JP2019016212A - 付与装置、付与方法および付与プログラム - Google Patents
付与装置、付与方法および付与プログラム Download PDFInfo
- Publication number
- JP2019016212A JP2019016212A JP2017133795A JP2017133795A JP2019016212A JP 2019016212 A JP2019016212 A JP 2019016212A JP 2017133795 A JP2017133795 A JP 2017133795A JP 2017133795 A JP2017133795 A JP 2017133795A JP 2019016212 A JP2019016212 A JP 2019016212A
- Authority
- JP
- Japan
- Prior art keywords
- malware
- detection
- assigned
- names
- label
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 32
- 238000001514 detection method Methods 0.000 claims abstract description 124
- 230000002155 anti-virotic effect Effects 0.000 claims description 23
- 238000004220 aggregation Methods 0.000 claims 2
- 230000002776 aggregation Effects 0.000 claims 2
- 230000004931 aggregating effect Effects 0.000 claims 1
- 241000182185 Alfalfa virus S Species 0.000 abstract description 79
- 238000010586 diagram Methods 0.000 description 16
- 238000012545 processing Methods 0.000 description 16
- 238000004891 communication Methods 0.000 description 11
- 230000010365 information processing Effects 0.000 description 5
- 238000007493 shaping process Methods 0.000 description 5
- 238000013135 deep learning Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000007781 pre-processing Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000008021 deposition Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000010454 slate Substances 0.000 description 1
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【課題】未検知のマルウェアのラベルを容易に推定して付与する。【解決手段】取得部15aが、複数のAVSにより付与されたマルウェアの階層型の検知名を取得し、付与部15bが、取得部15aにより取得された検知名のうち、所定のAVSにより検知名が付与されているマルウェアについては、該検知名を用いてマルウェアに階層型のラベルを付与し、該所定のAVSにより検知名が付与されていないマルウェアについては、他のAVSにより同一の検知名が付与されている複数のマルウェアを特定し、特定した複数のマルウェアに対して該所定のAVSが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、浅い階層から順に該所定数以上の階層までの検知名を用いて階層型のラベルをマルウェアに付与する。【選択図】図1
Description
本発明は、付与装置、付与方法および付与プログラムに関する。
機械学習によるマルウェアの分類において、アンチウイルスソフト(以下、AVSと記す)による検知名を用いて教師データへのラベルを付与する場合がある。AVSの検知名を用いたラベル付与には、情報の入手が容易等の利点がある一方で、未検知のマルウェアの割合が高いという問題もある。未検知のマルウェアについては、これを教師データとして用いないか、あるいは、未検知を意味する「NotDetected」のラベルを付与して教師データとする。
しかしながら、未検知のマルウェアを教師データとして用いないと、教師データの数が少なくなってしまう。さらには、新種のマルウェアである可能性が高いデータを教師データとして使用できない。一方、「NotDetected」のラベルが付与された教師データの中には、他のAVSによれば検知され別のラベルが付与されるはずのものが存在する場合がある。その場合に、「NotDetected」のラベルが付与された教師データのデータ内容がばらばらであるという問題がある。したがって、いずれの場合にも、マルウェア分類の精度の低下につながるおそれがある。
なお、約50社のAVSによるマルウェアの検知結果が開示されている(非特許文献1参照)。また、マルウェアの通信ログのクラスタリングを行う技術が開示されている(特許文献1参照)。この技術を用いれば、AVSで未検知のマルウェアに対しても、特徴が類似し同じクラスタに分類されるマルウェアの検知名を参照してラベルを付与することが可能となる。
"virustotal"、[online]、2012年9月、Virus Total、[2017年6月1日検索]、インターネット<URL: https://www.virustotal.com/ja/>
しかしながら、従来の技術では、未検知のマルウェアにラベルを付与するためには、通信ログを必要とし、分析に時間がかかるという問題があった。
本発明は、上記に鑑みてなされたものであって、未検知のマルウェアのラベルを容易に推定して付与することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る付与装置は、複数のアンチウイルスソフトにより付与されたマルウェアの階層型の検知名を取得する取得部と、前記取得部により取得された検知名のうち、所定のアンチウイルスソフトにより検知名が付与されているマルウェアについては、該検知名を用いてマルウェアに階層型のラベルを付与し、該所定のアンチウイルスソフトにより検知名が付与されていないマルウェアについては、他のアンチウイルスソフトにより同一の検知名が付与されている複数のマルウェアを特定し、特定した複数のマルウェアに対して該所定のアンチウイルスソフトが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、浅い階層から順に該所定数以上の階層までの検知名を用いて階層型のラベルをマルウェアに付与する付与部と、を備えることを特徴とする。
本発明によれば、未検知のマルウェアのラベルを容易に推定して付与することができる。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[付与装置の構成]
図1は、付与装置の概略構成を例示する模式図である。図1に例示するように、付与装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
図1は、付与装置の概略構成を例示する模式図である。図1に例示するように、付与装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。
通信制御部13は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した外部の装置と制御部15との通信を制御する。
記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、後述する付与処理により特定される正常な状態のモデルのパラメータ等が記憶される。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。
本実施形態において、記憶部14には、対応表14a、ラベル階層情報14b、および付与結果情報14cが格納される。
対応表14aは、複数のAVSにより付与されたマルウェアの階層型の検知名を表す情報である。この対応表14aは、後述する付与処理において、virustotal等を参照して取得された情報が整形されたものである。
図2は、対応表14aのデータ構成を例示する図である。図2に例示するように、対応表14aには、マルウェアを識別するハッシュ値と、各社のAVSにより各マルウェアに付与された検知名とが含まれる。図2に示す例では、SHA1HASHとは、ハッシュ関数SHA−1による各マルウェアのハッシュ値であり、マルウェアを識別するIDを意味する。
また、各社の検知名は、階層型で表される。本実施形態では、マルウェアファミリ名を表す浅い階層Xと、子番号を表す深い階層Yとがドットで連結された「X.Y」等の2階層で表されている。図2には、例えば、ID「a1b2c3…」で識別されるマルウェアについて、A社のAVSによる検知名は「A.X」であり、B社のAVSによる検知名は「A.Y」であり、C社のAVSによる検知名は「X.1」であることが示されている。なお、「NotDetected」は、マルウェアが該当社のAVSにより検知されなかったことすなわち未検知を意味する。
ラベル階層情報14bは、付与装置10が付与するラベルの階層構造を表す情報である。ラベル階層情報14bは、予め、あるいは後述する付与処理において生成される。ラベル階層情報14bは、付与装置10により階層型ラベルが付与された教師データを用いた学習を行う際に参照される。
図3は、ラベル階層情報14bのデータ構成を例示する図である。図3には、2階層のラベルについて、階層の浅い粗いラベルとして、AまたはBが例示されている。また、粗いラベルAに対する階層の深い詳細ラベルとして、1または2が例示されている。
付与結果情報14cは、後述する付与処理の処理結果を表し、各マルウェアに付与された階層型ラベルを示す情報である。付与結果情報14cは、特定のマルウェアに階層型ラベルを付与する際に参照される。
図1の説明に戻る。制御部15は、CPU(Central Processing Unit)等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図1に例示するように、取得部15aおよび付与部15bとして機能する。なお、これらの機能部は、それぞれ、異なるハードウェアに実装されてもよい。
取得部15aは、複数のAVSにより付与されたマルウェアの階層型の検知名を取得する。具体的には、取得部15aは、virustotal等を参照して、マルウェアについての各社のAVSの検知名を取得する。また、取得部15aは、取得した各社の検知名に対し、以下に説明する前処理を行って整形して対応表14aを生成する。
ここで、図4を参照して、取得部15aの処理について説明する。図4には、virustotal等を参照して取得される各社のAVSの検知名と、取得部15aによる前処理により整形された検知名との対応が例示されている。取得部15aは、取得した各社の検知名を各社に共通な様式の階層型に整形する前処理を行う。本実施形態において、取得部15aは、前処理により、マルウェアファミリ名を表す浅い階層Xと、子番号を表す深い階層Yとがドットで連結された「X.Y」等の2階層の検知名に整形する。
図4には、取得部15aが、例えば、整形前のある社のAVSの検知名「WIN32/Conficker.A」を、マルウェアファミリ名「Conficker」と子番号「A」とを用いて「Conficker.A」とする整形を行うことが示されている。なお、取得部15aが取得した検知名の子番号が不明な場合には、「*」とする。例えば、取得部15aは、取得した検知名「WIN32/Conficker」を「Conficker.*」とする整形を行う。
図1の説明に戻る。付与部15bは、取得部15aにより取得された検知名のうち、所定のAVSにより検知名が付与されているマルウェアについては、該検知名を用いてマルウェアに階層型のラベルを付与する。また、付与部15bは、該所定のAVSにより検知名が付与されていないマルウェアについては、他のAVSにより同一の検知名が付与されている複数のマルウェアを特定し、特定した複数のマルウェアに対して該所定のAVSが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、浅い階層から順に該所定数以上の階層までの検知名を用いて階層型のラベルをマルウェアに付与する。
ここで、図5を参照して、所定のAVSについて説明する。各社のAVSの検知名のマルウェアファミリ名は各社が独自に名付けており、一般的なマルウェアファミリ名と一致するとは限らない。例えば、一般にDridexと呼ばれるマルウェアファミリ名について、図5に例示するように、A社ではDrideX、B社ではCridexと名付けられている。
そこで、まず、付与部15bが付与するラベルの基準とする所定のAVSが選定される。所定のAVSは、複数のAVSのうち、マルウェアの未検知の割合が最も低いもの、または、マルウェアの検知の精度が最も高いものが選定されればよい。
次に、図6〜図9を参照して、付与部15bの処理について説明する。まず、付与部15bは、所定のAVSにより検知名が付与されているマルウェアについては、付与された検知名を用いてマルウェアに階層型のラベルを付与する。本実施形態では、図6に例示するように、A社を基準として、対応表14aのA社について整形した階層型の検知名(A.1)をそのまま階層型のラベル(A.1)として各マルウェアに付与する。
また、付与部15bは、所定のAVSであるA社のAVSにより未検知のマルウェアについては、他のAVSにより同一の検知名が付与されている複数のマルウェアを特定し、特定した複数のマルウェアに対して該所定のAVSが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、浅い階層から順に該所定数以上の階層までの検知名を用いて階層型のラベルをマルウェアに付与する。
具体的には、まず、図7に例示するように、所定数s以上の他のAVSでも未検知であれば、未検知を意味する階層型のラベル「NotDetected.*」を付与する。ここで、所定数sは、例えば50%のように、全AVS数に対する未検知のAVS数の割合で表される。
次に、付与部15bは、図8に例示するように、A社のAVSにより未検知かつ「NotDetected.*」が付与されていないマルウェアについては、A社以外のAVSで検知名が付与されている場合に、各社でこのA社のAVSで未検知のマルウェアと同一の検知名が付与されている他のマルウェアを特定する。これらのマルウェアは、同一のマルウェアである可能性が高く、同一のラベルを付与することができるものと推察される。そこで、付与部15bは、特定した複数のマルウェアにA社が付与した検知名を参照して、未検知のマルウェアに付与するラベルを決定する。
図8に示す例では、例えば、A社のAVSで未検知のマルウェア「a1b2c3…」について、B社のAVSが検知名「X.1」、また、D社のAVSが検知名「Y.1」を付与している。そこで、B社のAVSが検知名「X.1」を付与したマルウェアと、D社のAVSが検知名「Y.1」を付与したマルウェアとが特定される。そして、付与部15bは、特定したマルウェアにA社が付与した検知名のうち、「NotDetected」を除いた検知名を用いて、A社のAVSにより未検知のマルウェアに付与するラベルを決定する。具体的には、図9に例示するように、付与部15bは、「NotDetected」以外の検知名のうち、最も多いマルウェアファミリ名Aを、付与する粗いラベルと決定する。
また、付与部15bは、同一の粗いラベルを付与するマルウェアのうちの所定数t以上のマルウェアに、子番号を含めた同一の検知名が付与されている場合に、A社のAVSにより未検知のマルウェアに確度高くこの検知名を付与できるもの推定する。この場合に、付与部15bは、この子番号を付与する詳細ラベルと決定する。ここで、所定数tは、例えば、全数に対する割合で表される。
図9に示す例では、所定数が50%、抽出されたマルウェアの検知名が{A.1,A.2,NotDetected,A.1,A.1,B.1,A.1}であった場合に、浅い階層が同一すなわちマルウェアファミリ名Aのマルウェアは5つである。そのうち、深い階層である子番号まで含めて同一の検知名(A.1)のマルウェアは4つであり、50%以上すなわち所定数t以上を満たす。したがって、このA社のAVSで未検知のマルウェアに対して、浅い階層から順にこの深い階層までの検知名(A.1)の付与が決定されている。
一方、付与部15bは、同一の粗いラベルを付与するマルウェアのうち、子番号を含めた同一の検知名が付与されているマルウェアが所定数t未満の場合に、子番号までは推定できないものとして、付与する詳細ラベルは不明を意味する「*」とする。
図9に示す例では、所定数が50%、抽出されたマルウェアの検知名が{A.1,A.2,NotDetected,A.1,A.3,B.1,A.4}であった場合に、浅い階層が同一すなわちマルウェアファミリ名Aのマルウェアは5つである。そのうち、深い階層である子番号まで含めて同一の検知名(A.1)のマルウェアは2つであり、50%未満である。したがって、したがって、このA社のAVSで未検知のマルウェアに対して、浅い階層までの検知名(A.*)の付与が決定されている。
このようにして、付与部15bは、所定のAVSにより検知名が付与されていないマルウェアについて、他のAVSにより同一の検知名が付与されている複数のマルウェアに対し、該所定のAVSが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、該階層までの検知名を用いて階層型のラベルを付与し、付与結果を付与結果情報14cに格納する。
なお、上記の実施形態では、付与部15bは、AVSによる検知名のみを用いて階層型のラベルを付与しているが、これに限定されない。例えば、付与部15bは、さらに、マルウェアのマルウェアタイプを用いて階層型のラベルを付与してもよい。この場合には、図10に例示するラベル階層情報14bのラベルが付与される。すなわち、付与部15bは、図10に例示するように、マルウェアタイプを粗いラベルとし、マルウェアファミリ名を詳細ラベルとする階層型のラベルをマルウェアに付与する。
ここで、マルウェアタイプは感染による影響のタイプ等を示し、各社が公式HPに開示している情報を用いればよい。検知名より大域的なマルウェアタイプを用いたラベルが付与されることにより、例えば、セキュリティ対策の現場において、知識が乏しいオペレータでも、階層型ラベルで分類されたマルウェアに対する適切な初期対策を迅速に行うことが可能となる。
例えば、図10に示した例において、分類の結果、ラベル(Pushdo.1)が付与されたマルウェアについては、Pushdoの挙動を調査する必要があり、対策を打つまでに時間を要する。これに対し、同じマルウェアにラベル(バックドア.Pushdo.1)が付与されれば、バックドア型のマルウェアの特徴を大まかに把握することにより、即座に初期対策をとり、その後Pushdoを調査して詳細な分析や対策を行うことが可能になる。
そこで、図11および図12を参照して、マルウェアタイプを用いて階層型のラベルを付与する場合の付与部15bの処理について説明する。まず、付与部15bは、所定のAVSにより付与された検知名とマルウェアタイプとを用いて、各マルウェアに階層型のラベルを付与する。
図11に示す例では、付与部15bは、基準とするA社について対応表14aの整形した階層型の検知名(A.1)のマルウェアファミリ名Aを詳細ラベルとする。また、付与部15bは、A社HPを参照して取得した検知名に対応するマルウェアタイプ(Type−I)を粗いラベルとする。これにより、このマルウェアに階層型のラベル(Type−I.A)が付与される。
また、付与部15bは、A社のAVSにより未検知のマルウェアについて、まず、図7に例示した手順と同様に、所定数s以上の他のAVSでも未検知であれば、未検知を意味する階層型のラベル「NotDetected.*」を付与する。
また、付与部15bは、図8に例示した手順と同様に、A社のAVSにより未検知かつ「NotDetected.*」が付与されていないマルウェアについて、A社以外のAVSで検知名が付与されている場合に、各社でこれと同一の検知名が付与されている他のマルウェアを抽出する。
次に、付与部15bは、図12に例示するように、抽出したマルウェアにA社が付与した検知名のうち「NotDetected」以外の検知名について、マルウェアファミリ名を詳細ラベルに、対応するマルウェアタイプを粗いラベルに変換する。また、付与部15bは、そのうち最も多いマルウェアタイプType−Iを、付与する粗いラベルと決定する。
また、付与部15bは、同一の粗いラベルを付与するマルウェアのうちの所定数以上のマルウェアのマルウェアファミリ名が同一の場合に、A社のAVSにより未検知のマルウェアに確度高くこのマルウェアファミリ名を詳細ラベルとして付与できるもの推定する。図12に示す例では、所定数tが50%、抽出されたマルウェアの検知名から変換されたラベルが{Type−I.A,Type−I.A,Type−I.A,Type−I.A,Type−II.B,Type−I.C}であった場合に、(Type−I.A)の付与が決定されている。
一方、付与部15bは、同一の粗いラベルを付与するマルウェアのうち、マルウェアファミリ名が同一のものが所定数t未満の場合に、マルウェアファミリ名までは推定できないものとして、付与する詳細ラベルは不明を意味する「*」とする。
また、上記実施形態では、2階層のラベルを付与しているが、3階層のラベルを付与することも可能である。例えば、同様の手順により、マルウェアタイプ、マルウェアファミリ名、子番号で構成される階層型ラベルを付与することも可能である。
[付与処理]
次に、図13を参照して、本実施形態に係る付与装置10による付与処理について説明する。図13は、付与処理手順を示すフローチャートである。図13のフローチャートは、例えば、付与処理の開始を指示する操作入力があったタイミングで開始される。
次に、図13を参照して、本実施形態に係る付与装置10による付与処理について説明する。図13は、付与処理手順を示すフローチャートである。図13のフローチャートは、例えば、付与処理の開始を指示する操作入力があったタイミングで開始される。
まず、取得部15aが、複数のAVSにより付与されたマルウェアの階層型の検知名を取得して、マルウェアとAVSの検知名との対応表14aを作成する(ステップS1)。
次に、付与部15bが、基準となるAVSを選定する(ステップS2)。また、付与部15bが、対応表14aを参照し、マルウェアのハッシュ値を選択し(ステップS3)、基準となるAVSで検知名が付いているか否かを確認する(ステップS4)。基準となるAVSで検知名が付いている場合には(ステップS4,Yes)、付与部15bは、基準のAVSにより付与された検知名をそのまま用いてマルウェアに階層型のラベルを付与する(ステップS5)。また、付与部15bは、ステップS14に処理を進める。
一方、基準となるAVSで検知名が付いていない場合には(ステップS4,No)、付与部15bは、AVSのうち所定のs以上の割合で未検知であるか否かを確認する(ステップS6)。s以上の割合で未検知の場合には(ステップS6,Yes)、付与部15bは、階層型ラベル「NotDetected.*」を付与する(ステップS7)。また、付与部15bは、ステップS14に処理を進める。
一方、s未満の割合で未検知の場合には(ステップS6,No)、付与部15bは、基準のAVSで未検知のマルウェアを検知した他の各AVSについて、同一の検知名をもつマルウェアの、基準となるAVSにおける検知名を全て列挙する(ステップS8)。また、付与部15bは、列挙した検知名の粗いラベルのうち最も多いものを、マルウェアに付与する粗いラベルとする(ステップS9)。
次に、付与部15bは、列挙した検知名のうち、付与した粗いラベルと同一の粗いラベルをもつ検知名を抽出する(ステップS10)。また、付与部15bは、抽出した検知名のうち、所定のt以上の割合で同一の詳細ラベルをもつか否かを確認する(ステップS11)。
t以上の割合で同一の詳細ラベルをもつ場合には(ステップS11,Yes)、同一の詳細ラベルをマルウェアに付与する詳細ラベルとして(ステップS12)、ステップS14に処理を進める。一方、同一の詳細ラベルをもつ割合がt未満の場合には(ステップS11,No)、マルウェアに付与する詳細ラベルを「*」として(ステップS13)、ステップS14に処理を進める。
ステップS14の処理では、付与部15bは、全てのハッシュ値について調査したか否かを確認する。全てのハッシュ値について調査していない場合には(ステップS14,No)、付与部15bは、次のマルウェアのハッシュ値を選択して(ステップS15)、ステップS4に処理を戻す。一方、全てのハッシュ値について調査した場合には(ステップS14,Yes)、付与部15bは、一連の付与処理を終了させる。
以上、説明したように、本実施形態の付与装置10において、取得部15aが、複数のAVSにより付与されたマルウェアの階層型の検知名を取得する。また、付与部15bは、取得部15aにより取得された検知名のうち、所定のAVSにより検知名が付与されているマルウェアについては、該検知名を用いてマルウェアに階層型のラベルを付与する。また、付与部15bは、該所定のAVSにより検知名が付与されていないマルウェアについては、他のAVSにより同一の検知名が付与されている複数のマルウェアを特定し、特定した複数のマルウェアに対して該所定のAVSが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、浅い階層から順に該所定数以上の階層までの検知名を用いて階層型のラベルをマルウェアに付与する。
これにより、基準のAVSによる検知名を用いてマルウェアに階層型のラベルを付与することができる。また、基準のAVSで未検知のマルウェアに、他のAVSで検知状況に応じた確度を反映した階層型のラベルを付与することができる。このように、本実施形態の付与装置10によれば、未検知のマルウェアのラベルを容易に推定して付与することが可能となる。
また、図14を参照して、付与装置10の活用例について説明する。図14に示すように、付与装置10は、virustotal等を参照して、マルウェアについての各社のAVSの階層型の検知名をリスト化して対応表14aを生成し、これを用いてマルウェアに付与する階層型のラベルを算出する。また、付与装置10は、マルウェアと算出した階層型のラベルとの対応表である付与結果情報14cと、付与したラベルの階層構造を示すラベル階層情報14bとを管理する。
そして、付与装置10は、分類対象のマルウェアのハッシュ値{ID}が入力された場合に、付与結果情報14cを参照し、当該マルウェアに(X.Y)または(X.*)等の階層型のラベルを付与して出力する。例えば、{ID,(X.Y)}または{ID,(X.*)}等の形式で出力される。
ここで付与装置10が出力したデータは、階層構造の深層学習器に対する教師データとして活用される。例えば、マルウェアのproxyログ等の通信ログを用いて、マルウェアの通信ログの特徴ベクトルと階層型のラベルとの組み合わせからなる教師データを深層学習器に入力する。階層構造の深層学習器は、階層型ラベルつき教師データの階層の数に応じて深層分類器を生成して結合させる。このような階層構造の深層学習器は、階層型ラベルの学習を行って、最も階層の深い詳細ラベルの分類を行う。これにより、新しく悪性と疑わしい通信が観測された場合に、生成された深層分類器を用いて、通信ログがどのようなマルウェアの特徴をもつかを判定することが可能となる。
[プログラム]
上記実施形態に係る付与装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、付与装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の付与処理を実行する付与プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の付与プログラムを情報処理装置に実行させることにより、情報処理装置を付与装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。
上記実施形態に係る付与装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、付与装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の付与処理を実行する付与プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の付与プログラムを情報処理装置に実行させることにより、情報処理装置を付与装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。
また、付与装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の付与処理に関するサービスを提供するサーバ装置として実装することもできる。例えば、付与装置10は、マルウェアを入力とし、階層型のラベルを出力する付与処理サービスを提供するサーバ装置として実装される。この場合、付与装置10は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の付与処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。以下に、付与装置10と同様の機能を実現する付与プログラムを実行するコンピュータの一例を説明する。
図15は、付与プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
ここで、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1031やメモリ1010に記憶される。
また、付与プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した付与装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、付与プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、付与プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、付与プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
10 付与装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a 対応表
14b ラベル階層情報
14c 付与結果情報
15 制御部
15a 取得部
15b 付与部
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a 対応表
14b ラベル階層情報
14c 付与結果情報
15 制御部
15a 取得部
15b 付与部
Claims (5)
- 複数のアンチウイルスソフトにより付与されたマルウェアの階層型の検知名を取得する取得部と、
前記取得部により取得された検知名のうち、所定のアンチウイルスソフトにより検知名が付与されているマルウェアについては、該検知名を用いてマルウェアに階層型のラベルを付与し、該所定のアンチウイルスソフトにより検知名が付与されていないマルウェアについては、他のアンチウイルスソフトにより同一の検知名が付与されている複数のマルウェアを特定し、特定した複数のマルウェアに対して該所定のアンチウイルスソフトが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、浅い階層から順に該所定数以上の階層までの検知名を用いて階層型のラベルをマルウェアに付与する付与部と、
を備えることを特徴とする付与装置。 - 前記所定のアンチウイルスソフトは、前記複数のアンチウイルスソフトのうち、マルウェアの未検知の割合が最も低いもの、または、マルウェアの検知の精度が最も高いものであることを特徴とする請求項1に記載の付与装置。
- 前記付与部は、さらに、マルウェアのマルウェアタイプを用いて前記階層型のラベルを付与することを特徴とする請求項1または2に記載の付与装置。
- 付与装置で実行される付与方法であって、
複数のアンチウイルスソフトにより付与されたマルウェアの階層型の検知名を取得する取得工程と、
前記取得工程において取得された検知名のうち、所定のアンチウイルスソフトにより検知名が付与されているマルウェアについては、該検知名を用いてマルウェアに階層型のラベルを付与し、該所定のアンチウイルスソフトにより検知名が付与されていないマルウェアについては、他のアンチウイルスソフトにより同一の検知名が付与されている複数のマルウェアを特定し、特定した複数のマルウェアに対して該所定のアンチウイルスソフトが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、浅い階層から順に該所定数以上の階層までの検知名を用いて階層型のラベルをマルウェアに付与する付与工程と、
を含んだことを特徴とする付与方法。 - 複数のアンチウイルスソフトにより付与されたマルウェアの階層型の検知名を取得する取得ステップと、
前記取得ステップにおいて取得された検知名のうち、所定のアンチウイルスソフトにより検知名が付与されているマルウェアについては、該検知名を用いてマルウェアに階層型のラベルを付与し、該所定のアンチウイルスソフトにより検知名が付与されていないマルウェアについては、他のアンチウイルスソフトにより同一の検知名が付与されている複数のマルウェアを特定し、特定した複数のマルウェアに対して該所定のアンチウイルスソフトが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、浅い階層から順に該所定数以上の階層までの検知名を用いて階層型のラベルをマルウェアに付与する付与ステップと、
をコンピュータに実行させることを特徴とする付与プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017133795A JP6740184B2 (ja) | 2017-07-07 | 2017-07-07 | 付与装置、付与方法および付与プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017133795A JP6740184B2 (ja) | 2017-07-07 | 2017-07-07 | 付与装置、付与方法および付与プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019016212A true JP2019016212A (ja) | 2019-01-31 |
| JP6740184B2 JP6740184B2 (ja) | 2020-08-12 |
Family
ID=65359040
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017133795A Active JP6740184B2 (ja) | 2017-07-07 | 2017-07-07 | 付与装置、付与方法および付与プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6740184B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102199704B1 (ko) * | 2020-06-26 | 2021-01-08 | 주식회사 이스트시큐리티 | 다중 백신의 탐지명으로부터 대표 토큰을 선정하기 위한 장치, 이를 위한 방법 및 이 방법을 수행하기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140201208A1 (en) * | 2013-01-15 | 2014-07-17 | Corporation Symantec | Classifying Samples Using Clustering |
| JP2018200524A (ja) * | 2017-05-26 | 2018-12-20 | 日本電信電話株式会社 | 分類装置、分類方法および分類プログラム |
-
2017
- 2017-07-07 JP JP2017133795A patent/JP6740184B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140201208A1 (en) * | 2013-01-15 | 2014-07-17 | Corporation Symantec | Classifying Samples Using Clustering |
| JP2018200524A (ja) * | 2017-05-26 | 2018-12-20 | 日本電信電話株式会社 | 分類装置、分類方法および分類プログラム |
Non-Patent Citations (4)
| Title |
|---|
| "ウイルス ブレティン 日本語版 Vol.2", NETWORK WORLD, vol. 第8巻,第10号, JPN6016015824, 1 October 2003 (2003-10-01), JP, pages 155頁, ISSN: 0004307181 * |
| 山田明ほか: "亜種攻撃を検知できる侵入検知システムの提案", コンピュータセキュリティシンポジウム, JPN6020025721, 29 October 2003 (2003-10-29), JP, pages 659 - 664, ISSN: 0004307180 * |
| 碓井利宣: "APIの傾向によるラベル付けとSVMによるマルウェアの分類", CSS2011コンピュータセキュリティシンポジウム2011論文集 併催 マルウェア対策研究人材育成ワ, vol. 第2011巻, JPN6016014413, 12 October 2011 (2011-10-12), JP, pages 797 - 802, ISSN: 0004307179 * |
| 藤野朗稚ほか: "自動化されたマルウェア動的解析システムで収集した大量APIコールログの分析", COMPUTER SECURITY SYMPOSIUM, JPN6020025719, 14 October 2013 (2013-10-14), JP, pages 618 - 625, ISSN: 0004307178 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102199704B1 (ko) * | 2020-06-26 | 2021-01-08 | 주식회사 이스트시큐리티 | 다중 백신의 탐지명으로부터 대표 토큰을 선정하기 위한 장치, 이를 위한 방법 및 이 방법을 수행하기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6740184B2 (ja) | 2020-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210256127A1 (en) | System and method for automated machine-learning, zero-day malware detection | |
| US9665713B2 (en) | System and method for automated machine-learning, zero-day malware detection | |
| RU2454714C1 (ru) | Система и способ повышения эффективности обнаружения неизвестных вредоносных объектов | |
| WO2020242585A1 (en) | Data security classification sampling and labeling | |
| US10691739B2 (en) | Multi-label content recategorization | |
| JP6697123B2 (ja) | プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム | |
| US20220222372A1 (en) | Automated data masking with false positive detection and avoidance | |
| KR101858620B1 (ko) | 기계 학습을 이용한 자바스크립트 분석 장치 및 방법 | |
| RU2706883C1 (ru) | Система и способ снижения количества ложных срабатываний классифицирующих алгоритмов | |
| US10417579B2 (en) | Multi-label classification for overlapping classes | |
| Kumar et al. | Machine learning based malware detection in cloud environment using clustering approach | |
| JP6725452B2 (ja) | 分類装置、分類方法および分類プログラム | |
| Ognev et al. | Clustering of malicious executable files based on the sequence analysis of system calls | |
| US20220198011A1 (en) | Malware Detection from Operating System Event Tracing | |
| JP6740184B2 (ja) | 付与装置、付与方法および付与プログラム | |
| JP6954466B2 (ja) | 生成方法、生成装置および生成プログラム | |
| CN110659478B (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
| JP6787861B2 (ja) | 分類装置 | |
| CN113010268B (zh) | 恶意程序识别方法及装置、存储介质、电子设备 | |
| US20230106639A1 (en) | User sentiment analysis for url reputations | |
| US20230028490A1 (en) | Homoglyph attack detection | |
| US20210336973A1 (en) | Method and system for detecting malicious or suspicious activity by baselining host behavior | |
| US10311577B1 (en) | Techniques to improve edge detection for images | |
| US11847412B2 (en) | Enforcing data ownership at gateway registration using natural language processing | |
| JP7460242B2 (ja) | ナレッジ生成装置、制御方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190823 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200629 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200721 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200722 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6740184 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |