指令服務(wù)器確定裝置(10)在執(zhí)行惡意軟件(11a)時，對惡意軟件(11a)所接收到的數(shù)據(jù)賦予能夠唯一地確定數(shù)據(jù)的發(fā)送源的識別信息的標簽，并追蹤賦予了標簽的數(shù)據(jù)的傳播。另外，指令服務(wù)器確定裝置(10)取得追蹤的數(shù)據(jù)中的、由惡意軟件(11a)執(zhí)行的分支命令所參照的數(shù)據(jù)的標簽。另外，指令服務(wù)器確定裝置(10)對與在分支命令之后惡意軟件(11a)未執(zhí)行的分支目的地的命令相關(guān)的信息進行分析。并且，指令服務(wù)器確定裝置(10)根據(jù)分析結(jié)果，從與取得的標簽對應(yīng)的發(fā)送源的識別信息確定對惡意軟件(11a)發(fā)出指令的指令服務(wù)器的識別信息。

技術(shù)領(lǐng)域

本發(fā)明涉及確定裝置、確定方法及記錄介質(zhì)。

背景技術(shù)

近年來，信息泄露、非法訪問這樣的帶來威脅的惡意軟件來勢兇猛。在對這樣的惡意軟件采取對策時，理想的是防止感染本身。但是，被惡意軟件感染的手法日益被先進化、多樣化，想要將所有惡意軟件的感染防患于未然是比較困難的。因此，不僅需要防止被惡意軟件感染的對策，并且還需要將被感染后的損壞控制為最低限度的對策。

以對這樣的被感染后的對策的需求為背景，采用使用了黑名單的感染終端檢測、通信切斷等對策。例如，多數(shù)惡意軟件具有在被感染后與發(fā)送攻擊者的命令來決定惡意軟件的動作的指令服務(wù)器進行通信的特征，根據(jù)來自指令服務(wù)器的命令而進行信息泄露、進一步的病毒感染活動。因此，如果能夠預(yù)先對指令服務(wù)器進行黑名單化，則能夠通過檢測與指令服務(wù)器的通信而發(fā)現(xiàn)病感染終端，并通過切斷與指令服務(wù)器的通信而實現(xiàn)感染終端的無害化。但是，該對策必須預(yù)先生成黑名單。

一般，通過對惡意軟件進行分析來提取應(yīng)刊登于黑名單的通信目的地，因此通過惡意軟件的分析而生成黑名單。但是，惡意軟件不僅與指令服務(wù)器進行通信，而且為了分析干擾等的目的而與正規(guī)網(wǎng)站也進行通信，因此需要從包括正規(guī)網(wǎng)站的多個通信目的地中僅提取指令服務(wù)器。因此，進行了如非專利文獻1、非專利文獻2那樣關(guān)注于指令服務(wù)器控制惡意軟件的方法的手法的研究。

在此，指令服務(wù)器控制惡意軟件的方法大致分為兩種。一種是除了惡意軟件執(zhí)行的程序代碼以外，還指定系統(tǒng)調(diào)用、API(Application Programming Interface：應(yīng)用程序接口)的自變量的方法。另一種是僅指定惡意軟件所執(zhí)行的程序代碼的方法。

因此，在非專利文獻1中，關(guān)注于惡意軟件的程序代碼內(nèi)的分支命令和在分支目的地所執(zhí)行的API調(diào)用串，在通過來自同一個通信目的地的接收數(shù)據(jù)而在各分支目的地調(diào)用了規(guī)定的API的情況下，將上述通信目的地確定為指令服務(wù)器。另外，在非專利文獻2中，關(guān)注于與惡意軟件的收發(fā)數(shù)據(jù)關(guān)聯(lián)地發(fā)行的系統(tǒng)調(diào)用之間的數(shù)據(jù)的交換關(guān)系，在指定了系統(tǒng)調(diào)用、API的自變量的情況下，確定指令服務(wù)器。

【非專利文獻】

【非專利文獻1】幾世知范、青木一史、針生剛男“基于控制流和通信的相關(guān)性分析的C&C服務(wù)器確定手法的提案”通信學(xué)會技術(shù)報(幾世知範，青木一史，針生剛男「制御フローと通信の関連性解析に基づくC&Cサーバ特定手法の提案」信學(xué)技報ICSS2013-81)

【非專利文獻2】G.Jacob，R.Hund，C.Kruegel，andT.Holz，「Jackstraws：PickingCommandand Control Connections from Bot Traffic，」In Proceedings of the 20^thUSENIX Conference on Security

發(fā)明內(nèi)容

發(fā)明要解決的課題

但是，在上述的以往的技術(shù)中存在如下課題：通過僅接收一種指定惡意軟件所執(zhí)行的程序代碼的命令等僅對分支命令帶來影響的指令，則難以確定指令服務(wù)器。