信息處理系統、控制方法及控制程序與流程

2023-05-03 14:32:51

本發明涉及信息處理系統、控制方法及控制程序。

背景技術：

以往，在惡意軟體的分析方法中，大體分為靜態分析和動態分析。靜態分析是通過對惡意軟體的程序代碼進行分析而掌握惡意軟體所具備的功能的方法。其中，靜態分析對惡意軟體所具備的功能全面地進行分析，因此需要進行通過諸多人手的作業。另外，動態分析是通過準備對惡意軟體的行為進行記錄的環境，並在該環境內使惡意軟體進行動作，從而對惡意軟體的功能進行分析的方法。動態分析中的行為的提取與靜態分析相比，容易實現自動化。

作為這樣的惡意軟體的動態分析的一種，具有動態汙點分析。在動態汙點分析中，例如在虛擬機器中，虛擬CPU(Central Processing Unit：中央處理器)對在虛擬存儲器、虛擬盤等中惡意軟體所讀寫的數據流進行追蹤。更具體地，動態汙點分析由汙點標籤的賦予、汙點標籤的傳輸、汙點標籤的檢測這樣的3個階段構成。

例如，在對由惡意軟體所導致的機密信息的洩漏進行檢測的情況下，虛擬CPU執行以下的處理。首先，在第1階段中，虛擬CPU使惡意軟體進行動作。然後，虛擬CPU在包括機密信息的文件被讀入到存儲器中的階段，與包括機密信息的文件的存儲器中的存儲位置對應地賦予表示機密信息的汙點標籤。通常，該汙點標籤被存儲到與OS(Operating System：作業系統)所管理的物理存儲器獨立地準備的區域(也稱為「影子存儲器」)中。該區域被安裝成從OS、應用(包括惡意軟體)無法訪問。

之後，在第2階段中，虛擬CPU通過對寄存器和存儲器區域之間的傳送命令等進行監視，從而根據機密信息的複製而傳輸汙點標籤。並且，在第3階段中，虛擬CPU確認是否對從網絡接口輸出的數據賦予了表示機密信息的汙點標籤。在對所輸出的數據賦予了汙點標籤的情況下，虛擬CPU檢測出機密信息要被輸出到外部的情況。

另外，作為應用了動態汙點分析的例子，具有通過汙點標籤來實現調試器中的斷點的技術。在該技術中，利用者對想要中斷程序的部位(設定「斷點」的部位)提前分配汙點標籤。並且，虛擬CPU檢測是否與所執行的命令對應地賦予汙點標籤，在賦予了汙點標籤的情況下中斷程序。另外，還有作為汙點標籤的傳輸目的地而向盤進行傳輸的技術。

另外，作為惡意軟體的動態分析方法的一種，進行了如下嘗試：將預先準備的FTP(File Transfer Protocol)帳戶信息等(稱為蜜標honey token)設定在分析用PC，故意進行由惡意軟體導致的信息洩漏，從而追蹤攻擊者的舉動。由此，能夠掌握攻擊者如何濫用所取得的信息。

現有技術文獻

專利文獻

專利文獻1：特開2012-83798號公報

非專利文獻

非專利文獻1：川古谷裕平、巖村誠、針生剛男、使用汙點標籤的分析對象代碼的識別方法、電子信息通信學會、信息通信系統安全研究會，2012年7月(川古谷裕平、巖村誠、針生剛男、テイントタグを用いた分析対象コードの識別方法、電子情報通信學會、情報通信システムセキュリティ研究會，2012年7月)

非專利文獻2：Mitsuaki Akiyama,Takeshi Yagi,Kazufumi Aoki,Takeo Hariu,Youki Kadobayashi:Active Credential Leakage for Observing Web-Based Attack Cycle.RAID 2013:pp.223-243

非專利文獻3：青木一史、川古谷裕平、巖村誠、伊藤光恭、通過半透性虛擬網際網路而進行的惡意軟體的動態分析、惡意軟體對策研究人才培養工作室，2009年10月(青木一史、川古谷裕平、巖村誠、伊藤光恭、半透性仮想インターネットによるマルウェアの動的分析、マルウェア対策研究人材育成ワークショップ，2009年10月)

技術實現要素：

發明要解決的課題

但是，在上述的以往技術中，存在無法在不向他人波及損害的情況下對惡意軟體的舉動進行分析的問題。

例如，在故意進行由惡意軟體導致的信息洩漏的動態分析時，需要將惡意軟體的通信目的地作為實際網際網路而向攻擊者側發送蜜標。而在惡意軟體中進行垃圾郵件的發送等，在與實際網際網路連接時，會發生對他人帶來損害的活動。根據這樣的情況，需要通過切斷可能會對他人帶來損害的通信或在分析者所準備的模擬網際網路內繼續進行通信等而進行對他人不會帶來損害的方法。

這樣，在對惡意軟體進行動態分析時，需要根據其通信意圖而將通信目的地切換到實際網際網路或模擬網際網路。以往，根據其通信目的地IP(Internet Protocol：網際網路協議)地址、URL(Uniform Resource Locator：統一資源定位器)、通信有效載荷的信息等而切換通信目的地，但是對未知的通信目的地、難讀通信有效載荷的情況難以應對。

公開的技術是鑑於上述問題而創造的，本發明的目的在於以不向他人波及損害的方式對惡意軟體的舉動進行分析。

解決課題的手段

本申請所公開的信息處理系統具有：第1信息處理裝置，其對所起動的惡意軟體的舉動進行分析；及第2信息處理裝置，其對從所述第1信息處理裝置發送的發送信息進行傳送。所述第1信息處理裝置具備存儲部和發送部，所述第2信息處理裝置具備提取部和傳送部。存儲部將數據和對所述數據賦予的標籤信息對應地進行存儲。發送部在所述惡意軟體發送數據時，生成包括發送的數據及對所述發送的數據賦予的標籤信息的發送信息，對所述第2信息處理裝置發送所述發送信息。提取部從接收到的所述發送信息提取所述標籤信息。傳送部根據所提取的所述標籤信息而決定所述發送信息的傳送目的地，向所決定的所述傳送目的地傳送所述發送信息。

發明效果

根據所公開的信息處理裝置的一個方式，具有如下效果：以不向他人波及損害的方式對惡意軟體的舉動進行分析。

附圖說明

圖1是表示信息處理系統的結構例的圖。

圖2是表示實現信息處理系統的信息處理裝置的結構例的圖。

圖3是表示影子存儲器中存儲的信息的一例的圖。

圖4是表示汙點標籤類別信息表中存儲的信息的一例的圖。

圖5是表示在對數據未賦予汙點標籤的情況下由虛擬NIC生成的幀的結構的一例的圖。

圖6是表示在對數據賦予汙點標籤的情況下由虛擬NIC生成的幀的結構的一例的圖。

圖7是表示由虛擬NIC進行幀生成的處理的步驟的流程圖。

圖8是表示由虛擬機器進行的處理的步驟的流程圖。

圖9是表示執行控制程序的計算機的圖。

圖10是表示實現信息處理系統的信息處理裝置的另一結構例的圖。

具體實施方式

下面，根據附圖來詳細說明所公開的信息處理系統、控制方法及控制程序的實施方式。另外，公開的發明並不僅限於本實施方式。

(第1實施方式)

圖1是表示信息處理系統1的結構例的圖。如圖1所示，信息處理系統1具備模擬網際網路裝置2、實際網際網路連接裝置3、實際網際網路4、惡意軟體通信目的地切換裝置5、惡意軟體執行環境6。

模擬網際網路裝置2藉助於惡意軟體通信目的地切換裝置5而受理來自惡意軟體執行環境6的通信，在保存的同時判別通信的協議，並生成與協議對應的數據。並且，模擬網際網路裝置2作為響應而發送在惡意軟體執行環境6中生成的數據。模擬網際網路裝置2通過生成與該協議對應的伺服器響應而實現。

實際網際網路連接裝置3藉助於實際網際網路4而控制與外部裝置之間的通信。實際網際網路4是與外部裝置連接的網絡。

惡意軟體執行環境6是用於執行惡意軟體的環境。另外，在此所謂的「惡意軟體」是有悪意的軟體的總稱。

惡意軟體通信目的地切換裝置5與模擬網際網路裝置2、實際網際網路連接裝置3、惡意軟體執行環境6連接，例如控制惡意軟體執行環境6與模擬網際網路裝置2之間的信息的傳送。另外，惡意軟體通信目的地切換裝置5控制惡意軟體執行環境6與實際網際網路連接裝置3之間的信息的傳送。另外，在信息處理系統1中，假設信息以幀形式交換的情況而進行說明。

在這樣的信息處理系統1中，例如，惡意軟體執行環境6作為蜜標而提前設定惡意軟體有可能嘗試信息洩漏的數據。另外，在此所謂「數據」中包括程序及程序所參照的數據。例如，在著名的FTP客戶所使用的設定文件中寫入分析者所準備的FTP帳戶信息(FTP伺服器、用戶名、密碼)。此時，與該設定文件對應地作為屬性信息而設定汙點標籤。並且，惡意軟體執行環境6起動惡意軟體，在惡意軟體執行環境6所具備的虛擬網絡接口(虛擬NIC)中進行發送處理時，將發送數據和汙點標籤對應地發送到惡意軟體通信目的地切換裝置5。

另外，惡意軟體通信目的地切換裝置5接收從惡意軟體執行環境6接收到的數據和與該數據關聯的汙點標籤。並且，惡意軟體通信目的地切換裝置5根據汙點標籤而決定數據的傳送目的地是模擬網際網路裝置2還是實際網際網路連接裝置3。例如，在賦予了表示FTP帳戶信息的汙點標籤的數據的情況下，傳送到實際網際網路連接裝置3。

下面，對模擬網際網路裝置2、實際網際網路連接裝置3、實際網際網路4、惡意軟體通信目的地切換裝置5及惡意軟體執行環境6分別作為虛擬機器而在1臺信息處理裝置內實現的情況進行說明。

圖2是表示實現信息處理系統1的信息處理裝置10的結構例的圖。另外，在圖2中，僅圖示了信息處理系統1中的相當於惡意軟體通信目的地切換裝置5的虛擬機器40及相當於惡意軟體執行環境6的虛擬機器30。如圖2所示，信息處理裝置10在物理機器20上實現虛擬機器30和虛擬機器40。

物理機器20具備未圖示的硬體、主機OS(Operating System：作業系統)、虛擬機器軟體。硬體是構成信息處理裝置10的電子電路、周邊機器，例如是存儲器、CPU(Central Processing Unit：中央處理器)等。另外，硬體存儲後述的分析對象程序33和存儲了用於進行其分析的環境的盤的圖像文件。換言之，硬體存儲在虛擬機器30上起動的客戶OS32的圖像。另外，關於客戶OS32，將後述。同樣地，硬體存儲後述的分析對象程序43和存儲了用於進行其分析的環境的盤的圖像文件。換言之，硬體存儲在虛擬機器40上起動的客戶OS42的圖像。另外，關於客戶OS42，將後述。

主機OS是構成使虛擬機器30及虛擬機器40動作的底盤的OS，使用硬體而執行。虛擬機器軟體是在主機OS上動作，並提供虛擬機器30及虛擬機器40的軟體。例如，虛擬機器軟體將虛擬硬體31分配給客戶OS32而使虛擬機器30進行動作。另外，虛擬機器軟體將虛擬硬體41分配給客戶OS42而使虛擬機器40進行動作。

虛擬機器30例如具備虛擬硬體31、客戶OS32、分析對象程序33。虛擬硬體31是使用從虛擬機器軟體提供的虛擬盤、虛擬物理存儲器、虛擬CPU等而使客戶OS32進行動作，並執行各種處理的虛擬的信息處理裝置。客戶OS32使分析對象程序33進行動作。分析對象程序33是在信息處理裝置10中作為分析對象的程序、應用，例如為惡意軟體。

另外，虛擬硬體31是使客戶OS32進行動作而執行各種處理的虛擬的信息處理裝置，具備虛擬存儲器34a、影子存儲器34b、虛擬盤35a、影子盤35b、虛擬NIC(Network Interface Card：網絡接口卡)36、虛擬CPU37及汙點標籤類別信息表38。另外，從虛擬機器軟體提供虛擬存儲器34a、影子存儲器34b、虛擬盤35a、影子盤35b、虛擬NIC36、虛擬CPU37及汙點標籤類別信息表38等。

虛擬存儲器34a是將信息處理裝置10所具備的物理存儲器中的規定區域作為在虛擬機器30進行動作的客戶OS32所使用的存儲器而分配來實現的虛擬的存儲器。例如，虛擬存儲器34a通過虛擬CPU37而存儲從虛擬盤35a讀出的程序、數據。

影子存儲器34b是存儲位置信息的數據結構體，該位置信息是將用於指定存儲數據的虛擬存儲器34a上的存儲位置的信息和表示數據為監視對象的汙點標籤對應起來的位置信息。例如，作為影子存儲器34b的結構，既可以是單純的排列結構，也可以作為樹結構而保持汙點標籤。另外，作為存儲的信息，既可具備作為汙點標籤的值，也可具備作為朝向保持汙點信息的數據結構體的指針的值。

使用圖3，對影子存儲器34b的一例進行說明。圖3是表示存儲在影子存儲器34b中的信息的一例的圖。如圖3所示，影子存儲器34b將「數據ID」、「虛擬存儲器的地址」和「汙點標籤ID」對應地進行存儲。

在此，「數據ID」表示數據的識別符。例如，在「數據ID」中存儲「0001」、「0002」等。另外，「虛擬存儲器的地址」是表示在虛擬存儲器34a上的存儲位置的位置信息。例如，在「虛擬存儲器的地址」中存儲「0x0010」、「0x0020」等。「汙點標籤ID」是用於識別是監視對象的識別符。例如，在「汙點標籤ID」中存儲「1」、「2」等。

作為一例，在圖3所示的影子存儲器34b中，表示識別符為「0001」的數據存儲在虛擬存儲器34a的地址「0x0010」，被賦予汙點標籤「1」。另外，圖3所示的影子存儲器34b中，表示識別符為「0002」的數據存儲在虛擬存儲器34a的地址「0x0020」，被賦予汙點標籤「2」。另外，圖3所示的數值等到底是例示，並不是對值等進行限定。另外，這些汙點標籤是針對由利用者選擇的數據而提前被設定的。

虛擬盤35a是將信息處理裝置10所具備的物理盤中的規定區域作為在虛擬機器30進行動作的客戶OS32所使用的區域而分配來實現的虛擬的盤。例如，虛擬盤35a存儲將虛擬CPU37作為執行對象的程序、成為程序的處理對象的數據等。

影子盤35b是存儲位置信息的數據結構體，該位置信息是將用於指定存儲數據的虛擬盤35a上的存儲位置的信息和表示數據為監視對象的汙點標籤對應起來的位置信息。例如，作為影子盤35b的結構，既可以是單純的排列結構，也可以作為樹結構而保持汙點標籤。另外，作為存儲的信息，既可以具備作為汙點標籤的值，也可以具備作為朝向保持汙點信息的數據結構體的指針的值。另外，影子盤35b代替影子存儲器34所存儲的「虛擬存儲器的地址」而存儲表示虛擬盤35a上的存儲位置的位置信息即「虛擬盤的地址」。另外，這些汙點標籤是針對由利用者選擇的數據而提前被設定的。

汙點標籤類別信息表38存儲表示與汙點標籤對應的數據的傳送目的地的汙點標籤類別信息。圖4是表示汙點標籤類別信息表38所存儲的信息的一例的圖。如圖4所示，汙點標籤類別信息表38存儲將「汙點標籤ID」和「外部發送狀態」對應起來的信息。

在此，汙點標籤類別信息表38所存儲的「汙點標籤ID」表示汙點標籤的識別符。例如，在「汙點標籤ID」中存儲有「1」、「2」等值。另外，汙點標籤類別信息表38所存儲的「外部發送狀態」中存儲表示許可藉助於實際網際網路4而與外部裝置之間通信的「許可」、表示不許可藉助於實際網際網路4而與外部裝置之間通信的「不許可」等。即，在「外部發送狀態」為「許可」的情況下，數據被傳送到實際網際網路連接裝置3，在「外部發送狀態」為「不許可」的情況下，數據被傳送到模擬網際網路裝置2。

作為一例，在圖4所示的汙點標籤類別信息表38中，賦予了汙點標籤ID「1」的數據表示許可藉助於實際網際網路4而與外部裝置之間通信。另外，在圖4所示的汙點標籤類別信息表38中，賦予了汙點標籤ID「2」的數據表示不許可藉助於實際網際網路4而與外部裝置之間通信。

虛擬CPU37是將信息處理裝置10所具備的物理CPU中的規定處理能力作為在虛擬機器30進行動作的客戶OS32所使用的CPU而分配來實現的虛擬的CPU。例如，虛擬CPU37具備未圖示的程序執行功能部和更新功能部。

另外，虛擬CPU37具備未圖示的虛擬寄存器和影子寄存器。虛擬寄存器是將信息處理裝置10所具備的物理寄存器/物理存儲器/物理盤中的規定區域作為在虛擬機器30進行動作的客戶OS32所使用的區域而分配來實現的虛擬的寄存器。例如，虛擬寄存器存儲通過虛擬CPU37而從虛擬存儲器34a讀出的程序、數據。另外，影子寄存器是存儲位置信息的數據結構體，該位置信息是將用於指定存儲數據的虛擬寄存器上的存儲位置的信息和表示數據為監視對象的汙點標籤對應起來的位置信息。

程序執行功能部是執行存儲在虛擬盤35a中的程序的處理部。例如，程序執行功能部從虛擬盤35a讀出程序而展開到虛擬存儲器34a。換言之，程序執行功能部從虛擬盤35a讀出執行對象的程序而存儲到虛擬存儲器34a之後，執行存儲在虛擬存儲器34a中的執行對象的程序。

更新功能部根據數據流而更新將表示數據的存儲位置的信息和標籤對應起來的位置信息。例如，在程序執行功能部執行分析對象程序33的期間，當數據被複製而存儲到其他的存儲區域或被移動到其他的存儲區域時，更新功能部與成為複製目的地、移動目的地的存儲區域的存儲位置關聯地存儲汙點標籤。另外，在此所謂的「存儲區域」中包括虛擬寄存器、虛擬存儲器34a及虛擬盤35a。

更具體地，更新功能部以與在執行分析對象程序33的過程中產生的虛擬寄存器與虛擬存儲器34a之間及虛擬存儲器34a與虛擬盤35a之間的數據的複製、在生成運算命令的情況下，成為數據的複製目的地、移動目的地的存儲區域的存儲位置關聯的方式，在與各個存儲區域對應的影子寄存器、影子存儲器34b及影子盤35b中存儲汙點標籤。換言之，更新功能部對於成為複製目的地、移動目的地的存儲區域的存儲位置而傳輸汙點標籤。另外，下面，有時將影子寄存器、影子存儲器34b及影子盤35b統稱為影子區域。

虛擬NIC36由客戶OS32作為NIC而被識別，並作為在物理CPU進行動作的軟體而實現。另外，通過由虛擬NIC36對物理NIC進行控制，從而客戶OS32通過物理NIC而與虛擬機器40(惡意軟體通信目的地切換裝置5)進行通信。

在此，在惡意軟體發送數據時，虛擬NIC36生成包括發送的數據和對所發送的數據賦予的汙點標籤的幀，向虛擬機器40(惡意軟體通信目的地切換裝置5)發送幀。更具體地，虛擬NIC36參照影子存儲器34b或影子盤35b而判定對所發送的數據是否賦予汙點標籤。並且，在判定為賦予了有汙點標籤的情況下，虛擬NIC36生成包括數據和汙點標籤的幀。另外，在判定為對所發送的數據未賦予汙點標籤的情況下，生成包括虛擬NIC數據的幀。

利用圖5及圖6，對通過虛擬NIC36而生成的幀進行說明。圖5是表示在對數據未賦予汙點標籤的情況下通過虛擬NIC36而生成的幀的結構的一例的圖，圖6是表示在對數據賦予了汙點標籤的情況下通過虛擬NIC36而生成的幀的結構的一例的圖。

如圖5所示，幀通常由8位元組的「前導碼」、6位元組的「目的地MAC地址」、6位元組的「發送源MAC地址」、2位元組的「類型」、46～1500位元組的「數據」、4位元組的「FCS」構成。在對數據未賦予汙點標籤的情況下，虛擬NIC36將所發送的數據存儲到「數據」。在此，在數據尺寸小於1500位元組的情況下，虛擬NIC36從數據之後起填充至偏移第1521位元組為止，以數據長度位於偏移第1522位元組的位置。

另外，在對數據賦予了汙點標籤的情況下，當虛擬NIC36從虛擬CPU37受理數據的發送請求時，取得所發送的數據的尺寸。並且，如圖6所示，虛擬NIC36將數據的尺寸作為2位元組的值，從前導碼計數(以後，稱為偏移)而設定在第1522位元組的「數據長度」。在此，在數據尺寸小於1500位元組的情況下，虛擬NIC36從數據之後起填充至偏移第1521位元組為止，以數據長度位於偏移第1522位元組的位置。另外，在數據尺寸最大(1500位元組)時，數據尺寸位於數據之後。

並且，虛擬NIC36將與存儲有所發送的數據的虛擬存儲器對應的影子存儲器的內容追加到偏移第1524位元組以後的「汙點標籤存儲區域」，將此作為幀而發送。換言之，虛擬NIC36在發送數據時，將對數據賦予的汙點標籤存儲到超過規定的最大可發送尺寸的幀內的區域。這是因為，例如，在虛擬NIC36將數據和與其對應的汙點標籤作為另外的幀而發送時，通信分組數會倍增，並且在數據或汙點標籤到達接收側之後，還需要進行等待與其成對的汙點標籤或數據的處理。虛擬NIC36將數據和汙點標籤存儲在同一個幀中，從而能夠解決這樣的問題。關於汙點標籤，既可以對發送數據的每1位元組分配1位元組，而在需要將256個以上的數據的屬性區別開的情況下，也可以對發送數據的每1位元組分配多個字節的汙點標籤。另外，虛擬NIC36通過安裝對巨型幀非對應的硬體，從而能夠控制OS請求發送比1500位元組大的數據的事例。

接著，對虛擬機器40進行說明。虛擬機器40例如具備虛擬硬體41、客戶OS42、分析對象程序43。虛擬硬體41是使用從虛擬機器軟體提供的虛擬盤、虛擬物理存儲器、虛擬CPU等而使客戶OS42進行動作，從而執行各種處理的虛擬的信息處理裝置。客戶OS42使分析對象程序43進行動作。分析對象程序43是在信息處理裝置10中作為分析對象的程序、應用。

另外，虛擬硬體41是使客戶OS42進行動作而執行各種處理的虛擬的信息處理裝置，具備虛擬存儲器44a、影子存儲器44b、虛擬盤45a、影子盤45b、虛擬NIC46、虛擬CPU47及汙點標籤類別信息表48。另外，從虛擬機器軟體提供虛擬存儲器44a、影子存儲器44b、虛擬盤45a、影子盤45b、虛擬NIC46、虛擬CPU47及汙點標籤類別信息表48等。

另外，虛擬硬體41所具備的虛擬存儲器44a與虛擬硬體31所具備的虛擬存儲器34a具備相同的功能，虛擬硬體41所具備的影子存儲器44b與虛擬硬體31所具備的影子存儲器34b具備相同的功能。另外，影子存儲器44b中未提前設定汙點標籤，而是通過後述的虛擬CPU47的存儲控制功能部而被設定。

另外，虛擬硬體41所具備的虛擬盤45a與虛擬硬體31所具備的虛擬盤35a具備相同的功能，虛擬硬體41所具備的影子盤45b與虛擬硬體31所具備的影子盤35b具備相同的功能。另外，在影子盤45b中未提前設定汙點標籤，而是通過後述的虛擬CPU47的存儲控制功能部而被設定。另外，虛擬硬體41所具備的汙點標籤類別信息表48與虛擬硬體31所具備的汙點標籤類別信息表38具備相同的功能。

虛擬CPU47是通過將信息處理裝置10所具備的物理CPU中的規定處理能力作為在虛擬機器40進行動作的客戶OS42使用的CPU進行分配來實現的虛擬的CPU。虛擬CPU47除了進一步具備存儲控制功能部這一點之外，具備與虛擬CPU37相同的功能。

存儲控制功能部在提取包括在所接收到的幀的數據而存儲到虛擬存儲器44a時，將汙點標籤存儲到與寫入目的地的虛擬存儲器44a對應的影子存儲器44b。例如，在對所接收到的數據賦予了汙點標籤的情況下，存儲控制功能部將數據和汙點標籤對應地存儲到影子存儲器44b。另外，在對所接收到的數據未賦予汙點標籤的情況下，存儲控制功能部不執行處理。另外，與對所接收到的數據是否賦予汙點標籤的情況無關地，虛擬CPU47將所接收到的數據存儲到虛擬存儲器44a。

關於虛擬NIC46，由客戶OS42作為NIC而被識別，並作為在物理CPU中動作的軟體而實現。另外，通過由虛擬NIC46控制物理NIC，從而客戶OS42通過物理NIC而與虛擬機器30(惡意軟體執行環境6)、模擬網際網路裝置2及實際網際網路連接裝置3進行通信。

另外，客戶OS42在接收到幀的情況下，決定幀的傳送目的地，並將幀傳送到所決定的傳送目的地。客戶OS42具備未圖示的提取功能部和傳送功能部。在此，在接收TCP這樣的數據之前交換用於建立連接的分組的協議的情況下，客戶OS42例如通過進行TCP三次握手而建立TCP的對話，從而在確定通信目的地之前接收數據和與此對應的汙點標籤。

例如，客戶OS42的提取功能部判定對所接收到的數據是否賦予汙點標籤。並且，在判定為賦予了汙點標籤的情況下，客戶OS42的提取功能部從接收到的幀提取汙點標籤。並且，客戶OS42的傳送功能部根據所提取的汙點標籤而決定幀的傳送目的地。

更具體地，客戶OS42的提取功能部參照所接收到的幀的幀長而判定對數據是否賦予汙點標籤。在此，在幀長為1526位元組的情況下，客戶OS42的提取功能部判定為對數據未賦予汙點標籤，在幀長為1529位元組的情況下，客戶OS42的提取功能部判定為對數據賦予了汙點標籤。

並且，在判定為對數據賦予了汙點標籤的情況下，客戶OS42的提取功能部提取汙點標籤。例如，客戶OS42的提取功能部從幀的偏移第1522位元組中，將實際數據的尺寸值作為實際數據而提取。由此，虛擬CPU47將所提取的實際數據複製到虛擬存儲器44a。另外，客戶OS42的提取功能部從偏移第1524位元組以後提取汙點標籤。由此，虛擬CPU47將所提取的汙點標籤複製到影子存儲器44b。由此，可執行惡意軟體執行環境6與惡意軟體通信目的地切換裝置5之間的汙點標籤的收發。

並且，客戶OS42的傳送功能部參照汙點標籤類別信息而讀出與所提取的汙點標籤對應的「外部發送狀態」。在此，在「外部發送狀態」為表示許可與外部裝置之間的通信的「許可」的情況下，客戶OS42的傳送功能部將接收到的幀傳送到實際網際網路連接裝置3。另外，在「外部發送狀態」為表示不許可與外部裝置之間的通信的「不許可」的情況下，客戶OS42的傳送功能部將接收到的幀傳送到模擬網際網路裝置2。另外，在對數據未賦予汙點標籤的情況下，客戶OS42的傳送功能部不傳送接收到的幀。另外，在對數據未賦予汙點標籤的情況下，客戶OS42的傳送功能部將所接收到的幀傳送到模擬網際網路裝置2或實際網際網路連接裝置3的任一方。

接著，利用圖7，對通過虛擬機器30所具備的虛擬NIC36而處理的步驟進行說明。圖7是表示通過虛擬NIC36而生成幀的處理的步驟的流程圖。如圖7所示，虛擬NIC36判定是否受理數據的發送請求(步驟S101)。在此，在判定為未受理數據的發送請求的情況下(步驟S101，否)，虛擬NIC36重複步驟S101的判定處理。

另外，在判定為受理了數據的發送請求的情況下(步驟S101，是)，虛擬NIC36判定數據是否與汙點標籤對應(步驟S102)。在此，在判定為數據與汙點標籤對應的情況下(步驟S102，是)，虛擬NIC36讀出與數據對應的汙點標籤(步驟S103)。並且，虛擬NIC36生成包括數據和汙點標籤的幀(步驟S104)。

另外，在判定為數據與汙點標籤未對應的情況下(步驟S102，否)，虛擬NIC36生成包括數據的幀(步驟S105)。虛擬NIC36在步驟S104或步驟S105之後，將所生成的幀發送到虛擬機器40(步驟S106)，結束處理。

接著，利用圖8，對通過虛擬機器40而處理的步驟進行說明。圖8是表示通過虛擬機器40而處理的步驟的流程圖。如圖8所示，虛擬機器40的客戶OS42的提取功能部判定是否接收到幀(步驟S201)。在此，在判定為未接收到幀的情況下(步驟S201，否)，客戶OS42的提取功能部重複步驟S201的判定處理。

另外，在判定為接收到幀的情況下(步驟S201，是)，客戶OS42的提取功能部判斷在幀中是否包括汙點標籤(步驟S202)。在此，在判定為在幀中包括汙點標籤的情況下(步驟S202，是)，客戶OS42的提取功能部提取汙點標籤(步驟S203)。接著，客戶OS42向虛擬CPU47請求汙點標籤類別信息(步驟S204)。另外，在判定為在幀中不包括汙點標籤的情況下(步驟S202，否)，客戶OS42的提取功能部結束處理。

另外，虛擬CPU47判定是否請求汙點標籤類別信息(步驟S205)。在此，在判定為請求了汙點標籤類別信息的情況下(步驟S205，是)，虛擬CPU47向客戶OS42響應汙點標籤類別信息，向客戶OS42請求數據和汙點標籤(步驟S206)。另外，在判定為未請求汙點標籤類別信息的情況下(步驟S205，否)，虛擬CPU47重複步驟S205的判定處理。

客戶OS42取得汙點標籤類別信息(步驟S207)，向虛擬CPU47響應數據和汙點標籤(步驟S208)。並且，虛擬CPU47取得數據和汙點標籤(步驟S209)。接著，虛擬CPU47的存儲控制功能部將數據和汙點標籤對應地存儲到影子存儲器44b(步驟S210)。這樣，虛擬CPU47的存儲控制功能部將數據和汙點標籤對應地存儲到影子存儲器44b，從而例如能夠將參照汙點標籤並傳送到外部的數據為了事後的分析而進行保存。

另外，客戶OS42的傳送功能部參照汙點標籤類別信息而判定汙點標籤(步驟S211)，判定是否許可與實際網際網路連接(步驟S212)。在此，在判定為許可與實際網際網路連接的情況下(步驟S212，是)，客戶OS42的傳送功能部向實際網際網路連接裝置3傳送幀(步驟S213)。另外，在判定為不許可與實際網際網路連接的情況下(步驟S212，否)，客戶OS42的傳送功能部向模擬網際網路裝置2傳送幀(步驟S214)。

如上述，在第1實施方式的信息處理裝置10中，在動態分析惡意軟體時，將惡意軟體執行環境6中的汙點標籤傳輸給網絡，從而能夠高精度地切換惡意軟體的通信目的地。

在此，在動態分析惡意軟體時，具有敢於許可與存在於網際網路的攻擊者通信的事例和切斷通信或傳送到模擬網際網路，以不向他人波及損害的事例。在以往的技術中，在通信目的地為完全未知的目的地的情況下、難以讀出通信有效載荷的情況下，難以決定通信目的地。另外，在第1實施方式的信息處理裝置10中，提前在惡意軟體執行環境6中，對想要發送到攻擊者的信息賦予汙點標籤，並將該汙點標籤傳送到惡意軟體通信目的地切換裝置5。由此，惡意軟體通信目的地切換裝置5通過參照汙點標籤，從而在不依賴於目的地IP位址、通信有效載荷的情況下，能夠將惡意軟體通信的目的地切換到模擬網際網路或實際網際網路。

另外，在上述的實施方式中，對惡意軟體通信目的地切換裝置5參照汙點標籤類別信息表48而判定是否許可與外部裝置之間的通信來決定傳送目的地的情況進行了說明，但實施方式不限於此。例如，惡意軟體執行環境6可以僅對許可與外部裝置之間的通信的數據賦予汙點標籤。例如，惡意軟體執行環境6僅對FTP帳戶信息賦予汙點標籤。在該情況下，惡意軟體通信目的地切換裝置5在所接收到的幀中包括汙點標籤的情況下，將數據發送到實際網際網路連接裝置3，在不存在汙點標籤的情況下，發送到模擬網際網路裝置2。或者，惡意軟體執行環境6僅對不許可與外部裝置之間的通信的數據賦予汙點標籤。例如，惡意軟體執行環境6僅對分析對象的惡意軟體賦予汙點標籤。在該情況下，在所接收到的幀中包括汙點標籤的情況下，惡意軟體通信目的地切換裝置5將汙點標籤發送到模擬網際網路裝置2，在不存在汙點標籤的情況下，將數據發送到實際網際網路連接裝置3。

另外，惡意軟體通信目的地切換裝置5將目的地IP位址、通信有效載荷的確認結果和汙點標籤結合而決定傳送目的地。

另外，如圖6所示，在上述的實施方式中，虛擬NIC36在偏移第1522位元組存儲數據長度，但也可以不包括該數據長度而從偏移第1522位元組起開始汙點標籤存儲區域。在該情況下，從巨型幀的尺寸減去1526位元組(1522位元組+FCS的字節數)的尺寸構成汙點標籤存儲區域的尺寸，由該尺寸決定實際數據的尺寸(在數據每1位元組的汙點標籤為1位元組的情況下，與汙點標籤存儲區域的尺寸相同)。另外，虛擬NIC36可以不填充數據而生成幀。在該情況下，從巨型幀的尺寸減去28位元組(至數據為止的22位元組+數據長度的2位元組+FCS的4位元組)的尺寸構成數據的尺寸和汙點存儲區域的尺寸之和，由該尺寸可決定實際數據的尺寸(在數據每1位元組的汙點標籤為1位元組的情況下，將該尺寸除以2而獲得的值構成實際數據的尺寸)。另外，虛擬NIC36可以不填充數據且不包括數據長度而生成幀。

另外，在上述的實施方式中，對模擬網際網路裝置2、實際網際網路連接裝置3、實際網際網路4、惡意軟體通信目的地切換裝置5及惡意軟體執行環境6分別作為虛擬機器而在1臺信息處理裝置內實現的情況進行了說明，但實施方式不限於此。例如，也可以是模擬網際網路裝置2、實際網際網路連接裝置3、實際網際網路4、惡意軟體通信目的地切換裝置5及惡意軟體執行環境6分別作為虛擬機器而在多個信息處理裝置中以任意的組合分散而實現。或者，也可以在信息處理系統1中，模擬網際網路裝置2、實際網際網路連接裝置3、實際網際網路4、惡意軟體通信目的地切換裝置5、惡意軟體執行環境6分別作為獨立的信息處理裝置而實現。

(第2實施方式)

以上，對本發明的實施方式進行了說明，但是本發明除了上述實施方式以外，也可以其他實施方式實施。在此，下面對該其他實施方式進行說明。

(系統結構)

另外，在本實施方式中說明的各個處理中，將以自動進行的方式進行說明的處理的全部或一部分可以手動的方式進行或將以手動進行的方式進行說明的處理的全部或一部分通過公知的方法而自動進行。另外，關於上述文中、附圖中所示的處理步驟、控制步驟、具體名稱、包括各種的數據、參數的信息，除了特別記載的情況之外，可任意地變更。

另外，圖示的各個裝置的各個結構要素是功能概念性的要素，無需一定要物理性地如圖示這樣構成。即，各個裝置的分散、綜合的具體形態不限於圖示的情況，可根據各種的負荷、使用狀況等而將其全部或一部分以任意的單位功能性地或物理性地分散、綜合而構成。例如，虛擬機器30及虛擬機器40分別可由獨立的信息處理裝置10而實現。例如，如圖10所示，虛擬機器30由信息處理裝置10a的物理機器20a而實現，虛擬機器40由信息處理裝置10b的物理機器20b而實現。在該情況下，從虛擬機器30發送的幀經由連接信息處理裝置10a、10b之間的網絡(例如，網際網路)而到達虛擬機器40。

(程序)

另外，關於上述實施例1的信息處理裝置所執行的處理，可製作成以計算機可執行的語言記述的特定程序。在該情況下，計算機執行特定程序，從而可獲得與上述實施方式相同的效果。進而，將該特定程序記錄到計算機可讀取的記錄介質，並使計算機讀入記錄在該記錄介質的特定程序而執行，從而實現與上述實施方式相同的處理。下面，對執行用於實現與圖1等所示的信息處理裝置10相同的功能的控制程序的計算機的一例進行說明。

圖9是表示執行控制程序的計算機1000的圖。如圖9所示，計算機1000例如具備存儲器1010、CPU1020、硬碟驅動接口1030、盤驅動接口1040、串行埠接口1050、視頻適配器1060、網絡接口1070。這些各個部通過總線1080而連接。

存儲器1010包括ROM(Read Only Memory：只讀存儲器)1011及RAM(Random Access Memory:隨機存取存儲器)1012。ROM1011例如存儲BIOS(Basic Input Output System:基本輸入輸出系統)等引導程序。硬碟驅動接口1030與硬碟驅動1090連接。盤驅動接口1040與盤驅動1100連接。盤驅動1100中例如插入磁碟、光碟等可裝卸的存儲介質。在串行埠接口1050例如連接滑鼠1110及鍵盤1120。在視頻適配器1060例如連接顯示器1130。

在此，如圖9所示，硬碟驅動1090例如存儲OS1091、應用程式1092、程序模塊1093及程序數據1094。在上述實施方式中說明的控制程序例如存儲於硬碟驅動1090、存儲器1010。

另外，控制程序例如作為記載有通過計算機1000而執行的指令的程序模塊，例如存儲於硬碟驅動1090。具體地，記載有如下步驟的程序模塊存儲於硬碟驅動1090：在第1計算機執行與在上述實施方式中說明的虛擬NIC36相同的信息處理的發送步驟；在第2計算機執行與在上述實施方式中說明的客戶OS42的提取功能部相同的信息處理的提取步驟；執行與客戶OS42的傳送功能部相同的信息處理的傳送步驟。

另外，使用於通過控制程序而進行的信息處理的數據作為程序數據而例如存儲於硬碟驅動1090。並且，CPU1020根據需要而將存儲於硬碟驅動1090的程序模塊、程序數據讀出到RAM1012，從而執行上述各個步驟。

另外，涉及控制程序的程序模塊、程序數據不限於存儲於硬碟驅動1090的情況，例如也可以存儲於可裝卸的存儲介質，並藉助於盤驅動1100等而通過CPU1020而讀出。或者，涉及控制程序的程序模塊、程序數據存儲於藉助於LAN(Local Area Network：區域網)、WAN(Wide Area Network：廣域網)等網絡而連接的其他的計算機，並藉助於網絡接口1070而通過CPU1020來讀出。

(其他)

另外，關於本實施方式中說明的控制程序，可藉助於網際網路等網絡而進行配置。另外，控制程序可記錄於硬碟、軟盤(FD)、CD-ROM、MO、DVD等由計算機可讀取的記錄介質，並通過計算機從記錄介質讀出而執行。

符號說明

10，10a，10b 信息處理裝置

20，20a，20b 物理機器

30，40 虛擬機器

31，41 虛擬硬體

32，42 客戶OS

33，43 分析對象程序

34a，44a 虛擬存儲器

34b，44b 影子存儲器

35a，45a 虛擬盤

35b，45b 影子盤

36，46 虛擬NIC

37，47 虛擬CPU

38，48 汙點標籤類別信息表

1000 計算機

1010 存儲器

1011ROM

1012RAM

1020CPU

1030 硬碟驅動接口

1040 盤驅動接口

1050 串行埠接口

1060 視頻適配器

1070 網絡接口

1080 總線

1090 硬碟驅動

1091OS

1092 應用程式

1093 程序模塊

1094 程序數據

1100 盤驅動

1110 滑鼠

1120 鍵盤

1130 顯示器