JP2009522636A - 侵入コード検知のためのコードモニタリング方法及び装置 - Google Patents
侵入コード検知のためのコードモニタリング方法及び装置 Download PDFInfo
- Publication number
- JP2009522636A JP2009522636A JP2008548375A JP2008548375A JP2009522636A JP 2009522636 A JP2009522636 A JP 2009522636A JP 2008548375 A JP2008548375 A JP 2008548375A JP 2008548375 A JP2008548375 A JP 2008548375A JP 2009522636 A JP2009522636 A JP 2009522636A
- Authority
- JP
- Japan
- Prior art keywords
- code
- pattern
- target
- target code
- monitoring method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Investigating Or Analysing Biological Materials (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Peptides Or Proteins (AREA)
- Medicines Containing Antibodies Or Antigens For Use As Internal Diagnostic Agents (AREA)
Abstract
侵入コードを検知するためのコードモニタリング方法及び装置を提供する。
本発明のコードモニタリング方法は、対象コードに対してシステムに常在する常駐コードであるかシステムに侵入した侵入コードであるかを判別する。コードモニタリング方法において、第1コードパターンは対象コードより抽出される。第2コードパターンは格納手段からをロードされ、第1コードパターンと第2コードパターンとの距離を計算する。計算された距離を閾値と比較して対象コードが侵入コードであるか否か判断する。
【選択図】 図3
本発明のコードモニタリング方法は、対象コードに対してシステムに常在する常駐コードであるかシステムに侵入した侵入コードであるかを判別する。コードモニタリング方法において、第1コードパターンは対象コードより抽出される。第2コードパターンは格納手段からをロードされ、第1コードパターンと第2コードパターンとの距離を計算する。計算された距離を閾値と比較して対象コードが侵入コードであるか否か判断する。
【選択図】 図3
Description
本発明は、侵入コード検知のためのコードモニタリング方法及び装置に関し、より詳細には、コンピュータで動作するアプリケーション(application)のコードをモニタリングし、モニタリング対象コードが侵入コードであるか常駐コードであるかを判別するコードモニタリング方法及び装置に関する。
悪性コードとは、製作者が意図的にユーザに被害を与えるために作成したすべての悪意目的を有するプログラム、マクロ(macro)、及びスクリプト(script)など、コンピュータ上で作動するすべての実行可能な形態のコードを意味する。
図1は、悪性コードの生命周期を示す図である。
図1に示すように、悪性コードの生命周期は、悪性コードが作成され、公開される時期10と、通信網を介して感染ファイルが配布されて拡散する時期11と、悪性コードが活性化しユーザに認知される時期12と、ワクチンプログラムのアップデート後に悪性コードが除去される時期13と、消滅する時期14とに区分することができる。
図1に示すように、悪性コードの生命周期は、悪性コードが作成され、公開される時期10と、通信網を介して感染ファイルが配布されて拡散する時期11と、悪性コードが活性化しユーザに認知される時期12と、ワクチンプログラムのアップデート後に悪性コードが除去される時期13と、消滅する時期14とに区分することができる。
図2の(a)は、変種の悪性コードの生命周期を示す図である。横軸は時間を表し、縦軸は感染数を表す。図2の(a)によれば、新種の悪性コード20が出現し消滅しながら、変種の悪性コード21が持続的に発生することにより悪性コードの生命周期が長くなることが分かる。
図2の(b)は、悪性コードに対応する時点を示す図である。図面符号22は、ユーザが悪性コードに対応するためにワクチンプログラムをアップデート(update)する必要があると思われる時期を表し、図面符号23は、実際にワクチンプログラムがアップデートされる時期を表す。図2の(b)によれば、ユーザがアップデートを所望する時期と実際のアップデート時期とに差があることが分かる。
図2の(b)は、悪性コードに対応する時点を示す図である。図面符号22は、ユーザが悪性コードに対応するためにワクチンプログラムをアップデート(update)する必要があると思われる時期を表し、図面符号23は、実際にワクチンプログラムがアップデートされる時期を表す。図2の(b)によれば、ユーザがアップデートを所望する時期と実際のアップデート時期とに差があることが分かる。
上述したように、ワクチンプログラムのアップデート時期の差は、悪性コードが拡散した後に分析がなされて対応方法が設けられ、これに応じて新しいエンジンにアップデートする時間が長くかかるために発生する。また、変種の出現により、悪性コードの分析により多くの時間と人力が消費されるという問題もある。
本発明は、上記のような問題点を解決するために案出されたものであって、モニタリング対象コードからコードパターンを抽出し、抽出されたパターンを常駐コードの特性を反映したパターンと比較することで、モニタリング対象コードが侵入コードであるか常駐コードであるかを判別するコードモニタリング方法及び装置を提供することを目的とする。
上記の目的を達成するために、本発明は、モニタリングの対象コードに対してシステムに侵入した侵入コードであるか否かを判別するコードモニタリング方法であって、まず、前記対象コードから第1コードパターンを抽出する。次に、格納手段から第2コードパターンを読み込み、前記第1コードパターン及び第2コードパターンとの距離を計算する。計算された距離を閾値と比較して前記対象コードが侵入コードであるか否かを判断する。
また、本発明はシステムにおいて、モニタリングの対象コードに対して該対象コードが前記システムに侵入した侵入コードであるか否かを判別するコードモニタリング装置であって、コードパターン抽出部及びコード判断部を備える。前記コードパターン抽出部は、前記対象コードから第1コードパターンを抽出する。前記コード判定部は、入力された第2コードパターンと前記第1コードパターンとの距離を計算し、計算された距離を閾値と比較して前記対象コードを侵入コードであるか否かを判断する。
本発明によれば、生体免疫体系において自己/非自己を識別するために用いられるメカニズムを用いてモニタリングの対象コードが常駐コードであるか侵入コードであるかを判別することで、従来技術に比べて侵入コードの判別性能が改善され、これによって従来技術に比べてワクチンプログラムのアップデートが速くなり、悪性コードに対し迅速に対処することができるという効果がある。
以下、図面を参照しながら、本発明をより詳細に説明する。
生体分子を用いて情報を処理しようとする分子情報処理技術にDNA分子を用いたDNA分子コンピュータ技術がある。
DNA分子コンピュータは、基本的にDNA塩基配列に情報を格納し、DNA分子が有する化学的特性を用いて情報を処理する方式である。
DNA分子コンピュータは、基本的にDNA塩基配列に情報を格納し、DNA分子が有する化学的特性を用いて情報を処理する方式である。
DNA分子コンピュータ技術は、免疫系を構成する細胞の特性、すなわち過去に経験した抗原に対する記憶を有するだけでなく、新しいパターンの抗原に対しても対抗することができるため、このような特性を用いてパターン認識や特徴抽出などの分野に応用されて来た。本発明では、モニタリングの対象コードに対して侵入コードの可否を判別するために、上述したDNA分子コンピュータの概念を導入する。
図3は、本発明の一実施形態によるコードモニタリング装置を示すブロック図である。
図3に示すコードモニタリング装置は、コードパターン抽出部31及びコード判断部32を備える。
コードモニタリング装置は、対象コードが侵入コードであるか常駐コードであるかを判断するために、免疫判断パターンを格納する格納部33をさらに備えることができる。
図3に示すコードモニタリング装置は、コードパターン抽出部31及びコード判断部32を備える。
コードモニタリング装置は、対象コードが侵入コードであるか常駐コードであるかを判断するために、免疫判断パターンを格納する格納部33をさらに備えることができる。
さらに、コードモニタリング装置は、対象コードがコード判断部32において侵入コードであると判定されたときに、侵入コードが悪性コードであるか否かを予測する悪性コード予測部34をさらに備えることができる。ここで、格納部33は通常的な情報格納装置であって、メモリ、MD、CD、DVDなどであると言える。
コードパターン抽出部31は、対象コードの予め定められた位置から判別に用いるコードを所定の長さで抽出する。すなわち、コードの抽出は、一定の割合によって全体の対象コードから一定の部分から抽出することができる。例えば、1000バイト(byte)のコードがあれば、抽出は100バイトだけなされることができ、このときにこの100バイトは互いに異なる位置から一定の長さ、すなわち10バイトずつ10個の集合の形態で抽出することができる。
また、抽出されたコードは、他の対象コードから抽出されたコードと区別される独自性(uniqueness)を有する。もし、抽出されたコードが異なる対象コードから抽出されたコードと区別されなければ、対象コードの他の部分から同じ方式で判別に用いるコードが抽出される。
また、抽出されたコードは、他の対象コードから抽出されたコードと区別される独自性(uniqueness)を有する。もし、抽出されたコードが異なる対象コードから抽出されたコードと区別されなければ、対象コードの他の部分から同じ方式で判別に用いるコードが抽出される。
本実施形態では、コードパターンを抽出するために、生体免疫体系のうちで免疫判別のために抗原の一部がモニタリングされる抗原提供体系(antigen−presenting system)を模倣する。
すなわち、抗原提供体系を対象コードに適用して対象コードを変換し、変換されたコードからコードパターンを抽出するものである。本実施形態では、抗原提供体系としてDNA配列からタンパク質(アミノ酸)コードを抽出し、抽出されたタンパク質(アミノ酸)コードに自己(self)/非自己(nonself)を識別するメカニズムを適用して対象コードからコードパターンを抽出する。
すなわち、抗原提供体系を対象コードに適用して対象コードを変換し、変換されたコードからコードパターンを抽出するものである。本実施形態では、抗原提供体系としてDNA配列からタンパク質(アミノ酸)コードを抽出し、抽出されたタンパク質(アミノ酸)コードに自己(self)/非自己(nonself)を識別するメカニズムを適用して対象コードからコードパターンを抽出する。
図4は、上述した生体免疫体系によって、コードパターン抽出部31で実行されるコードパターン抽出工程を説明するためのフローチャートである。
まず、実行コードの経路を追跡して全体の実行コードをロードする(ステップ41)。
実行コードをロードする時点は、コンピュータシステムにファイルがコピーされるとき、ネットワークで電子メール(email)などを介してファイル送信がなされるとき、ユーザが実行ファイルを実行したとき、その他、悪性コード対抗プログラムに対してユーザが定めた時点のうちのいずれか1つであると言える。
まず、実行コードの経路を追跡して全体の実行コードをロードする(ステップ41)。
実行コードをロードする時点は、コンピュータシステムにファイルがコピーされるとき、ネットワークで電子メール(email)などを介してファイル送信がなされるとき、ユーザが実行ファイルを実行したとき、その他、悪性コード対抗プログラムに対してユーザが定めた時点のうちのいずれか1つであると言える。
図5は、ロードされた16進コード(hexadecimal code)の一例を示す図である。図面番号51は、16進コード52の位置を示す。
ロードされたコードは、DNAコードにエンコードされる(ステップ42)。
エンコードは、図5に示す16進コードにおいて各バイトに割り当てられた値を4で割り、その剰余がそれぞれ0、1、2、3であれば、その剰余をそれぞれDNA塩基であるA、T、G、Cに置換してなされる。この結果を図6に示す。
ロードされたコードは、DNAコードにエンコードされる(ステップ42)。
エンコードは、図5に示す16進コードにおいて各バイトに割り当てられた値を4で割り、その剰余がそれぞれ0、1、2、3であれば、その剰余をそれぞれDNA塩基であるA、T、G、Cに置換してなされる。この結果を図6に示す。
ステップ43では、DNAコードをプロテインコードに変換する。変換は、公知の者に対するコドン規則(codon rule)に従ってなされる。人間に対するコドン規則は、下記の表1の通りである。
表1によって、例えば、DNAコードのうち“GCA”の塩基配列を有する場合には“A”に置換される。
図7は、表1によって置換された結果を示す図である。
図7は、表1によって置換された結果を示す図である。
ステップ44では、図7に示したタンパク質(アミノ酸)コードからコードパターンを抽出する。コードパターンは、タンパク質(アミノ酸)コードから生体免疫体系で自己/非自己を識別するために用いられるメカニズムである主要組織適合複合体1(Major Histocompatibility Complex 1:MHC1)分子のバインディングパターン(binding pattern)に該当する部分を抽出することによって得られる。
MHC1分子バインディングパターンは、下記の2つの式にて表現することができる。
(a) [A−Z]{2}Y[A−Z][YF][A−Z]{2}[LMIV]
(b) [A−Z]{4}N[A−Z]{3}[LMIV]
ここで、[A−Z]はアルファベットAからZまでの選択範囲を表し、{2}は連続する文字の数を表す。
(a) [A−Z]{2}Y[A−Z][YF][A−Z]{2}[LMIV]
(b) [A−Z]{4}N[A−Z]{3}[LMIV]
ここで、[A−Z]はアルファベットAからZまでの選択範囲を表し、{2}は連続する文字の数を表す。
図8は、図7に示すタンパク質(アミノ酸)コードのうち、上述した(a)または(b)の式を満たす部分を抽出した一例を示す図である。
図8において、図面符号81はファイル名を、82は(a)又は(b)式のパターンを、83は(a)又は(b)式によるタンパク質(アミノ酸)コードを、84は83のタンパク質(アミノ酸)コードに対するファイル内の位置をそれぞれ表す。
図8において、図面符号81はファイル名を、82は(a)又は(b)式のパターンを、83は(a)又は(b)式によるタンパク質(アミノ酸)コードを、84は83のタンパク質(アミノ酸)コードに対するファイル内の位置をそれぞれ表す。
図3のコード判断部32は、格納部33に格納された免疫判断用コードパターンをロードし、ロードされた免疫判断用コードパターンをコードパターン抽出部31から抽出されたコードパターンと比較し、抽出されたコードが常駐コードであるか侵入コードであるかを判別する。
ここで、免疫判断用コードパターンとは、常駐コードを用いてコードパターン抽出部31とコード判断部32によって免疫判断用コードパターンとして判別されて格納部32に格納されたパターンである。
ここで、免疫判断用コードパターンとは、常駐コードを用いてコードパターン抽出部31とコード判断部32によって免疫判断用コードパターンとして判別されて格納部32に格納されたパターンである。
図9は、格納部32に免疫判断用パターンが格納される工程を説明するためのフローチャートである。
まず、常駐コードに対するコードパターンを抽出する(ステップ91)。コードパターンの抽出は、図4に示す工程によってなされる。
まず、常駐コードに対するコードパターンを抽出する(ステップ91)。コードパターンの抽出は、図4に示す工程によってなされる。
ステップ92では、ランダムパターンが生成される。このとき、ランダムパターンは、常駐コードに対するパターンと同じ長さを有し、無作為に生成される。
ステップ93では、常駐コードパターンとi番目のランダムパターンとの距離を比較する。距離は多様な方法で計算することができ、例えば、下記の数式1のようにアルファベット順の差の二乗を足して計算することができる。
ステップ93では、常駐コードパターンとi番目のランダムパターンとの距離を比較する。距離は多様な方法で計算することができ、例えば、下記の数式1のようにアルファベット順の差の二乗を足して計算することができる。
i番目のランダムパターンに対して、数式1によって計算された距離と閾値とを比較し(ステップ94)、計算された距離が閾値よりも少ないか同じであれば、該当のランダムパターンを免疫判断用コードパターンとして格納部33に格納する(ステップ95)。
ここで、閾値は所定の値であり、本実施形態では、常駐コードのパターン分布に応じて常駐コードパターンの分布から任意に選択された2つのコードパターン間の距離の1/2が閾値の最小値として選択される。もし、閾値が低く設定されれば、選択される免疫判断用コードパターンが多くなる傾向があり、高く設定されれば免疫判断用コードパターンが少なくなる傾向がある。
コード判断部32は、図9に示す工程に応じて格納部33に格納された免疫判断用コードパターンと、コードパターン抽出部31で抽出された対象コードのパターンとの間の距離を下記の数式2のように計算する。
数式2によって計算された距離が閾値よりも小さいか同じであれば対象コードを常駐コードとして、閾値よりも大きければ対象コードを侵入コードとして判定する。
コード判断部32が対象コードを侵入コードとして判断した場合に、悪性コード予測部34は、侵入コードが悪性コードであるか否かを判別する。
悪性コードの有無に対する判別工程は、ユーザの経験及び疑いのある悪性コードに基づいて実行される。
悪性コードの有無に対する判別工程は、ユーザの経験及び疑いのある悪性コードに基づいて実行される。
一般的に表れる悪性コードの症状は、ファイル特性把握、ゴート(goat)ファイル実験、プロセス、スレッド(thread)、レジストリ(registry)の変更、ネットワークポート、コードエミュレーション(code emulation)、実行コードデバッギング(debugging)、システムモニタリングなどの方法を用いて把握することができる。また悪性コードの症状は、例えばスパイウェア(spyware)、ワーム(worm)、ボット(bot)、トロイの木馬(trojan)、ファイルウイルス、マクロ(macro)ウイルスのような悪性コードの種類または圧縮の有無によって異なる症状を表すようになる。
悪性コードの判別は、ユーザの経験に基づいてパターン化したり自動化することができ、悪性コードとして判別される場合に、悪性コード予測部34は、該当のコード又は他のコードの実行を中断してネットワーク上の他のコンピュータに警報を出力することができる。
下記の表2は、上述した閾値と免疫判断用コードパターン生成の割合に従って対象コードのうちで侵入コードを判別した実験結果を表すものである。
上記した表2において、割合は免疫判断用コードパターン生成の割合を表し、生成可能な組み合わせのすべてのパターン数に対し実際に生成されるパターン数の割合である。
例えば、パターンの長さがnで、各位置ごとにm個の文字で表現されるパターンがあれば、このパターンの生成可能な組み合わせのパターン数は、mのn乗個となるであろう。生成の割合とは、このようなmのn乗個のパターンの1/10、1/100、…などの個数だけを生成して用いることを意味する。
上記の表2では、すべて可能な組み合わせのパターン数のうちで1/1,000,000に該当する個数、50/1,000,000に該当する個数、1/100,000の生成割合を用いて侵入コードの判断性能を測定したものである。
例えば、パターンの長さがnで、各位置ごとにm個の文字で表現されるパターンがあれば、このパターンの生成可能な組み合わせのパターン数は、mのn乗個となるであろう。生成の割合とは、このようなmのn乗個のパターンの1/10、1/100、…などの個数だけを生成して用いることを意味する。
上記の表2では、すべて可能な組み合わせのパターン数のうちで1/1,000,000に該当する個数、50/1,000,000に該当する個数、1/100,000の生成割合を用いて侵入コードの判断性能を測定したものである。
表2によれば、侵入コードを判別するための閾値が2700、2500、2300であるときに侵入コード判別性能が優れることが分かり、免疫判断用パターン生成の割合が高いほど侵入コード判別性能が優れることが分かる。
本発明の侵入コード判別性能を評価するために、他の実験結果として、既存のワクチンプログラムを回避する悪性コードサンプルに対して侵入コード判別性能を実験した。
本発明の侵入コード判別性能を評価するために、他の実験結果として、既存のワクチンプログラムを回避する悪性コードサンプルに対して侵入コード判別性能を実験した。
総48,471個のサンプルのうち、既存のワクチンプログラムによって検出された悪性コードは17,885個であり、既存のワクチンプログラムを回避する悪性コードは30,506個であった。
無作為に選択した既存のワクチンプログラムを回避する悪性コード2,575個に対する非自己診断によって侵入コードとして判別された悪性コードは閾値を2700とし、免疫判断用コードパターン生成の割合をそれぞれ1.E−06、1.E−05としたときに48%、68%の判別率を示した。したがって、既存のワクチンプログラムよりも優れた性能を示すことが分かる。
無作為に選択した既存のワクチンプログラムを回避する悪性コード2,575個に対する非自己診断によって侵入コードとして判別された悪性コードは閾値を2700とし、免疫判断用コードパターン生成の割合をそれぞれ1.E−06、1.E−05としたときに48%、68%の判別率を示した。したがって、既存のワクチンプログラムよりも優れた性能を示すことが分かる。
図10は、従来技術と本発明に係る変種悪性コードの生命周期を比較して示す図である。
図面符号10は従来の変種悪性コードの生命周期で、102は本発明に係る変種悪性コードの生命周期である。図面符号22は、悪性コードに対してユーザが悪性コードに対応するためにワクチンプログラムをアップデートしなければならないと思う時期を表し、図面符号23は、従来のワクチンプログラムが実際にアップデートされる時期である。図面符号103は、本発明によってワクチンプログラムが実際にアップデートされる時期を表す。
図面符号10は従来の変種悪性コードの生命周期で、102は本発明に係る変種悪性コードの生命周期である。図面符号22は、悪性コードに対してユーザが悪性コードに対応するためにワクチンプログラムをアップデートしなければならないと思う時期を表し、図面符号23は、従来のワクチンプログラムが実際にアップデートされる時期である。図面符号103は、本発明によってワクチンプログラムが実際にアップデートされる時期を表す。
図10によれば、本発明の場合には、対象コードに対して侵入コードの可否を判別し、侵入コードとして判別されれば再び悪性コードの可否を予測することで、従来技術よりも迅速に悪性コード発生の可否をワクチンプログラム配布者に報告し、ワクチンプログラムのアップデートをより迅速にアップデートすることができる。
なお、本発明は、コンピュータ読取可能なコードで実現することが可能である。コンピュータ読取可能な記録媒体は、コンピュータシステムによって読取可能なデータが格納されるすべての種類の記録装置を含む。コンピュータ読取可能な記録媒体の例としては、ROM、RAM、CD−ROM、磁気テープ、フロッピー(登録商標)ディスク、及び光データ格納装置などがあり、さらに搬送波、例えばインターネットを介した送信形態で実現されるものも含む。また、コンピュータ読取可能な記録媒体は、ネットワークで接続されたコンピュータシステムに分散され、分散方式としてコンピュータが読取可能なコードで格納されて実現することができる。
上述したように、本発明の好ましい実施形態を参照して説明したが、該当の技術分野において熟練した当業者にとっては、特許請求の範囲に記載された本発明の思想及び領域から逸脱しない範囲内で、本発明を多様に修正及び変更させることができることを理解することができるであろう。すなわち、本発明の技術的範囲は、特許請求の範囲に基づいて定められ、発明を実施するための最良の形態により制限されるものではない。
31 コードパターン抽出部
32 コード判断部
33 格納部
34 悪性コード予測部
32 コード判断部
33 格納部
34 悪性コード予測部
Claims (26)
- モニタリングの対象コードに対して該対象コードがシステムに侵入した侵入コードであるか否かを判別するモニタリング方法であって、
前記対象コードから第1コードパターンを抽出するステップと、
格納手段から第2コードパターンを読み出す(load)ステップと、
前記第1コードパターンと第2コードパターンとの距離を計算するステップと、
計算された距離を閾値と比較して前記対象コードが侵入コードであるか否かを判断するステップとを有することを特徴とする対象コードモニタリング方法。 - 前記第1コードパターンは、前記対象コードの所定の部分から抽出され、抽出された部分は独自性(uniqueness)を有することを特徴とする請求項1に記載の対象コードモニタリング方法。
- 生体免疫判別のための抗原提供体系を前記対象コードに適用して前記対象コードを変換し、変換されたコードから所定のパターンを含む部分を前記第1コードパターンとして抽出することを特徴とする請求項1又は2に記載の対象コードモニタリング方法。
- 前記第1コードパターンを抽出するステップは、前記対象コードをDNA塩基配列にエンコードするステップと、
前記DNA塩基配列をこれに対応するアミノ酸の値に置換するステップと、
前記置換された値から所定の条件を満たすコードパターンを前記第1コードパターンとして抽出するステップとを含むことを特徴とする請求項3に記載の対象コードモニタリング方法。 - 前記対象コードをDNA塩基配列にエンコードするステップは、前記対象コードをバイト単位でDNA塩基数によってモジュロ演算するステップと、
前記モジュロ演算した結果で発生した剰余をそれぞれDNA塩基の1つと置換するステップとを含むことを特徴とする請求項4に記載の対象コードモニタリング方法。 - 前記DNA塩基配列をこれに対応するアミノ酸の値に置換するステップは、コドン規則に従って前記DNA塩基配列で3個の連続するDNA塩基に対応するアミノ酸の値に置換することを特徴とする請求項4に記載の対象コードモニタリング方法。
- 前記置換された値によって生成された配列から抽出される前記第1コードパターンは、主要組織適合性複合体(MHC1;Major Histocompatibility Complex 1)分子のバインディングパターン(binding pattern)条件のうちのいずれか1つを満たすことを特徴とする請求項4又は6に記載の対象コードモニタリング方法。
- 前記格納手段に第2コードパターンが格納されるのは、システムに常駐する常駐コードから第3コードパターンを抽出するステップと、
前記第3コードパターンと同じ長さのランダムパターンを生成するステップと、
各々の前記ランダムパターンと前記第3コードパターンとの第2距離をそれぞれ計算するステップと、
前記第2距離が第2閾値よりも小さければ、該当するランダムパターンを前記格納手段に前記第2コードパターンとして格納するステップとを含むことを特徴とする請求項1に記載の対象コードモニタリング方法。 - 前記第3コードパターンは、所定の位置の常駐コードから所定の長さで抽出されることを特徴とする請求項8に記載の対象コードモニタリング方法。
- 生体免疫判別のための抗原提供体系を前記常駐コードに適用し、前記常駐コードを変換し、変換されたコードから所定のパターンを含む部分を前記第3コードパターンとして抽出することを特徴とする請求項8又は9に記載の対象コードモニタリング方法。
- 前記第3コードパターンを抽出するステップは、前記常駐コードをDNA塩基配列にエンコードするステップと、
前記DNA塩基配列をこれに対応するアミノ酸の値に置換するステップと、
前記置換された値から所定の条件を満たすコードパターンを前記第3コードパターンとして抽出するステップとを含むことを特徴とする請求項10に記載の対象コードモニタリング方法。 - 前記常駐コードをDNA塩基配列にエンコードするステップは、前記常駐コードをバイト単位で前記DNA塩基の数によってモジュロ演算するステップと、
前記モジュロ演算した結果で発生した剰余をそれぞれDNA塩基の1つと置換するステップとを含むことを特徴とする請求項11に記載の対象コードモニタリング方法。 - 前記DNA塩基配列をこれ対応するアミノ酸の値に置換するステップは、コドン規則に従って前記DNA塩基配列で3個の連続するDNA塩基に対応するアミノ酸の値に置換することを特徴とする請求項11に記載の対象コードモニタリング方法。
- 前記置換された値によって生成された配列から抽出される前記第3コードパターンは、主要組織適合性複合体分子のバインディングパターン条件のうちのいずれか1つを満たすことを特徴とする請求項11又は13に記載の対象コードモニタリング方法。
- 前記第2閾値は、前記常駐コードのコードパターン分布から選択された2つのコードパターン間の距離の1/2を最小値として有することを特徴とする請求項8に記載の対象コードモニタリング方法。
- 前記第2距離は、前記各ランダムパターンと前記第3コードパターンとの間のアルファベット順の差の二乗和で計算されることを特徴とする請求項8または15に記載の対象コードモニタリング方法。
- 前記距離は、前記第1コードパターンと第2コードパターンとの間のアルファベット順の差の二乗和として計算されることを特徴とする請求項1に記載の対象コードモニタリング方法。
- 前記対象コードが侵入コードであると判別されれば、前記対象コードが悪性(malicious)コードであるか否かを判別するステップをさらに有することを特徴とする請求項1に記載の対象コードモニタリング方法。
- システムにおいて、モニタリングの対象コードに対して該対象コードが前記システムに侵入した侵入コードであるか否かを判別するコードモニタリング装置であって、
前記対象コードから第1コードパターンを抽出するコードパターン抽出部と、
入力された第2コードパターンと前記第1コードパターンとの距離を計算し、計算された距離を閾値と比較して前記対象コードが侵入コードであるか否かを判断するコード判断部とを備えることを特徴とする対象コードモニタリング装置。 - 前記コードパターン抽出部は、前記対象コードの所定の部分から前記対象コードの独自性(uniqueness)を有するように前記第1コードパターンを抽出することを特徴とする請求項19に記載の対象コードモニタリング装置。
- 前記コードパターン抽出部は、生体免疫判別のための抗原提供体系を前記対象コードに適用して前記対象コードを変換し、変換されたコードから所定のパターンを含む部分を前記第1コードパターンとして抽出することを特徴とする請求項19又は20に記載の対象コードモニタリング装置。
- 前記コードパターン抽出部は、前記対象コードをDNA塩基配列にエンコードし、
アミノ酸配列を生成するために、前記DNA塩基配列をこれに対応するアミノ酸の値に置換し、
前記置換によって生成されたアミノ酸配列から所定の条件を満たすコードパターンを前記第1コードパターンとして抽出することを特徴とする請求項21に記載の対象コードモニタリング装置。 - 前記所定の条件は、主要組織適合性複合体(MHC1;Major Histocompatibility Complex 1)分子のバインディングパターン(binding pattern)条件のうちのいずれか1つであることを特徴とする請求項22に記載の対象コードモニタリング装置。
- 格納部をさらに有し、
前記コードパターン抽出部は、前記システムの常駐コードから第3コードパターンを抽出し、前記第3パターンと同じ長さを有するランダムパターンを生成する工程をさらに実行し、
前記コード判断部は、前記各ランダムパターンと前記第3コードパターンとの間の第2距離をそれぞれ計算し、前記各第2距離が第2閾値よりも小さければ、該当するランダムパターンを前記格納部に前記第2コードパターンとして格納する工程をさらに実行することを特徴とする請求項19に記載の対象コードモニタリング装置。 - 前記コード判断部で前記対象コードが侵入コードであると判別されれば、前記対象コードが悪性(malicious)コードであるか否かを判別する悪性コード予測部をさらに有することを特徴とする請求項19に記載の対象コードモニタリング装置。
- 請求項1〜14のうちのいずれか一項に記載された対象コードモニタリング方法を実行するプログラムを記録したコンピュータ読み取り可能な記録媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050135839A KR101194746B1 (ko) | 2005-12-30 | 2005-12-30 | 침입코드 인식을 위한 코드 모니터링 방법 및 장치 |
| KR10-2005-0135839 | 2005-12-30 | ||
| PCT/KR2006/005000 WO2007078055A1 (en) | 2005-12-30 | 2006-11-27 | Method of and apparatus for monitoring code to detect intrusion code |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009522636A true JP2009522636A (ja) | 2009-06-11 |
| JP4903223B2 JP4903223B2 (ja) | 2012-03-28 |
Family
ID=38228376
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008548375A Expired - Fee Related JP4903223B2 (ja) | 2005-12-30 | 2006-11-27 | 対象コードモニタリング方法及びその装置並びにコードパターン抽出方法及びその装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8245299B2 (ja) |
| EP (1) | EP1971927B1 (ja) |
| JP (1) | JP4903223B2 (ja) |
| KR (1) | KR101194746B1 (ja) |
| WO (1) | WO2007078055A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011023008A (ja) * | 2009-07-17 | 2011-02-03 | Itt Manufacturing Enterprises Inc | 侵入検出システムおよび方法 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7587537B1 (en) * | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
| KR101377014B1 (ko) * | 2007-09-04 | 2014-03-26 | 삼성전자주식회사 | 면역 데이터베이스 기반의 악성코드 진단 방법 및 시스템 |
| US8898479B2 (en) * | 2011-08-17 | 2014-11-25 | The United States Of America As Represented By The Administrator Of The National Aeronautics Space Administration | Integrated genomic and proteomic security protocol |
| US9323923B2 (en) * | 2012-06-19 | 2016-04-26 | Deja Vu Security, Llc | Code repository intrusion detection |
| KR102074734B1 (ko) * | 2013-02-28 | 2020-03-02 | 삼성전자주식회사 | 시퀀스 데이터에서의 패턴 검색 방법 및 장치 |
| CN105493096A (zh) * | 2013-08-28 | 2016-04-13 | 慧与发展有限责任合伙企业 | 分布式模式发现 |
| US9282110B2 (en) * | 2013-11-27 | 2016-03-08 | Cisco Technology, Inc. | Cloud-assisted threat defense for connected vehicles |
| US10728040B1 (en) * | 2014-08-08 | 2020-07-28 | Tai Seibert | Connection-based network behavioral anomaly detection system and method |
| US10103890B2 (en) * | 2014-08-08 | 2018-10-16 | Haw-Minn Lu | Membership query method |
| WO2024071451A1 (ko) * | 2022-09-26 | 2024-04-04 | 시큐레터 주식회사 | Ocr 기술을 이용하여 비실행 파일의 악성 매크로를 탐지하기 위한 방법 및 이를 위한 장치 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5448668A (en) | 1993-07-08 | 1995-09-05 | Perelson; Alan S. | Method of detecting changes to a collection of digital signals |
| US7029911B1 (en) * | 1996-08-07 | 2006-04-18 | The Regents Of The University Of California | AFC1 and RCE1: isoprenylated CAAX processing enzymes |
| KR100304116B1 (ko) | 1998-12-10 | 2001-09-24 | 이계철 | 오용침입탐지시스템에서의오용침입탐지장치및그방법 |
| US6735700B1 (en) | 2000-01-11 | 2004-05-11 | Network Associates Technology, Inc. | Fast virus scanning using session stamping |
| WO2002045078A1 (en) * | 2000-11-30 | 2002-06-06 | Matsushita Electric Industrial Co., Ltd. | Audio decoder and audio decoding method |
| KR20020063314A (ko) | 2001-01-27 | 2002-08-03 | 이요섭 | 데이터통신망의 보안시스템 및 그 방법 |
| JP4457525B2 (ja) * | 2001-06-11 | 2010-04-28 | 株式会社デンソー | 距離測定装置 |
| KR100427449B1 (ko) * | 2001-12-14 | 2004-04-14 | 한국전자통신연구원 | 네트워크 기반 침입탐지시스템의 적응적 규칙 추정에 의한침입탐지방법 |
| US7779062B2 (en) * | 2004-08-18 | 2010-08-17 | Ripple Effects Holdings Limited | System for preventing keystroke logging software from accessing or identifying keystrokes |
| US8539580B2 (en) * | 2002-06-19 | 2013-09-17 | International Business Machines Corporation | Method, system and program product for detecting intrusion of a wireless network |
| KR20040080844A (ko) | 2003-03-14 | 2004-09-20 | 주식회사 안철수연구소 | 정적 분석을 이용한 악성 스크립트 감지 방법 |
| KR100516304B1 (ko) | 2003-05-16 | 2005-09-26 | 주식회사 안철수연구소 | 프로세스메모리의 악성코드 검출기 및 그 방법 |
| KR100490729B1 (ko) | 2003-05-20 | 2005-05-24 | 한국전자통신연구원 | 보안 게이트웨이 시스템과 이를 이용한 침입 탐지 방법 |
| US7739737B2 (en) | 2003-07-29 | 2010-06-15 | Wisconsin Alumni Research Foundation | Method and apparatus to detect malicious software |
| US20040172551A1 (en) | 2003-12-09 | 2004-09-02 | Michael Connor | First response computer virus blocking. |
| KR20050070306A (ko) | 2003-12-30 | 2005-07-07 | 주식회사 포스코 | 자동차 연료탱크용 강판에 피복하는 수지용액 및 자동차연료탱크용 강판의 제조방법 |
-
2005
- 2005-12-30 KR KR1020050135839A patent/KR101194746B1/ko active IP Right Grant
-
2006
- 2006-11-27 EP EP06823708.0A patent/EP1971927B1/en not_active Expired - Fee Related
- 2006-11-27 US US12/159,716 patent/US8245299B2/en active Active
- 2006-11-27 WO PCT/KR2006/005000 patent/WO2007078055A1/en active Application Filing
- 2006-11-27 JP JP2008548375A patent/JP4903223B2/ja not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011023008A (ja) * | 2009-07-17 | 2011-02-03 | Itt Manufacturing Enterprises Inc | 侵入検出システムおよび方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007078055A1 (en) | 2007-07-12 |
| KR20070071963A (ko) | 2007-07-04 |
| JP4903223B2 (ja) | 2012-03-28 |
| EP1971927A4 (en) | 2012-10-03 |
| US8245299B2 (en) | 2012-08-14 |
| US20090049551A1 (en) | 2009-02-19 |
| EP1971927B1 (en) | 2018-01-17 |
| KR101194746B1 (ko) | 2012-10-25 |
| EP1971927A1 (en) | 2008-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4903223B2 (ja) | 対象コードモニタリング方法及びその装置並びにコードパターン抽出方法及びその装置 | |
| Han et al. | MalDAE: Detecting and explaining malware based on correlation and fusion of static and dynamic characteristics | |
| RU2526716C2 (ru) | Эвристический способ анализа кода | |
| Tian et al. | An automated classification system based on the strings of trojan and virus families | |
| TWI553503B (zh) | 產生候選鈎點以偵測惡意程式之方法及其系統 | |
| CN111523117A (zh) | 一种安卓恶意软件检测和恶意代码定位系统及方法 | |
| Alasmary et al. | Soteria: Detecting adversarial examples in control flow graph-based malware classifiers | |
| US20050262490A1 (en) | Method of introducing digital signature into software | |
| Karbalaie et al. | Semantic malware detection by deploying graph mining | |
| CN111382439A (zh) | 基于多模态深度学习的恶意软件检测方法 | |
| TW201508534A (zh) | 產生純化惡意程式的方法、偵測惡意程式之方法及其系統 | |
| Kumar et al. | Malware classification using early stage behavioral analysis | |
| Xu et al. | Sdac: A slow-aging solution for android malware detection using semantic distance based api clustering | |
| CN105718795B (zh) | Linux下基于特征码的恶意代码取证方法及系统 | |
| JP2009093615A (ja) | 仮想環境を利用した非実行ファイル内のエクスプロイトコード分析方法及び装置 | |
| KR20200071822A (ko) | 애플리케이션의 동적 특징정보 및 머신러닝을 이용하여 멀웨어를 탐지 분류하는 시스템 및 방법 | |
| CN109600382B (zh) | webshell检测方法及装置、HMM模型训练方法及装置 | |
| KR20200076426A (ko) | 이종 정보 네트워크 기반 악성 코드 탐지 방법 및 장치 | |
| Zhou et al. | A cautionary tale about detecting malware using hardware performance counters and machine learning | |
| KR101161008B1 (ko) | 악성코드 탐지시스템 및 방법 | |
| Li et al. | MDBA: Detecting malware based on bytes n-gram with association mining | |
| KR101327740B1 (ko) | 악성코드의 행동 패턴 수집장치 및 방법 | |
| Hang et al. | Malware detection method of android application based on simplification instructions | |
| KR20110129020A (ko) | 코드 분석기법을 이용한 악성코드 차단 시스템 및 방법 | |
| Vahedi et al. | Behavioral entropy towards detection of metamorphic malwares |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110628 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110928 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111028 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111115 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111220 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20111020 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120104 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4903223 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150113 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |