JP2019091435A - 訓練された機械学習モデルを使用することで悪意のあるファイルを検出するシステムおよび方法 - Google Patents
訓練された機械学習モデルを使用することで悪意のあるファイルを検出するシステムおよび方法 Download PDFInfo
- Publication number
- JP2019091435A JP2019091435A JP2018194846A JP2018194846A JP2019091435A JP 2019091435 A JP2019091435 A JP 2019091435A JP 2018194846 A JP2018194846 A JP 2018194846A JP 2018194846 A JP2018194846 A JP 2018194846A JP 2019091435 A JP2019091435 A JP 2019091435A
- Authority
- JP
- Japan
- Prior art keywords
- file
- malicious
- detection
- degree
- files
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
- G06N5/046—Forward inferencing; Production systems
- G06N5/047—Pattern matching networks; Rete networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computational Linguistics (AREA)
- Medical Informatics (AREA)
- Molecular Biology (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
Description
●静的な分析−分析されるプログラムを構成するファイルに含まれたデータに基づいた、分析されるプログラムの作業の起動またはエミュレーションを含む、有害性についてのプログラムの分析であって、それによって、統計的な分析の間に、
○シグネチャ分析−悪意のあるプログラムのシグネチャのデータベースから既知のコード(シグネチャ)に対する分析されるプログラムのコードの特定のセグメントの対応関係についての検索、
○ホワイトおよびブラックリスト−悪意のあるプログラムのチェックサムのデータベース(ブラックリスト)または安全なプログラムのチェックサムのデータベース(ホワイトリスト)における分析されるプログラム(またはそれの部分)の算出されたチェックサムについての検索
を使用することは可能なことであるもの、
●動的な分析−分析されるプログラムの作業の実行またはエミュレーションの過程において得られたデータに基づいた有害性についてのプログラムの分析であって、それによって、動的な分析の間に、
○ヒューリスティックな分析−分析されるプログラムの作業のエミュレーション、(API関数の呼び出しについてのデータ、送信されたパラメーター、および分析されるプログラムのコードセグメントなどを含む)エミュレーションログの作成、および、作成されたログのデータと悪意のあるプログラムの行動シグネチャのデータベースからのデータとの間の対応関係についての検索、
○プロアクティブ保護−分析される起動されたプログラムのAPI関数の呼び出しのインターセプト、(API関数の呼び出しについてのデータ、送信されたパラメーター、および分析されるプログラムのコードセグメントなどを含む)分析されるプログラムの行動のログの作成、および、作成されたログのデータと悪意のあるプログラムの呼び出しのデータベースからのデータとの間の対応関係についての検索
を使用することは可能なことであるもの
のような、あらゆる種類の悪意のあるプログラムを検出するために様々なテクノロジーを用いる。
●学習選択のファイルを形成する所定のルールと一致してファイルのデータベースから少なくとも一つのファイルを選択するが、それの後に機械学習モジュール132は、選択されたファイルの分析に基づいて検出のモデルの教育を実行することになるように、
●行動ログモジュール112へ選択されたファイルを送るように、
設計される。
●疑わしいファイル(リスクウェア)−悪意のあるものであるということではないが、まだ悪意のあるアクションを実行することができるものであるファイル、
●未知のファイル−その有害性が決定されてきてないものであると共に未知のままであるファイル(即ち、安全なもの、悪意のあるもの、および疑わしいものなどであるのということではないファイル)
を保つ。
●アンチウィルスウェブクローラーによって収集された、
●ユーザーによって送られた、
ファイルを保つ。
●ファイルのデータベースから選択された安全なおよび悪意のあるファイルの間の分布は、平均的なユーザーの計算装置に位置させられた安全なおよび悪意のあるファイルの間の分布に対応する。
●ファイルのデータベースから選択された安全なおよび悪意のあるファイルの間の分布は、アンチウィルスウェブクローラーの助けと共に収集された安全なおよび悪意のあるファイルの間の分布に対応する。
●ファイルのデータベースから選択されたファイルのパラメーターは、平均的なユーザーの計算装置に位置させられたファイルのパラメーターに対応する。
●ファイルそれら自体がランダムに選択される一方で、選択されたファイルの数は、所定の値に対応する。
●ファイルが安全なもの、悪意のあるもの、潜在的に危険なものであるか、または、ファイルを実行するときコンピューターシステムの行動が決定されるものではないものかどうかなどを特徴付ける、ファイルの有害性、
●ファイルの実行の間に計算装置によって行われたコマンドの数、
●ファイルのサイズ、
●ファイルを利用するアプリケーション
である。
●試験選択のファイルを形成する所定のルールと一致してファイルのデータベースから少なくとも一つの他のファイルを選択するが、それの後に、機械学習モジュール132は、選択されたファイルの分析に基づいて訓練された検出のモデルの検証を実行することになるように、
●行動ログモジュール112へ選択されたファイルを送るように、
設計される。
●少なくとも
○受信されたファイルの実行、
○受信されたファイルの実行のエミュレーション
の間に、少なくとも一つの実行可能なコマンドをインターセプトするが、ここでファイルの実行のエミュレーションは、述べたファイルのオープニング(例えば、インタープリターによるスクリプトのオープニング)を含むように、
●各々のインターセプトされたコマンドについて上記のコマンドを記述する少なくとも一つのパラメーターを決定するように、
インターセプトされたコマンドおよびそのように決定されたパラメーターに基づいて得られたファイルの行動ログを形成するが、ここで行動ログは、ファイルからのインターセプトされたコマンド(以後、コマンド)の全体を構成するが、ここで各々のコマンドは、そのように決定されたと共にそのコマンドを記述する少なくとも一つのパラメーター(以後、パラメーター)に対応するように、
設計される。
●専門のドライバ、
●デバッガ、
●ハイパーバイザ
の援助でなされる。
●API関数、
●アクションの所定のセットを記述する機械命令のセット(マクロコマンド)
である。
●行動ログから選択されたコマンドおよびパラメーターに基づいて少なくとも一つの行動パターンを形成するが、ここで行動ログは、ファイルからの実行可能なコマンド(以後、コマンド)の全体を構成するが、ここで各々のコマンドは、そのコマンドを記述する少なくとも一つのパラメーター(以後、パラメーター)に対応すると共に、行動パターンが少なくとも一つのコマンドおよびそのセットのコマンドの全てを記述するパラメーター(以後、行動パターンの要素)のセットであるように、
●コンボリューション関数モジュール122へそのように形成された行動パターンを送るように
設計される。
●インクリメントiが前もって指定される、連続したi番目毎のコマンドおよびそれを記述するパラメーター、
●以前の選択されたコマンドから所定の時間の間隔の後に(例えば、10秒毎に)実行されたコマンド、およびそれらを記述するパラメーター、
●ファイルの実行の開始から所定の時間間隔で実行されるコマンドおよびそれらを記述するパラメーター、
●所定のリストからのコマンドおよびそれらを記述するパラメーター、
●所定のリストからのパラメーターおよびそれらのパラメーターによって記述されたコマンド、
●コマンドパラメーターの数が所定の閾値の値と比べてより大きいものである場合におけるコマンドの最初のまたはランダムなk個のパラメーター
が選択される。
●行動パターンの要素を数として表現することができるとすれば、“数の範囲”
である。
●行動パターンの要素をストリングの形態で表現することができるとすれば、“ストリング”
であることがある。
●行動パターンの要素を所定のデータ構造によって記述されたデータの形態で表現することができるとすれば、その行動パターンの要素のタイプは、“データ構造”であることがある。
●語彙素の形成のための所定のルール、
●以前に訓練された再帰型ニューラルネットワーク
の使用で上記の行動パターンの要素の語彙の分析に基づいて形成されたトークンを含む。
例えば、パラメーター
●ストリングがファイルへのパスを含むとすれば、ファイルが位置させられるディスクを決定する、
●ストリングがファイルへのパスを含むとすれば、ファイルが位置させられるフォルダを決定する、
●ストリングがファイルへのパスを含むとすれば、ファイル拡張子を決定する。
●ファイルへのパス、
●ファイルが位置させられるフォルダ、
●ファイルの名前、
●ファイルの拡張子
である。
●パラメーターがIPアドレスを構成するとすれば、上記のIPアドレスを記述するビットマスク(またはメタ文字によって表現された、それの類似物)(即ち、相等
●得られた行動パターンについてのそのコンボリューション関数の結果の逆コンボリューション関数が、指定された値と比べてより大きい得られた行動パターンとの類似性の程度を有することになる、即ち、
ように設計される。
riは、行動パターンであると共に、
gは、コンボリューション関数であると共に、
g−1は、逆コンボリューション関数であると共に、
●機械学習モジュール132へそのように形成されたコンボリューション関数を送る。
●得られた行動パターンに基づいて行動パターンの特徴ベクトルを算出するが、ここで、行動パターンの特徴ベクトルは、行動パターンの要素のハッシュ値の和として表現されることがあるように、
●行動パターンの特徴ベクトルからコンボリューション関数を形成するが、ここで、コンボリューション関数は、算出された特徴ベクトルと算出された特徴ベクトルのそのハッシュ関数の結果の逆ハッシュ関数の結果との間の類似性の程度が、所定の値と比べてより大きいものであるように、ハッシュ関数を構成するように、
設計される。
●まず、100000個の要素からなる、空のビットベクトルが、作成される(ここで、1ビットの情報がベクトルの各々の要素のために取って置かれる)。
●行動パターンrからの1000個の要素が、コマンドciについてのデータの記憶のために確保されると共に、残りの99000個の要素が、行動パターンrからパラメーターciのために確保されるが、ここで、(要素1,001から要素51000までの)50000個の要素が、ストリングパラメーターのために、および、(要素51001から要素76000までの)25000個の要素が、数のパラメーターのために、確保される。
●行動パターンrの各々のコマンドciが、0から999までのある一定の数xiと一致させられると共に、対応するビットが、そのように作成されたベクトルに設定される。
○ストリングについての、
bは、計算の位取り法の底である(例えば、2進法のベクトルについてはb=2、ストリング、即ち、文字のグループを表すベクトルについてはb=8)と共に、
riは、行動パターンのi番目の要素であると共に、
hは、ハッシュ関数であるが、ここで、
●まず、1000個の要素からなる、(以前の例とは異なる)さらに別の空のビットベクトルを作成する(ここで、1ビットの情報がベクトルの各々の要素のために取って置かれる)。
●式
●まず、100000個の要素からなる、(以前の例とは異なる)さらに別の空のベクトルを作成する。
●式
ここで、
{h(ri)}は、行動パターンの要素のハッシュ関数の結果のセットであると共に、
{gi}は、行動パターンの要素のハッシュ関数の結果の逆ハッシュ関数の結果のセットであると共に、
riは、行動パターンのi番目の要素であると共に、
hは、ハッシュ関数であると共に、
wは、類似性の程度である。
●少なくとも、
○検出モデルの機械学習の方法の選択、
○教育モデルのパラメーターの初期化であって、ここで、検出モデルの機械学習の開始に先立って初期化された教育モデルのパラメーターが、用意モジュール111によって選択されたファイルのパラメーターに依存する、ハイパーパラメーターとして知られるもの、
を含む、悪意のあるファイルのための検出のためのモデルを作成するように、
●機械学習モジュール132へそのように作成された教育モデルを送る
ように設計される。
●照合検査、スライディングチェック、相互検証(CV)、
●尺度AICおよびBICなどの数学的な検証、
●A/B試験、スプリット試験、
●スタッキング
に基づいて選択される。
●意思決定木に基づいた勾配ブースティング、
●意思決定木、
●K最近傍法、
●サポートベクトルマシン(SVM)
である。
●試験選択のファイルからファイルの有害性の正しい決定を決定するために、試験選択のファイルからのファイルの分析に基づいて形成された得られた行動ログについて訓練された検出モデルのチェックを行うように、
●チェックの否定的な結果の場合には、少なくとも、
○検出モデルの教育に使用された現在のものとは異なる選択のファイルを用意するために用意モジュール111へ、
○現在のものとは異なる、新しい検出モデルを作成するために検出モデルモジュール131へ
リクエストを送るように、
設計される。
●行動ログモジュール112から得られた行動ログおよび機械学習モジュール132から得られた検出モデルに基づいて有害性の程度を算出するが、ファイルの有害性の程度が、実行可能なファイルの悪意のある行動を記述する、定量的な特性(例えば、0−ファイルが安全な行動のみを有する−から1−上記のファイルが所定の悪意のある行動を有する−までの範囲にあるもの)であるように、
●管理モジュール143へ算出された有害性の程度を送るように、
設計される。
●空いているRAMの容量、
●ハードディスクの空き領域の容量、
●(例えば、より大きい深さのエミュレーションと共に)アンチウィルススキャンに費やすことができる、空いているプロセッサの時間(プロセッサの時間の分量)
を含む。
●有害性の程度の値における増加の場合にコンピューターシステムの追加的な資源を配分すること、
●有害性の程度の値における減少の場合にコンピューターシステムの以前に配分された資源を解放すること
に存する。
●少なくとも、
○ステップ211において選択されたファイルの実行、
○ステップ211において選択されたファイルの作業のエミュレーション
の間に、少なくとも一つコマンドをインターセプトするために、
●各々のインターセプトされたコマンドについて、そのコマンドを記述する少なくとも一つのパラメーターを決定するために、
●インターセプトされたコマンドおよび決定されたパラメーターに基づいて、得られたファイルの行動ログを形成するために、ここで、行動ログは、ファイルからのインターセプトされたコマンド(以後、コマンド)のセットを表すと共に、ここで、各々のコマンドは、そのコマンドを記述する少なくとも一つの定義されたパラメーター(以後、パラメーター)に対応するが、
使用される。
●検出モデルの機械学習の方法が選択されると共に、
●教育モデルのパラメーターが初期化されるが、ここで、検出モデルの機械学習の開始に先立って初期化された教育モデルのパラメーターが、ハイパーパラメーターとして知られる。
●コンピューターシステムにおいて動くファイルによって実行される少なくとも一つのコマンドをインターセプトするために、
●インターセプトされたコマンドに基づいてシステムの行動ログを形成するために
使用される。
●少なくとも、
○ファイル501の実行、
○ファイル501の実行のエミュレーション
の間に少なくとも一つのコマンドをインターセプトするように、
●各々のインターセプトされたコマンドについてそのコマンドを記述する少なくとも一つのパラメーターを決定するように、
●インターセプトされたコマンドおよび決定されたパラメーターに基づいて、そのファイルについての行動ログを形成するが、インターセプトされたコマンドおよびそれらを記述するパラメーターがより前のインターセプトされたコマンドからより後のインターセプトされたコマンドまでの時間的な順序で行動ログに入れられる(以後、行動ログにおけるエントリー)ように、
●行動ログ分析モジュール530および選択モジュール520へ構築された行動ログを送るように
設計される。
●次のコマンドがインターセプトされることになる時間まで(行動ログ分析モジュール530、有害性モジュール540、および分析モジュール550の援助と共に実行された)有害性について実行されるファイル501を分析することが可能なものであるかどうかに関する決定、
●有害性についての実行されるファイル501の分析が所定の閾値の値より下の述べた計算装置の計算資源の低下に帰着することになるかどうかに関する決定であって、計算装置の資源が少なくとも
○その計算装置の性能、
○その計算装置の空いているRAMの容量、
○(ハードディスクのような)その計算装置の情報記憶媒体における空き領域の容量、
○その計算装置が接続されるコンピューターネットワークの帯域幅
であるもの、
を含む、悪意のあるファイルの検出のための訓練されたモデルを使用することによって悪意のあるファイルを検出するシステムが動くものである計算装置の性能の分析に基づいてなされる。
●実行されるファイル501の行動ログから選択されたコマンドおよびパラメーターに基づいて検出モデルのデータベース521から悪意のあるファイルの検出のための少なくとも二つのモデルを選択するが、ここで、悪意のあるファイルの検出のためのモデルは、有害性の程度を決定するための意思決定ルールを構成するように、
●有害性モジュール540へ悪意のあるファイルの決定のための全ての選択されたモデルを送るように
設計される。
●意思決定木における勾配ブースティング、
●意思決定木、
●kNN最近傍法、
●サポートベクトル
の方法である。
●グラフィック・ユーザー・インターフェース(GUI)を有する、
●コンピューターネットワークにおいてデータを交換する、
●ファイル(例えば、ファミリーTrojan−Cryptorの悪意のあるファイル)を暗号化する、
●それらの拡散についてのネットワークの脆弱性(例えば、ファミリーNet−Wormの悪意のあるファイル)、および(ファミリーP2P−Wormの悪意のあるファイルのような)P2Pネットワークなどを使用する、
ファイルを検出するために訓練されることがある。
wtotal−合計の有害性の程度であると共に、
wi−合計の有害性の程度を計算するために使用された悪意のあるファイルの検出のためのモデルn−モデルの数である−の使用と共に算出された有害性の程度である。
Idetect−それの分析の後にファイルが悪意のあるものであるとして認識される行動ログからのコマンドの数であると共に、
Ii−それの分析の後にモデルの使用と共にファイルが悪意のあるものであるとして認識される行動ログからのコマンドの数であると共に、
wi−モデルの使用と共に計算されたような有害性の程度であると共に、
n−それの分析の後にファイルが悪意のあるものであるとして認識される行動ログからのコマンドの数を算出するために使用された悪意のあるファイルの検出のためのモデルの数である。
i.実行されるファイル501の行動ログから選択されたコマンドと同じコマンドが実行された、
ii.実行されるファイル501の行動ログから選択されたパラメーターと同じパラメーターが使用された。
●実行されるファイル501の行動ログから選択されたコマンドおよびパラメーターに基づいて少なくとも一つの行動パターンを形成するが、ここで、行動パターンは、少なくとも一つのコマンドおよびそのセットにおける全てのコマンドを記述するパラメーターのセットを表すように、
●そのように構築された全ての行動パターンのコンボリューションを算出するように、
●有害性モジュール540へ実行されるファイルの構築されたコンボリューションを送るように
設計される。
●悪意のあるファイルの検出のための各々の得られたモデルの援助と共に、得られたコンボリューションの分析に基づいて、実行されるファイル501の有害性の程度を算出するように、
●分析モジュール550へ各々の算出された有害性の程度を送るように
設計される。
●得られた有害性の程度に基づいて意思決定パターンを形成するように、
●そのように構築された意思決定パターンと、悪意のあるファイルの分析に基づいて以前に構築された、意思決定パターンのデータベース541からの所定の意思決定パターンの少なくとも一つとの間の類似性の程度が所定の閾値の値を超えるとすれば悪意のあるものとして実行されるファイル501を認識するように
設計される。
○分析されるファイル501を実行するために、
○分先されるファイル501の実行をエミュレートするために
使用される。
●少なくとも一つの実行可能なコマンドがインターセプトされる、
●各々のインターセプトされたコマンドについてそのコマンドを記述する少なくとも一つのパラメーターが決定される、
●インターセプトされたコマンドおよびそのように決定されたパラメーターに基づいて、そのファイル501の行動ログが形成される。
Claims (21)
- 悪意のあるファイルの検出のための訓練されたモデルを使用することによって悪意のあるファイルを検出するシステムであって、
前記システムは、
実行されるファイルの行動ログから選択されたコマンドおよびパラメーターに基づいて少なくとも一つの行動パターンを形成すると共に、
形成された全ての行動パターンのコンボリューションを算出すると共に、
前記実行されるファイルの行動ログから選択されたコマンドおよびパラメーターに基づいて検出モデルのデータベースから悪意のあるファイルの検出のための少なくとも二つのモデルを選択すると共に、
前記コンボリューションおよび前記悪意のあるファイルの検出のための少なくとも二つのモデルの分析に基づいて実行されるファイルの有害性の程度を算出すると共に、
前記有害性の程度に基づいて、意思決定パターンを形成すると共に、
構築された意思決定パターンと悪意のあるファイルの分析に基づいて以前に構築された意思決定パターンのデータベースからの所定の意思決定パターンの少なくとも一つとの間の類似性の程度が、所定の閾値の値を超えるとすれば、悪意のあるものとして前記実行されるファイルを認識する
ように構成されたハードウェアプロセッサ
を備える、
システム。 - 請求項1のシステムにおいて、
前記ハードウェアプロセッサは、
少なくとも前記ファイルの実行の間に少なくとも一つのコマンドをインターセプトするようにおよび前記ファイルの実行をエミュレートするように設計される、前記実行されるファイルの行動ログを形成すると共に、
各々のインターセプトされたコマンドについて、そのコマンドを記述する少なくとも一つのパラメーターを決定すると共に、
前記インターセプトされたコマンドおよび前記決定されたパラメーターに基づいて、そのファイルの行動ログを形成する
ように構成された、
システム。 - 請求項1のシステムにおいて、
前記検出モデルのデータベースから選択される悪意のあるファイルの検出のための各々のモデルは、独特の、以前に決定された特徴的な特徴で悪意のあるファイルの検出のために訓練される、
システム。 - 請求項1のシステムにおいて、
前記ハードウェアプロセッサは、
前記構築された意思決定パターンと前記意思決定パターンのデータベースからの所定の意思決定パターンの少なくとも一つとの間の類似性の程度が所定の閾値の値を超えると共に悪意のあるファイルのためのそれらの検出モデルの援助で算出された前記有害性の程度が所定の閾値の値を超えるものではない場合には、前記実行されるファイルの行動ログから選択されたコマンドおよびパラメーターに基づいて前記検出モデルのデータベースからの少なくとも一つの検出モデルを再訓練する
ようにさらに構成されたものである、
システム。 - 請求項1のシステムにおいて、
前記行動パターンは、少なくとも一つのコマンドおよび述べられたセットからの全てのコマンドを記述するパラメーターのセットを構成する、
システム。 - 請求項1のシステムにおいて、
前記悪意のあるファイルの検出のためのモデルは、前記有害性の程度を決定するための意思決定ルールを構成する、
システム。 - 請求項2のシステムにおいて、
前記ハードウェアプロセッサは、
前記行動ログを分析することによって前記行動パターンを形成する
ようにさらに構成されたものである、
システム。 - 悪意のあるファイルの検出のための訓練されたモデルを使用することによって悪意のあるファイルを検出する方法であって、
前記方法は、
実行されるファイルの行動ログから選択されたコマンドおよびパラメーターに基づいて少なくとも一つの行動パターンを形成すること、
形成された全ての行動パターンのコンボリューションを算出すること、
前記実行されるファイルの行動ログから選択されたコマンドおよびパラメーターに基づいて検出モデルのデータベースから悪意のあるファイルの検出のための少なくとも二つのモデルを選択すること、
前記コンボリューションおよび前記悪意のあるファイルの検出のための少なくとも二つのモデルの分析に基づいて実行されるファイルの有害性の程度を算出すること、
前記有害性の程度に基づいて、意思決定パターンを形成すること、
構築された意思決定パターンと悪意のあるファイルの分析に基づいて以前に構築された意思決定パターンのデータベースからの所定の意思決定パターンの少なくとも一つとの間の類似性の程度が、所定の閾値の値を超えるとすれば、悪意のあるものとして前記実行されるファイルを認識すること
を備える、
方法。 - 請求項8の方法において、
前記ハードウェアプロセッサは、
少なくとも前記ファイルの実行の間に少なくとも一つのコマンドをインターセプトするようにおよび前記ファイルの実行をエミュレートするように設計される、前記実行されるファイルの行動ログを形成すると共に、
各々のインターセプトされたコマンドについて、そのコマンドを記述する少なくとも一つのパラメーターを決定すると共に、
前記インターセプトされたコマンドおよび前記決定されたパラメーターに基づいて、そのファイルの行動ログを形成する
ように構成された、
方法。 - 請求項8の方法において、
前記検出モデルのデータベースから選択される悪意のあるファイルの検出のための各々のモデルは、独特の、以前に決定された特徴的な特徴で悪意のあるファイルの検出のために訓練される、
方法。 - 請求項8の方法において、
前記ハードウェアプロセッサは、
前記構築された意思決定パターンと前記意思決定パターンのデータベースからの所定の意思決定パターンの少なくとも一つとの間の類似性の程度が所定の閾値の値を超えると共に悪意のあるファイルのためのそれらの検出モデルの援助で算出された前記有害性の程度が所定の閾値の値を超えるものではない場合には、前記実行されるファイルの行動ログから選択されたコマンドおよびパラメーターに基づいて前記検出モデルのデータベースからの少なくとも一つの検出モデルを再訓練する
ようにさらに構成されたものである、
方法。 - 請求項8の方法において、
前記行動パターンは、少なくとも一つのコマンドおよび述べられたセットからの全てのコマンドを記述するパラメーターのセットを構成する、
方法。 - 請求項8の方法において、
前記悪意のあるファイルの検出のためのモデルは、前記有害性の程度を決定するための意思決定ルールを構成する、
方法。 - 請求項9の方法において、
前記ハードウェアプロセッサは、
前記行動ログを分析することによって前記行動パターンを形成する
ようにさらに構成されたものである、
方法。 - 悪意のあるファイルの検出のための訓練されたモデルを使用することによって悪意のあるファイルを検出するためのそれに記憶された命令を有する非一時的なコンピューター媒体であって、
前記命令は、
実行されるファイルの行動ログから選択されたコマンドおよびパラメーターに基づいて少なくとも一つの行動パターンを形成すること、
形成された全ての行動パターンのコンボリューションを算出すること、
前記実行されるファイルの行動ログから選択されたコマンドおよびパラメーターに基づいて検出モデルのデータベースから悪意のあるファイルの検出のための少なくとも二つのモデルを選択すること、
前記コンボリューションおよび前記悪意のあるファイルの検出のための少なくとも二つのモデルの分析に基づいて実行されるファイルの有害性の程度を算出すること、
前記有害性の程度に基づいて、意思決定パターンを形成すること、
構築された意思決定パターンと悪意のあるファイルの分析に基づいて以前に構築された意思決定パターンのデータベースからの所定の意思決定パターンの少なくとも一つとの間の類似性の程度が、所定の閾値の値を超えるとすれば、悪意のあるものとして前記実行されるファイルを認識すること
を備える、
媒体。 - 請求項15の媒体において、
前記ハードウェアプロセッサは、
少なくとも前記ファイルの実行の間に少なくとも一つのコマンドをインターセプトするようにおよび前記ファイルの実行をエミュレートするように設計される、前記実行されるファイルの行動ログを形成すると共に、
各々のインターセプトされたコマンドについて、そのコマンドを記述する少なくとも一つのパラメーターを決定すると共に、
前記インターセプトされたコマンドおよび前記決定されたパラメーターに基づいて、そのファイルの行動ログを形成する
ように構成された、
媒体。 - 請求項15の媒体において、
前記検出モデルのデータベースから選択される悪意のあるファイルの検出のための各々のモデルは、独特の、以前に決定された特徴的な特徴で悪意のあるファイルの検出のために訓練される、
媒体。 - 請求項15の媒体において、
前記ハードウェアプロセッサは、
前記構築された意思決定パターンと前記意思決定パターンのデータベースからの所定の意思決定パターンの少なくとも一つとの間の類似性の程度が所定の閾値の値を超えると共に悪意のあるファイルのためのそれらの検出モデルの援助で算出された前記有害性の程度が所定の閾値の値を超えるものではない場合には、前記実行されるファイルの行動ログから選択されたコマンドおよびパラメーターに基づいて前記検出モデルのデータベースからの少なくとも一つの検出モデルを再訓練する
ようにさらに構成されたものである、
媒体。 - 請求項15の媒体において、
前記行動パターンは、少なくとも一つのコマンドおよび述べられたセットからの全てのコマンドを記述するパラメーターのセットを構成する、
媒体。 - 請求項15の媒体において、
前記悪意のあるファイルの検出のためのモデルは、前記有害性の程度を決定するための意思決定ルールを構成する、
媒体。 - 請求項16の媒体において、
前記ハードウェアプロセッサは、
前記行動ログを分析することによって前記行動パターンを形成する
ようにさらに構成されたものである、
媒体。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762573970P | 2017-10-18 | 2017-10-18 | |
US62/573,970 | 2017-10-18 | ||
US16/149,263 US10878090B2 (en) | 2017-10-18 | 2018-10-02 | System and method of detecting malicious files using a trained machine learning model |
US16/149,263 | 2018-10-02 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019091435A true JP2019091435A (ja) | 2019-06-13 |
JP6731988B2 JP6731988B2 (ja) | 2020-07-29 |
Family
ID=63832289
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018194846A Active JP6731988B2 (ja) | 2017-10-18 | 2018-10-16 | 訓練された機械学習モデルを使用することで悪意のあるファイルを検出するシステムおよび方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10878090B2 (ja) |
EP (1) | EP3474177B1 (ja) |
JP (1) | JP6731988B2 (ja) |
CN (1) | CN109684836B (ja) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7092998B2 (ja) * | 2018-04-26 | 2022-06-29 | 富士通株式会社 | 分析プログラム及び分析方法 |
US20200372183A1 (en) * | 2019-05-21 | 2020-11-26 | Hewlett Packard Enterprise Development Lp | Digitally Signing Software Packages With Hash Values |
US11029947B2 (en) * | 2019-08-30 | 2021-06-08 | Accenture Global Solutions Limited | Utilizing artificial intelligence to improve productivity of software development and information technology operations (DevOps) |
EP3798885B1 (en) * | 2019-09-30 | 2023-06-07 | AO Kaspersky Lab | System and method for detection of malicious files |
US11399041B1 (en) | 2019-11-22 | 2022-07-26 | Anvilogic, Inc. | System for determining rules for detecting security threats |
US11055652B1 (en) * | 2019-11-22 | 2021-07-06 | Anvilogic, Inc. | System for sharing detection logic through a cloud-based exchange platform |
CN111159111A (zh) * | 2019-12-13 | 2020-05-15 | 深信服科技股份有限公司 | 一种信息处理方法、设备、系统和计算机可读存储介质 |
JP7413011B2 (ja) * | 2019-12-27 | 2024-01-15 | キヤノンメディカルシステムズ株式会社 | 医用情報処理装置 |
US11290483B1 (en) | 2020-04-07 | 2022-03-29 | Anvilogic, Inc. | Platform for developing high efficacy detection content |
CN111859404B (zh) * | 2020-07-30 | 2023-09-05 | 中国工商银行股份有限公司 | 计算机的系统漏洞探测的方法、装置、电子设备及介质 |
RU2770570C2 (ru) * | 2020-08-24 | 2022-04-18 | Акционерное общество "Лаборатория Касперского" | Система и способ определения процесса, связанного с вредоносным программным обеспечением, шифрующим файлы компьютерной системы |
US20220269807A1 (en) * | 2021-02-22 | 2022-08-25 | EMC IP Holding Company LLC | Detecting unauthorized encryptions in data storage systems |
CN116260660B (zh) * | 2023-05-15 | 2023-07-25 | 杭州美创科技股份有限公司 | 网页木马后门识别方法及系统 |
CN116861430B (zh) * | 2023-09-04 | 2023-11-17 | 北京安天网络安全技术有限公司 | 一种恶意文件检测方法、装置、设备及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016182668A1 (en) * | 2015-05-11 | 2016-11-17 | Qualcomm Incorporated | Methods and systems for behavior-specific actuation for real-time whitelisting |
JP2017004489A (ja) * | 2015-06-15 | 2017-01-05 | 安一恒通(北京)科技有限公司 | ファイル識別方法及び装置 |
JP2017037555A (ja) * | 2015-08-12 | 2017-02-16 | 日本電信電話株式会社 | 調整装置、調整方法および調整プログラム |
US20170193225A1 (en) * | 2016-01-04 | 2017-07-06 | Electronics And Telecommunications Research Institute | Behavior-based malicious code detecting apparatus and method using multiple feature vectors |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8726232B1 (en) * | 2005-12-02 | 2014-05-13 | The Math Works, Inc. | Identification of patterns in modeling environments |
EP1879124A1 (en) | 2006-06-15 | 2008-01-16 | Deutsche Telekom AG | Improved method and system for detecting malicious behavioral patterns in a computer, using machine leaning |
US8789172B2 (en) * | 2006-09-18 | 2014-07-22 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting attack on a digital processing device |
US8719939B2 (en) * | 2009-12-31 | 2014-05-06 | Mcafee, Inc. | Malware detection via reputation system |
US10742591B2 (en) * | 2011-07-06 | 2020-08-11 | Akamai Technologies Inc. | System for domain reputation scoring |
ES2755780T3 (es) * | 2011-09-16 | 2020-04-23 | Veracode Inc | Análisis estático y de comportamiento automatizado mediante la utilización de un espacio aislado instrumentado y clasificación de aprendizaje automático para seguridad móvil |
US9349103B2 (en) * | 2012-01-09 | 2016-05-24 | DecisionQ Corporation | Application of machine learned Bayesian networks to detection of anomalies in complex systems |
US9288220B2 (en) | 2013-11-07 | 2016-03-15 | Cyberpoint International Llc | Methods and systems for malware detection |
KR102559199B1 (ko) * | 2015-11-02 | 2023-07-25 | 삼성전자주식회사 | 배터리 관리 방법 및 배터리 관리 장치 |
US9928363B2 (en) * | 2016-02-26 | 2018-03-27 | Cylance Inc. | Isolating data for analysis to avoid malicious attacks |
WO2017223294A1 (en) * | 2016-06-22 | 2017-12-28 | Invincea, Inc. | Methods and apparatus for detecting whether a string of characters represents malicious activity using machine learning |
US10972482B2 (en) * | 2016-07-05 | 2021-04-06 | Webroot Inc. | Automatic inline detection based on static data |
US10652252B2 (en) * | 2016-09-30 | 2020-05-12 | Cylance Inc. | Machine learning classification using Markov modeling |
US10726128B2 (en) * | 2017-07-24 | 2020-07-28 | Crowdstrike, Inc. | Malware detection using local computational models |
US11310245B2 (en) * | 2018-01-22 | 2022-04-19 | T-Mobile Usa, Inc. | Indicator of compromise calculation system |
-
2018
- 2018-10-02 US US16/149,263 patent/US10878090B2/en active Active
- 2018-10-10 EP EP18199531.7A patent/EP3474177B1/en active Active
- 2018-10-16 JP JP2018194846A patent/JP6731988B2/ja active Active
- 2018-10-18 CN CN201811214984.8A patent/CN109684836B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016182668A1 (en) * | 2015-05-11 | 2016-11-17 | Qualcomm Incorporated | Methods and systems for behavior-specific actuation for real-time whitelisting |
JP2017004489A (ja) * | 2015-06-15 | 2017-01-05 | 安一恒通(北京)科技有限公司 | ファイル識別方法及び装置 |
JP2017037555A (ja) * | 2015-08-12 | 2017-02-16 | 日本電信電話株式会社 | 調整装置、調整方法および調整プログラム |
US20170193225A1 (en) * | 2016-01-04 | 2017-07-06 | Electronics And Telecommunications Research Institute | Behavior-based malicious code detecting apparatus and method using multiple feature vectors |
Also Published As
Publication number | Publication date |
---|---|
US20190114420A1 (en) | 2019-04-18 |
JP6731988B2 (ja) | 2020-07-29 |
EP3474177A1 (en) | 2019-04-24 |
EP3474177B1 (en) | 2020-04-29 |
US10878090B2 (en) | 2020-12-29 |
CN109684836B (zh) | 2023-03-21 |
CN109684836A (zh) | 2019-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6731988B2 (ja) | 訓練された機械学習モデルを使用することで悪意のあるファイルを検出するシステムおよび方法 | |
JP6636096B2 (ja) | マルウェア検出モデルの機械学習のシステムおよび方法 | |
US11403396B2 (en) | System and method of allocating computer resources for detection of malicious files | |
RU2679785C1 (ru) | Система и способ классификации объектов | |
JP6715292B2 (ja) | 機械学習を用いる悪意のあるファイルを検出するシステムおよび方法 | |
JP7405596B2 (ja) | コンピュータシステムのオブジェクト分類のためのシステムおよび方法 | |
JP6731981B2 (ja) | 機械学習モデルに基づいた悪意のあるファイルの検出のための計算資源を管理するシステムおよび方法 | |
RU2739865C2 (ru) | Система и способ обнаружения вредоносного файла | |
RU2654151C1 (ru) | Система и способ обнаружения вредоносных файлов с использованием обученной модели обнаружения вредоносных файлов | |
RU2606564C1 (ru) | Система и способ блокировки выполнения сценариев | |
RU2624552C2 (ru) | Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины | |
US10372907B2 (en) | System and method of detecting malicious computer systems | |
RU2673708C1 (ru) | Система и способ машинного обучения модели обнаружения вредоносных файлов | |
EP3252645A1 (en) | System and method of detecting malicious computer systems | |
RU2757265C1 (ru) | Система и способ оценки приложения на вредоносность | |
EP3151148A1 (en) | System and method for generating sets of antivirus records for detection of malware on user devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190218 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190304 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191111 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191210 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200310 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200630 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200707 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6731988 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |