JP2018160172A - Malware determining method, malware determining apparatus, malware determining program - Google Patents
Malware determining method, malware determining apparatus, malware determining program Download PDFInfo
- Publication number
- JP2018160172A JP2018160172A JP2017057900A JP2017057900A JP2018160172A JP 2018160172 A JP2018160172 A JP 2018160172A JP 2017057900 A JP2017057900 A JP 2017057900A JP 2017057900 A JP2017057900 A JP 2017057900A JP 2018160172 A JP2018160172 A JP 2018160172A
- Authority
- JP
- Japan
- Prior art keywords
- malware
- data
- determination
- score
- machine learning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、機械学習を利用してマルウェア判定を行うマルウェア判定方法、マルウェア判定装置およびマルウェア判定プログラムに関する。 The present invention relates to a malware determination method, a malware determination device, and a malware determination program for performing malware determination using machine learning.
Windows (登録商標)やUNIX(登録商標)の環境における実行ファイルがマルウェアを含むか否か判定する手法として、主として、実行ファイルを実行して判定する動的判定と、実行ファイルを実行せずに判定する静的判定とがある。判定速度が重視される場合には、静的判定が用いられる。 As a method to determine whether or not an executable file in a Windows (registered trademark) or UNIX (registered trademark) environment contains malware, dynamic determination mainly by executing the executable file and without executing the executable file There is static judgment to judge. Static determination is used when the determination speed is important.
特許文献1に、静的判定の手法として代表的なものとして、ハッシュ値一致判定およびパターンマッチ判定(シグニチャスキャン)が挙げられている。ハッシュ値一致判定は、既知のマルウェアのMD5、SHA1、SHA256等のハッシュ値があらかじめ記憶され、検査対象ファイルのハッシュ値が、記憶されているハッシュ値と一致した場合、検査対象ファイルはマルウェアを含むとされる。パターンマッチ判定では、既知のマルウェアに含まれる特定の文字列やバイトコードがあらかじめ記憶され、検査対象ファイル中に記憶されている文字列やバイトコードが含まれている場合、検査対象ファイルはマルウェアを含むとされる。 Japanese Patent Application Laid-Open No. 2004-151561 lists hash value match determination and pattern match determination (signature scan) as typical static determination methods. In the hash value match determination, hash values of known malware such as MD5, SHA1, and SHA256 are stored in advance, and if the hash value of the inspection target file matches the stored hash value, the inspection target file includes malware. It is said. In pattern match judgment, when a specific character string or byte code included in known malware is stored in advance and the character string or byte code stored in the inspection target file is included, the inspection target file It is supposed to include.
また、特許文献1には、以下のような記述もある。すなわち、ハッシュ値一致判定およびパターンマッチ判定では、既存のマルウェアを改造した亜種マルウェアや新種のマルウェアの検知は難しいので、亜種マルウェアや新種のマルウェアを判定する手法として、ヒューリスティック判定が提案されている。ヒューリスティック判定では、過去の経験にもとづいてマルウェアらしさを定義し、その定義に従ってマルウェアか否か判定される。
さらに、特許文献1には、以下のような記述もある。すなわち、誤判定(誤検知)を低減するために、ホワイトリスト(信頼性が高いとされるプログラムやコードがリストアップされたリスト)を参照する方法が知られている。具体的には、あらかじめホワイトリストが作成され、ホワイトリストに掲載されているプログラムやコードがグッドウェア(マルウェアではないファイル)と判定され、ホワイトリストに掲載されていないプログラムやコードは、マルウェア等と見なされて、実行が禁止される。しかし、ホワイトリストを記憶するための記憶領域や照合のための処理時間が必要になるので、効率性が低下するとされている。なお、誤判定は、グッドウェアをマルウェアとして誤って判定してしまうことであり、False Positiveといわれることもある。
Further,
特許文献1には、機械学習を利用するマルウェア判定において、誤判定が少ないマルウェア判定を効率的に実行するために、既存マルウェアデータおよび既存グッドウェアデータを含む教師データから、誤検知グッドウェアデータの特徴ベクトルと特徴ベクトルが類似している既存マルウェアデータを削除する手法が記載されている。さらに、誤検知グッドウェアデータが、既存グッドウェアデータとして教師データに挿入された精査教師データが作成される。そして、分類器が、精査教師データの特徴ベクトルを学習し、検査対象ファイルの特徴ベクトルから、検査対象ファイルのマルウェアらしさを示すスコアを算出する。
In
特許文献1に記載された技術によれば、ホワイトリストを使用しないで、グッドウェアが誤ってマルウェアと判定される可能性が低減したマルウェア判定方法が実現される。
According to the technique described in
しかし、特許文献1に記載された技術は、マルウェアをマルウェアとして判定(検知)しないFalse Negative(検知漏れ)が考慮されていない。
However, the technique described in
標的型攻撃やランサムウェア等、攻撃が多様化および深刻化している。そのような状況の下では、False Positiveの低減による運用性の向上に加えて、False Negativeの低減による安全性の向上も重要である。 Attacks such as targeted attacks and ransomware are diversifying and becoming more serious. Under such circumstances, in addition to improving operability by reducing false positives, it is also important to improve safety by reducing false negatives.
本発明は、効率の低下や誤検出(False Positive)を増大しないようにしつつ、検知漏れ(False Negative)が少ない機械学習によるマルウェア判定を行うことを目的とする。 It is an object of the present invention to perform malware determination by machine learning with less detection failure (False Negative) while preventing increase in efficiency and false detection (False Positive).
本発明によるマルウェア判定方法は、機械学習を利用してマルウェア判定を行うマルウェア判定方法であって、未学習データから、機械学習によるマルウェアか否かの判定が難しいデータを抽出し、機械学習モデルを更新するために、抽出されたデータと学習済みデータとを対象として学習し、判定対象データのマルウェアらしさを示すスコアを算出し、算出されたスコアにもとづいて判定対象データがマルウェアか否か判定することを特徴とする。 The malware determination method according to the present invention is a malware determination method that performs machine determination using machine learning, and extracts data that is difficult to determine whether or not it is malware by machine learning from unlearned data. In order to update, the extracted data and learned data are learned as targets, a score indicating the malware likeness of the determination target data is calculated, and it is determined whether the determination target data is malware based on the calculated score It is characterized by that.
本発明によるマルウェア判定装置は、機械学習を利用してマルウェア判定を行うマルウェア判定装置であって、未学習データから、機械学習によるマルウェアか否かの判定が難しいデータを抽出する抽出手段と、判定対象データのマルウェアらしさを示すスコアを算出する分類手段と、抽出手段が抽出したデータと学習済みデータとを対象として学習を行って分類手段を更新する更新手段と、分類手段が算出したスコアにもとづいて判定対象データがマルウェアか否か判定する判定手段とを備えたことを特徴とする。 The malware determination apparatus according to the present invention is a malware determination apparatus that performs machine determination using machine learning, and extracts extraction means for extracting data that is difficult to determine whether it is malware by machine learning from unlearned data, Based on the classification means for calculating the score indicating the malware likeness of the target data, the update means for updating the classification means by learning the data extracted by the extraction means and the learned data, and the score calculated by the classification means And determining means for determining whether or not the determination target data is malware.
本発明によるマルウェア判定プログラムは、機械学習を利用してマルウェア判定を行うマルウェア判定を行うためのマルウェア判定プログラムであって、コンピュータに、未学習データから、機械学習によるマルウェアか否かの判定が難しいデータを抽出する処理と、機械学習モデルを更新するために、抽出されたデータと学習済みデータとを対象として学習する処理と、判定対象データのマルウェアらしさを示すスコアを算出する処理と、算出されたスコアにもとづいて判定対象データがマルウェアか否か判定する処理とを実行させることを特徴とする。 The malware determination program according to the present invention is a malware determination program for performing malware determination using machine learning to determine malware, and it is difficult to determine whether or not the computer is malware by machine learning from unlearned data. A process for extracting data, a process for learning the extracted data and the learned data in order to update the machine learning model, and a process for calculating a score indicating the malware likeness of the determination target data. And determining whether the determination target data is malware based on the score.
本発明によれば、効率の低下や誤検出を増大しないようにしつつ、検知漏れが少ない機械学習によるマルウェア判定を行うことができる。 ADVANTAGE OF THE INVENTION According to this invention, the malware determination by machine learning with few detection omissions can be performed, without making decline in efficiency and false detection increase.
以下、本発明の実施形態を図面を参照して説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
図1は、本発明によるマルウェア判定装置の一実施形態を示すブロック図である。なお、図1には、データベース(学習済みデータベースおよび未学習データベース)等も示されている。また、図1には、説明を容易にするために、対象ファイル110、判定結果120および分類情報130も示されているが、それらは、マルウェア判定装置1に入力されるデータまたはマルウェア判定装置1から出力されるデータである。
FIG. 1 is a block diagram showing an embodiment of a malware determination device according to the present invention. FIG. 1 also shows a database (learned database and unlearned database) and the like. FIG. 1 also shows the
図1に示すマルウェア判定装置1は、学習データ抽出部10、分類器更新部20、データベース更新部30、分類器40、判定部50および分類情報入力部60を備えている。
The
学習データ抽出部10は、未学習データベース100に格納されている未学習データを用いて、機械学習によるマルウェアか否かの判定が難しいデータを出力する。データベース100に格納されている未学習データは、例えば、未学習データ本体(例えば、コードやプログラムなどの実行ファイル)と、その実行ファイルがマルウェアであるかグッドウェアであるかを表す情報(以下、分類情報という。)と、その実行ファイルのマルウェアらしさを示すスコアとの組で構成されている。
The learning
具体的には、学習データ抽出部10は、未学習データベース100に格納されている未学習データのうち、グッドウェアとされているがスコアがあらかじめ定められている第1しきい値以上であるデータ(データAとする。)、および、マルウェアとされているがスコアがあらかじめ定められている第2しきい値未満であるデータ(データBとする。)を、機械学習によるマルウェアか否かの判定が難しいデータとして抽出する。
Specifically, the learning
第1しきい値(データAを抽出するためのしきい値)と第2しきい値(データBを抽出するためのしきい値)とは異なっていてもよいし同じでもよい。第1しきい値を高くしたり、第2しきい値を低くしたりすると抽出されるデータ数が少なくなる。第1しきい値を低くしたり、第2しきい値を高くしたりすると抽出されるデータ数が多くなる。前者は効率重視の調整、後者は精度重視の調整といえる。 The first threshold value (threshold value for extracting data A) and the second threshold value (threshold value for extracting data B) may be different or the same. If the first threshold value is increased or the second threshold value is decreased, the number of extracted data decreases. If the first threshold value is lowered or the second threshold value is raised, the number of extracted data increases. The former can be said to be an efficiency-oriented adjustment, and the latter is an accuracy-oriented adjustment.
なお、機械学習によるマルウェアか否かの判定が難しいデータの基準として、他の基準を用いてもよい。 In addition, you may use another reference | standard as a reference | standard of the data with which it is difficult to determine whether it is malware by machine learning.
分類器更新部20は、学習済みデータベース101に格納されている全ての学習済みデータ、および学習データ抽出部10が抽出した機械学習によるマルウェアか否かの判定が難しいデータ(データAおよびデータB)について学習を行い、分類器40を更新する。
The
具体的には、分類器更新部20は、学習済みデータベース101に格納されている全ての学習済みデータと、学習データ抽出部10が抽出したデータAおよびデータB中の未学習データ本体、ならびに、学習済みデータベース101に格納されている全ての学習済みデータの分類情報および学習データ抽出部10が抽出したデータAおよびデータB中の未学習データ本体の分類情報を受け取り、それらについて機械学習を行う。
Specifically, the
データベース更新部30は、分類器更新部20が分類器40を更新した後、学習データ抽出部20が抽出したデータを学習済みデータベース101に追加する。その後、未学習データベース100を空にする。また、データベース更新部30は、判定部50が判定結果120を出力した後、対象ファイル110と判定結果120に含まれるスコアとを組にして未学習データベース100に追加する。このとき、分類情報は空の状態で未学習データベース100に追加される。なお、対象ファイル110は、マルウェアであるかグッドウェアであるかの分類が未知の実行ファイルである。
The
分類器40は、対象ファイル110のマルウェアらしさを示すスコアを算出する。
The
判定部50は、スコアを基に対象ファイル110がマルウェアか否かを判定し、判定結果120を出力する。判定部50は、一例として、スコアがあらかじめ定められたしきい値以上であればマルウェアであると判定し、しきい値未満であればグッドウェアとするしきい値判定を用いる。なお、判定結果120は、マルウェアまたはグッドウェアの分類とスコアとを含む。
The
判定方法としてしきい値判定を用いる場合、しきい値を大きくすると、判定率(マルウェアがそうであると判定される率)は下がるが誤判定率も下がる。しきい値を減少させると、判定率と誤判定率の双方が上がる。ただし、しきい値と判定率および誤判定率は比例せず、ROC 曲線(Receiver Operating Characteristic curve )に従う。すなわち、あるしきい値の範囲ではしきい値を増やしても誤判定率はそれほど上がらず、判定率は非常に上がることが知られている。従って、あらかじめ適切にしきい値を調整することにより、許容範囲内に誤判定率を収めつつ、比較的高い判定率を得られるようにすることが好ましい。 When threshold determination is used as the determination method, if the threshold is increased, the determination rate (the rate at which malware is determined to be) decreases, but the false determination rate also decreases. Decreasing the threshold increases both the determination rate and the erroneous determination rate. However, the threshold is not proportional to the decision rate and false decision rate, and follows the ROC curve (Receiver Operating Characteristic curve). In other words, it is known that the misjudgment rate does not increase so much even if the threshold value is increased within a certain threshold range, and the judgment rate is very high. Therefore, it is preferable to appropriately adjust the threshold in advance so that a relatively high determination rate can be obtained while keeping the erroneous determination rate within the allowable range.
一例として、あらかじめ用意されたテスト用の対象ファイルをホールドアウト検証し、得られたスコアから、許容範囲内に誤判定率が収まるようにしきい値を決める方法が採用される。 As an example, a method is adopted in which a test target file prepared in advance is subjected to holdout verification, and a threshold value is determined from an obtained score so that an erroneous determination rate is within an allowable range.
分類情報入力部60は、分類情報130を基に未学習データベース100に格納されている未学習データのうち分類情報の更新対象となるデータを決め、当該データの分類情報を更新する。分類情報130は、未学習データのうちどのデータが更新対象となるかを決定するためのIDと、マルウェアであるかグッドウェアであるかを表す分類情報との組からなる。
Based on the
なお、学習データ抽出部10、分類器更新部20、データベース更新部30、分類器40、判定部50および分類情報入力部60(通信機能を実現するためのハードウェア部分を除く。)は、プログラム記憶部に格納されたプログラムにもとづいてCPU(Central Processing Unit )が処理を実行することによって実現可能である。しかし、それらは、ハードウェア(個別回路またはLSI(Large Scale Integration ))で実現されてもよい。
Note that the learning
次に、マルウェア判定装置1の動作を説明する。
Next, the operation of the
図2は、マルウェア判定装置1の学習フェーズの処理の一例を示すフローチャートである。図3は、学習フェーズが開始されるときに未学習データベース100および学習済みデータベース101に格納されているデータを示す説明図である。
FIG. 2 is a flowchart illustrating an example of the learning phase process of the
図3に示すように、未学習データベース100には、未学習データ(コードやプログラム等の未学習データ本体、分類情報、および実行ファイルのマルウェアらしさを示すスコアとの組)がIDとともに格納されている。
As shown in FIG. 3, the
図2に示すように、学習データ抽出部10は、未学習データベース100に格納されている未学習データのうち、マルウェアらしさを示すスコアがあらかじめ定められたしきい値以上のグッドウェアに分類されているデータ(データA)と、マルウェアらしさを示すスコアがあらかじめ定められたしきい値未満のマルウェアに分類されているデータ(データB)を、機械学習によるマルウェアか否かの判定が難しいデータとして抽出する(ステップS101)。
As shown in FIG. 2, the learning
分類器更新部20は、ステップS101の処理で抽出されたデータA,Bと、学習済みデータベース101に格納されている全ての学習済みデータとを学習して、分類器40を更新する(ステップS102)。
The
データベース更新部30は、ステップS101の処理で抽出されたデータA,Bを学習済みデータベース101に追加し、未学習データベース100を空にする(ステップS103)。
The
図4は、マルウェア判定装置1の判定フェーズの処理の一例を示すフローチャートである。
FIG. 4 is a flowchart illustrating an example of the determination phase process of the
図4に示すように、分類器40は、対象ファイル110のマルウェアらしさを示すスコアを算出する(ステップS111)。判定部50は、算出されたスコアを基に、対象ファイル110がマルウェアであるか否か判定する(ステップS112)。上述したように、判定部50は、例えば、算出されたスコアが所定のしきい値以上であればマルウェアと判定し、しきい値未満であればグッドウェアと判定する。そして、判定部50は、判定結果120を出力する。判定結果120は、マルウェアまたはグッドウェアの分類情報とスコアとを含む。
As shown in FIG. 4, the
データベース更新部30は、対象ファイル110と判定結果120に含まれるスコアとを組にして未学習データベース100に追加する(ステップS113)。ただし、分類情報が空の状態で未学習データベース100に追加される。
The
図5は、分類情報入力処理を示すフローチャートである。図5に示すように、分類情報入力部60は、分類情報130に含まれるIDを参照して、未学習データベース100のうち、IDに対応するデータについてのマルウェアであるかグッドウェアであるかの分類情報を、分類情報130に含まれるマルウェアであるかグッドウェアであるかの分類情報で更新する(ステップS121)。
FIG. 5 is a flowchart showing classification information input processing. As shown in FIG. 5, the classification
なお、分類情報130は、例えば、マルウェア判定装置1の外部から対象ファイル110ととともに入力される情報である。
The
以上に説明したように、本実施形態では、マルウェア判定装置1は、分類器40への学習がまだ行われていない実行ファイル(未学習データ本体)、その実行ファイルがマルウェアであるかグッドウェアであるかを表す分類情報、その実行ファイルのマルウェアらしさを示すスコアを含む未学習データから機械学習によるマルウェアか否かの判定が難しいデータを抽出する学習データ抽出部10と、学習データ抽出部10が抽出した機械学習によるマルウェアか否かの判定が難しいデータと学習済みデータとを対象として学習を行って分類器40を更新する分類器更新部20と、未学習データが格納される未学習データベース100および学習済みデータが格納される学習済みデータベース101の内容を更新するデータベース更新部30と、マルウェアであるか否かの判定対象となる対象ファイル110のマルウェアらしさを示すスコアを算出する分類器40と、算出されたスコアに基づいて対象ファイル110がマルウェアであるか否かを判定する判定部50と、未学習データベース100中のIDが合致する未学習データの分類情報を更新する分類情報入力部60とを備えている。
As described above, in this embodiment, the
また、本実施形態では、マルウェア判定方法は、マルウェア判定装置1で実行されるマルウェア判定方法であって、分類器40への学習がまだ行われていない実行ファイル(未学習データ本体)、その実行ファイルがマルウェアであるかグッドウェアであるかを表す分類情報、その実行ファイルのマルウェアらしさを示すスコアを含む未学習データから機械学習によるマルウェアか否かの判定が難しいデータを抽出する学習データ抽出工程と、学習データ抽出工程で抽出された機械学習によるマルウェアか否かの判定が難しいデータと学習済みデータとを対象として学習を行って分類器40を更新する分類器更新工程と、未学習データが格納される未学習データベース100および学習済みデータが格納される学習済みデータベース101の内容を更新するデータベース更新工程と、マルウェアか否かの判定対象となる対象ファイルから対象ファイルのマルウェアらしさを示すスコアを算出する分類工程と、算出されたスコアに基づいて対象ファイルがマルウェアであるか否かを判定する判定工程と、未学習データベース100中のIDが合致する未学習データの分類情報を更新する分類情報入力工程とを備えている。
Moreover, in this embodiment, the malware determination method is a malware determination method executed by the
そのような構成にもとづいて、未学習データの全てを対象として学習が行われるのではなく、分類器40が明確に分類することができなかったデータのみについて学習が行われる。すなわち、分類器40が既に適切に学習できているデータは学習対象から外される。よって、学習に要する時間が短縮される。また、誤検出(False Positive)を増大しないようにしつつ、検知漏れ(False Negative)が少ない機械学習によるマルウェア判定を行うことができる。
Based on such a configuration, learning is not performed on all unlearned data, but learning is performed only on data that the
なお、従来技術では、マルウェア判定の精度を向上させるために、多くのデータを学習する分類器が作成されていた。亜種のマルウェアや新種のマルウェアに対する判定精度を維持するには学習を継続して行って分類器を最新の状態に保つことが求められ、かつ、データの学習に要する時間がデータ数の増加に応じて増大するので、長期間に亘る運用に支障を来しかねないという課題がある。また、機械学習では、分類器がどのような尺度を用いてスコアを算出しているかが人間にとって分かりづらいので、判定精度を維持しながら学習データを削減することが困難であった。 In the prior art, in order to improve the accuracy of malware determination, a classifier that learns a lot of data has been created. In order to maintain the accuracy of detection of variants and new types of malware, it is necessary to continue learning to keep the classifier up-to-date, and the time required for data learning increases. Since it increases according to the problem, there is a problem that it may hinder long-term operation. Also, in machine learning, it is difficult for humans to understand what scale the classifier uses to calculate the score, so it is difficult to reduce learning data while maintaining determination accuracy.
なお、図1に示されたマルウェア判定装置1における各要素、未学習データベース100、および学習済みデータベース101は、機能に着目して、役割が割り当てられているが、各要素等の構成の仕方は、図1に示された例に限定されない。
Note that each element, the
図6は、本発明によるマルウェア判定装置の主要部を示すブロック図である。図6に示すマルウェア判定装置80は、未学習データから、機械学習によるマルウェアか否かの判定が難しいデータを抽出する抽出手段81(実施形態では、学習データ抽出部10で実現される。)と、判定対象データのマルウェアらしさを示すスコアを算出する分類手段82(実施形態では、分類器40で実現される。)と、抽出手段81が抽出したデータと学習済みデータとを対象として学習を行って分類手段82を更新する更新手段83(実施形態では、分類器更新部20で実現される。)と、分類手段が算出したスコアにもとづいて判定対象データがマルウェアか否か判定する判定手段84(実施形態では、判定部50で実現される。)とを備えている。
FIG. 6 is a block diagram showing a main part of the malware determination device according to the present invention. The
マルウェア判定装置80で実行されるマルウェア判定方法は、未学習データから、機械学習によるマルウェアか否かの判定が難しいデータを抽出し、機械学習モデル(例えば、分類器40)を更新するために、抽出されたデータと学習済みデータとを対象として学習し、判定対象データのマルウェアらしさを示すスコアを算出し、算出されたスコアにもとづいて判定対象データがマルウェアか否か判定する。
The malware determination method executed by the
図7は、本発明による他の態様のマルウェア判定装置の主要部を示すブロック図である。図7に示すマルウェア判定装置80は、未学習データがマルウェアとされているのかグッドウェアとされているのかを表す情報を入力する分類情報入力手段85をさらに備えている。
FIG. 7 is a block diagram showing a main part of a malware determination device according to another aspect of the present invention. The
1 マルウェア判定装置
10 学習データ抽出部
20 分類器更新部
30 データベース更新部
40 分類器
50 判定部
60 分類情報入力部
80 マルウェア判定装置
81 抽出手段
82 分類手段
83 更新手段
84 判定手段
85 分類情報入力手段
100 未学習データベース
101 学習済みデータベース
110 対象ファイル
120 判定結果
130 分類情報
DESCRIPTION OF
Claims (8)
未学習データから、機械学習によるマルウェアか否かの判定が難しいデータを抽出し、
機械学習を更新するために、抽出された前記データと学習済みデータとを対象として学習し、
判定対象データのマルウェアらしさを示すスコアを算出し、
算出されたスコアにもとづいて判定対象データがマルウェアか否か判定する
ことを特徴とするマルウェア判定方法。 A malware determination method for performing malware determination using machine learning,
From unlearned data, extract data that is difficult to determine whether it is malware by machine learning,
In order to update machine learning, learning is performed on the extracted data and learned data,
Calculate a score indicating the malware likeness of the data to be judged,
A malware determination method characterized by determining whether or not the determination target data is malware based on the calculated score.
請求項1記載のマルウェア判定方法。 Data that is considered goodware but has a score equal to or higher than a predetermined first threshold value, and data that is considered malware but has a score lower than a predetermined second threshold value, The malware determination method according to claim 1, wherein the malware is extracted as data that is difficult to determine whether it is malware by machine learning.
請求項2記載のマルウェア判定方法。 The malware determination method according to claim 2, wherein information indicating whether the unlearned data is malware or goodware is input.
未学習データから、機械学習によるマルウェアか否かの判定が難しいデータを抽出する抽出手段と、
判定対象データのマルウェアらしさを示すスコアを算出する分類手段と、
前記抽出手段が抽出した前記データと学習済みデータとを対象として学習を行って前記分類手段を更新する更新手段と、
前記分類手段が算出したスコアにもとづいて判定対象データがマルウェアか否か判定する判定手段と
を備えたことを特徴とするマルウェア判定装置。 A malware determination device that performs machine determination using machine learning,
Extraction means for extracting data that is difficult to determine whether it is malware by machine learning from unlearned data;
Classification means for calculating a score indicating the malware likeness of the determination target data;
Updating means for performing learning on the data extracted by the extraction means and learned data and updating the classification means;
A malware determination apparatus comprising: determination means for determining whether or not the determination target data is malware based on the score calculated by the classification means.
請求項4記載のマルウェア判定装置。 The extraction means is goodware, but the score is equal to or higher than a predetermined first threshold value, and the malware is considered to be malware but the score is lower than a predetermined second threshold value. The malware determination apparatus according to claim 4, wherein the data is extracted as data that is difficult to determine whether it is malware by machine learning.
コンピュータに、
未学習データから、機械学習によるマルウェアか否かの判定が難しいデータを抽出する処理と、
機械学習を更新するために、抽出された前記データと学習済みデータとを対象として学習する処理と、
判定対象データのマルウェアらしさを示すスコアを算出する処理と、
算出されたスコアにもとづいて判定対象データがマルウェアか否か判定する処理と
を実行させるためのマルウェア判定プログラム。 A malware determination program for performing malware determination using machine learning to determine malware,
On the computer,
A process of extracting data that is difficult to determine whether it is malware by machine learning from unlearned data,
A process of learning the extracted data and learned data to update machine learning;
A process of calculating a score indicating the malware likeness of the determination target data;
A malware determination program for executing a process of determining whether or not the determination target data is malware based on the calculated score.
グッドウェアとされているがスコアがあらかじめ定められている第1しきい値以上であるデータと、マルウェアとされているがスコアがあらかじめ定められている第2しきい値未満であるデータとを、機械学習によるマルウェアか否かの判定が難しいデータとして抽出させるための請求項7記載のマルウェア判定プログラム。 On the computer,
Data that is considered goodware but has a score equal to or higher than a predetermined first threshold value, and data that is considered malware but has a score lower than a predetermined second threshold value, The malware determination program according to claim 7 for extracting data as difficult to determine whether it is malware by machine learning.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017057900A JP6880891B2 (en) | 2017-03-23 | 2017-03-23 | Malware judgment method, malware judgment device and malware judgment program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017057900A JP6880891B2 (en) | 2017-03-23 | 2017-03-23 | Malware judgment method, malware judgment device and malware judgment program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018160172A true JP2018160172A (en) | 2018-10-11 |
JP6880891B2 JP6880891B2 (en) | 2021-06-02 |
Family
ID=63795200
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017057900A Active JP6880891B2 (en) | 2017-03-23 | 2017-03-23 | Malware judgment method, malware judgment device and malware judgment program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6880891B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021260770A1 (en) * | 2020-06-22 | 2021-12-30 | 日本電信電話株式会社 | Recognizer training device, recognizer training method, and recognizer training program |
WO2022009274A1 (en) * | 2020-07-06 | 2022-01-13 | 日本電信電話株式会社 | Security setting support device, security setting support method, and program |
WO2023248948A1 (en) * | 2022-06-24 | 2023-12-28 | 株式会社東京ウエルズ | Learning device, learning method, and learning program |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014511536A (en) * | 2011-03-01 | 2014-05-15 | シマンテック コーポレーション | User interface and workflow for machine learning |
JP2016076073A (en) * | 2014-10-06 | 2016-05-12 | 日本電気株式会社 | Data processing device, data processing method, and computer program |
JP2016206950A (en) * | 2015-04-22 | 2016-12-08 | 日本電信電話株式会社 | Perusal training data output device for malware determination, malware determination system, malware determination method, and perusal training data output program for malware determination |
JP2017004123A (en) * | 2015-06-05 | 2017-01-05 | 日本電信電話株式会社 | Determination apparatus, determination method, and determination program |
US20170032279A1 (en) * | 2015-07-31 | 2017-02-02 | Acuity Solutions Corporation | System and method for in-situ classifier retraining for malware identification and model heterogeneity |
-
2017
- 2017-03-23 JP JP2017057900A patent/JP6880891B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014511536A (en) * | 2011-03-01 | 2014-05-15 | シマンテック コーポレーション | User interface and workflow for machine learning |
JP2016076073A (en) * | 2014-10-06 | 2016-05-12 | 日本電気株式会社 | Data processing device, data processing method, and computer program |
JP2016206950A (en) * | 2015-04-22 | 2016-12-08 | 日本電信電話株式会社 | Perusal training data output device for malware determination, malware determination system, malware determination method, and perusal training data output program for malware determination |
JP2017004123A (en) * | 2015-06-05 | 2017-01-05 | 日本電信電話株式会社 | Determination apparatus, determination method, and determination program |
US20170032279A1 (en) * | 2015-07-31 | 2017-02-02 | Acuity Solutions Corporation | System and method for in-situ classifier retraining for malware identification and model heterogeneity |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021260770A1 (en) * | 2020-06-22 | 2021-12-30 | 日本電信電話株式会社 | Recognizer training device, recognizer training method, and recognizer training program |
JP7400972B2 (en) | 2020-06-22 | 2023-12-19 | 日本電信電話株式会社 | Recognizer learning device, recognizer learning method, and recognizer learning program |
WO2022009274A1 (en) * | 2020-07-06 | 2022-01-13 | 日本電信電話株式会社 | Security setting support device, security setting support method, and program |
JP7468658B2 (en) | 2020-07-06 | 2024-04-16 | 日本電信電話株式会社 | SECURITY SETTING SUPPORT DEVICE, SECURITY SETTING SUPPORT METHOD, AND PROGRAM |
WO2023248948A1 (en) * | 2022-06-24 | 2023-12-28 | 株式会社東京ウエルズ | Learning device, learning method, and learning program |
Also Published As
Publication number | Publication date |
---|---|
JP6880891B2 (en) | 2021-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109145600B (en) | System and method for detecting malicious files using static analysis elements | |
Alazab et al. | Malware detection based on structural and behavioural features of API calls | |
US11165790B2 (en) | Malicious communication log detection device, malicious communication log detection method, and malicious communication log detection program | |
KR101337874B1 (en) | System and method for detecting malwares in a file based on genetic map of the file | |
WO2019002603A1 (en) | Method of monitoring the performance of a machine learning algorithm | |
KR20170108330A (en) | Apparatus and method for detecting malware code | |
US20190228154A1 (en) | Malware sequence detection | |
JP2016206950A (en) | Perusal training data output device for malware determination, malware determination system, malware determination method, and perusal training data output program for malware determination | |
JP6039768B1 (en) | ADJUSTMENT DEVICE, ADJUSTMENT METHOD, AND ADJUSTMENT PROGRAM | |
US20180225453A1 (en) | Method for detecting a threat and threat detecting apparatus | |
KR102317833B1 (en) | method for machine LEARNING of MALWARE DETECTING MODEL AND METHOD FOR detecting Malware USING THE SAME | |
US11797668B2 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
US20220222372A1 (en) | Automated data masking with false positive detection and avoidance | |
JP6880891B2 (en) | Malware judgment method, malware judgment device and malware judgment program | |
CN110659486A (en) | System and method for detecting malicious files using two-level file classification | |
JP2017004123A (en) | Determination apparatus, determination method, and determination program | |
KR101963756B1 (en) | Apparatus and method for learning software vulnerability prediction model, apparatus and method for analyzing software vulnerability | |
JP2014229115A (en) | Information processing device and method, program, and storage medium | |
Miura et al. | Macros finder: Do you remember loveletter? | |
KR20180133726A (en) | Appratus and method for classifying data using feature vector | |
Yuan et al. | Android applications categorization using bayesian classification | |
CN113378161A (en) | Security detection method, device, equipment and storage medium | |
JP6954466B2 (en) | Generation method, generation device and generation program | |
JP6935849B2 (en) | Learning methods, learning devices and learning programs | |
CN109472141B (en) | Method and system for detecting malicious code based on time-series difference |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200205 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201106 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201117 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201127 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210406 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210419 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6880891 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |