[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2013109553A - Program white list distribution device and method - Google Patents

Program white list distribution device and method Download PDF

Info

Publication number
JP2013109553A
JP2013109553A JP2011253601A JP2011253601A JP2013109553A JP 2013109553 A JP2013109553 A JP 2013109553A JP 2011253601 A JP2011253601 A JP 2011253601A JP 2011253601 A JP2011253601 A JP 2011253601A JP 2013109553 A JP2013109553 A JP 2013109553A
Authority
JP
Japan
Prior art keywords
white list
file
package
malware
client terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2011253601A
Other languages
Japanese (ja)
Other versions
JP2013109553A5 (en
Inventor
Hiroki Yamaguchi
演己 山口
Nobutaka Kawaguchi
信隆 川口
Hisashi Umeki
久志 梅木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2011253601A priority Critical patent/JP2013109553A/en
Publication of JP2013109553A publication Critical patent/JP2013109553A/en
Publication of JP2013109553A5 publication Critical patent/JP2013109553A5/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a mechanism related to an optimum white list management method in a malware analysis detection system.SOLUTION: A white list distribution device 110 for creating and returning a white list with a high probability of being included in a client terminal on the basis of a suspicious file transmitted from a user on the client terminal has a known non-malware DB 241 in which known non-malware files are registered, and optimizes a white list to be distributed to each client terminal using the type of the client terminal and a relation DB 242 of correlation between packages or the like by creating the white list on the basis of the known non-malware DB 241.

Description

本発明は、マルウェア感染の対策として、特に、ホワイトリストを用いて既知の非マルウェアをフィルタリングする技術に関する。   The present invention relates to a technique for filtering known non-malware using a white list as a countermeasure against malware infection.

マルウェア(malware)は、コンピュータプログラムの一種であり、コンピュータ端末内で実行されるとファイルの削除や情報漏洩といった、ユーザにとって有害な活動を行うものである。マルウェアが実行されている端末のことを、一般にマルウェア感染端末と呼ぶ。今日では、日々数千から数万の新種のマルウェアが出現しており、マルウェア対策手段の確立が、大きな社会問題となっている。   Malware is a type of computer program that, when executed in a computer terminal, performs activities harmful to the user, such as file deletion and information leakage. A terminal on which malware is executed is generally called a malware-infected terminal. Today, thousands to tens of thousands of new types of malware appear every day, and the establishment of anti-malware measures has become a major social problem.

マルウェア感染の対策として、各クライアント端末において、パターンファイルマッチングによるブラックリスト方式が一般的であり、現在市場に多くのアンチウィルスソフトが流通している。   As a countermeasure against malware infection, a black list method by pattern file matching is generally used in each client terminal, and many anti-virus software are currently distributed in the market.

ただし、アンチウィルスソフトの多くはブラックリスト方式を採用しており、新種のマルウェアの検知が困難である。新種マルウェアに対する対策として、特許文献1のように専用の計算機環境を用いてプログラムの挙動を詳細に解析して、マルウェアであるかどうかを判定するマルウェア解析サーバがある。   However, many anti-virus software uses a blacklist method, which makes it difficult to detect new types of malware. As a countermeasure against a new type of malware, there is a malware analysis server that analyzes the behavior of a program in detail using a dedicated computer environment as in Patent Document 1 to determine whether it is malware or not.

マルウェア解析サーバの解析には時間がかかるため、クライアント端末内の全てのファイルを解析するのは非効率的である。このため、クライアント端末内は、既知の非マルウェアの一覧であるホワイトリストを保持し、ホワイトリストに載っていないプログラムのみ、マルウェア解析サーバで解析を行う。   Since analysis by the malware analysis server takes time, it is inefficient to analyze all the files in the client terminal. For this reason, the client terminal holds a white list that is a list of known non-malware, and only a program that is not on the white list is analyzed by the malware analysis server.

ホワイトリストのフィルタリングにおける課題として、クライアント端末で、大規模なホワイトリストを保持するのは、検索時間・保存容量の点で、非効率的である。このため、特許文献2では、クライアント端末内で、解析対象となるファイルが発見された場合、大規模なホワイトリストを保持するホワイトリスト配信サーバに、ファイル照合の問い合わせを行い、ホワイトリスト配信サーバが保持していないファイルのみを、マルウェア解析サーバで解析する。ファイルがサーバに保持されていた場合は、クライアント端末側のホワイトリストに登録され、再度の問合せは発生しなくなる。   As a problem in whitelist filtering, it is inefficient to maintain a large-scale whitelist in a client terminal in terms of search time and storage capacity. For this reason, in Patent Document 2, when a file to be analyzed is found in a client terminal, an inquiry for file matching is made to a whitelist distribution server holding a large-scale whitelist, and the whitelist distribution server Only the files that are not retained are analyzed by the malware analysis server. If the file is held in the server, it is registered in the white list on the client terminal side, and no further inquiry is generated.

特開2009−37545号公報JP 2009-37545 A 特開2010−198054号公報JP 2010-198054 A

しかし、この方法では、新しいファイルが発見されるたびに、ホワイトリスト配信サーバとの通信が発生するため、クライアント端末・ホワイトリスト配信サーバの処理負荷が高くなるという問題点がある。また、ユーザが、複数種類のクライアント端末を利用する場合、ユーザが各端末で同じアプリケーションやプログラムパッケージを使用している場合でも、クライアント端末ごとに照合問合せが行われ、非効率である。   However, this method has a problem that the processing load of the client terminal / whitelist distribution server increases because communication with the whitelist distribution server occurs each time a new file is discovered. Further, when a user uses a plurality of types of client terminals, even if the user uses the same application or program package at each terminal, a collation inquiry is performed for each client terminal, which is inefficient.

本発明の目的は、既知の非マルウェアの効率的なフィルタリングが可能となり、マルウェア解析システムの効率的な運用が可能となるプログラムのホワイトリスト配信装置及び方法を提供することにある。   An object of the present invention is to provide a program whitelist distribution apparatus and method that enables efficient filtering of known non-malware and enables efficient operation of a malware analysis system.

クライアント端末から要求を受けると、ホワイトリスト配信サーバは、クライアント端末の種別(PC、モバイル端末)や、パッケージ間の相関性(どのアプリケーションとどのアプリケーションが、同じに利用されることが多いか)などの情報を基に、問合せ元のクライアント端末に存在する可能性が高いファイル一覧を作成し、ホワイトリストとして、各クライアント端末に配信する。   When receiving a request from a client terminal, the whitelist distribution server determines the type of client terminal (PC, mobile terminal), the correlation between packages (which application and which application are often used the same), etc. Based on the above information, a file list that is highly likely to exist in the client terminal of the inquiry source is created and distributed as a white list to each client terminal.

本発明によれば、既知の非マルウェアの効率的なフィルタリングが可能となり、マルウェア解析システムの効率的な運用が可能となる。   According to the present invention, efficient filtering of known non-malware becomes possible, and efficient operation of a malware analysis system becomes possible.

本実施形態にかかるホワイトリスト最適化システムの構成を示す図である。It is a figure which shows the structure of the white list optimization system concerning this embodiment. ホワイトリスト配信サーバの主要な物理構成を示す図である。It is a figure which shows the main physical structures of a white list delivery server. ホワイトリスト配信サーバの機能的な構成、および物理的な各装置との関係を示す図である。It is a figure which shows the functional structure of a white list delivery server, and the relationship with each physical apparatus. 固定端末、およびモバイル端末の主要な物理構成を示す図である。It is a figure which shows the main physical structures of a fixed terminal and a mobile terminal. 固定端末、およびモバイル端末の機能的な構成、および物理的な各装置との関係を示す図である。It is a figure which shows the functional structure of a fixed terminal and a mobile terminal, and the relationship with each physical apparatus. 非マルウェアファイルDB内のレコードの例を示す図である。It is a figure which shows the example of the record in non-malware file DB. パッケージ相関性DB内のレコードの例を示す図である。It is a figure which shows the example of the record in package correlation DB. ユーザ管理DB内のレコードの例を示す図である。It is a figure which shows the example of the record in user management DB. ローカルホワイトリストDB内のレコードの例を示す図である。It is a figure which shows the example of the record in local white list DB. ホワイトリスト構築部における処理のフローチャートである。It is a flowchart of the process in a white list construction part. ホワイトリスト配信部における処理のフローチャートである。It is a flowchart of the process in a white list delivery part. 擬陽性ファイル送信部における処理のフローチャートである。It is a flowchart of the process in a false positive file transmission part. ホワイトリスト要求部における処理のフローチャートである。It is a flowchart of the process in a white list request | requirement part.

以下に添付図面を参照して、実施形態を詳細に説明する。説明では、情報処理装置、ホスト、端末を同義の用語として用いる。   Embodiments will be described below in detail with reference to the accompanying drawings. In the description, an information processing device, a host, and a terminal are used as synonymous terms.

図1は、本実施形態にかかるホワイトリスト最適化システム10の構成を示す図である。図1に示すように、ホワイトリスト最適化システム10は、ホワイトリスト配信サーバ110、固定端末120、モバイル端末130、ネットワーク100を含んで構成されている。ネットワーク100は、LAN(Local Area Network)など、企業や教育機関などの組織単位で管理される比較的小規模のネットワークに加えて、WAN(Wide Area Network)やインターネットなどが含まれる。   FIG. 1 is a diagram showing a configuration of a whitelist optimization system 10 according to the present embodiment. As shown in FIG. 1, the whitelist optimization system 10 includes a whitelist distribution server 110, a fixed terminal 120, a mobile terminal 130, and a network 100. The network 100 includes a WAN (Wide Area Network), the Internet, and the like in addition to a relatively small network managed by an organizational unit such as a company or an educational institution such as a LAN (Local Area Network).

固定端末120は、企業や教育機関などのオフィスや自宅で利用するデスクトップ型、ノートPC型の端末などを含み、モバイル端末130は、固定端末以外のタブレットPCやスマートフォン、携帯端末などが含まれる。   The fixed terminal 120 includes a desktop type or notebook PC type terminal used in an office or home such as a company or an educational institution, and the mobile terminal 130 includes a tablet PC, a smartphone, a portable terminal, or the like other than the fixed terminal.

図2は、ホワイトリスト配信サーバ110の主要な物理構成を示す図である。図2に示すように、ホワイトリスト配信サーバ110は、物理的には、本体装置110と入出力装置230とを含んで構成されている。入出力装置230は、ディスプレイ等の表示装置とキーボード等の入力装置を含んで構成され、利用者の指示、あるいは後述する本体装置110のCPU(Central Processing Unit)210が処理を行った結果等を表示する。   FIG. 2 is a diagram illustrating a main physical configuration of the white list distribution server 110. As shown in FIG. 2, the white list distribution server 110 physically includes a main device 110 and an input / output device 230. The input / output device 230 includes a display device such as a display and an input device such as a keyboard. The input / output device 230 displays a user instruction or a result of processing performed by a CPU (Central Processing Unit) 210 of the main body device 110 described later. indicate.

なお、入出力装置230の入力装置と出力装置とは、実際には別個の場合もあるが、これらの各装置が行う処理は主要な部分ではないため、これらをまとめて入出力装置230として示している。また、以下の説明では、CPU210が処理を行った結果等を入出力装置230に表示する前提で説明しているが、例えばネットワーク100により接続された他の装置等に表示させることとしてもよい。   Note that the input device and the output device of the input / output device 230 may actually be separate, but the processing performed by each of these devices is not a major part, and thus these are collectively shown as the input / output device 230. ing. In the following description, the result of processing performed by the CPU 210 is described on the assumption that the input / output device 230 is displayed. However, for example, it may be displayed on another device connected via the network 100.

本体装置110は、CPU210とメモリ220と記憶装置240とインタフェース250とバス260とを含んで構成されている。   The main device 110 includes a CPU 210, a memory 220, a storage device 240, an interface 250, and a bus 260.

CPU210は、プロセッサ等の演算装置から構成され、ホワイトリストを配信するホワイトリスト配信プログラム221の実行や、本体装置110に含まれる各装置の動作を制御する。なおCPU210は、時計を掲示するクロックを内部に備えている。   The CPU 210 includes an arithmetic device such as a processor, and controls the execution of the white list distribution program 221 that distributes the white list and the operation of each device included in the main body device 110. The CPU 210 has a clock for posting a clock inside.

メモリ220は、RAM(Random Access Memory)およびROM(Read Only Memory)等の記憶媒体から構成されている。ROMには、ホワイトリスト配信プログラム221があらかじめ記憶されている。そして、このプログラム221がCPU210によって実行されることによって、ホワイトリストを配信する。CPU210が実行する具体的な機能については後述する。   The memory 220 includes a storage medium such as a RAM (Random Access Memory) and a ROM (Read Only Memory). A white list distribution program 221 is stored in advance in the ROM. Then, the program 221 is executed by the CPU 210 to distribute the white list. Specific functions executed by the CPU 210 will be described later.

記憶装置240は、HDD(Hard Disk Drive)等から構成され、非マルウェアファイルDB241とパッケージ相関性DB242とユーザ管理DB243とを記憶する。非マルウェアファイルDB241には、マルウェアでは無いことが確認されている、所謂非マルウェアのファイル名やハッシュ値、ファイルが含まれるパッケージに関する情報が格納されている。パッケージ相関性DB242には、ある2つのパッケージについて、1つのパッケージがクライアント端末にインストールされている場合に、もう一方のパッケージがインストールされている割合を示す。ユーザ管理DB243は、各ユーザが保持しているクライアント端末内にインストールされているパッケージを記憶する。これらのDBの具体的な内容については後述する。   The storage device 240 is composed of an HDD (Hard Disk Drive) or the like, and stores a non-malware file DB 241, a package correlation DB 242, and a user management DB 243. The non-malware file DB 241 stores information on so-called non-malware file names, hash values, and packages containing files that have been confirmed not to be malware. In the package correlation DB 242, for one two packages, when one package is installed on the client terminal, the ratio of the other package installed is shown. The user management DB 243 stores packages installed in client terminals held by each user. Specific contents of these DBs will be described later.

インタフェース250は、NIC(Network Interface Card)等から構成され、固定端末120、モバイル端末130から本体装置110への通信を媒介する。   The interface 250 includes a NIC (Network Interface Card) or the like, and mediates communication from the fixed terminal 120 and the mobile terminal 130 to the main device 110.

バス260は、本体装置110に含まれる各装置を接続し、これらの装置間における種々のデータの受け渡しを行う。   The bus 260 connects each device included in the main device 110 and exchanges various data between these devices.

図3は、図2に示した本体装置110の機能的な構成、および物理的な各装置との関係を示す図である。図3に示すように、CPU210は、ホワイトリスト構築部310とホワイトリスト配信部320とを含んで構成されている。これらの各部の機能は、CPU210によるホワイトリスト配信プログラム221の実行によって具現化される。   FIG. 3 is a diagram illustrating a functional configuration of the main device 110 illustrated in FIG. 2 and a relationship with each physical device. As shown in FIG. 3, the CPU 210 includes a white list construction unit 310 and a white list distribution unit 320. The functions of these units are realized by the execution of the white list distribution program 221 by the CPU 210.

ホワイトリスト構築部310は、固定端末120、またはモバイル端末130から擬陽性ファイル(マルウェアである可能性がある、不審ファイル)を取得し、非マルウェアファイルDB241に登録済みか確認する。登録済の場合は、ファイルが含まれるパッケージ情報を、ユーザ管理DB243に登録する。さらに、ユーザから取得されたファイルを含むパッケージ内のファイル、及び、パッケージ相関DB242を参照し、当該パッケージが格納されたクライアント端末内に存在する可能性が高いパッケージに含まれるファイルを、ホワイトリスト追加メッセージとして、配信する。   The white list construction unit 310 acquires a false positive file (a suspicious file that may be malware) from the fixed terminal 120 or the mobile terminal 130 and confirms whether or not the file is registered in the non-malware file DB 241. If registered, the package information including the file is registered in the user management DB 243. Further, a whitelist is added to files in a package including a file acquired from a user and files included in a package that is likely to exist in the client terminal in which the package is stored with reference to the package correlation DB 242 Delivered as a message.

ホワイトリスト配信部320は、固定端末120、またはモバイル端末130からホワイトリスト配信要求を受信し、ユーザ管理DB243から配信するパッケージを取得し、非マルウェアファイルDB241からパッケージに含まれるファイルを含む、ホワイトリスト追加メッセージを配信する。   The white list distribution unit 320 receives a white list distribution request from the fixed terminal 120 or the mobile terminal 130, acquires a package to be distributed from the user management DB 243, and includes a file included in the package from the non-malware file DB 241. Deliver additional messages.

図4は、固定端末120、およびモバイル端末130の主要な物理構成を示す図である。図4に示すように、固定端末120、およびモバイル端末130は、物理的には、本体装置120、130と入出力装置430とを含んで構成されている。入出力装置430は、ディスプレイ等の表示装置とキーボード等の入力装置を含んで構成され、利用者の指示、あるいは後述する本体装置120、130のCPU(Central Processing Unit)410が処理を行った結果等を表示する。   FIG. 4 is a diagram illustrating main physical configurations of the fixed terminal 120 and the mobile terminal 130. As shown in FIG. 4, the fixed terminal 120 and the mobile terminal 130 are physically configured to include main body devices 120 and 130 and an input / output device 430. The input / output device 430 includes a display device such as a display and an input device such as a keyboard. The input / output device 430 includes a user instruction or a result of processing performed by a CPU (Central Processing Unit) 410 of the main body devices 120 and 130 described later. Etc. are displayed.

なお、入出力装置430の入力装置と出力装置とは、実際には別個の場合もあるが、これらの各装置が行う処理は主要な部分ではないため、これらをまとめて入出力装置430としてしめしている。また、以下の説明では、CPU410が処理を行った結果等を入出力装置430に表示する前提で説明しているが、例えばネットワーク100により接続された他の装置等に表示させることとしてもよい。   Note that the input device and output device of the input / output device 430 may actually be separate, but the processing performed by each of these devices is not a major part, so they are collectively shown as the input / output device 430. ing. In the following description, the result of processing performed by the CPU 410 is described on the assumption that it is displayed on the input / output device 430. However, it may be displayed on another device connected by the network 100, for example.

本体装置120、130は、CPU410とメモリ420と記憶装置440とインタフェース450とバス460とを含んで構成されている。   The main body devices 120 and 130 include a CPU 410, a memory 420, a storage device 440, an interface 450, and a bus 460.

CPU410は、プロセッサ等の演算装置から構成され、擬陽性ファイルを送信する擬陽性ファイル送信プログラム421の実行や、本体装置120、130に含まれる各装置の動作を制御する。なおCPU410は、時計を掲示するクロックを内部に備えている。   The CPU 410 includes an arithmetic device such as a processor, and controls the execution of a false positive file transmission program 421 that transmits a false positive file and the operation of each device included in the main body devices 120 and 130. The CPU 410 has a clock for posting a clock inside.

メモリ420は、RAM(Random Access Memory)およびROM(Read Only Memory)等の記憶媒体から構成されている。ROMには、擬陽性ファイル送信プログラム421があらかじめ記憶されている。そして、このプログラム421がCPU410によって実行されることによって、擬陽性ファイルを送信する。CPU410が実行する具体的な機能については後述する。   The memory 420 includes a storage medium such as a RAM (Random Access Memory) and a ROM (Read Only Memory). The ROM stores a false positive file transmission program 421 in advance. The program 421 is executed by the CPU 410 to transmit a false positive file. Specific functions executed by the CPU 410 will be described later.

記憶装置440は、HDD(Hard Disk Drive)等から構成され、ローカルホワイトリストDB441を記憶する。このDBの具体的な内容については後述する。   The storage device 440 includes an HDD (Hard Disk Drive) or the like, and stores a local white list DB 441. Specific contents of this DB will be described later.

インタフェース450は、NIC(Network Interface Card)等から構成され、ホワイトリスト配信サーバ110から、固定端末120、モバイル端末130への通信を媒介する。   The interface 450 includes a NIC (Network Interface Card) or the like, and mediates communication from the whitelist distribution server 110 to the fixed terminal 120 and the mobile terminal 130.

バス460は、本体装置120、130に含まれる各装置を接続し、これらの装置間における種々のデータの受け渡しを行う。   The bus 460 connects the devices included in the main body devices 120 and 130 and exchanges various data between these devices.

図5は、固定端末120、およびモバイル端末130の機能的な構成、および物理的な各装置との関係を示す図である。図5に示すように、CPU410は、擬陽性ファイル送信部510とホワイトリスト要求部520とを含んで構成されている。これらの各部の機能は、CPU410による擬陽性ファイル送信プログラム221の実行によって具現化される。擬陽性ファイル送信部510は、本体端末120、130における検知結果から検知した擬陽性ファイルが、ローカルホワイトリストDB441に登録済みか確認し、未登録の場合は、ホワイトリスト配信サーバ110へ擬陽性ファイルを送信する。ホワイトリスト要求部520は、ホワイトリスト配信サーバ110から受信したホワイトリスト追加メッセージからローカルホワイトリストDB441へ追加する。   FIG. 5 is a diagram illustrating a functional configuration of the fixed terminal 120 and the mobile terminal 130 and a relationship with each physical device. As shown in FIG. 5, the CPU 410 includes a false positive file transmission unit 510 and a white list request unit 520. The functions of these units are realized by the execution of the false positive file transmission program 221 by the CPU 410. The false positive file transmission unit 510 confirms whether the false positive file detected from the detection results in the main body terminals 120 and 130 is registered in the local whitelist DB 441, and if not registered, transmits the false positive file to the whitelist distribution server 110. . The white list request unit 520 adds the white list addition message received from the white list distribution server 110 to the local white list DB 441.

図6は、非マルウェアファイルDB241内のレコードの例を示す図である。各レコードは、ある1つの既知の非マルウェアに関する情報を記録している。ファイル名601は、ファイル名を、パッケージ602は、ファイル含むパッケージを、種別603は、ファイルがインストールされている端末の種別(図6では、固定端末、モバイル端末の何れか)を示す。ハッシュ値604は、ファイルデータのハッシュ値を示す。   FIG. 6 is a diagram illustrating an example of records in the non-malware file DB 241. Each record records information about one known non-malware. The file name 601 indicates the file name, the package 602 indicates the package including the file, and the type 603 indicates the type of the terminal in which the file is installed (in FIG. 6, either a fixed terminal or a mobile terminal). A hash value 604 indicates a hash value of the file data.

一般に、各パッケージ602は、使用される端末の種類に応じて、異なったファイル構成をとる。このため、固定端末とモバイル端末が、同一のパッケージ602を使用している場合でも、各端末にインストールされるファイルは異なる。図6の例では、File−A、File−B、File−Cは、同じパッケージ、Pack−Xに属している。このうち、File−AとFile−Bは、Pack−Xが固定端末内で使用される場合に、インストールされる。一方、File−Cは、Pack−Xが、モバイル端末内で使用される場合に、インストールされる。   In general, each package 602 has a different file structure depending on the type of terminal used. For this reason, even if the fixed terminal and the mobile terminal use the same package 602, the files installed in each terminal are different. In the example of FIG. 6, File-A, File-B, and File-C belong to the same package, Pack-X. Of these, File-A and File-B are installed when Pack-X is used in a fixed terminal. On the other hand, File-C is installed when Pack-X is used in a mobile terminal.

非マルウェアファイルDB241へレコードを登録する際は、セキュリティベンダなどの外部組織が提供する、マルウェアではないことが確定的であるファイルの情報を用いる。   When registering a record in the non-malware file DB 241, information on a file that is determined to be non-malware provided by an external organization such as a security vendor is used.

図7は、パッケージ相関性DB242内のレコードの例を示す図である。パッケージ(1)701とパッケージ(2)702は、相関関係にあるパッケージを、相関値703は各パッケージ(1)701、パッケージ(2)702間の相関性を示す。相関値703が高いほど、パッケージ(1)701がインストールされているパッケージに、パッケージ(2)702がインストールされている可能性が高くなる。相関値703の値は、0.0から1.0までの範囲を取る。   FIG. 7 is a diagram illustrating an example of records in the package correlation DB 242. Package (1) 701 and package (2) 702 are correlated packages, and correlation value 703 indicates the correlation between each package (1) 701 and package (2) 702. The higher the correlation value 703, the higher the possibility that the package (2) 702 is installed in the package in which the package (1) 701 is installed. The value of the correlation value 703 takes a range from 0.0 to 1.0.

図7の例では、パッケージ(1)701がPack−XとPack−Yであり、パッケージ(2)702がPack−YとPack−Zであり、相関値703が0.9と0.5と0.3である。   In the example of FIG. 7, the package (1) 701 is Pack-X and Pack-Y, the package (2) 702 is Pack-Y and Pack-Z, and the correlation values 703 are 0.9, 0.5, and 0.3.

パッケージ(1)701とパッケージ(2)702に記載されるパッケージ名が入れ替わっている場合、相関値703の値は、同じでもよいし、異なっていてもよい。例えば、図7の例では、パッケージ(1)701の値がPack−X、パッケージ(2)702の値がPack−Yの時、相関値703は0.9となるが、パッケージ(1)701の値がPack−Y、パッケージ(2)702の値がPack−Xの場合、相関値703は0.1となる。   When the package names described in the package (1) 701 and the package (2) 702 are interchanged, the correlation value 703 may be the same or different. For example, in the example of FIG. 7, when the value of the package (1) 701 is Pack-X and the value of the package (2) 702 is Pack-Y, the correlation value 703 is 0.9, but the package (1) 701 When the value of Package-Y is Pack-Y and the value of Package (2) 702 is Pack-X, the correlation value 703 is 0.1.

相関値703の登録は、ホワイトリスト配信サーバ110の管理者が行う。   Registration of the correlation value 703 is performed by the administrator of the white list distribution server 110.

図8は、ユーザ管理DB243内のレコードの例を示す図である。ユーザ801は、ユーザは一意に識別するための名称を、パッケージ802は、利用者が利用しているパッケージの一覧を示す。図8の例では、ユーザ801:Sとユーザ801:Tは、Pack−XとPack−Yを利用している。ユーザ801:Uは、Pack−Zを利用している。   FIG. 8 is a diagram illustrating an example of records in the user management DB 243. A user 801 indicates a name for uniquely identifying the user, and a package 802 indicates a list of packages used by the user. In the example of FIG. 8, the users 801: S and 801: T use Pack-X and Pack-Y. User 801: U uses Pack-Z.

図9は、ローカルホワイトリストDB441内のレコードの例を示す図である。ファイルパス901は、クライアント端末内での非マルウェアファイルの保管先を示すファイルパスを、ハッシュ値902は、ファイルデータのハッシュ値を示す。図9の例では、ファイルパス901がC:\Program\a.exeで、ハッシュ値902がxxxxであるレコードと、ファイルパス901がC:\temp\b.exeで、ハッシュ値902がyyyyであるレコードがある。ファイルパス901とハッシュ値902は、ホワイトリスト配信サーバ110からのホワイトリスト追加メッセージを基に登録される。   FIG. 9 is a diagram illustrating an example of a record in the local white list DB 441. A file path 901 indicates a file path indicating a storage destination of the non-malware file in the client terminal, and a hash value 902 indicates a hash value of the file data. In the example of FIG. 9, the file path 901 is C: \ Program \ a.exe and the hash value 902 is xxxx, the file path 901 is C: \ temp \ b.exe, and the hash value 902 is yyyy. There is a record. The file path 901 and the hash value 902 are registered based on a white list addition message from the white list distribution server 110.

図10は、ホワイトリスト構築部310における処理のフローチャートである。ホワイトリスト構築部310は、固定端末120、モバイル端末130から、ユーザ名、端末の種別、擬陽性ファイルを受信する(ステップ31001)。ここでは、ユーザ名としてS、端末の種類として固定端末擬陽性ファイルとしてFile−Aを、受信したとする。   FIG. 10 is a flowchart of processing in the white list construction unit 310. The white list construction unit 310 receives a user name, a terminal type, and a false positive file from the fixed terminal 120 and the mobile terminal 130 (step 31001). Here, it is assumed that S is received as the user name and File-A is received as the fixed terminal false positive file as the terminal type.

次に、受信したファイル、即ち、取得した擬陽性ファイルが、非マルウェアファイルDB241に登録されているか否かを確認する(ステップ31002)。擬陽性ファイルが非マルウェアファイルDB241に登録済されていない場合は、処理を終了する(ステップ31002:NO)。一方、擬陽性ファイルが非マルウェアファイルDB241に登録されている場合は、処理を継続する(ステップ31003:YES)。File−Aは、図6非マルウェアファイルDBに登録されているので、処理は継続する。   Next, it is confirmed whether or not the received file, that is, the acquired false positive file is registered in the non-malware file DB 241 (step 31002). If the false positive file is not registered in the non-malware file DB 241, the process ends (step 31002: NO). On the other hand, when the false positive file is registered in the non-malware file DB 241, the processing is continued (step 31003: YES). Since File-A is registered in the non-malware file DB of FIG. 6, the processing continues.

次に、非マルウェアファイルDB241から擬陽性ファイルを含むパッケージを取得する(ステップ31003)。ここではFile−Aを含むパッケージとして、Pack−Xを取得したとする。次に、非マルウェアファイルDB241から、ステップ31003で取得したパッケージに含まれ、かつ、種別が、受信した種別情報と同じであるファイルを取得する(ステップ31004)。ここではPack−Xに含まれ、かつ種別が固定端末である、File−Bを取得する。   Next, a package including a false positive file is acquired from the non-malware file DB 241 (step 31003). Here, it is assumed that Pack-X is acquired as a package including File-A. Next, the non-malware file DB 241 acquires a file that is included in the package acquired in step 31003 and whose type is the same as the received type information (step 31004). Here, File-B, which is included in Pack-X and whose type is a fixed terminal, is acquired.

次に、パッケージ相関性DB242から、ステップ310003で取得したパッケージとの相関が閾値以上であるパッケージを取得する(ステップ31005)。閾値は、管理者が任意に設定するものとする。ここでは、閾値を0.8として、Pack−Xと相関が高いパッケージとして、Pack−Yを取得したとする。次に、ステップ31005で取得したパッケージに含まれ、かつ、種別が受信した種別情報と同じであるファイルを取得する(ステップ31006)。ここではPack−Yに含まれ、種別が固定端末であるFile−Dを取得する。   Next, a package whose correlation with the package acquired in step 310003 is greater than or equal to a threshold is acquired from the package correlation DB 242 (step 31005). The threshold value is arbitrarily set by the administrator. Here, it is assumed that the threshold value is 0.8 and Pack-Y is acquired as a package having a high correlation with Pack-X. Next, a file that is included in the package acquired in step 31005 and whose type is the same as the received type information is acquired (step 31006). Here, File-D, which is included in Pack-Y and whose type is a fixed terminal, is acquired.

次に、ユーザ登録DB243へ利用者毎のパッケージを設定する(ステップ31007)。ここではユーザSのパッケージとして、Pack−XとPack−Yを設定する。   Next, a package for each user is set in the user registration DB 243 (step 31007). Here, Pack-X and Pack-Y are set as the packages of user S.

最後に、受信したファイル、及びステップ31004・ステップ31006で取得したファイル名及びハッシュ値を、ホワイトリスト追加メッセージとして、クライアント端末に返信する(ステップ31008)。ここでは、File−A、File−B、File−Dのファイル名、ハッシュ値を、ホワイトリスト追加メッセージとして返信する。   Finally, the received file and the file name and hash value acquired in step 31004 and step 31006 are returned to the client terminal as a white list addition message (step 31008). Here, the file names and hash values of File-A, File-B, and File-D are returned as a white list addition message.

図11は、ホワイトリスト配信部320における処理のフローチャートである。ホワイトリスト配信部320は、固定端末120、モバイル端末130からホワイトリスト配信要求を受信する(ステップ32001)。ここではユーザSが、種別がモバイル端末であるの配信要求を受信したとする。   FIG. 11 is a flowchart of processing in the white list distribution unit 320. The white list distribution unit 320 receives a white list distribution request from the fixed terminal 120 and the mobile terminal 130 (step 32001). Here, it is assumed that the user S receives a distribution request whose type is a mobile terminal.

次に、ユーザ登録DB243から、配信のあったユーザのパッケージを取得する(ステップ32002)。ここではユーザSのパッケージ、Pack−X、Pack−Yを取得したとする。   Next, the package of the user who has been distributed is acquired from the user registration DB 243 (step 32002). Here, it is assumed that the package, Pack-X, and Pack-Y of the user S are acquired.

次に、非マルウェアファイルDBからステップ32002で取得したパッケージに含まれ、かつ種別が配信要求と一致するファイルを取得する(ステップ32003)。ここではPack−XまたはPack−Yに含まれ、さらに種別がモバイル端末であるファイルとして、File−Cを取得したとする。   Next, a file that is included in the package acquired in step 32002 and whose type matches the distribution request is acquired from the non-malware file DB (step 32003). Here, it is assumed that File-C is acquired as a file that is included in Pack-X or Pack-Y and whose type is a mobile terminal.

最後に、ステップ32003で取得したファイルのファイル名とハッシュ値を含むホワイトリスト通知メッセージを要求元のクライアント端末に送信し、処理を終了する(ステップ32004)。ここではFile−Cのファイル名及びハッシュ値を含むホワイトリスト追加メッセージを、ユーザSのモバイル端末に送信する。   Finally, a white list notification message including the file name and hash value of the file acquired in step 32003 is transmitted to the requesting client terminal, and the process ends (step 32004). Here, a white list addition message including the file name and hash value of File-C is transmitted to the mobile terminal of user S.

図12は、クライアント端末における、擬陽性ファイル送信部510における処理のフローチャートである。擬陽性ファイル送信部510は、クライアント端末130内を検索し、擬陽性ファイルを検出する(ステップ51001)。   FIG. 12 is a flowchart of processing in the false positive file transmission unit 510 in the client terminal. The false positive file transmission unit 510 searches the client terminal 130 and detects a false positive file (step 51001).

次に、ローカルホワイトリストDB441に擬陽性ファイルが登録されているかを確認する(ステップ51002)。擬陽性ファイルがローカルホワイトリストDB441に登録済みの場合は、処理を終了する(ステップ51002:YES)。一方、擬陽性ファイルがローカルホワイトリストDB441に未登録の場合は、処理を継続する(ステップ51002:NO)。   Next, it is confirmed whether a false positive file is registered in the local white list DB 441 (step 51002). If the false positive file has already been registered in the local whitelist DB 441, the process ends (step 51002: YES). On the other hand, if the false positive file is not registered in the local whitelist DB 441, the processing is continued (step 51002: NO).

次に、擬陽性ファイルのファイルパス、ハッシュ値、種別をホワイトリスト配信サーバ110へ送信する(ステップ51003)。   Next, the file path, hash value, and type of the false positive file are transmitted to the white list distribution server 110 (step 51003).

次に、ホワイトリスト配信サーバ110からホワイトリスト追加メッセージを受信する(ステップ51004)。最後に、ステップ51004で受信したホワイトリスト追加メッセージ内のファイル名、ハッシュ値をローカルホワイトリストDB441へ追加し、処理を終了する(ステップ51005)。   Next, a white list addition message is received from the white list distribution server 110 (step 51004). Finally, the file name and hash value in the white list addition message received in step 51004 are added to the local white list DB 441, and the process ends (step 51005).

図13は、ホワイトリスト要求部520における処理のフローチャートである。ホワイトリスト要求部520は、ホワイトリスト配信サーバ110に、ホワイトリスト配信要求を行う(ステップ52001)。   FIG. 13 is a flowchart of processing in the white list request unit 520. The white list request unit 520 makes a white list distribution request to the white list distribution server 110 (step 52001).

次に、ホワイトリスト配信サーバ110からホワイトリスト追加メッセージを受信する(ステップ52002)。最後に、ステップ52002で受信したホワイトリスト追加メッセージをもとにローカルホワイトリストDB441へホワイトリストを追加し、処理を終了する(ステップ52003)。   Next, a white list addition message is received from the white list distribution server 110 (step 52002). Finally, the white list is added to the local white list DB 441 based on the white list addition message received in step 52002, and the process is terminated (step 52003).

10:ホワイトリスト最適化システム、110:ホワイトリストは尾新サーバ、120:固定端末、130:モバイル端末、100:ネットワーク 10: White list optimization system, 110: White list is a new server, 120: Fixed terminal, 130: Mobile terminal, 100: Network

Claims (11)

クライアント端末上のユーザから送信された擬陽性ファイルを基に、前記クライアント端末に含まれる確度が高いホワイトリスト一覧を作成・返信する、ホワイトリスト配布装置は、
既知の非マルウェアファイルが登録された既知非マルウェアDBと、
前記既知非マルウェアDBを基に前記ホワイトリスト一覧を作成するホワイトリスト構築手段とを有することを特徴とするホワイトリスト配信装置。 Based on the false positive file transmitted from the user on the client terminal, the white list distribution device that creates and returns a white list with high accuracy included in the client terminal,
A known non-malware DB in which known non-malware files are registered;
A white list distribution apparatus comprising: a white list construction unit that creates the white list list based on the known non-malware DB. 前記既知非マルウェアDBに、前記既知の非マルウェアファイルのパッケージが登録されており、前記ホワイトリスト構築手段が、パッケージを基に前記ホワイトリストを作成することを特徴とする請求項1に記載のホワイトリスト配信装置。   2. The white list according to claim 1, wherein a package of the known non-malware file is registered in the known non-malware DB, and the white list construction unit creates the white list based on the package. List distribution device. 前記ホワイトリスト構築手段は、前記擬陽性ファイルと同一のパッケージに含まれるファイルを前記ホワイトリストに含めることを特徴とする請求項2に記載のホワイトリスト配信装置。   The whitelist distribution apparatus according to claim 2, wherein the whitelist construction unit includes a file included in the same package as the false positive file in the whitelist. 2種類のパッケージ間において、一方のパッケージが前記クライアント端末に存在する場合に、もう一方のパッケージが前記クライアント端末に存在する可能性を、相関値として保持するパッケージ相関性DBを持ち、かつ、前記ホワイトリスト構築手段が、前記パッケージ相関性DBを基に前記ホワイトリストを作成することを特徴とする請求項3に記載のホワイトリスト配信装置。   Between two types of packages, when one package exists in the client terminal, the package correlation DB holds a possibility that the other package exists in the client terminal as a correlation value, and 4. The white list distribution device according to claim 3, wherein the white list construction unit creates the white list based on the package correlation DB. 前記ホワイトリスト構築手段は、前記擬陽性ファイルが含まれるパッケージとの相関値が一定値以上であるパッケージに含まれるファイルを、前記ホワイトリストに含めることを特徴とする請求項4に記載のホワイトリスト配信装置。   5. The white list distribution according to claim 4, wherein the white list construction unit includes, in the white list, a file included in a package having a correlation value with a package including the false positive file equal to or greater than a predetermined value. apparatus. 前記既知非マルウェアDBに、前記の既知の非マルウェアファイルがインストールされる端末の種別が登録されており、前記ホワイトリスト構築手段が、前記種別を基に、前記ホワイトリストを構築することを特徴とする請求項5に記載のホワイトリスト配信装置。   In the known non-malware DB, a type of a terminal on which the known non-malware file is installed is registered, and the white list construction unit constructs the white list based on the type. The white list distribution device according to claim 5. 前記ホワイトリスト構築手段は、種別が、前記擬陽性ファイルを送信した前記クライアント端末の種別と同一であるファイルを、前記ホワイトリストに含むことを特徴とする請求項6に記載のホワイトリスト配信装置。   The whitelist distribution apparatus according to claim 6, wherein the whitelist construction unit includes a file whose type is the same as the type of the client terminal that has transmitted the false positive file in the whitelist. 前記ホワイトリスト構築手段は、前記擬陽性ファイルが含まれるパッケージ及び当該パッケージとの相関値が一定値以上であるパッケージの一覧と、前記ユーザの対応付けを、ユーザ管理DBに登録することを特徴とする請求項7に記載のホワイトリスト配信装置。   The white list construction unit registers a list of packages including the false positive file, a list of packages having a correlation value with the package equal to or greater than a predetermined value, and a correspondence between the users in a user management DB. The white list distribution device according to claim 7. 前記クライアント端末からのホワイトリスト配信要求を受けて、前記クライアント端末に対応する前記ホワイトリストを作成・配信する、ホワイトリスト配信手段を持つことを特徴とする請求項8に記載のホワイトリスト配信装置。   9. The white list distribution apparatus according to claim 8, further comprising a white list distribution unit that receives a white list distribution request from the client terminal and creates and distributes the white list corresponding to the client terminal. 前記ホワイトリスト配信手段は、前記ホワイトリスト配信要求に含まれる前記ユーザが持つパッケージを前記ユーザ管理DBから取得し、前記既知非マルウェアDB内に含まれる、当該パッケージ内のファイルのうち、前記ホワイトリスト配信要求に含まれる種別と同じ種別をもつファイルを、前記ホワイトリストとして配信することを特徴とする請求項9に記載のホワイトリスト配信装置。   The white list distribution unit acquires a package owned by the user included in the white list distribution request from the user management DB, and among the files in the package included in the known non-malware DB, the white list 10. The white list distribution device according to claim 9, wherein a file having the same type as that included in the distribution request is distributed as the white list. 情報処理装置を用いて、クライアント端末上のユーザから送信された擬陽性ファイルを基に、前記クライアント端末に含まれる確度が高いホワイトリスト一覧を作成・返信するホワイトリスト配布方法は、
既知の非マルウェアファイルのパッケージが登録された既知非マルウェアDBを保持し、
前記既知非マルウェアDBの前記パッケージを基に、前記擬陽性ファイルと同一のパッケージに含まれるファイルを前記ホワイトリストに含めることによって、前記ホワイトリスト一覧を作成するホワイトリスト構築手段とを有することを特徴とするホワイトリスト配信方法。 Using the information processing apparatus, based on the false positive file transmitted from the user on the client terminal, a whitelist distribution method for creating and returning a whitelist list with high accuracy included in the client terminal is:
Holds a known non-malware DB with registered packages of known non-malware files,
White list construction means for creating the white list list by including in the white list a file included in the same package as the false positive file based on the package of the known non-malware DB. Whitelist delivery method to do.
JP2011253601A 2011-11-21 2011-11-21 Program white list distribution device and method Pending JP2013109553A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011253601A JP2013109553A (en) 2011-11-21 2011-11-21 Program white list distribution device and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011253601A JP2013109553A (en) 2011-11-21 2011-11-21 Program white list distribution device and method

Publications (2)

Publication Number Publication Date
JP2013109553A true JP2013109553A (en) 2013-06-06
JP2013109553A5 JP2013109553A5 (en) 2014-03-27

Family

ID=48706244

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011253601A Pending JP2013109553A (en) 2011-11-21 2011-11-21 Program white list distribution device and method

Country Status (1)

Country Link
JP (1) JP2013109553A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015210605A (en) * 2014-04-24 2015-11-24 株式会社オプティム Application management terminal, application management method, and program for application management terminal
US9390185B2 (en) 2014-04-29 2016-07-12 1E Limited Command lines
US10325094B2 (en) 2014-08-28 2019-06-18 Mitsubishi Electric Corporation Process analysis apparatus, process analysis method, and process analysis for determining input/output relation of a block of execution trace to detect potential malware
WO2019168191A1 (en) * 2018-03-01 2019-09-06 日本電信電話株式会社 Creation device, creation system, creation method, and creation program
US10503882B2 (en) 2016-09-16 2019-12-10 1E Limited File execution
JP7484498B2 (en) 2020-07-01 2024-05-16 株式会社リコー Information processing system, image forming apparatus, information processing method, and program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006277262A (en) * 2005-03-29 2006-10-12 Seiko Epson Corp Information processor and information management program
JP2011123675A (en) * 2009-12-10 2011-06-23 Fujitsu Ltd Method, program, and execution control device
US8001606B1 (en) * 2009-06-30 2011-08-16 Symantec Corporation Malware detection using a white list

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006277262A (en) * 2005-03-29 2006-10-12 Seiko Epson Corp Information processor and information management program
US8001606B1 (en) * 2009-06-30 2011-08-16 Symantec Corporation Malware detection using a white list
JP2011123675A (en) * 2009-12-10 2011-06-23 Fujitsu Ltd Method, program, and execution control device

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015210605A (en) * 2014-04-24 2015-11-24 株式会社オプティム Application management terminal, application management method, and program for application management terminal
US9390185B2 (en) 2014-04-29 2016-07-12 1E Limited Command lines
US10325094B2 (en) 2014-08-28 2019-06-18 Mitsubishi Electric Corporation Process analysis apparatus, process analysis method, and process analysis for determining input/output relation of a block of execution trace to detect potential malware
US10503882B2 (en) 2016-09-16 2019-12-10 1E Limited File execution
WO2019168191A1 (en) * 2018-03-01 2019-09-06 日本電信電話株式会社 Creation device, creation system, creation method, and creation program
JP2019153890A (en) * 2018-03-01 2019-09-12 日本電信電話株式会社 Creation device, creation system, creation method and creation program
JP7484498B2 (en) 2020-07-01 2024-05-16 株式会社リコー Information processing system, image forming apparatus, information processing method, and program

Similar Documents

Publication Publication Date Title
US11736530B2 (en) Framework for coordination between endpoint security and network security services
US10803171B2 (en) Virus detection method, terminal and server
US20210173924A1 (en) Automated Cybersecurity Threat Detection with Aggregation and Analysis
US8627469B1 (en) Systems and methods for using acquisitional contexts to prevent false-positive malware classifications
US8255926B2 (en) Virus notification based on social groups
US9781151B1 (en) Techniques for identifying malicious downloadable applications
US8966249B2 (en) Data security and integrity by remote attestation
US10887307B1 (en) Systems and methods for identifying users
US9152784B2 (en) Detection and prevention of installation of malicious mobile applications
US9467463B2 (en) System and method for assessing vulnerability of a mobile device
JP5711361B2 (en) Claims-based content evaluation service
US9185119B1 (en) Systems and methods for detecting malware using file clustering
US9690598B2 (en) Remotely establishing device platform integrity
US20130185800A1 (en) Anti-virus protection for mobile devices
US9832221B1 (en) Systems and methods for monitoring the activity of devices within an organization by leveraging data generated by an existing security solution deployed within the organization
GB2507360A (en) Threat detection through the accumulated detection of threat characteristics
US9332025B1 (en) Systems and methods for detecting suspicious files
JP2013109553A (en) Program white list distribution device and method
US9622081B1 (en) Systems and methods for evaluating reputations of wireless networks
US9805190B1 (en) Monitoring execution environments for approved configurations
US9652615B1 (en) Systems and methods for analyzing suspected malware
Corrigan-Gibbs et al. Flashpatch: spreading software updates over flash drives in under-connected regions
US10169584B1 (en) Systems and methods for identifying non-malicious files on computing devices within organizations
WO2021135257A1 (en) Vulnerability processing method and related device
US10181039B1 (en) Systems and methods for providing computing security by classifying organizations

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140206

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140206

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20140908

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140911

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140924

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150303