惡意軟件分析系統(tǒng)(1)具備預(yù)備分析部(131)、判定部(132)及指定部(133)。預(yù)備分析部(131)通過執(zhí)行作為分析對象的候選取得的惡意軟件，取得與從惡意軟件發(fā)起的通信相關(guān)的信息。判定部(132)根據(jù)通過預(yù)備分析部(131)取得的信息，判定是否將惡意軟件作為分析的對象。指定部(133)根據(jù)通過預(yù)備分析部(131)取得的信息，對通過判定部(132)判定為分析的對象的惡意軟件指定分析的次序。

技術(shù)領(lǐng)域

本發(fā)明涉及惡意軟件分析系統(tǒng)、惡意軟件分析方法及記錄介質(zhì)。

背景技術(shù)

近年來，導(dǎo)致信息泄漏、非法訪問等的威脅的非法程序(以下，稱為“惡意軟件”)來勢兇猛。被惡意軟件感染的手段逐年被復(fù)雜化、巧妙化，完全地防止感染是比較困難的。因此，不僅需要感染防止對策，而且還需要將感染后的損失抑制為最小限的對策。

為了將感染后的損失抑制為最小限，優(yōu)選為早期地發(fā)現(xiàn)感染終端并進(jìn)行無害化。作為對策手法的一例，可列舉對從終端發(fā)出的通信進(jìn)行監(jiān)視的手法(網(wǎng)絡(luò)監(jiān)視)。網(wǎng)絡(luò)監(jiān)視通過對與在感染后發(fā)生的攻擊者服務(wù)器的通信進(jìn)行檢測，從而檢測感染終端。另外，基于從惡意軟件發(fā)生的通信的檢測在通過惡意軟件而不會導(dǎo)致對策自身被無效化的點(diǎn)上也是有用的。

作為具體的手法，采取如下手法：通過一邊執(zhí)行惡意軟件一邊進(jìn)行分析的手法(以下，記載為“動態(tài)分析”)，收集惡意軟件的通信目的地信息，并進(jìn)行黑名單化。在網(wǎng)絡(luò)監(jiān)視中，該黑名單的規(guī)模及新鮮度決定對策的效果。如果黑名單的規(guī)模小則發(fā)生看漏，另外，如果信息舊則無法期待對策的效果。因此，重要的是分析更多的惡意軟件，收集表示生存的攻擊者服務(wù)器的通信目的地的IP地址、FQDN(Fully Qualified Domain Name：完全限定域名)、URL(Uniform Resource Locator：統(tǒng)一資源定位器)等。即，為了以感染后的對策為目的來生成黑名單，優(yōu)選為，在將收集到的檢體均連接于網(wǎng)絡(luò)的狀態(tài)下在一定期間進(jìn)行動態(tài)分析。

但是，每天新發(fā)現(xiàn)的惡意軟件非常地龐大，并且用于分析的計(jì)算資源也是有限的，因此對全部的惡意軟件進(jìn)行分析是困難的。因此，需要從收集到的檢體(惡意軟件)中有效地選定作為分析對象的檢體的手法。例如，公知有通過計(jì)算惡意軟件的程序代碼之間的相似性來避免重復(fù)的分析的技術(shù)(例如，非專利文獻(xiàn)1)。另外，公知有為了選定適合黑名單的生成的檢體而從靜態(tài)分析的結(jié)果預(yù)測動態(tài)分析的結(jié)果的技術(shù)(例如，非專利文獻(xiàn)2)。

現(xiàn)有技術(shù)文獻(xiàn)

非專利文獻(xiàn)

非專利文獻(xiàn)1：Gregoire Jacob，Paolo Milani Comparetti，MatthiasNeugschwandtner，Christopher Kruegel，Giovanni Vigna，“A Static，Packer-AgnosticFilterto Detect Similar Malware Samples”，DIMVA 2012

非專利文獻(xiàn)2：Matthias Neugschwandtner，Paolo Milani Comparetti，GregoireJacob，Christopher Kruegel，“FORECAST：Skimming off the Malware Cream”，ACSAC2011

發(fā)明內(nèi)容

發(fā)明要解決的課題

但是，在上述的以往技術(shù)中，有效地選定要分析的惡意軟件是困難的。具體地，有時即使通過靜態(tài)分析而計(jì)算出程序代碼相似，也會看漏從程序代碼的相似性不會被抽取的通信目的地的差異。另外，在從靜態(tài)分析的結(jié)果預(yù)測動態(tài)分析的動作的情況下，在出現(xiàn)新的種類的惡意軟件的情況下、惡意軟件實(shí)施了使程序代碼難讀化的處理的情況下，無法進(jìn)行特征的抽取，看漏進(jìn)行通信的檢體的可能性變高。

本發(fā)明是鑒于上述問題而研發(fā)的，本發(fā)明的目的在于提供一種能夠有效地選定要分析的惡意軟件的惡意軟件分析系統(tǒng)、惡意軟件分析方法及惡意軟件分析程序。