JP2017204108A - Signature generator, signature generation method, and signature generation program - Google Patents

Signature generator, signature generation method, and signature generation program Download PDF

Info

Publication number
JP2017204108A
JP2017204108A JP2016095012A JP2016095012A JP2017204108A JP 2017204108 A JP2017204108 A JP 2017204108A JP 2016095012 A JP2016095012 A JP 2016095012A JP 2016095012 A JP2016095012 A JP 2016095012A JP 2017204108 A JP2017204108 A JP 2017204108A
Authority
JP
Japan
Prior art keywords
signature
attack
character string
codes
signature generation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016095012A
Other languages
Japanese (ja)
Other versions
JP6588385B2 (en
Inventor
勇貴 越智
Yuki Ochi
勇貴 越智
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2016095012A priority Critical patent/JP6588385B2/en
Publication of JP2017204108A publication Critical patent/JP2017204108A/en
Application granted granted Critical
Publication of JP6588385B2 publication Critical patent/JP6588385B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a signature generator capable of swiftly generating a signature for detecting an attack code other than an attack code used as an input value.SOLUTION: A signature generator 10 for generating a signature used for detecting an attack code includes: an input section 11 that receives inputs of plural attack codes; and a signature generation part 121 that extracts a pattern of a character string common to input plural attack codes, and generates a signature as a character string in which a pattern of a character string which is not common to the plural attack codes is replaced with a regular expression.SELECTED DRAWING: Figure 1

Description

本発明は、シグネチャ生成装置、シグネチャ生成方法、および、シグネチャ生成プログラムに関する。   The present invention relates to a signature generation device, a signature generation method, and a signature generation program.

近年、公開サーバに対するサイバー攻撃が大きな脅威となっている。特に一般的に広く使用されるソフトウェアの脆弱性を悪用する例は重大な問題となっている。ソフトウェアの脆弱性に対する根本的な対策はパッチの適用であるが、パッチの適用によるシステムへの影響の検証等の理由ですぐにパッチを適用できない場合もある。そのような場合はWeb Application Firewall(WAF)等の不正アクセス検知製品が有効である。WAF等の不正アクセス検知製品はあらかじめ攻撃パターンをシグネチャとして定義し、シグネチャに一致する通信を遮断するものである。   In recent years, cyber attacks against public servers have become a major threat. In particular, examples of exploiting vulnerabilities in commonly used software are serious problems. Although the fundamental countermeasure against software vulnerabilities is the application of patches, there are cases where the patches cannot be applied immediately for reasons such as verification of the impact on the system by applying the patches. In such a case, an unauthorized access detection product such as Web Application Firewall (WAF) is effective. An unauthorized access detection product such as WAF defines an attack pattern as a signature in advance and blocks communication matching the signature.

ところで、脆弱性が発見されると脆弱性を悪用する様々なパターンの攻撃コードがWeb等で公開され、すぐに世界中で攻撃が発生するという状況がある。このため脆弱性を突く様々な攻撃コードを検知可能なシグネチャを迅速に作成することが求められている。ところが、シグネチャを作成できる専門家は限られており、様々な攻撃コードを検知可能なシグネチャを迅速に作成することは容易ではない。   By the way, when a vulnerability is discovered, there are situations in which attack codes of various patterns that exploit the vulnerability are published on the Web and the like, and attacks occur immediately around the world. For this reason, it is required to quickly create signatures that can detect various attack codes that exploit vulnerabilities. However, the number of experts who can create signatures is limited, and it is not easy to quickly create signatures that can detect various attack codes.

ここで、様々な攻撃コードを検知可能なシグネチャを作成するため、例えば、非特許文献1に記載の技術を用いて、複数の攻撃コードを入力値として用いて、これらの複数の攻撃コードを検知するWAFのシグネチャを自動生成することも考えられる。   Here, in order to create signatures that can detect various attack codes, for example, using the technique described in Non-Patent Document 1, a plurality of attack codes are used as input values to detect these attack codes. It is also conceivable to automatically generate a WAF signature.

Ralf Spenneberg.,“Webserver-Sicherheit mit mod_security”, Datenschutz und Datensicherheit,p155-160, 3, 2009Ralf Spenneberg., “Webserver-Sicherheit mit mod_security”, Datenschutz und Datensicherheit, p155-160, 3, 2009 Robert A. Wagner and Michael J. Fischer.,“The String-to-String Correction Problem”,J.ACM, Vol. 21, pp.168-173, January 1974Robert A. Wagner and Michael J. Fischer., “The String-to-String Correction Problem”, J. ACM, Vol. 21, pp.168-173, January 1974

しかし、上記の技術により複数の攻撃コードを入力値として用いて、これらの攻撃コードを検知するWAFのシグネチャを自動生成したとしても、入力値として用いた攻撃コード以外が対象とする脆弱性を突く攻撃コードを検知することはできない。そこで、本発明は、前記した問題を解決し、入力値として用いた攻撃コード以外の攻撃コードについても検知可能なシグネチャを迅速に生成することを課題とする。   However, even if a WAF signature that detects these attack codes is automatically generated using a plurality of attack codes as input values by the above technique, it exploits vulnerabilities targeted for other than attack codes used as input values. Attack code cannot be detected. Therefore, an object of the present invention is to solve the above-described problem and to quickly generate a signature that can be detected for an attack code other than the attack code used as an input value.

前記した課題を解決するため、本発明は、攻撃コードの検知に用いるシグネチャを生成するシグネチャ生成装置であって、複数の攻撃コードの入力を受け付ける入力部と、入力された前記複数の攻撃コードに共通している文字列のパターンを抽出し、前記複数の攻撃コードには共通していない文字列のパターンを正規表現に置き換えた文字列である前記シグネチャを生成するシグネチャ生成部とを備えることを特徴とする。   In order to solve the above-described problem, the present invention is a signature generation device that generates a signature used for detection of an attack code, the input unit receiving input of a plurality of attack codes, and the input of the plurality of attack codes A signature generation unit that extracts a common character string pattern and generates the signature that is a character string obtained by replacing a character string pattern that is not common to the plurality of attack codes with a regular expression. Features.

本発明によれば、入力値として用いた攻撃コード以外の攻撃コードについても検知可能なシグネチャを迅速に生成することができる。   According to the present invention, it is possible to quickly generate a signature that can be detected for an attack code other than the attack code used as an input value.

図1は、シグネチャ生成装置の構成例を示す図である。FIG. 1 is a diagram illustrating a configuration example of a signature generation apparatus. 図2は、攻撃コードの形態素解析の例を示す図である。FIG. 2 is a diagram illustrating an example of morphological analysis of an attack code. 図3は、複数の攻撃コードの形態素列における最長共通部分列の抽出の例を示す図である。FIG. 3 is a diagram illustrating an example of extraction of the longest common subsequence in a morpheme sequence of a plurality of attack codes. 図4は、最長共通部分列以外の形態素の正規表現への置換によるシグネチャ生成の例を示す図である。FIG. 4 is a diagram illustrating an example of signature generation by replacing a morpheme other than the longest common subsequence with a regular expression. 図5は、シグネチャ生成装置の処理手順の例を示すフローチャートである。FIG. 5 is a flowchart illustrating an example of a processing procedure of the signature generation apparatus. 図6は、シグネチャ生成プログラムを実行するコンピュータを示す図である。FIG. 6 is a diagram illustrating a computer that executes a signature generation program.

以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。本発明は本実施形態に限定されない。   Hereinafter, embodiments (embodiments) for carrying out the present invention will be described with reference to the drawings. The present invention is not limited to this embodiment.

図1を用いて本実施形態のシグネチャ生成装置10を説明する。シグネチャ生成装置10は、複数の攻撃コードの入力を受け付けると、この複数の攻撃コードを用いてシグネチャを生成する。このシグネチャは、例えば、WAF等において攻撃を見分ける手がかりとなる、パケットの先頭あるいはパケットグループの文字列のパターンである。また、攻撃コードは、攻撃先への攻撃に用いられるデータであり、例えば、攻撃先への送信パケットのうち、攻撃先のソフトウェアの脆弱性を突き悪用するための文字列部分である。   A signature generation apparatus 10 according to the present embodiment will be described with reference to FIG. When receiving the input of a plurality of attack codes, the signature generation apparatus 10 generates a signature using the plurality of attack codes. This signature is, for example, a pattern of a character string of the beginning of a packet or a packet group that serves as a clue to distinguish an attack in WAF or the like. The attack code is data used for an attack on the attack destination, and is, for example, a character string portion for exploiting the vulnerability of the attack destination software in the transmission packet to the attack destination.

シグネチャ生成装置10は、入力部11と、制御部12と、出力部13とを備える。入力部11は、シグネチャの生成に用いられる複数の攻撃コード(例えば、攻撃コードA、攻撃コードB、攻撃コードC等)の入力を受け付ける。制御部12は、シグネチャ生成装置10全体の制御を司り、ここでは主にシグネチャ生成部121によりシグネチャの生成を行う。出力部13は、制御部12により生成されたシグネチャを出力する。   The signature generation device 10 includes an input unit 11, a control unit 12, and an output unit 13. The input unit 11 accepts input of a plurality of attack codes (for example, attack code A, attack code B, attack code C, etc.) used for signature generation. The control unit 12 controls the entire signature generation apparatus 10. Here, the signature generation unit 121 mainly generates a signature. The output unit 13 outputs the signature generated by the control unit 12.

シグネチャ生成部121は、文字列分割部122と、共通部分列抽出部123と、文字列置換部124とを備える。   The signature generating unit 121 includes a character string dividing unit 122, a common partial sequence extracting unit 123, and a character string replacing unit 124.

文字列分割部122は、入力部11で受け付けた複数の攻撃コードそれぞれを、意味を持つ最小単位の文字列に分割する。例えば、文字列分割部122は、正規表現を用いたルールベースの形態素解析器により、図2の符号21に示す攻撃コードの形態素解析を行い、符号22に示す攻撃コードの形態素列を作成する。なお、符号22に示す形態素列において「|」は、形態素を分割した境界を示す。   The character string dividing unit 122 divides each of the plurality of attack codes received by the input unit 11 into a character string of a meaningful minimum unit. For example, the character string dividing unit 122 performs a morpheme analysis of the attack code indicated by reference numeral 21 in FIG. 2 by a rule-based morpheme analyzer using a regular expression, and creates an attack code morpheme string indicated by reference numeral 22. In the morpheme string indicated by reference numeral 22, “|” indicates a boundary obtained by dividing the morpheme.

共通部分列抽出部123は、複数の攻撃コードの文字列の分割結果を用いて、複数の攻撃コードに共通している文字列のパターン(共通部分文字列)を抽出する。例えば、共通部分列抽出部123は、複数の攻撃コードの文字列の形態素解析の結果を用いて、複数の攻撃コードに共通する最長共通部分列を算出し、抽出する。この最長共通部分列の算出は、例えば、非特許文献2に記載の技術を用いて行う。なお、シグネチャ生成部121が、シグネチャに、このような複数の攻撃コードの最長共通部分列を用いることで、複数の攻撃コードの攻撃対象の脆弱性と同じ脆弱性を突く他の攻撃コードについても検知しやすいシグネチャを生成することができる。   The common partial string extraction unit 123 extracts a character string pattern (common partial character string) that is common to the plurality of attack codes, using the division result of the character strings of the plurality of attack codes. For example, the common subsequence extraction unit 123 calculates and extracts the longest common subsequence common to the plurality of attack codes using the result of the morphological analysis of the character strings of the plurality of attack codes. The calculation of the longest common subsequence is performed using the technique described in Non-Patent Document 2, for example. Note that the signature generation unit 121 uses the longest common subsequence of such a plurality of attack codes in the signature, so that other attack codes that attack the same vulnerability as the attack target vulnerability of the plurality of attack codes are also used. A signature that is easy to detect can be generated.

一例を挙げると、共通部分列抽出部123は、例えば、図3の(A)に示す攻撃コードの形態素列と、(B)に示す攻撃コードの形態素列との最長共通部分列として、符号31に示す文字列を抽出する。なお、この例では、文字列の大文字・小文字は同じ要素としてみなすルールを適用しているが、これに限定されない。   For example, the common subsequence extraction unit 123 may generate a code 31 as the longest common subsequence of the attack code morpheme sequence shown in FIG. 3A and the attack code morpheme sequence shown in FIG. The character string shown in is extracted. In this example, a rule is applied in which upper and lower case letters are regarded as the same element, but the present invention is not limited to this.

文字列置換部124は、入力部11で受け付けた複数の攻撃コードのうち、共通部分文字列(例えば、最長共通部分列)以外の文字列を一般化することでシグネチャを生成する。例えば、文字列置換部124は、入力部11で受け付けた複数の攻撃コードのうち、最長共通部分列以外の文字列を正規表現に置き換えることにより、シグネチャを生成する。正規表現への置き換えは、例えば、Jeffrey E. F. Friedl著、「詳説 正規表現 第3版」、オライリージャパン等に記載の技術を用いて行う。   The character string replacement unit 124 generates a signature by generalizing a character string other than the common partial character string (for example, the longest common partial string) among the plurality of attack codes received by the input unit 11. For example, the character string replacement unit 124 generates a signature by replacing a character string other than the longest common subsequence among the plurality of attack codes received by the input unit 11 with a regular expression. For example, the regular expression is replaced by a technique described in Jeffrey E. F. Friedl, “Detailed Regular Expressions 3rd Edition”, O'Reilly Japan, etc.

最長共通部分列以外の文字列を正規表現に置き換える処理の一例を挙げる。ここでは、共通部分列抽出部123が、図4の(A)に示す攻撃コードの形態素列と、(B)に示す攻撃コードの形態素列との最長共通部分列として、符号51に示す文字列を抽出した場合を考える。この場合、文字列置換部124は、例えば、符号52に示すように、複数の攻撃コードそれぞれの形態素列から得られた最長共通部分列以外の形態素を、正規表現(例えば、「¥W+」等)に置換する。そして、文字列置換部124は、最長共通部分列、正規表現に置換された形態素を利用してシグネチャを生成する。例えば、文字列置換部124は、符号52の(A)に示す形態素列および(B)に示す形態素列を統合して、符号53に示すシグネチャを生成する。   An example of processing for replacing a character string other than the longest common substring with a regular expression is given below. Here, the common partial sequence extracting unit 123 uses the character string indicated by reference numeral 51 as the longest common partial sequence of the attack code morpheme sequence shown in FIG. 4A and the attack code morpheme sequence shown in FIG. Consider the case of extracting. In this case, for example, as indicated by reference numeral 52, the character string replacement unit 124 converts a morpheme other than the longest common subsequence obtained from the morpheme sequence of each of the plurality of attack codes into a regular expression (for example, “¥ W +” or the like). ). Then, the character string replacement unit 124 generates a signature using the longest common substring and the morpheme replaced with the regular expression. For example, the character string replacement unit 124 integrates the morpheme string indicated by (A) of the reference numeral 52 and the morpheme string indicated by (B) to generate a signature indicated by the reference numeral 53.

このようにすることでシグネチャ生成装置10は、入力値として用いた攻撃コード以外の攻撃コードについても検知可能なシグネチャを迅速に生成することができる。   In this way, the signature generation apparatus 10 can quickly generate a signature that can be detected for an attack code other than the attack code used as the input value.

次に、図5を用いて、シグネチャ生成装置10の処理手順を説明する。ここでは、シグネチャ生成装置10が、複数の攻撃コードの形態素列から最長共通部分列を算出し、最長共通部分列以外を正規表現に置き換えることによりシグネチャを生成する場合を例に説明する。   Next, the processing procedure of the signature generation apparatus 10 will be described with reference to FIG. Here, a case will be described as an example where the signature generation apparatus 10 calculates a longest common subsequence from a plurality of attack code morpheme sequences, and generates a signature by replacing other than the longest common subsequence with a regular expression.

まず、シグネチャ生成装置10の入力部11が複数の攻撃コードの入力を受け付けると(S1)、共通部分列抽出部123は、攻撃コードそれぞれの形態素解析を行う(S2)。その後、共通部分列抽出部123は、形態素解析された複数の攻撃コードそれぞれの形態素列から最長共通部分列を算出する(S3)。そして、文字列置換部124は、複数の攻撃コードの最長共通部分列以外の形態素を正規化(正規表現に置換)する(S4)。これにより、文字列置換部124は、最長共通部分列、正規表現への置換後の形態素を用いたシグネチャを生成する。その後、出力部13は、生成されたシグネチャを出力する(S5)。   First, when the input unit 11 of the signature generation device 10 receives input of a plurality of attack codes (S1), the common subsequence extraction unit 123 performs morphological analysis of each attack code (S2). Thereafter, the common partial sequence extraction unit 123 calculates the longest common partial sequence from the morpheme sequences of each of the plurality of attack codes subjected to morphological analysis (S3). Then, the character string replacement unit 124 normalizes (replaces with a regular expression) morphemes other than the longest common subsequence of the plurality of attack codes (S4). As a result, the character string replacement unit 124 generates a signature using the longest common substring and the morpheme after replacement with the regular expression. Thereafter, the output unit 13 outputs the generated signature (S5).

このようにすることで、シグネチャ生成装置10は入力値として用いた攻撃コード以外の攻撃コードについても検知可能なシグネチャを生成することができる。   In this way, the signature generation device 10 can generate a detectable signature for an attack code other than the attack code used as the input value.

また、シグネチャ生成装置10は、上記の処理を実行する専用のハードウェアにより実現してもよいし、上記の処理を実行するシグネチャ生成プログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実現してもよい。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のシグネチャ生成プログラムを情報処理装置に実行させることにより、情報処理装置をシグネチャ生成装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等のスレート端末等がその範疇に含まれる。また、シグネチャ生成装置10を、Webサーバやクラウドとして実装し、ネットワーク経由でシグネチャの生成をするようにしてもよい。   The signature generation device 10 may be realized by dedicated hardware for executing the above processing, or by installing a signature generation program for executing the above processing in a desired information processing device (computer). May be. For example, the information processing apparatus can function as the signature generation apparatus 10 by causing the information processing apparatus to execute the signature generation program provided as package software or online software. The information processing apparatus referred to here includes a desktop or notebook personal computer. In addition, the information processing apparatus includes mobile communication terminals such as smartphones, mobile phones and PHS (Personal Handyphone System), and slate terminals such as PDA (Personal Digital Assistants). Further, the signature generation apparatus 10 may be implemented as a Web server or a cloud, and the signature may be generated via a network.

(プログラム)
図6は、シグネチャ生成プログラムを実行するコンピュータを示す図である。図6に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。 (program)
FIG. 6 is a diagram illustrating a computer that executes a signature generation program. As shown in FIG. 6, a computer 1000 includes, for example, a memory 1010, a CPU (Central Processing Unit) 1020, a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, a network Interface 1070. These units are connected by a bus 1080.

メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。   The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM (Random Access Memory) 1012. The ROM 1011 stores a boot program such as BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1090. The disk drive interface 1040 is connected to the disk drive 1100. A removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1100, for example. For example, a mouse 1110 and a keyboard 1120 are connected to the serial port interface 1050. For example, a display 1130 is connected to the video adapter 1060.

ここで、図6に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各情報、データは、例えばハードディスクドライブ1090やメモリ1010に記憶される。   Here, as shown in FIG. 6, the hard disk drive 1090 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. Each information and data described in the above embodiment is stored in, for example, the hard disk drive 1090 or the memory 1010.

また、シグネチャ生成プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明したシグネチャ生成装置10が実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。   The signature generation program is stored in the hard disk drive 1090 as a program module in which a command executed by the computer 1000 is described, for example. Specifically, a program module describing each process executed by the signature generation apparatus 10 described in the above embodiment is stored in the hard disk drive 1090.

また、シグネチャ生成プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。   In addition, data used for information processing by the signature generation program is stored in the hard disk drive 1090 as program data, for example. Then, the CPU 1020 reads out the program module 1093 and the program data 1094 stored in the hard disk drive 1090 to the RAM 1012 as necessary, and executes the above-described procedures.

なお、シグネチャ生成プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、シグネチャ生成プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。   The program module 1093 and the program data 1094 related to the signature generation program are not limited to being stored in the hard disk drive 1090. For example, the program module 1093 and the program data 1094 are stored in a removable storage medium and read by the CPU 1020 via the disk drive 1100 or the like. May be issued. Alternatively, the program module 1093 and the program data 1094 related to the signature generation program are stored in another computer connected via a network such as a LAN (Local Area Network) or a WAN (Wide Area Network), and are transmitted via the network interface 1070. May be read by the CPU 1020.

10 シグネチャ生成装置
11 入力部
12 制御部
13 出力部
121 シグネチャ生成部
122 文字列分割部
123 共通部分列抽出部
124 文字列置換部 DESCRIPTION OF SYMBOLS 10 Signature production | generation apparatus 11 Input part 12 Control part 13 Output part 121 Signature production | generation part 122 Character string division | segmentation part 123 Common partial sequence extraction part 124 Character string replacement part

Claims (4)

攻撃コードの検知に用いるシグネチャを生成するシグネチャ生成装置であって、
複数の攻撃コードの入力を受け付ける入力部と、
入力された前記複数の攻撃コードに共通している文字列のパターンを抽出し、前記複数の攻撃コードには共通していない文字列のパターンを正規表現に置き換えた文字列である前記シグネチャを生成するシグネチャ生成部と
を備えることを特徴とするシグネチャ生成装置。 A signature generation device that generates a signature used to detect an attack code,
An input unit for receiving input of a plurality of attack codes;
Extracts a character string pattern common to the plurality of input attack codes, and generates a signature that is a character string obtained by replacing a character string pattern not common to the plurality of attack codes with a regular expression. And a signature generating unit. 前記シグネチャ生成部は、前記複数の攻撃コードの形態素解析を行い、前記形態素解析により得られた形態素列における最長共通部分列を、前記複数の攻撃コードに共通している文字列のパターンとして抽出することを特徴とする請求項1に記載のシグネチャ生成装置。   The signature generation unit performs morphological analysis of the plurality of attack codes, and extracts a longest common partial sequence in the morpheme sequence obtained by the morpheme analysis as a character string pattern common to the plurality of attack codes. The signature generation device according to claim 1. 攻撃コードの検知に用いるシグネチャを生成するシグネチャ生成方法であって、
複数の攻撃コードの入力を受け付けるステップと、
入力された前記複数の攻撃コードに共通している文字列のパターンを抽出し、前記複数の攻撃コードには共通していない文字列のパターンを正規表現に置き換えた文字列である前記シグネチャを生成するステップと
を含んだことを特徴とするシグネチャ生成方法。 A signature generation method for generating a signature used to detect an attack code,
Receiving a plurality of attack codes,
Extracts a character string pattern common to the plurality of input attack codes, and generates a signature that is a character string obtained by replacing a character string pattern not common to the plurality of attack codes with a regular expression. And a signature generating method comprising the steps of: 攻撃コードの検知に用いるシグネチャを生成するコンピュータに実行させるためのシグネチャ生成プログラムであって、
複数の攻撃コードの入力を受け付けるステップと、
入力された前記複数の攻撃コードに共通している文字列のパターンを抽出し、前記複数の攻撃コードには共通していない文字列のパターンを正規表現に置き換えた文字列である前記シグネチャを生成するステップと
を前記コンピュータに実行させることを特徴とするシグネチャ生成プログラム。 A signature generation program for causing a computer that generates a signature to be used for detecting attack codes to execute the program,
Receiving a plurality of attack codes,
Extracts a character string pattern common to the plurality of input attack codes, and generates a signature that is a character string obtained by replacing a character string pattern not common to the plurality of attack codes with a regular expression. And a step of causing the computer to execute the step of:
JP2016095012A 2016-05-11 2016-05-11 Signature generation apparatus, signature generation method, and signature generation program Active JP6588385B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016095012A JP6588385B2 (en) 2016-05-11 2016-05-11 Signature generation apparatus, signature generation method, and signature generation program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016095012A JP6588385B2 (en) 2016-05-11 2016-05-11 Signature generation apparatus, signature generation method, and signature generation program

Publications (2)

Publication Number Publication Date
JP2017204108A true JP2017204108A (en) 2017-11-16
JP6588385B2 JP6588385B2 (en) 2019-10-09

Family

ID=60323281

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016095012A Active JP6588385B2 (en) 2016-05-11 2016-05-11 Signature generation apparatus, signature generation method, and signature generation program

Country Status (1)

Country Link
JP (1) JP6588385B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11755630B2 (en) 2018-06-13 2023-09-12 Oracle International Corporation Regular expression generation using longest common subsequence algorithm on combinations of regular expression codes
US11941018B2 (en) 2018-06-13 2024-03-26 Oracle International Corporation Regular expression generation for negative example using context

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007515867A (en) * 2003-11-12 2007-06-14 ザ トラスティーズ オブ コロンビア ユニヴァーシティ イン ザ シティ オブ ニューヨーク Apparatus, method, and medium for detecting payload anomalies using n-gram distribution of normal data
US20090235357A1 (en) * 2008-03-14 2009-09-17 Computer Associates Think, Inc. Method and System for Generating a Malware Sequence File
JP2012003463A (en) * 2010-06-16 2012-01-05 Kddi Corp Supporting device, method and program for supporting signature generation

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007515867A (en) * 2003-11-12 2007-06-14 ザ トラスティーズ オブ コロンビア ユニヴァーシティ イン ザ シティ オブ ニューヨーク Apparatus, method, and medium for detecting payload anomalies using n-gram distribution of normal data
US20090235357A1 (en) * 2008-03-14 2009-09-17 Computer Associates Think, Inc. Method and System for Generating a Malware Sequence File
JP2012003463A (en) * 2010-06-16 2012-01-05 Kddi Corp Supporting device, method and program for supporting signature generation

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
千葉 大紀 外: "マルウェア感染端末検知のためのHTTP通信プロファイル技術の設計", 情報処理学会 研究報告 セキュリティ心理学とトラスト(SPT) 2014−SPT−008 [ONLINE] INT, JPN6019025338, 20 March 2014 (2014-03-20), JP, pages 1 - 6, ISSN: 0004069337 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11755630B2 (en) 2018-06-13 2023-09-12 Oracle International Corporation Regular expression generation using longest common subsequence algorithm on combinations of regular expression codes
US11797582B2 (en) 2018-06-13 2023-10-24 Oracle International Corporation Regular expression generation based on positive and negative pattern matching examples
JP7386818B2 (en) 2018-06-13 2023-11-27 オラクル・インターナショナル・コーポレイション Regular expression generation using longest common subsequence algorithm on combinations of regular expression codes
US11941018B2 (en) 2018-06-13 2024-03-26 Oracle International Corporation Regular expression generation for negative example using context

Also Published As

Publication number Publication date
JP6588385B2 (en) 2019-10-09

Similar Documents

Publication Publication Date Title
Ngo et al. A survey of IoT malware and detection methods based on static features
Nguyen et al. A novel graph-based approach for IoT botnet detection
Gopinath et al. A comprehensive survey on deep learning based malware detection techniques
Alazab Profiling and classifying the behavior of malicious codes
JP6697123B2 (en) Profile generation device, attack detection device, profile generation method, and profile generation program
WO2017112168A1 (en) Multi-label content recategorization
Liu et al. An integrated architecture for IoT malware analysis and detection
El Boujnouni et al. New malware detection framework based on N-grams and support vector domain description
Qiao et al. Malware classification based on multilayer perception and Word2Vec for IoT security
Nguyen et al. Toward a deep learning approach for detecting php webshell
JP2014096142A (en) Information processing device, information processing system and information processing method
JP6588385B2 (en) Signature generation apparatus, signature generation method, and signature generation program
CN114172703A (en) Malicious software identification method, device and medium
Rani et al. Analysis of Anomaly detection of Malware using KNN
JP2016029567A (en) Detecting malicious code
Shan et al. Post-breach recovery: Protection against white-box adversarial examples for leaked dnn models
JP6189610B2 (en) Electronic signature verification apparatus and method
Tupadha et al. Machine learning for malware evolution detection
JP2019049800A (en) Extraction device, extraction method, and extraction program
JP6935849B2 (en) Learning methods, learning devices and learning programs
Bayoglu et al. Polymorphic worm detection using token-pair signatures
CN116089938A (en) Security detection method and device for open source component package
Selvaraj et al. Packet payload monitoring for internet worm content detection using deterministic finite automaton with delayed dictionary compression
Bostami et al. Deep learning meets malware detection: an investigation
Denysiuk et al. Blockchain-based Deep Learning Algorithm for Detecting Malware.

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180615

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190709

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190826

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190910

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190912

R150 Certificate of patent or registration of utility model

Ref document number: 6588385

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150