技術(shù)區(qū)域

本發(fā)明涉及解析計(jì)算機(jī)程序的舉動(dòng)的程序解析系統(tǒng)。

背景技術(shù)

作為不使用源代碼（source?code）解析計(jì)算機(jī)程序的舉動(dòng)的方法，有靜態(tài)解析和動(dòng)態(tài)解析這兩種。靜態(tài)解析通過分析記載于程序的文件的命令編碼來調(diào)查舉動(dòng)。另一方面，動(dòng)態(tài)解析中，在計(jì)算機(jī)上執(zhí)行程序且觀測(cè)此時(shí)的舉動(dòng)，由此調(diào)查舉動(dòng)。有的程序?yàn)榱俗柚轨o態(tài)解析而實(shí)施了各種防御對(duì)策。特別是現(xiàn)今的惡意軟件（malware：計(jì)算機(jī)病毒或間諜軟件等非法程序）為了阻止靜態(tài)解析有時(shí)使文件構(gòu)造難讀或加密化，因此產(chǎn)生了靜態(tài)解析的調(diào)查中文件構(gòu)造的解讀和解碼花費(fèi)時(shí)間、需要熟練的技術(shù)員這樣的問題。另一方面，相比靜態(tài)解析，動(dòng)態(tài)解析觀測(cè)實(shí)際的舉動(dòng)從而調(diào)查舉動(dòng)，因此，不容易受到文件難讀化或加密化帶來的影響，能夠較短時(shí)間完成解析。

因此，如專利文獻(xiàn)1、專利文獻(xiàn)2、非專利文獻(xiàn)1等所示，將動(dòng)態(tài)解析的處理自動(dòng)化，實(shí)現(xiàn)高效的解析的系統(tǒng)的研究開發(fā)正在進(jìn)行中。這些系統(tǒng)中，在執(zhí)行環(huán)境下執(zhí)行惡意軟件，獲取并解析一定時(shí)間內(nèi)觀測(cè)到的舉動(dòng)（例如惡意軟件的文件訪問（file?access）和網(wǎng)絡(luò)通信）。

專利文獻(xiàn)1：日本特開2009－181335號(hào)公報(bào)

專利文獻(xiàn)2：日本特開2009－37545號(hào)公報(bào)

非專利文獻(xiàn)1：

IEEE?International?Conference?of?Communications2008Proceedings，“Malware?Behavior?Analysis?in?Isolated?Miniature?Network?for?Revealing?Malware’s?Network?Activity”

但是，有的程序在起動(dòng)后經(jīng)過一定時(shí)間之后或僅在特定的日期時(shí)間進(jìn)行實(shí)質(zhì)活動(dòng)。另外，如遇到Y(jié)2K問題那樣，存在當(dāng)超過特定的日期時(shí)間時(shí)引起誤動(dòng)作的情況。通過上述的系統(tǒng)解析這種程序時(shí)，存在解析耗費(fèi)大量時(shí)間或解析失敗的問題。非專利文獻(xiàn)1中，作為解析對(duì)象的惡意軟件停止一定時(shí)間活動(dòng)所以通過使執(zhí)行的函數(shù)無效化，實(shí)現(xiàn)了解析的高效化。但是，該方法對(duì)執(zhí)行函數(shù)后需要驗(yàn)證時(shí)間經(jīng)過的惡意軟件或僅在特定的日期時(shí)間進(jìn)行活動(dòng)的惡意軟件沒有效果。

發(fā)明內(nèi)容

本發(fā)明的目的在于，提供一種對(duì)在起動(dòng)后一定時(shí)間以后或僅在特定的日期時(shí)間進(jìn)行活動(dòng)的程序進(jìn)行高效解析的系統(tǒng)及方法。

本發(fā)明的程序解析系統(tǒng)中，操作程序動(dòng)作的執(zhí)行環(huán)境的時(shí)刻管理功能，不對(duì)與外部的通信活動(dòng)帶來不良影響，使執(zhí)行環(huán)境內(nèi)的時(shí)間經(jīng)過速度比實(shí)際時(shí)間更高速或低速地變化，記錄活動(dòng)，由此邊調(diào)整程序執(zhí)行環(huán)境的時(shí)間經(jīng)過速度邊進(jìn)行程序的解析。

程序解析系統(tǒng)的主要的功能部為解析管理部、檢體執(zhí)行部、活動(dòng)記錄部、活動(dòng)解析部、通信監(jiān)視部這五部分。在此，“檢體“是指作為解析對(duì)象的惡意軟件。解析管理部設(shè)定執(zhí)行環(huán)境下的時(shí)間經(jīng)過速度、以及程序執(zhí)行開始時(shí)間和執(zhí)行結(jié)束時(shí)間等解析條件。檢體執(zhí)行部根據(jù)解析管理部設(shè)定的解析條件調(diào)整時(shí)間經(jīng)過速度以及程序執(zhí)行開始時(shí)間，執(zhí)行程序直至執(zhí)行結(jié)束時(shí)間?；顒?dòng)記錄部監(jiān)視執(zhí)行環(huán)境，獲取程序的活動(dòng)記錄。活動(dòng)解析部基于活動(dòng)記錄解析程序的舉動(dòng)。另外，解析管理部基于解析結(jié)果再設(shè)定解析條件，進(jìn)行再解析。通信監(jiān)視部監(jiān)視檢體與外部終端的通信，以在通信中不產(chǎn)生超時(shí)的方式變更由解析管理部設(shè)定的時(shí)間經(jīng)過速度。

根據(jù)本發(fā)明，實(shí)現(xiàn)了針對(duì)起動(dòng)后一定時(shí)間以后或僅特定的日期時(shí)間進(jìn)行活動(dòng)的程序的高效的解析。

附圖說明

圖1是表示用于實(shí)施本發(fā)明的系統(tǒng)的整體結(jié)構(gòu)的圖；

圖2是表示系統(tǒng)管理裝置的物理結(jié)構(gòu)的圖；

圖3是表示系統(tǒng)管理裝置的邏輯結(jié)構(gòu)的圖；

圖4是表示檢體執(zhí)行裝置的物理結(jié)構(gòu)的圖；

圖5是表示檢體執(zhí)行裝置的邏輯結(jié)構(gòu)的圖；

圖6是表示計(jì)時(shí)器裝置的物理結(jié)構(gòu)的圖；

圖7是表示活動(dòng)解析裝置的物理結(jié)構(gòu)的圖；

圖8是表示活動(dòng)解析裝置的邏輯結(jié)構(gòu)的圖；

圖9是表示通信監(jiān)視裝置的物理結(jié)構(gòu)的圖；

圖10是表示通信監(jiān)視裝置的邏輯結(jié)構(gòu)的圖；

圖11是表示解析腳本DB的記錄例的圖；

圖12是表示活動(dòng)記錄DB的記錄例的圖；

圖13是表示再解析規(guī)則DB的記錄例的圖；

圖14是表示解析結(jié)果DB的記錄例的圖；

圖15是表示記錄規(guī)則DB的記錄例的圖；

圖16是表示解析規(guī)則DB的記錄例的圖；

圖17是表示時(shí)刻經(jīng)過速度DB的記錄例的圖；