JP2017102566A - 不正ファイル検知装置、不正ファイル検知方法、および、不正ファイル検知プログラム - Google Patents
不正ファイル検知装置、不正ファイル検知方法、および、不正ファイル検知プログラム Download PDFInfo
- Publication number
- JP2017102566A JP2017102566A JP2015233555A JP2015233555A JP2017102566A JP 2017102566 A JP2017102566 A JP 2017102566A JP 2015233555 A JP2015233555 A JP 2015233555A JP 2015233555 A JP2015233555 A JP 2015233555A JP 2017102566 A JP2017102566 A JP 2017102566A
- Authority
- JP
- Japan
- Prior art keywords
- file
- comparison
- comparison source
- section
- feature quantity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Description
(構成)
図1を参照して、第1の実施形態の不正ファイル検知システム(システム)の構成例を説明する。システムは、1以上の利用者端末(不正ファイル検知装置)2と、特徴量リスト配信装置3とを含む。利用者端末2と特徴量リスト配信装置3はネットワーク4に接続される。ネットワーク4は、接続される各装置が相互に通信可能なように構成されていればよく、例えばインターネットやLAN(Local Area Network)、WAN(Wide Area Network)等で構成することができる。なお、各装置は必ずしもネットワーク4を介してオンラインで通信可能である必要はない。例えば、利用者端末2の出力する情報を磁気テープやUSB(Universal Serial Bus)メモリ等の可搬型記録媒体に記憶し、その可搬型記録媒体からオフラインで特徴量リスト配信装置3へ入力するように構成してもよい。
次に、図4を参照して、システムの処理手順の例を説明する。なお、利用者端末2は、予め、特徴量リスト配信装置3から特徴量リストを受信し、受信した特徴量リストを特徴量リスト記憶部203に記憶しているものとする。
次に図6を用いて、第2の実施形態のシステムを説明する。前記した実施形態と同じ構成は、同じ符号を付して説明を省略する。
次に図3を用いて、第3の実施形態のシステムを説明する。前記した実施形態と同じ構成は、同じ符号を付して説明を省略する。第3の実施形態のシステムは、特徴量リスト配信装置3bと、1以上の利用者端末2bとを備える(図1参照)。
なお、各実施形態における判定部26は、比較元ファイルが比較先ファイルと類似するか否かの判定に、補正後の比較元区間特徴量および比較先区間特徴量についての各種の統計を用いてもよい。
3,3b 特徴量リスト配信装置
20 不正ファイル検知部
21 特徴量リスト受信部
22 特徴量リスト更新部
23 区間分割部
24 区間特徴量算出部
25 補正部
26 判定部
27 ファイル退避部
28 表示部
29 全体特徴量算出部
30 全体類似度評価部
31,203 特徴量リスト記憶部
32 特徴量リスト送信部
204 ファイル記憶部
207 ファイルシステム
2041 実行形式ファイル群記憶部
2042 オープン対象ファイル群記憶部
Claims (8)
- 利用者端末内のファイルを比較元ファイルとして区間に分割する区間分割部と、
分割された前記比較元ファイルの区間ごとのエントロピー値である比較元区間特徴量を算出する区間特徴量算出部と、
比較先ファイルである正当なファイルの区間ごとのエントロピー値を比較先区間特徴量として保持する特徴量リスト記憶部と、
前記比較先区間特徴量および前記比較元区間特徴量それぞれに対し、DP(Dynamic Programming)マッチングによる補正を行う補正部と、
補正が行われた前記比較元区間特徴量と前記比較先区間特徴量とを比較することにより、前記比較元ファイルが前記比較先ファイルと類似しているか否かを判定し、前記比較元ファイルが前記比較先ファイルと類似していると判定した場合、前記比較元ファイルを正当なファイルと判定する判定部と、
を備えることを特徴とする不正ファイル検知装置。 - 前記比較先ファイルが不正ファイルである場合、
前記判定部は、
前記比較元ファイルが前記比較先ファイルと類似していると判定したとき、前記比較元ファイルを不正ファイルとして検知することを特徴とする請求項1に記載の不正ファイル検知装置。 - 前記判定部は、
前記補正が行われた前記比較元区間特徴量と前記比較先区間特徴量との差分の各区間での平均値を算出し、前記算出した平均値が所定の閾値以下であるとき、前記比較元ファイルが前記比較先ファイルと類似していると判定することを特徴とする請求項1または請求項2に記載の不正ファイル検知装置。 - ファイルの退避を行うファイル退避部をさらに備え、
前記判定部は、
前記比較元ファイルを、前記正当なファイルと判定しなかった場合、または、不正ファイルとして検知した場合、前記ファイル退避部に、当該比較元ファイルを退避させることを特徴とする請求項1または請求項2に記載の不正ファイル検知装置。 - 前記区間分割部は、
前記比較元ファイルが実行されるとき、前記比較元ファイルを区間に分割し、
前記区間特徴量算出部は、
分割された前記比較元ファイルの区間ごとのエントロピー値である比較元区間特徴量を算出し、
前記判定部は、
前記比較元ファイルを、前記正当なファイルと判定しなかった場合、または、不正ファイルとして検知した場合、当該比較元ファイルの実行を許可せず、前記比較元ファイルを前記正当なファイルと判定した場合、または、不正ファイルとして検知しなかった場合、当該比較元ファイルの実行を許可することを特徴とする請求項1または請求項2に記載の不正ファイル検知装置。 - 前記区間分割部は、
定期的または不定期に、前記利用者端末の記憶部に記憶される比較元ファイルを区間に分割し、
前記区間特徴量算出部は、
分割された前記比較元ファイルの区間ごとのエントロピー値である比較元区間特徴量を算出することを特徴とする請求項1または請求項2に記載の不正ファイル検知装置。 - 利用者端末内のファイルを比較元ファイルとして区間に分割するステップと、
分割された前記比較元ファイルの区間ごとのエントロピー値である比較元区間特徴量を算出するステップと、
比較先ファイルである正当なファイルの区間ごとのエントロピー値を比較先区間特徴量および前記比較元区間特徴量それぞれに対し、DP(Dynamic Programming)マッチングによる補正を行うステップと、
補正が行われた前記比較元区間特徴量と前記比較先区間特徴量とを比較することにより、前記比較元ファイルが前記比較先ファイルと類似しているか否かを判定し、前記比較元ファイルが前記比較先ファイルと類似していると判定した場合、前記比較元ファイルを正当なファイルとして判定するステップと、
を含んだことを特徴とする不正ファイル検知方法。 - 利用者端末内のファイルを比較元ファイルとして区間に分割するステップと、
分割された前記比較元ファイルの区間ごとのエントロピー値である比較元区間特徴量を算出するステップと、
比較先ファイルである不正ファイルの区間ごとのエントロピー値を比較先区間特徴量および前記比較元区間特徴量それぞれに対し、DP(Dynamic Programming)マッチングによる補正を行うステップと、
補正が行われた前記比較元区間特徴量と前記比較先区間特徴量とを比較することにより、前記比較元ファイルが前記比較先ファイルと類似しているか否かを判定し、前記比較元ファイルが前記比較先ファイルと類似していると判定した場合、前記比較元ファイルを正当なファイルと判定するステップと、
をコンピュータに実行させることを特徴とする不正ファイル検知プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015233555A JP2017102566A (ja) | 2015-11-30 | 2015-11-30 | 不正ファイル検知装置、不正ファイル検知方法、および、不正ファイル検知プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015233555A JP2017102566A (ja) | 2015-11-30 | 2015-11-30 | 不正ファイル検知装置、不正ファイル検知方法、および、不正ファイル検知プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017102566A true JP2017102566A (ja) | 2017-06-08 |
Family
ID=59015458
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015233555A Pending JP2017102566A (ja) | 2015-11-30 | 2015-11-30 | 不正ファイル検知装置、不正ファイル検知方法、および、不正ファイル検知プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2017102566A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019096088A (ja) * | 2017-11-24 | 2019-06-20 | 日本電信電話株式会社 | 距離測定装置、通信システム、作成装置及び距離測定プログラム |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008537224A (ja) * | 2005-04-15 | 2008-09-11 | マイクロソフト コーポレーション | 安全な起動方法およびシステム |
JP2010146566A (ja) * | 2008-12-18 | 2010-07-01 | Symantec Corp | マルウェア検出方法およびシステム |
JP2012185745A (ja) * | 2011-03-07 | 2012-09-27 | Kddi Corp | 携帯端末、プログラム、および通信システム |
JP2015138331A (ja) * | 2014-01-21 | 2015-07-30 | 日本電信電話株式会社 | 情報端末、実行形式監視方法、プログラム |
-
2015
- 2015-11-30 JP JP2015233555A patent/JP2017102566A/ja active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008537224A (ja) * | 2005-04-15 | 2008-09-11 | マイクロソフト コーポレーション | 安全な起動方法およびシステム |
JP2010146566A (ja) * | 2008-12-18 | 2010-07-01 | Symantec Corp | マルウェア検出方法およびシステム |
JP2012185745A (ja) * | 2011-03-07 | 2012-09-27 | Kddi Corp | 携帯端末、プログラム、および通信システム |
JP2015138331A (ja) * | 2014-01-21 | 2015-07-30 | 日本電信電話株式会社 | 情報端末、実行形式監視方法、プログラム |
Non-Patent Citations (1)
Title |
---|
高田 慎也: "エントロピーとDP Matchingを用いたファイル類似度評価システムに関する考察", 第77回(平成27年)全国大会講演論文集(2) 人工知能と認知科学, JPN6018042603, 17 March 2015 (2015-03-17), pages 49 - 2, ISSN: 0004163088 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019096088A (ja) * | 2017-11-24 | 2019-06-20 | 日本電信電話株式会社 | 距離測定装置、通信システム、作成装置及び距離測定プログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2551820C2 (ru) | Способ и устройство для проверки файловой системы на наличие вирусов | |
US10073916B2 (en) | Method and system for facilitating terminal identifiers | |
TWI720932B (zh) | 用於藉由分析已知及/或未知網路安全威脅的形態來偵測資料異常的系統和方法 | |
US9111094B2 (en) | Malware detection | |
US9336389B1 (en) | Rapid malware inspection of mobile applications | |
US11475133B2 (en) | Method for machine learning of malicious code detecting model and method for detecting malicious code using the same | |
US9578044B1 (en) | Detection of anomalous advertising content | |
US8621634B2 (en) | Malware detection based on a predetermined criterion | |
US8813229B2 (en) | Apparatus, system, and method for preventing infection by malicious code | |
US10757087B2 (en) | Secure client authentication based on conditional provisioning of code signature | |
KR20100005518A (ko) | 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 | |
US11580220B2 (en) | Methods and apparatus for unknown sample classification using agglomerative clustering | |
Faruki et al. | Droidolytics: robust feature signature for repackaged android apps on official and third party android markets | |
US8413246B2 (en) | Evaluating shellcode findings | |
JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
JP2017102566A (ja) | 不正ファイル検知装置、不正ファイル検知方法、および、不正ファイル検知プログラム | |
US10051004B2 (en) | Evaluation system | |
US20210211272A1 (en) | Unauthorized use detection system, information processing apparatus, computer-readable recording medium and unanthorized use detection method | |
JP6204318B2 (ja) | 類似度評価装置、類似度評価システム、類似度評価装置方法、および、類似度評価プログラム | |
JP2015138331A (ja) | 情報端末、実行形式監視方法、プログラム | |
KR101893504B1 (ko) | 리눅스 환경에서 파일 무결성 검증 장치 및 방법 | |
US20210273963A1 (en) | Generation device, generation method, and generation program | |
WO2022153415A1 (ja) | 改竄検知装置、改竄検知方法および改竄検知プログラム | |
KR20120031963A (ko) | 악성 코드 차단 장치 | |
RU108870U1 (ru) | Система увеличения количества обнаружений вредоносных объектов |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171215 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181031 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181106 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181128 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190409 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190604 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20191203 |