段が前記実行ファイルを実行したときの実行結果と、前記第2の実行手段が前記実行ファイルを実行したときの実行結果とを比較する比較手段と、
としてコンピュータを機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2010−271775(P2010−271775A)
【公開日】平成22年12月2日(2010.12.2)
【国際特許分類】
【出願番号】特願2009−121110(P2009−121110)
【出願日】平成21年5月19日(2009.5.19)
【出願人】(000208891)KDDI株式会社 (2,700)
【出願人】(304023318)国立大学法人静岡大学 (416)
【Fターム(参考)】
【公開日】平成22年12月2日(2010.12.2)
【国際特許分類】
【出願日】平成21年5月19日(2009.5.19)
【出願人】(000208891)KDDI株式会社 (2,700)
【出願人】(304023318)国立大学法人静岡大学 (416)
【Fターム(参考)】
[ Back to top ]