瀏覽器模擬器管理器(23)使瀏覽器模擬器(25)對網站進行訪問。然后，瀏覽器模擬器(25)在對因訪問網站而產生的瀏覽器上的內容部分解釋和腳本執行進行追蹤，并檢測出轉發時，在轉發信息中記錄其轉發方法、轉發源URL以及轉發目標URL，并且，在檢測出腳本執行的情況下，在轉發信息中記錄其執行方法和執行源腳本。并且，圖形構筑部(274)根據轉發信息構筑有向圖。之后，圖形分析部(275)通過針對有向圖而進行追溯來確定作為該轉發的原因的內容部分和腳本的位置。

技術領域

本發明涉及分析裝置、分析方法、以及計算機可讀存儲介質。

背景技術

路過式下載攻擊(Drive-by Download攻擊)是指主要使用HTML(Hyper TextMarkup Language：超文本標記語言)標簽和JavaScript(注冊商標)等的代碼，將訪問了作為攻擊的起點的網站(以下稱作入口URL)的客戶端轉發給多個網站(以下稱作重定向URL)，之后再轉發給執行攻擊代碼的惡意網站(以下稱作攻擊URL)。當客戶端訪問攻擊URL時，會被執行針對瀏覽器或瀏覽器的插件(以下稱作插件)的脆弱性而惡意使用的攻擊代碼，從而客戶端會從特定的網站(以下稱作惡意軟件散布URL。)下載并安裝計算機病毒等惡意程序(惡意軟件)。

向特定的URL進行轉發的方法有多種，例如向用HTML標簽所指定的URL進行轉發的方法、向使用JavaScript等代碼所指定的URL進行轉發的方法、和使用HTTP(Hyper TextTransfer Protocol：超文本傳輸協議)的300狀態碼進行轉發的方法等。另外，還可以是，利用JavaScript等代碼動態地生成HTML標簽，并插入到瀏覽器所讀入的HTML中，由此，能夠向由插入的HTML標簽所指定的URL進行轉發(以下稱作轉發代碼。)。在路過式下載攻擊中，對各種轉發代碼進行組合，將訪問過入口URL的客戶端轉發給惡意軟件散布URL。

用于入口URL中的網站多數是，垃圾郵件或SNS(Social Network Service：社交網絡服務)的消息服務中所分組含的URL的網站或由攻擊者進行了非法篡改后的一般網站。其中，通過網站篡改使一般網站成為入口URL并參與到路過式下載攻擊的事例的影響力較大，成為導致大多數惡意軟件感染損害的主要原因。這樣的網站篡改是無法根除的，因此需要通過盡快地檢測到被進行了篡改這一情況，確定被篡改的網站的內容部分(例如通過篡改而插入的轉發代碼)并進行修正，從而防止路過式下載攻擊導致的感染擴大。

作為對路過式下載攻擊進行檢測的方法而已知有，對因從惡意軟件散布URL下載惡意軟件而產生的文件系統的變化進行檢測的方法(參照非專利文獻1)，或者用瀏覽器的模擬器(以下，稱作瀏覽器模擬器。)執行JavaScript，并通過對執行結果進行分析來對惡意的JavaScript進行檢測的方法(參照非專利文獻2)等。

此外，還已知有：通過確定從入口URL到惡意軟件散布URL的鏈接結構，并且從惡意軟件散布URL反向追蹤到鏈接結構，從而有效率地搜索存在于該惡意網站的附近的惡意網站的方法(參照非專利文獻3)、或者如下URL特征碼生成方法等：使用通過巡視多個網站而收集到的鏈接結構，確定在各鏈接結構中共用的URL，由此，高效率地檢測和屏蔽向被設置了路過式下載攻擊的攻擊URL和惡意軟件散布URL這樣的惡意URL進行的訪問(參照非專利文獻4)。

然而，上述的方法都是對惡意URL進行檢測的方法，無法在所檢測出的惡意URL的網站中確定參與到攻擊中的內容部分或腳本。即，在入口URL是被篡改后的網站的情況下，無法確定網站的內容部分中的哪個位置是被篡改的位置。

作為對網站篡改進行檢測的方法，已知有將篡改之前的內容部分(原始內容部分)與篡改之后的內容部分進行比較的方法。例如，將HTML作為原始內容部分來進行比較檢測的方法(參照非專利文獻5)以及將JavaScript的眾所周知的程序庫或構架作為原始內容部分來進行比較檢測的方法(參照非專利文獻6)等。