信息处理装置及非法活动判定方法

摘要

本发明以降低恶意软件感染的误检测或漏过为目的，提供一种信息处理装置及非法活动判定方法。信息处理装置(2)中包括：比较单元(251)，其将连接到网络的终端的通信与预先保持的模式进行比较；确定单元(254)，其按照比较的结果，确定评价值和非法活动的阶段，该评价值表示被推测为终端进行非法活动的程度；保持单元(255)，其针对每个终端，保持评价值的各个阶段的最大值；和判定单元(257)，其基于评价值的各个阶段的最大值，判定终端是否进行非法活动。

说明书

技术领域

本发明涉及一种管理连接到网络的终端的技术。

背景技术

一直以来，作为分析通信量的方法，提出了对网络上的主机间的流量分配告警指标值， 在累积的告警指标值超过阈值的情况下，发出警报的方法(参见专利文献1及2)。

现有技术文献

专利文献

专利文献1:美国专利第7475426号说明书

专利文献2:美国专利第7185368号说明书

发明内容

发明所要解决的技术问题

一直以来，作为用于对恶意软件感染进行检测的技术，有在累积指标值且累积值超过 阈值的情况下，判定为感染了恶意软件的方法。但是，利用这种方法而不定期清除指标值 的话，即使由于微小值的累积，也有可能导致累积值超过阈值，从而将正常的终端误检测 为感染了恶意软件。又，在定期清除指标值的情况下，也有可能由于清除的时机而漏过恶 意软件。

鉴于上述问题，本公开将降低恶意软件感染的误检测或漏检的可能性作为技术问题。

解决技术问题的手段

本公开的一个实例是信息处理装置，包括：比较单元，其将连接到网络的终端的通信 与预先保持的模式进行比较；确定单元，其按照所述比较的结果，确定评价值和非法活动 的阶段，所述评价值表示被推测为所述终端进行非法活动的程度；保持单元，其针对每个 所述终端，保持所述评价值的每个所述阶段的最大值；和判定单元，其基于所述评价值的 每个所述阶段的最大值，判定所述终端是否进行非法活动。

本公开可以被理解为信息处理装置、系统、由电子计算机执行的方法。

发明效果

根据本公开，可以降低恶意软件感染的误检测或漏检。

附图说明

图1是示出实施方式所涉及到的系统的构成的概略图。

图2是示出实施方式所涉及到的网络监视装置及管理服务器的硬件构成的图。

图3是示出实施方式所涉及到的网络监视装置的功能构成概略的图。

图4是示出由实施方式的恶意软件行为检测引擎使用的恶意软件的活动转换模型的 图。

图5是示出实施方式所涉及到的每个数据包的检测处理的流程概要的流程图。

图6是示出实施方式所涉及到的基于恶意软件行为检测引擎的检测处理的流程的流程 图(A)。

图7是示出实施方式所涉及到的基于恶意软件行为检测引擎的检测处理的流程的流程 图(B)。

图8是示出实施方式所涉及到的基于恶意软件行为检测引擎的检测处理的流程的流程 图(C)。

图9是示出在实施方式中的第一相关性分析中作为监视对象的活动转换模型上的阶段 及其转换的图。

图10是示出在实施方式中的第二相关性分析中作为监视对象的、向探索、感染阶段 转换的图。

图11示出在实施方式中的第二相关性分析中作为监视对象的、向执行文件的下载阶段 转换的图。

图12示出在实施方式中的第二相关性分析中作为监视对象的、向C&C检索阶段转换 的图。

图13示出在实施方式中的第二相关性分析中作为监视对象的、向C&C通信阶段转换 的图。

图14示出在实施方式中的第二相关性分析中作为监视对象的、向攻击阶段转换的图。

图15是示出实施方式中的系统构成的变化的概略图。

具体实施方式

下面，基于附图，对公开所涉及到的信息处理装置及方法的实施方式进行说明。但是， 以下说明的实施方式为举例说明实施方式，并非将本公开所涉及到的信息处理装置及方法 限定于以下说明的具体构成。在实施时，适当采用与实施方式相应的具体构成，也可进行 各种改良、变形。

本实施方式中，对用于在网络上发现进行非法活动的终端并进行通信阻断或警报通知 等应对的系统中实施本公开所涉及到的信息处理装置及方法的情况下的实施方式进行说 明。但是，本公开所涉及到的信息处理装置及方法可广泛应用到用于检测网络上的非法活 动的技术中，本公开的应用对象并不限定于本实施方式中示出的示例。

＜系统构成＞

图1是示出本实施方式所涉及到的系统1的构成的概略图。本实施方式所涉及到的系 统1包括连接多个信息处理终端90(下面，称为“节点90”)的网络分段2、用于监视节点 90所涉及到的通信的网络监视装置20。进一步地，将管理服务器50通过路由器10，能进 行通信地连接到网络分段2。本实施方式中，通过将网络监视装置20连接到开关或路由器 (图1所示的示例中为路由器)的监视端口(镜像端口)，取得通过节点90收发的数据包 或数据帧。在这种情况下，网络监视装置20以不转送取得的数据包的被动方式进行动作。

管理服务器50从网络监视装置20收集信息并管理网络监视装置20。此外，在外部网 络中，可以进一步地设置检疫服务器并对连接到网络分段2的节点90提供检疫服务，也 可进一步地设置业务服务器并对节点90提供用于业务的服务(省略图示)。

本实施方式所涉及到的系统1中，虽然由节点90连接的各种服务器是通过因特网或 广域网在远程地点被连接的服务器，例如由ASP(Application Service Provider)提供的， 但上述服务器并不一定要在远程地点被连接。例如，这些服务器也可以被连接到存在节点 90或网络监视装置20的本地网络上。

图2是示出本实施方式所涉及到的网络监视装置20及管理服务器50的硬件构成的图。 此外，在图2中，对于网络监视装置20及管理服务器50以外的构成(路由器10、节点 90等)省略图示。网络监视装置20及管理服务器50是分别包括CPU(Central Processing  Unit)11a、11b、RAM(Random Access Memory)13a、13b、ROM(Read Only Memory) 12a、12b、EEPROM(Electrically Erasable Programmable Read Only Memory)或HDD(Hard  Disk Drive)等存储装置14a、14b、NIC(Network Interface Card)15a、15b等通信组件等 的计算机。

图3是示出本实施方式所涉及到的网络监视装置20的功能构成概略的图。此外，在 图3中，对于网络监视装置20以外的构成(路由器10、节点90及管理服务器50等)省 略图示。通过记录于存储装置14a的程序在RAM13a被读出并被CPU11a执行，网络监视 装置20作为包括通信取得部21、通信阻断部22、应用程序检测引擎23、协议异常检测引 擎24及恶意软件行为检测引擎25的信息处理装置而发挥作用。又，恶意软件行为检测引 擎25包含比较部251、评价值取得部252、校正部253、确定部254、保持部255、合计部 256及判定部257。又，本实施方式中，网络监视装置20具备的各种功能虽然被作为通用 处理器的CPU11a执行，但上述功能的一部分或全部也可被一个或多个专用处理器执行。 又，也可以利用云技术等，由设置在远隔地点的装置或分散设置的多个装置来执行上述功 能的一部分或全部。

通信取得部21取得通过连接到网络的终端来进行收发的通信。此外，在本实施方式 中，在成为基于网络监视装置20的监视及检测的对象的“终端”，除了网络分段2连接的 节点90以外，包含有通过节点90和路由器10来进行通信的其他装置(属于其他网络的 节点或外部服务器等)。

根据应用程序检测引擎23、协议异常检测引擎24或恶意软件行为检测引擎25，在通 信阻断部22判定为终端在进行非法活动的情况下，阻断基于该终端的通信。此外，本实 施方式中，对于采用终端被判定为在进行非法活动的情况下阻断该终端的通信的应对的示 例进行了说明，但终端被判定为在进行非法活动的情况下的应对方法并不被限定为通信阻 断。网络监视装置20在终端被判定为进行非法活动的情况下，可以进行警报(警告)通 知，也可以对进行非法活动的终端实施治愈(例如，恶意软件去除或脆弱性去除)。

应用程序检测引擎23是对恶意软件所利用的、业务上不需要的应用程序在网络上所 进行的通信进行检测的引擎，例如，通过对基于已知的RAT(Remote Access Trojan)、P2P (Peer to Peer)应用程序，Tor(The Onion Router)、UltraSurf(Proxy工具)及匿名代理等 的通信进行检测，检测出业务上不需要的应用程序在节点90进行的动作。

协议异常检测引擎24是检测网络上的不遵循协议的通信的引擎，例如，包含HTTP 异常检测引擎、SSL/TLS异常检测引擎及DNS异常检测引擎等。协议异常检测引擎24通 过检测不遵循上述协议的通信，检测出在网络上进行不遵守协议的通信的节点90。

恶意软件行为检测引擎25是针对被恶意软件活动转换模型定义的、恶意软件的每个 非法活动阶段，评价网络上的通信与“恶意软件特有的通信模式”的共通性，通过监视恶意 软件活动阶段的转换状况来分析恶意软件的行为(举动)，检测节点90中的恶意软件感染 的引擎。

图4是示出根据本实施方式的恶意软件行为检测引擎25而被使用的恶意软件活动转 换模型的图。此外，本实施方式中所示的恶意软件活动转换模型中定义了阶段P1到阶段 P7，但这是本实施方式中使用的一个示例，根据实施方式也可以适当变更恶意软件活动转 换模型。下面，对本实施方式所涉及到的恶意软件活动转换模型中的各阶段进行说明。

阶段P1是侵入阶段，即以目标型攻击邮件的附件、邮件的URL的点击、Web站点(主 要是SNS站点)上的URL的点击等为契机，投入利用OS或应用程序的脆弱性而感染的 恶性代码的阶段。在蠕虫等自主型恶意软件侵入的情况下，阶段P1之后的转移目的地是 阶段P2、阶段P3或阶段P7，在BOT系恶意软件的情况下，阶段P1之后的转移目的地是 阶段P2或阶段P3。

阶段P2是探索、感染阶段(扩散阶段)，即具有脆弱性的感染终端的探索阶段，以及 对脆弱的目标送入攻击代码来使其感染或从其他终端送入的攻击代码来使其被感染。探 索、感染阶段中，通过已经感染的终端将攻击代码送入目标终端，被送入攻击代码的终端 感染上恶意软件。例如，利用Windows(注册商标)OS的MS-RPC或文件共享的脆弱性 来进行扩散活动。在BOT系的恶意软件的情况下，基于由攻击者(首脑(日语：ハーダ ー))发行的、经由了C&C(Command and Control)服务器的指令(阶段P5)来执行感染 活动(恶意软件的扩散活动)。在蠕虫等自主型恶意软件的情况下，阶段P2之后的转移目 的地是阶段P3或阶段P7，在BOT系恶意软件的情况下，阶段P2之后的转移目的地是阶 段P3。探索、感染阶段具有两个方面。一个是感染原终端执行感染活动的阶段。另一个是 作为被害者(感染目标)终端，攻击代码被送入使其被感染的阶段。

阶段P3是执行文件的下载阶段，即攻击代码被送入之后，从恶意软件的发布点或已 经感染的终端下载恶意软件本体并活性化，或者以回避反病毒产品的恶意软件检测或追加 新功能等的目的，按照来自于攻击者的指令(C&C服务器经由)从指定的站点下载新的恶 意软件的阶段。恶意软件本体的下载主要使用HTTP协议、FTP协议、TFTP协议。又， 也有使用恶意软件独立的协议的情况。在BOT等远距离操纵类型的恶意软件的情况下， 阶段P3之后的转移目的地是阶段P4或阶段P5，在蠕虫等自主型恶意软件的情况下，阶段 P3之后的转移目的地通常是阶段P2或阶段P7。

阶段P4是C&C检索阶段，即检索用于接受来自于攻击者的指令的C&C服务器的阶 段。转换到该阶段的恶意软件主要是BOT等远距离操纵类型的恶意软件。恶意软件中通 常编入多个C&C服务器的FQDN，使用DNS询问进行地址解决。在P2P类型的BOT网 络的情况下，使用P2P协议(通用或独立协议)检索C&C节点。IP地址被硬件编码的类 型的恶意软件在该阶段不活动。阶段P4之后的转移目的地是阶段P5。

阶段P5是C&C通信(包含的、互联网连接确认)阶段，即为了进行来自于攻击者的 指令的接收与指令执行结果的报告(应答)等，连接到C&C服务器进行数据收发的阶段。 连接到C&C服务前之前，存在进行互联网连接确认的恶意软件。在与C&C服务器的连接 中，使用阶段P4中地址解决成功了的IP地址中的任一个或恶意软件中被硬件编码了的IP 地址中的任一个。通过经由C&C服务器将执行结果通知攻击者。在没有来自于攻击者的 指令的情况下，恶意软件的活动转移到阶段P6。另一方面，在恶意软件连接C&C服务器 失败的情况下用别的IP地址再度尝试连接，那样也失败的情况下，回到阶段P4检索别的 C&C服务器或停止自身活动。此外，直到连接成功不停地反复再连接的恶意软件的存在也 被报告。又，在C&C通信路径中发生异常而不能恢复的情况下，恶意软件的活动转移到 阶段P4。进一步地，也存在一定期间中进行变更C&C服务器的动作的恶意软件，在这种 情况下，恶意软件的活动转移到阶段P4。

阶段P6是C&C休止(闲置状态)阶段，即等候来自于攻击者的指令的阶段。恶意软 件定期访问C&C服务器，维持通信路径并等候来自于攻击者的指令。一旦恶意软件接收 来自于攻击者的指令，恶意软件的活动就转移到阶段P5。又，也存在进行变更一定期间中 C&C服务器的动作的恶意软件，在这种情况下，恶意软件的活动也转移到阶段P4。

阶段P7是攻击活动阶段，即按照来自于攻击者的指令(BOT系)或恶意软件自身中 编入的攻击代码(蠕虫系)进行攻击活动的阶段。为了找出攻击目标，也存在进行与阶段 P1相当的活动。攻击活动中包含DoS攻击、垃圾邮件攻击、Web攻击(Web窜改)、跳板 (日语：踏み台)等。

恶意软件行为检测引擎25通过设有比较部251、评价值取得部252、校正部253、确 定部254、保持部255、合计部256及判定部257，监视如上述那样被定义的恶意软件的活 动阶段的转换状况，检测节点90中的恶意软件感染。下面，对恶意软件行为检测引擎25 设有的各功能部进行说明。

比较部251将通信取得部21所新取得的通信(本实施方式中为新取得并成为处理对 象的数据包。下面称为“输入数据包”)与预先保持的通信模式进行比较。通信模式中，作 为恶意软件各种活动结果显现的特异的通信模式被预先定义。本实施方式中，针对恶意软 件活动转换模型的各个阶段，多个通信模式被预先定义，并由网络监视装置20或管理服 务器保持，阶段Pn(这里，n是从1到7的整数)的通信模式像“Pn-m”(这里，m是1以 上的数值)那样被表示。但是，也存在不依存于任一阶段(换言之，能够在多个不同的阶 段中出现)的通信模式。本实施方式中，不依存于从阶段P1到阶段P7的任一阶段的通信 模式用“P0-m”被表示。

作为比较部251的比较的结果，对于与输入数据包一致或近似(下面，仅称为“对应的”) 的通信模式，评价值取得部252取得预先设定的等级(评价值)作为输入数据包的等级。 等级(Gr)是被分配到各个通信模式的示出“推测为终端在进行非法活动(恶意软件的活 动)的程度”的值。本实施方式中，等级(Gr)被设定为0≦Gr＜1.0的范围的值(小数点 以下1位)。等级(Gr)＝0表示恶意软件的活动的结果产生的通信模式的可能性极低，越 接近1的等级表示恶意软件的活动的结果产生的通信模式的可能性越高。基于作为正当的 应用程序的通信模式而出现的频率，针对每个通信模式，预先确定等级(Gr)。即，对作 为正当的应用程序的通信而出现的可能性较低的通信分配更高的等级，对作为正当的应用 程序的通信而出现的可能性较高的通信分配更低的等级。本实施方式中，对于通信模式 Pn-m被预先设定的等级是“Gr(Pn-m)”，对进行与通信模式Pn-m符合的通信的终端(h) 分配的等级用“Gr(h，Pn-m)”来表示。

此外，即使是同一通信模式，基于条件，也能够被分配不同的等级(Gr)。例如，在 通信模式附带设定有两个条件“A：目的地与C&C服务器不一致”、“B：目的地与C&C 服务器的一个一致”的情况下，如下进行条件判定，根据目的地是否与已注册的C&C服务 器一致，分配不同的等级。

IF (Pn-m＝TRUE) AND (A) THEN Gr(Pn-m)＝0.1，ACTION＝记录于C&C服 务器候选列表

IF (Pn-m＝TRUE) AND (B) THEN Gr(Pn-m)＝0.6，ACTION＝No

进一步地，在本实施方式中，评价值取得部252按照相关分析结果，取得等级，该相 关分析结果是对输入数据包和通过输入数据包所涉及的终端在输入数据包之前或之后发 送或接收的其他数据包(下面，称为“先行数据包”、“后续数据包”)的相关性进行分析的 结果。更具体地来说，在本实施方式中，评价值取得部252判定通过通信取得部21针对 通信(输入数据包)所取得的阶段与针对通过该通信所涉及的终端在该通信之前或之后进 行的其他通信(先行数据包或后续数据包)所取得的阶段之间是否具有连续性，在判定为 具有连续性的情况下，取得等级。

校正部253按照输入数据包与先行数据包或后续数据包的相关分析结果，校正通过评 价值取得部252取得的等级。更具体地来说，在本实施方式中，判定在针对通过通信取得 部21取得的通信(输入数据包)所取得的阶段与针对通过该通信所涉及的终端在该通信 的前或后进行的其他通信(先行数据包或后续数据包)所取得的阶段之间是否存在连续性， 在判定为具有连续性的情况下，补正部253将通过评价值取得部252取得的等级校正为比 没有被判定为具有连续性的情况的更大。

换句话说，在本实施方式中，通过评价值取得部252及校正部253进行新取得的通信 (输入数据包)与基于该通信所涉及的终端的过去或未来的通信(先行数据包或后续数据 包)的相关分析，当在输入数据包与先行数据包或后续数据包之间，当认可“更加提高被推 定为恶意软件活动的程度的连续性”的情况下，进行对过去或未来的通信(先行数据包或后 续数据包)的等级的取得，或进行对新取得的通信(输入数据包)的等级的校正。

对于输入数据包，确定部254确定该终端所涉及的阶段及等级。比较部251比较后， 确定部254将对于与输入数据包对应的通信模式Pn-m而被预先设定的阶段Pn确定为该终 端所涉及的阶段。又，虽然也有确定部254将通过评价值取得部252取得的等级Gr(Pn-m) 照原样确定为输入数据包的等级的情况，但在通过校正部253校正等级的情况下，校正值 被确定为输入数据包的等级。

保持部255针对每个终端保持确定的等级的各个阶段的最大值。本实施方式中，保持 部255针对恶意软件活动转换模型的各个阶段Pn，将对于该阶段Pn检测出的通信模式 Pn-m的等级Gr(Pn-m)的最大值作为阶段Pn的等级来保持，并用“PGr(Pn)”来表示。 终端(h)的阶段Pn的等级用“PGr(h，Pn)”被表示，并用下式取得。

PGr (h，Pn)＝max{Gr (Pn-m) |Pn-m∈h}

在本实施方式中，保持部255针对每个终端，利用保持各个阶段的等级最大值的管理 表格，对每个终端、各个阶段的等级进行管理(省略图示)。等级管理表格中，针对网络 监视装置20掌握的每个终端(h)，保持各阶段Pn的等级PGr(h，Pn)。如前所述，各阶 段Pn的等级PGr(h，Pn)是对于该阶段Pn检测出的通信模式Pn-m的等级Gr(Pn-m) 的最大值。因此，对于任一个阶段，等级被新确定的话，将新确定的等级与等级管理表格 中保持的等级PGr(h，Pn)进行比较，更新为最大值。此外，对于每个通信模式Pn-m的 等级Gr(Pn-m)的最大值Gr(h，Pn-m)，也被保持在存储装置14a中。

合计部256针对每个终端，取得从阶段P1到阶段P7的各个阶段的等级的最大值PGr (h，Pn)，并合计上述最大值。

判定部257基于成为处理对象的终端(h)的、各个阶段的等级的最大值PGr(h，Pn)， 判定终端是否进行非法活动。在本实施方式中，判定部257基于通过合计部256得到的合 计值，判定终端是否进行非法活动。更具体地来说，判定部257通过对合计值进行规定的 加权，计算出“显示恶意软件进行活动的可能性的大小的值”(下面，称为“恶意软件活动可 能性”)，在该值超过规定的阈值的情况下，判定该终端在进行非法活动。终端(h)的恶意 软件活动可能性显示终端(h)感染恶意软件的可能性的程度，用“IR(h)”来表示。终端 (h)的恶意软件活动可能性的取0(没有感染)～100(感染的可能性大)的值。即，在 本实施方式中，终端(h)的恶意软件活动可能性如下地被定义。这里，ψ表示恶意软件活 动系数。

【数1】

一般来说，因为可以判断在活动转换模型的大量(连续的)阶段上检测出通信模式的 终端，比在更少的阶段上检测出通信模式的终端，感染恶意软件的可能性较高，所以导入 恶意软件活动系数ψ(本实施方式中，作为具体的值0.5被设定)。每当与终端(h)关联 的通信模式对应的通信模式被检测出，就计算并更新上述的恶意软件活动可能性IR(h)。

本实施方式中，将恶意软件活动可能性为0～49的终端定义为“干净终端”，将恶意软 件活动可能性为50～89的终端定义为“灰色终端”，将恶意软件活动可能性为90～100的终 端定义为“黑色终端”终端。针对每个终端，恶意软件活动可能性及“干净”、“灰色”、“黑色” 被表示在管理者终端的管理屏幕(设备一览画面)上作为实时报告信息。又，针对每个终 端，被检测出的“通信模式”的概要和检测次数的列表被表示作为详细信息。此外，“干净”、 “灰色”、“黑色”的恶意软件活动可能性的阈值也可以被管理者设定。

＜处理流程＞

然后，利用流程图来对本实施方式所涉及到的系统1所执行的处理的流程进行说明。 此外，下面说明的流程图所示的处理的具体内容及处理顺序是用于实施本发明的一个例 子。也可以根据本发明的实施方式适当选择具体的处理内容及处理顺序。

网络监视装置20连接新的网络的话，在开始后述的各数据包d检测处理之前，作为 准备处理，执行网络构成的解析/学习处理。具体来说，网络监视装置20连接新的网络的 话，取得规定时间数据包，通过解析取得的数据包，对成为监视对象的网络构成进行解析， 学习在恶意软件检测中必要的信息(设备一览(设备类型、OS种类、MAC/IP地址等))、 监视对象网络的地址体系、DNS服务器信息、邮件服务器信息、代理(HTTP/SOCKS)信 息、Active Directory信息等)并将其保存于存储装置14a等。

此外，网络构成的解析/学习处理在后述的检测处理开始之后也由网络监视装置继续执 行。即，网络监视装置20将解析取得的数据包而得到的信息与通过以前的解析/学习处理 被学习并被保持于网络监视装置20的存储装置14a的信息进行对照核查，对照核查的结果， 在新得到的信息与保持的信息不同的情况下，网络监视装置20判断出网络分段2中的构 成被变更了，并使用新得到的信息来更新网络监视装置20的存储装置14a中保持的信息。

图5是示出本实施方式所涉及到的每个数据包的检测处理的流程概要的流程图。通过 网络监视装置20，在网络上流通的数据包被取得时执行本实施方式所涉及到的检测处理。

步骤S001中，数据包解析的前处理被执行。一旦通过通信取得部21新取得通信(输 入数据包)，网络监视装置20就进行输入数据包的整形、分类及与有效的已有流程的关联。 又，网络监视装置20将输入数据包分类为终端单位(发送源/目的地地址(MAC地址)单 位)、协议(TCP/UDP、ICMP、DNS、HTTP、HTTPS、IRC、FTP、TFTP、SOCKS、NetBIOS 等)单位并进行与已有流程的关联。之后，处理进入步骤S002。

从步骤S002到步骤S005中，进行基于应用程序检测引擎23及协议异常检测引擎24 的处理。本实施方式所涉及到的网络监视装置20利用上述三种检测引擎(检测程序)检 测连接到网络的终端的非法通信，在本实施方式中，网络监视装置20一旦取得数据包， 就在进行了基于应用程序检测引擎23及协议异常检测引擎24的检测之后，进行基于恶意 软件行为检查引擎25的检测。即，在本实施方式中，恶意软件行为检测引擎25基于没有 被其他的检测手段(应用程序检查引擎23及协议异常检测引擎24)检测为非法通信的通 信，判定节点90是否进行非法活动。通过这样做，根据本实施方式，能够减少被恶意软 件行为检测引擎25处理的数据包的数量，并减少由于行为检查引擎的动作而产生的负荷。 但是，恶意软件行为检测引擎25既可单独地进行动作，也可与其他的检测引擎组合进行 动作。又，数据包被取得时的检测引擎的处理顺序并不被限定为本实施方式所示的示例。

在不需要的应用程序被应用程序检测引擎23检测到的情况下或在协议异常被协议异 常检测引擎24检测到的情况下，处理进入步骤S012，进行阻断或发出警告。另一方面， 在没有检测到不需要的应用程序或协议异常的情况下，处理进入步骤S006。此外，本流程 图中，从步骤S006到步骤S011的处理与恶意软件行为检查引擎25的处理相当。

步骤S006中，进行通信模式的判定处理。比较部251通过将输入数据包与预先定义 的通信模式(Pn-m)进行比较，判定输入数据包与预先定义的通信模式(Pn-m)的共通性。 这里，在判定为与通信模式(Pn-m)具有共通性的情况下，输入数据包所涉及到的终端(h) 的活动转换模型上的阶段确定为阶段Pn(h)。又，判定后，评价值取得部252将判定为一 致或近似(对应)的通信模式的等级Gr(Pn-m)与终端(h)关联，并作为输入数据包的 等级Gr(h，Pn-m)而取得。进一步地，网络监视装置20基于检测出的通信模式，将对象 通信的发送源终端或目的地终端注册为“恶意软件发布服务器候选列表”、或“C&C服务器 候选列表”。这里，考虑到数据包丢失，将所有的阶段的通信模式作为对象来进行判定及评 价。此外，为了与已知的已判定流程关联，对于追加的判定处理不需要的输入数据包不进 行判定，仅进行统计信息的更新。其后，处理进入步骤S007。

步骤S007中，进行第一相关性分析。评价值取得部252拾取步骤S006中不能检测出 的C&C通信。在转换到探索、感染阶段P2、执行文件的下载阶段P3、攻击活动阶段P7 时，评价值取得部252拾取成为该作为触发的通信，网络监视装置20将对象通信的发送 源终端或目的地终端登记到C&C服务器候选列表。此外，对于第一相关性分析的处理内 容，将参照图6到图8及图9在后面进行叙述。其后，处理进入步骤S008。

步骤S008中进行第二相关性分析。校正部253分析步骤S006中被判定的终端(h) 的活动阶段Pn(h)与紧接在其之前活动的阶段的连续性即与其他的(感染)终端的举动 的相关性。分析之后，当发现是恶意软件的动作的可能性较高的通信模式时，校正部253 使用下式来校正步骤S006中判定的终端(h)的通信模式(Pn-m)的等级Gr(h，Pn-m)， 并分配更高的等级。

Gr(h，Pn-m)＝θ·Gr(h，Pn-m)

但，恶意软件举动类似系数θ的范围为1.0到2.0。这里，1.0意味着“没有类似性”。 此外，对于第二相关性分析的处理内容及恶意软件举动类似系数θ，将参照图6到图8及 图10到图14，在后面进行叙述。其后，处理进入步骤S009。

步骤S009中，活动阶段的等级(PGr)被确定。确定部254基于步骤S006到步骤S008 的处理结果，根据对应的终端h的通信模式的等级Gr(h，Pn-m)，确定阶段Pn的等级PGr (h，Pn)i。此外，这里PGr(h，Pn)i-1表示到上次为止的阶段Pn的等级。

PGr(h，Pn)i＝max{PGr(h，Pn)i-1，Gr(h，Pn-m)}

其后，处理进入步骤S010。

步骤S010中，恶意软件活动可能性(IR(h))被计算出。合计部256及判定部257 计算出终端h的恶意软件活动可能性IR(h)。关于具体的计算方法，如之前在合计部256 及判定部257的说明中所叙述的。其后，处理进入步骤S011。

步骤S011及步骤S012中，恶意软件活动可能性IR(h)在规定的阈值以上的情况下， 进行阻断该终端或发出管理者警报等的应对。判定部257判定步骤S010中计算出的终端 的恶意软件活动可能性是否在表示“黑色”的规定的阈值以上(步骤S011)。然后，在恶意 软件活动可能性为“黑色”的情况下，通信阻断部22进行阻断该终端的通信的、或向管理者 发出警报等的应对(步骤S012)。又，在恶意软件活动可能性为“灰色”的情况下，网络监 视装置20也可以向管理者发出警报。在恶意软件活动可能性为“干净”的情况下，不进行阻 断或发出警报等的应对。其后，本流程图所示的处理结束。

图6到图8示出本实施方式所涉及到的、基于恶意软件行为检查引擎25的检测处理 的流程的流程图。本流程图对使用图5来进行说明的检测处理的步骤S006到步骤S012的 处理进行更加详细地说明。更具体地来说，步骤S101到步骤S103对图5的步骤S006中 说明的通信模式判定处理进行更详细地说明，步骤S104到步骤S110对步骤S007中说明 的第一相关性分析处理进行更详细地说明，步骤S111到步骤S116对步骤S008中说明的 第二相关性分析处理进行更详细地说明，步骤S117到步骤S120对步骤S009中说明的活 动阶段的等级确定处理进行更详细地说明。又，步骤S121与图5的步骤S010相当，步骤 S122及步骤S123与步骤S011及步骤S012相当。

步骤S101及步骤S102中，判定取得的数据包(输入数据包)是否符合预先定义的通 信模式的任一个。比较部251通过将输入数据包与预先保持的通信模式进行比较，判定输 入数据包与预先定义的通信模式(Pn-m)的共通性。作为判定的结果，在判定为与任一通 信模式都不符合的情况下，结束该数据包所涉及的处理，并结束本流程图中所示的处理。 另一方面，在判断为与某一通信模式符合的情况下，处理进入步骤S103。

步骤S103中，关于输入数据包所涉及的终端，对检测出判定为符合的通信模式(Pn-m) 的情况进行记录。又，评价值取得部252将与输入数据包对应的通信模式(Pn-m)所属的 阶段Pn及对于通信模式(Pn-m)被预先设定的等级Gr(Pn-m)作为输入数据包所涉及的 终端(h)的阶段Pn(h)及该阶段的等级Gr(h，Pn-m)来取得。其后，处理进入步骤 S104。

步骤S104及步骤S105中，在与输入数据包对应的通信模式中设定有必须条件的情况 下，判定是否在过去取得与必须条件对应的通信。在没有设定必须条件的情况下，处理进 入步骤S107。这里，必须条件是指，用于判定是否可以将对于判定为在步骤S101中与输 入数据包对应的通信模式(Pn-m)被预先设定的等级Gr(Pn-m)作为该输入数据包所涉 及的终端(h)的阶段Pn(h)的等级Gr(h，Pn-m)来确定的条件。例如，“P5-4：将HTTP 标准端口(80)作为目的地端口的HTTP通信(代理/非代理)”的通信模式是HTTP的一 般性的通信，对于该通信模式，“P0-1～P0-15”中被定义的“HTTP恶意通信模式”中的任一 个被检测出是必须条件。因此，在满足了上述的必须条件的情况下，对于该输入数据包通 信模式P5-4的等级Gr(h，P5-4)被确定，在没有满足必须条件的情况下，对于该输入数 据包通信模式P5-4的等级Gr(h，P5-4)没有被确定。

即，评价值取得部252通过判定在过去取得的通信是否满足必须条件，判定在针对输 入数据包所取得的阶段与针对通过该通信所涉及的终端在该通信之前进行的其他通信(先 行数据包)所取得的阶段之间是否具有连续性。在判定为没有满足必须条件的情况下，处 理进入步骤S106，该输入数据包的等级被设定为0(零)。另一方面，在判定为满足必须 条件的情况下，处理进入步骤S107。

步骤S107中，等级被分配到输入数据包所涉及的终端的阶段中。评价值取得部252 对于输入数据包，取得被判定为符合的通信模式Pn-m中被预先定义的等级Gr(Pn-m)， 并作为终端(h)的阶段Pn(h)的等级Gr(h，Pn-m)。其后，处理进入步骤S108。

步骤S108中，对输入数据包是否与在过去检测出的通信模式的必须条件符合进行判 定。换句话说，在步骤S108中，从在过去取得的通信(先行数据包)来看，在相当于未 来的现在时刻，对是否检测出与必须条件符合的通信(输入数据包)进行判定。评价值取 得部252对在过去是否检测出输入数据包的通信模式被设定为必须条件的通信模式进行判 定。作为判定的结果，判定为在过去没有检测出将输入数据包所涉及的通信模式作为必须 条件的通信模式的情况下，处理进入步骤S111。另一方面，作为判定的结果，判定为在过 去检测出将输入数据包所涉及的通信模式作为必须条件的通信模式的情况下，处理进入步 骤S110。

步骤S110中，对过去取得的通信(先行数据包)的阶段分配等级。评价值取得部252， 对于在过去检测出的通信，取得该通信模式(Pn-m)中被预先定义的等级Gr(Pn-m)并 分配。其后，处理进入步骤S111。

步骤S111及步骤S112中，在与输入数据包对应的通信模式中设定有等级校正条件的 情况下，对在过去是否取得与等级校正条件符合的通信进行判定。在设定有等级校正条件 的情况下，处理进入步骤S114。这里，等级校正条件是用于判定是否应该将对于判定为在 步骤S101中与输入数据包对应的通信模式(Pn-m)被预先设定的等级Gr(Pn-m)校正为 更大的值的条件。校正部253判定与等级校正条件符合的通信对于输入数据包所涉及的终 端在过去是否被检测出。在判定为没有满足等级校正条件的情况下，不进行等级的校正， 处理进入步骤S114。另一方面，在判定为满足必须条件的情况下，处理进入步骤S113。

步骤S113中，进行等级的校正。校正部253对于步骤S112中判定为满足的等级校正 条件，按照预先设定的校正值，对步骤S107中分配的等级Gr(h，Pn-m)进行校正。例 如，校正值为1.5的情况下，等级Gr(h，Pn-m)的值变为1.5倍。其后，处理进入步骤 S114。

步骤S114中，对输入数据包是否与在过去检测出的通信模式的等级校正条件符合进 行判定。换句话说，步骤S114中，从在过去取得的通信(先行数据包)来看，在相当于 未来的现在时刻，对与等级校正条件符合的通信(输入数据包)是否被检测出进行判定。 校正部253对在过去是否检测出输入数据包的通信模式被设定为等级校正条件的通信模式 进行判定。作为判定的结果，判定为在过去没有检测出将输入数据包所涉及的通信模式作 为等级校正条件的通信模式的情况下，处理进入步骤S117。另一方面，作为判定的结果， 判定为在过去检测出将输入数据包所涉及的通信模式作为等级校正条件的通信模式的情 况下，处理进入步骤S116。

步骤S116中，进行过去的通信(先行数据包)所涉及的等级的校正。校正部253对 被分配到在过去被检测出的通信模式所涉及的终端的等级，用对于该等级校正条件而被预 先定义的校正值来进行校正。例如，在校正值为1.5的情况下，等级变为1.5倍。其后， 处理进入步骤S117。

步骤S117到步骤S120中，进行各个阶段的最大等级的更新处理。首先，网络监视装 置20对于输入数据包所涉及的终端，从等级管理表格取得(步骤S117)针对各检测阶段 (P0到P7)保持的最大等级(对于进行校正的等级是校正后的值)并通过与步骤S101到 步骤S116的处理后由确定部254确定的等级进行比较，在各阶段中，判定最大等级是否 被更新(步骤S118)。这里，在判定为最大等级没有被更新的情况下，处理进入步骤S121。 另一方面，在在判定为最大等级被更新的情况下，保持部255用新分配的等级来对等级管 理表格中记录的最大等级进行更新并对其进行保持(步骤S120)。此外，在该过程中，证 迹日志被采集选取(步骤S119)。其后，处理进入步骤S121。

步骤S121中，计算出终端中的恶意软件活动可能性。合计部256对该终端h的各阶 段中求出的最大等级进行合算，判定部257通过对恶意软件活动系数进行乘算，计算出终 端h的恶意软件活动可能性IR(h)。详细的计算方法是在合计部256及判定部257的说明 中如前所述的那样。其后，处理进入步骤S122。

步骤S122及步骤S123中，对象90的、恶意软件感染的有无被判定。判定部257对 步骤S121中计算出的恶意软件活动可能性IR(h)是否超过规定的阈值进行判定(步骤 S122)。这里，在判定为恶意软件活动可能性IR(h)超过阈值的情况下，网络监视装置 20进行恶意软件感染被检测出时的规定的应对。作为恶意软件感染被检测出时的应对，例 如，例举有基于通信阻断部22的该节点90的通信阻断开始、或该节点90感染恶意软件 的警报(警告)的通知等。另一方面，在判定为恶意软件活动可能性IR(h)没有超过阈 值的情况下，不进行通信阻断或警告等的、恶意软件感染被检测出时的对应。其后，本流 程图所示的处理结束。

此外，网络监视装置20可以使用例如对于节点90进行基于ARP伪装的数据包发送目 的地的诱导的方法、或者指示路由器10并使节点90所涉及的通信毁弃的方法、或者变更 并隔离节点90所属的VLAN的方法等，对基于节点90的通信进行阻断。又，在网络监视 装置20被装载(内包)于路由器10中的情况下，也可以直接对节点90接收或发送的通 信进行阻断。又，网络监视装置20可以使用将通知数据包或邮件等发送到管理服务器或 节点90、预先设定的管理者终端等的方法、或者通过被设置于网络监视装置20自身的显 示装置(显示器或LED等)来进行警告显示的方法等，通知警报。

＜相关性分析的具体实例＞

下面，对相关性分析的具体实例进行说明。但是，相关性分析是根据伴随恶意软件活 动的阶段转换的观点来分析终端的多个通信是否具有相关性即可，其并不被限定为本实施 方式所示的示例。

(1)第一相关性分析

通信模式的判定处理(参见步骤S006)基于预先定义的“通信模式”。因此，仅在该处 理中，不能检测进行与通信模式不一致的通信的恶意软件。因而，本实施方式中，决定为 进行第一相关性分析(参见步骤S007)。

图9是示出在本实施方式中的第一相关性分析中作为监视对象的活动转换模型上的阶 段及其转换的图。一般来说，恶意软件按照来自于C&C服务器的指令，转换到探索、感 染阶段P2、执行文件的下载阶段P3或攻击活动阶段P7。又，接收来自于C&C服务器的 指令之后，转换到探索、感染阶段P2、执行文件的下载阶段P3、攻击活动阶段P7为止的 时间通常非常的短(1秒以内)。第一相关性分析中，利用该特性，在终端(h)转换到探 索、感染阶段P2、执行文件的下载阶段P3或攻击活动阶段P7时，暂时将成为触发的通信 当作C&C通信，并将该通信所涉及的终端注册到C&C服务器候选列表。注册到C&C服 务器候选列表后，对恶意软件的感染进行特定的处理遵从如上所示的恶意软件的检测方 法。

(1.1)准备(评价信息的收集)

第一相关性分析中，活动转换模型上的探索、感染阶段P2、执行文件的下载阶段P3 或攻击活动阶段P7中的活动被观测到(通信模式被检测出)时，分析成为该触发的通信， 在满足一定条件的情况下，将成为该触发的通信的发送源(从终端(h)来看的话是连接 目的地)作为C&C服务器候选注册到列表。下面，对第一相关性分析中利用的信息的收 集方法与记录内容进行说明。此外，每当对监视对象终端发送的数据包进行检测时执行下 面的处理。又，在通信模式的判定处理(参照步骤S006)结束后执行该准备(评价信息的 收集)处理。

(1.1.1)分析

分析数据包，在满足下面的条件的情况下进入(1.1.2)的等待数据包。在不满足条件 的情况下什么也不做，等待数据包。

·数据包是终端(h)发送的HTTP GET、POST、CONNECT请求中的任一个。并且

·GET请求不是文件的下载要求。并且

·User-Agent头部的值不以“Mozilla”开始，或者User-Agent头部不存在。

此外，上述的User-Agent的条件意味着仅将网络浏览器以外的应用程序发送的HTTP 请求作为评价对象。因为(伪装)网络浏览器通信在通信模式的判定处理中成为评价对象， 所以在第一相关性分析中仅非网络浏览器通行成为对象。然后，不满足上述条件的情况下， 下面的信息被记录在终端(h)的管理表格中。

·方法类别(GET、POST、PUT、CONNECT中的任一个)

·User-Agent头部的值(字符串)。User-Agent头部不存在的话是“NULL”

·Host头部的值(FQDN或IP地址)

(1.1.2)等候数据包

这里，后续的数据包被等候。一旦接收数据包，就进行下面的处理。

·数据包是满足(1.1.1)的条件的终端(h)发送的新的HTTP请求的情况下，处理 返回(1.1.1)的分析。此外，作为HTTP请求及其响应，虽然仅最新的数据的时间标识是 必要的，但是因为有可能发生数据包丢失，所以也可以在接收所有的HTTP响应时记录时 间标识，并在接收到后续的响应时进行覆写。

·数据包是终端(h)在(1.1.1)中发送的HTTP请求的响应且HTTP响应的主体部 分的大小为0的情况下，处理转移到(1.1.1)。这是因为在HTTP响应的主力部分的大小 为0的情况下，意味着不包含来自C&C服务器的指令信息。

·数据包是终端(h)在(1.1.1)中发送的HTTP请求的响应。并且在HTTP响应的 主体部分的大小不为0情况下，记录在下面示出的内容，处理转移到(1.1.3)。

·记录HTTP响应数据包的检测(接收)时刻(时间标识：毫秒)。以后，用“TimeStamp (C)”表示该时间标识。此外，在这里，虽然仅HTTP响应的最终数据的时间标识是必要 的，但因为有可能发生数据包丢失，所以在接收所有的HTTP响应时记录时间标识，并在 接收到后续的响应时进行覆写。

(1.1.3)判定

在这里，进行下面的判定及处理。

·在(1.1.2)中处理的数据包不是HTTP响应的最终数据的情况下，恶意软件行为引 擎25停留于(1.1.2)，等候后续的响应。

·在(1.1.2)中处理的数据包是HTTP响应的最终数据的情况下，恶意软件行为引擎 25移往(1.1.1)的分析，等候新的HTTP请求。

(1.2)向探索、感染阶段P2转换时的处理内容

恶意软件行为检测引擎25依次进行下面的处理，在满足条件的情况下，将“准备(评 价信息的收集)”中记录的数据包所涉及的终端注册到C&C服务器候选列表中。

·探索、感染阶段P2上的活动与认定(与“探索、感染阶段P2的通信模式”一致)并 且

·向探索、感染阶段P2转换的时刻(时间标识：TimeStamp(P2))与记录的TimeStamp (C)满足下面的条件。

TimeStamp(C)+500ms＞TimeStamp(P2)

恶意软件行为检测引擎25将等级(Gr)＝0.3赋予到满足上述条件的“准备(评价信息 的收集)”中记录的通信(输入数据包)中。与记录的C&C通信阶段的等级(PGr)进行 比较，将较大的值的等级作为C&C通信阶段的等级(PGr)进行重新记录。此外，在通信 模式的判定处理中，在检测出“探索、感染阶段P2的通信模式”时记录TimeStamp(P2)。 TimeStamp(P2)的计测对象仅是探索、感染阶段上的符合于“可疑的连接尝试”的通信模 式。又，通信模式的观测时刻作为检测出符合于“可疑的连接尝试”的通信模式的时刻。

(1.3)向执行文件的下载阶段P3转换时的处理内容

恶意软件行为检测引擎25依次进行下面的处理，在满足条件的情况下，将“准备(评 价信息的收集)”中记录的数据包所涉及的终端登记到C&C服务器候选列表。

·执行文件的下载阶段P3上的活动与认定(与“执行文件的下载阶段P3的通信模式” 一致)并且

·向执行文件的下载阶段P3转换的时刻(时间标识：TimeStamp(P3))与记录的 TimeStamp(C)满足下面的条件。

TimeStamp(C)+500ms＞TimeStamp(P3)

恶意软件行为检测引擎25将等级(Gr)＝0.3赋予到满足上述条件的“准备(评价信息 的收集)”中记录的通信中。与记录的C&C通信阶段的等级(PGr)进行比较，将较大的 值的等级作为C&C通信阶段的等级(PGr)进行重新记录。此外，在通信模式的判定处理 中，在检测出“执行文件的下载阶段P3的通信模式”时记录TimeStamp(P3)。TimeStamp (P3)不是HTTP GET请求、FTP下载、TFTP下载的开始时刻，而是作为文件的下载结 束的时刻(HTTP GET的情况是响应的最终数据包)。因为发生数据包丢失，所以也可以在 检测HTTP GET响应的各个数据包、FTP/TFTP的下载数据包时更新TimeStamp(P3)。

(1.4)向攻击阶段P7转换时的处理内容

恶意软件行为检测引擎25依次进行下面的处理，在满足条件的情况下，将“准备(评 价信息的收集)”中记录的数据包所涉及的终端注册到C&C服务器候选列表。

·攻击阶段P7上的活动与认定(与“攻击阶段P7的通信模式”一致)并且

·向攻击阶段P7转换的时刻(时间标识：TimeStamp(P7))与记录的TimeStamp(C) 满足下面的条件。

TimeStamp(C)+500ms＞TimeStamp(P7)

恶意软件行为检测引擎25将等级(Gr)＝0.3赋予到满足上述条件的“准备(评价信息 的收集)”中记录的通信中。与记录的C&C通信阶段的等级(PGr)进行比较，将较大的 值的等级作为C&C通信阶段的等级(PGr)进行重新记录。此外，在通信模式的判定处理 中，在检测出“攻击阶段P7的通信模式”时记录TimeStamp(P7)。TimeStamp(P3)不是(最 终从多个数据包)认定攻击活动的时刻，而是检测出攻击的通信模式的最初的数据包的时 刻。

(2)第二相关性分析

恶意软件转换恶意软件活动转换模型的阶段的同时使活动深化。因此，在刚转换之后 的阶段中的活动(通信)将前一个的阶段中的活动(通信)作为触发而发生的可能性较高 的情况下(换句话说，前后的阶段中具有相关性的情况)，可以判断为该终端感染恶意软 件的概率较高。虽然也考虑到根据包含于通信模式中的数据内容(例如，来自于C&C服 务器的指令内容)来判断该触发的方法，但是将数据部分加密化或难解化的恶意软件也很 多，实时地解析、判定较为困难。因此，本实施方式中，基于阶段的转换所需要的时间(检 测出通信模式Pr-s之后到检测出通信模式Pm-n的为止的时间)、通信目的地(回叫通信) 的终端(h)、恶意软件感染的可能性较高的多个终端的举动的相关性及一致性、处理的文 件的种类等的信息来进行相关性分析(参照步骤S008)。作为分析的结果，在判定为恶意 软件的举动的怀疑较高的通信的情况下，对与该通信对应的通信模式Pn-m的等级Gr (Pm-n)进行校正(恶意软件的举动类似系数θ倍)，并赋予更高的等级。

下面，对通信模式的相关性分析的分析内容进行说明。此外，阶段的转换顺序不一致 的情况下，或阶段的转换一致但过程中夹有其他的阶段的情况下，作为分析对象之外而不 进行相关性分析。又，恶意软件行为检测引擎25不将所有的阶段转换作为相关性分析的 对象。恶意软件行为检测引擎25将作为恶意软件的举动而观测到显著的相关性的以下的 阶段转换作为相关性分析的对象。图10到图14中，实线箭头表示分析对象，虚线箭头表 示非分析对象。

(2.1)向探索、感染阶段P2转换时的分析内容

图10是示出在本实施方式中的第二相关性分析中作为监视对象的、向探索、感染阶 段P2的转换的图。在“恶意软件的活动阶段判定”处理块中，在终端(h)向探索、感染阶 段P2转换时，恶意软件行为检测引擎25进行下面的分析，在符合的情况下，校正通信模 式的等级。

(2.1.1)从C&C通信阶段P5向探索、感染阶段P2转换

if {条件A＝TRUE} then {Gr(h，P2-m)＝θ·Gr(h，P2-m)} (θ＝1.2)

·条件A：在被注册到终端(h)的C&C服务器候选列表的C&C服务器中的任一个 处观测数据通信(从C&C服务器接收一些数据(指令))之后，在N(a)秒以内在终端 (h)观测了探索、感染阶段的通信模式P2-m。此外，在这里，从C&C服务器接收到数 据(指令)的时刻作为观测到下面的数据包的时刻。

·在C&C是HTTP类型的情况下，与HTTP GET/POST/PUT请求对应的、数据长度 (主体部分的大小)不为0的HTTP响应的(最终)数据的接收时刻

·在C&C为HTTPS(直接或CONNECT)或独立协议类型的情况下，在该TCP连接 上，与终端(h)发送的数据包对应的、数据长度不为0的(最终)TCP数据的接收时刻

·在C&C为IRC类型的情况下，来自C&C服务器数据长度不为0的IRC消息的最 终数据的接收时刻

这里，探索、感染阶段的通信模式P2-m仅将符合于“可疑的连接尝试”的通信模式作 为对象。又，通信模式的观测时刻作为检测出符合“可疑的连接尝试”的通信模式的时刻。

(2.2)向执行文件的下载阶段P3转换时的分析内容

图11是示出在本实施方式中的第二相关性分析中作为监视对象的、向执行文件的下载 阶段P3转换的图。在“恶意软件活动阶段判定”处理块中，在终端(h)转换到执行文件的 下载阶段P3时，恶意软件行为检测引擎25进行下面的分析，在符合的情况下，校正通信 模式的等级。

(2.2.1)从探索、感染阶段P2向执行文件的下载阶段P3转换

if {条件A＝TRUE} then {Gr(h，P3-m)＝θ·Gr(h，P3-m)} (θ＝1.5)

if {条件B＝TRUE} then {Gr(h，P3-m)＝θ·Gr(h，P3-m)} (θ＝1.2)

·条件A：在终端(h)观测执行文件的下载的通信模式P3-m，且P3-m的连接目的 地(目的地IP/FQDN)与感染源终端(k)一致。

·条件B：在终端(h)观测执行文件的下载的通信模式P3-m，，且P3-m的连接目的 地(目的地IP/FQDN)与被注册到恶意软件发布服务器候选列表的服务器中的某一个一致。

此外，因为存在不限定于感染恶意软件之后在一定时间内下载执行文件的情况(有10 秒后进行下载的情况，也有在3天后进行下载的情况)，所以在从阶段P2向阶段P3的转 换中，没有加入与时间相关的条件。

(2.2.2)从C&C通信阶段P5向执行文件的下载阶段P3转换

if {条件C＝TRUE} then {Gr(h，P3-m)＝θ·Gr(h，P3-m)} (θ＝1.2)

if {条件D＝TRUE} then {Gr(h，P3-m)＝θ·Gr(h，P3-m)} (θ＝1.5)

·条件C：在被注册到终端(h)的C&C服务器候选列表的C&C服务器中的任一个 处观测数据通信(从C&C服务器接收一些数据)之后，在N(b)秒之内在终端(h)观 测了执行文件的下载阶段的通信模式P3-m。

·条件D：条件C，且P3-m的连接目的地(目的地IP/FQDN)与被注册到恶意软件 发布服务器候选列表的服务器中的某一个一致。

此外，从C&C服务器接收到数据(指令)的时刻参照“(2.1)向探索、感染阶段P2 转换时的分析内容”。又，执行文件的下载阶段的通信模式P3-m的观测时刻不是HTTP GET 请求、FTP下载、TFTP下载的开始时刻，而是作为文件的下载结束的时刻(HTTP GET 的情况是响应的最终数据包)。因为发生数据包丢失，所以也可以在每次检测HTTP GET 响应的各个数据包、FTP/TFTP的下载数据包时更新时刻。

(2.3)向C&C检索阶段P4转换时的分析内容

图12是示出在本实施方式中的第二相关性分析中作为监视对象的、向C&C检索阶段P4 转换的图。在“恶意软件的活动阶段判定”处理块中，在终端(h)向C&C检索阶段P4转换 时，恶意软件行为检测引擎25进行下面的分析，在符合的情况下，校正通信模式的等级。

(2.3.1)从探索、感染阶段P2向C&C检索阶段P4转换

if {条件A＝TRUE} then {Gr(h，P4-m)＝θ·Gr(h，P4-m)} (θ＝1.2)

·条件A：在(被感染一侧的)终端(h)观测(通信模式P2-9或P2-10的连接目的 地终端一侧)感染活动之后，在N(c)秒以内在终端(h)观测了C&C检索阶段的通信 模式P4-m。

(2.3.2)从C&C通信阶段P5或C&C休止阶段P6向C&C检索阶段P4转换

if {条件B＝TRUE} then {Gr(h，P4-m)＝θ·Gr(h，P4-m)} (θ＝1.3)

·条件B：终端(h)从C&C通信阶段P5或C&C休止阶段P6以一定的周期(时间) 重复了向C&C检索阶段P4转换(检测出C&C检索阶段P4的通信模式P4-m)。

此外，本实施方式中，在过去3次的转换是大致相同的周期(时间)的情况下，判断 为以一定的周期重复了向C&C检索阶段P4的转换。

(2.4)向C&C通信阶段P5转换时的分析内容

图13是示出在本实施方式中的第二相关性分析中作为监视对象的、向C&C检索阶段 P5转换的图。在“恶意软件的活动阶段判定”处理块中，终端(h)向C&C通信阶段P5转 换时，恶意软件行为检测引擎25进行下面的分析，在符合的情况下，校正通信模式的等 级。

(2.4.1)从探索、感染阶段P2向C&C通信阶段P5转换

if {条件A＝TURE} then {Gr(h，P5-m)＝θ·Gr(h，P5-m)} (θ＝1.1)

if {条件B＝TURE} then {Gr(h，P5-m)＝θ·Gr(h，P5-m)} (θ＝1.2)

if {条件C＝TURE} then {Gr(h，P5-m)＝θ·Gr(h，P5-m)} (θ＝1.5)

·条件A：在终端(h)观测(通信模式P2-9或P2-10的感染目的地终端一侧)感染 活动之后，在N(d)秒以内在终端(h)观测了C&C通信阶段P5的通信模式P5-m。

·条件B：条件A，且P5-m的连接目的地(目的地IP/FQDN)与被注册到(任意的 监视对象终端的)C&C服务器候选列表的C&C服务器中的任一个一致。

·条件C：条件A，且P5-m的连接目的地(目的地IP/FQDN)与被注册到感染源终 端(k)的C&C服务器候选列表的C&C服务器中的任一个一致。

(2.4.2)从执行文件的下载阶段P3向C&C通信阶段P5转换

if {条件D＝TURE} then {Gr(h，P5-m)＝θ·Gr(h，P5-m)} (θ＝1.1)

if {条件E＝TURE} then {Gr(h，P5-m)＝θ·Gr(h，P5-m)} (θ＝1.2)

if {条件F＝TURE} then {Gr(h，P5-m)＝θ·Gr(h，P5-m)} (θ＝1.3)

·条件D：在终端(h)观测执行文件的下载的通信模式P3-m之后，在N(e)秒以 内在终端(h)观测了C&C通信阶段的通信模式P5-m。

·条件E：条件D，且P5-m的连接目的地(目的地IP/FQDN)与被注册到(任意的 监视对象终端的)C&C服务器候选列表的C&C服务器中的某一个一致。

·条件F：条件D，且P5-m的连接目的地(目的地IP/FQDN)与已经被注册到终端 (h)的C&C服务器候选列表的C&C服务器中的某一个一致。

(2.4.3)从C&C检索阶段P4向C&C通信阶段P5转换

if {条件G＝TURE} then {Gr(h，P5-m)＝θ·Gr(h，P5-m)} (θ＝1.2)

·条件G：在终端(h)观测C&C检索阶段的通信模式P4-m之后，在N(f)秒以内 在终端(h)观测C&C通信阶段的通信模式P5-m，且P5-m的连接目的地(目的地IP/FQDN) 与被注册到(任意的监视对象终端的)C&C服务器候选列表的C&C服务器中的某一个一 致。

(2.5)向攻击阶段P7转换时的分析内容

图14是示出在本实施方式中的第二相关性分析中作为监视对象的、向攻击阶段P7转 换的图。在“恶意软件的活动阶段判定”处理块中，在终端(h)向C&C通信阶段P5转换 时，恶意软件行为检测引擎25进行下面的分析，在符合的情况下，校正通信模式的等级。

(2.5.1)从执行文件的下载阶段P3向攻击阶段P7转换

if {条件A＝TRUE} then {Gr(h，P7-m)＝θ·Gr(h，P7-m)} (θ＝1.2)

·条件A：在终端(h)观测执行文件的下载的通信模式P3-m之后，在N(g)秒以 内在终端(h)观测了攻击阶段的通信模式P7-m。

(2.5.2)从C&C通信阶段P5向攻击阶段P7转换

if {条件B＝TRUE} then {Gr(h，P7-m)＝θ·Gr(h，P7-m)} (θ＝1.2)

if {条件C＝TRUE} then {Gr(h，P7-m)＝θ·Gr(h，P7-m)} (θ＝1.5)

·条件B：在被注册到终端(h)的C&C服务器候选列表的C&C服务器中的任一个 处观测数据通信(从C&C服务器接收一些数据(指令))之后，在N(h)秒之内在终端 (h)观测了攻击阶段的通信模式P7-m。

·条件C：检测出了满足条件B的两台以上的终端。(没有必要同时发生)

＜变化＞

上述实施方式中，对网络监视装置20连接到开关或路由器的监视端口(镜像端口)， 从而通过节点90取得被收发的数据包或数据帧等，以不转送取得的数据包的被动方式来 进行动作的例子进行了说明(参照图1)。但是，上述实施方式所示的网络构成是用于实施 本公开的一个例子，在实施时也可以采用其他的网络构成。

例如，即使在网络监视装置20不连接到监视端口(镜像端口)而仅连接到网络分段2 的情况下，也能够利用取得网络分段2上流通的包括不指向自身的MAC地址的所有的数 据帧，通过节点90取得被收发的数据包或数据帧等。在这种情况下，网络监视装置20也 以被动方式来进行动作。又，例如，也可以利用将网络监视装置20连接到网络分段2的 开关或路由器与位于其上位的其他的开关或路由器之间来取得通过的数据包或数据帧(参 照图15)。在这种情况下，网络监视装置20以对取得的数据包之中的不被阻断也可以的数 据包进行转送的连线方式(日语：インラインモード)来进行动作。又，网络监视装置20 也可以被内含在路由器或开关中。

符号说明

1  系统

20 网络监视装置

50 管理服务器

90 节点。