JP2019514119A - ハイブリッドプログラムバイナリ特徴の抽出及び比較 - Google Patents
ハイブリッドプログラムバイナリ特徴の抽出及び比較 Download PDFInfo
- Publication number
- JP2019514119A JP2019514119A JP2018552688A JP2018552688A JP2019514119A JP 2019514119 A JP2019514119 A JP 2019514119A JP 2018552688 A JP2018552688 A JP 2018552688A JP 2018552688 A JP2018552688 A JP 2018552688A JP 2019514119 A JP2019514119 A JP 2019514119A
- Authority
- JP
- Japan
- Prior art keywords
- features
- hybrid
- binary
- program
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3688—Test management for test execution, e.g. scheduling of test suites
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3692—Test management for test results analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Stored Programmes (AREA)
Abstract
Description
さらに、処理システム100は、例えば、図2A、図2B、図3、図4、図5、図6及び図7の方法200、210、300、400、500、600及び700の少なくとも一部を含む、本明細書で説明する方法の少なくとも一部を実行してもよいことを理解されたい。同様に、本原理の様々な実施形態によれば、システム800の一部または全ては、図2A、図2B、図3、図4、図5、図6及び図7の方法200、210、300、400、500、600及び700の少なくとも一部を実行するために使用されてもよい。
P:入力プログラムバイナリ302
F_F(P):プログラムバイナリPの参照特徴316
F_R(P):プログラムバイナリPのリソース特徴318
F_C(P):プログラムバイナリPの抽象化制御特徴320
F_S(P):プログラムバイナリPの構造特徴322
HF(P)=(F_F(P),F_R(P),F_C(P),F_S(P))
Sim_F(F_F(P1),F_F(P2))
その入力は、プログラムP1及びP2の2つの参照特徴である。
この値は、0(0%)と1(100%)との間である。
Sim_R(F_R(P1),F_R(P2))
その入力は、プログラムP1及びP2の2つのリソース特徴である。
この値は、0(0%)と1(100%)との間である。
Sim_C(F_C(P1),F_C(P2))
その入力は、プログラムP1及びP2の2つの抽象化制御フロー特徴である。
この値は、0(0%)と1(100%)との間である。
Sim_C(F_C(P1),F_C(P2))
その入力は、プログラムP1及びP2の2つの構造特徴である。
この値は、0(0%)と1(100%)との間である。
C_F:参照特徴のためのパラメータ
C_R:リソース特徴のためのパラメータ
C_C:抽象化制御フロー特徴のためのパラメータ
C_S:構造特徴のためのパラメータ
C_F、C_R、C_C、C_Sは、0と1との間の比率である。
C_F+C_R+C_C+C_S=1
C_F_P:類似したプログラム参照と照合するための閾値
C_F_F:類似した機能参照と照合するための閾値
−未知のプログラムとファイル検索ユーティリティとの類似度:20%、
−未知のプログラムとネットワークユーティリティとの類似度:80%、
本原理によれば、このプログラムは、ネットワーク機能及びファイル検索機能を有する可能性がある判定される。
−未知のプログラムとマルウェアXとの類似度:50%、
−未知のプログラムとファイル検索ユーティリティとの類似度:20%、
−未知のプログラムとネットワークユーティリティとの類似度:30%。
このプログラムは、マルウェアXで見られる悪意のある機能を有する可能性(例えば、尤度百分率)があると判定される。
−未知のプログラムとマルウェアファミリー1との類似度:70%
−未知のプログラムとマルウェアファミリー2との類似度:27%
−未知のプログラムとマルウェアファミリー3との類似度:3%
本原理によれば、このバイナリは、マルウェアファミリー2または3よりもマルウェアファミリー1により密接に関連していると判定され、それに応じて、ウィルス対策/マルウェア対策アプリケーションが悪意のあるソフトウェア攻撃を検出及び防止するために更新/適用される。
Claims (20)
- プログラムバイナリの類似度を特定するための方法であって、
1つまたは複数の入力プログラムバイナリからプログラムバイナリ特徴を抽出し、対応するハイブリッド特徴を生成することであって、前記ハイブリッド特徴が、参照特徴、リソース特徴、抽象化制御フロー特徴及び構造特徴を含むことと、
前記抽出されたハイブリッド特徴から複数のバイナリ対の組み合わせを生成することと、
前記バイナリ対毎の類似度スコアを決定することと、
入力ハイブリッド特徴パラメータと組み合わされた、前記バイナリ毎の前記類似度スコアに基づいて、ハイブリッド差異スコアを生成することと、
前記ハイブリッド差異スコアに基づいて、前記入力プログラムバイナリに関するマルウェアの尤度を特定することと、
を含む、方法。 - 前記複数のバイナリ対は、前記抽出されたハイブリッド特徴で想定される全てのバイナリ対を含む、請求項1に記載の方法。
- 所定の閾値ハイブリッド差異スコアに到達している場合に、マルウェア対策ソフトウェアにおけるマルウェア定義ライブラリを更新することをさらに含む、請求項1に記載の方法。
- 前記参照特徴は、前記入力プログラムから参照されるプログラム及び参照される機能のリストのうちの少なくとも1つを含む、請求項1に記載の方法。
- 前記リソース特徴は、グローバルデータ、プログラムメタデータ、プログラムアイコン、文字列及びデバッグシンボルのうちの少なくとも1つを含む、請求項1に記載の方法。
- 前記入力プログラムを逆アセンブリし、複数の各命令を反復して前記抽象化制御フロー特徴を判定することをさらに含む、請求項1に記載の方法。
- 前記命令が制御依存である場合、オペコードのみを取り出し、前記抽象化制御フロー特徴に含める、請求項6に記載の方法。
- 前記構造特徴は、バイナリセクションの名称及びバイナリセクションのサイズのリストのうちの少なくとも1つを含む、請求項1に記載の方法。
- 前記ハイブリッド特徴パラメータは、前記ハイブリッド差異スコアを生成するときの前記特徴毎の貢献量を示す所定のレートのセットである、請求項1に記載の方法。
- プログラムバイナリの類似度を特定するためのシステムであって、
メモリと接続されたプロセッサを備え、前記プロセッサは、
1つまたは複数の入力プログラムバイナリからプログラムバイナリ特徴を抽出し、対応するハイブリッド特徴を生成することであって、前記ハイブリッド特徴が、参照特徴、リソース特徴、抽象化制御フロー特徴及び構造特徴を含み、
前記抽出されたハイブリッド特徴から複数のバイナリ対の組み合わせを生成し、
前記バイナリ対毎の類似度スコアを決定し、
入力ハイブリッド特徴パラメータと組み合わされた、前記バイナリ毎の前記類似度スコアに基づいて、ハイブリッド差異スコアを生成し、
前記ハイブリッド差異スコアに基づいて前記入力プログラムバイナリに関するマルウェアの尤度を特定するように構成された、システム。 - 前記複数のバイナリ対は、前記抽出されたハイブリッド特徴で想定される全てのバイナリ対を含む、請求項10に記載のシステム。
- 前記プロセッサは、所定の閾値ハイブリッド差異スコアに到達している場合に、マルウェア対策ソフトウェアにおけるマルウェア定義ライブラリを更新するようにさらに構成された、請求項10に記載のシステム。
- 前記参照特徴は、前記入力プログラムから参照されるプログラム及び参照される機能のリストのうちの少なくとも1つを含む、請求項10に記載のシステム。
- 前記リソース特徴は、グローバルデータ、プログラムメタデータ、プログラムアイコン、文字列及びデバッグシンボルのうちの少なくとも1つを含む、請求項10に記載のシステム。
- 前記プロセッサは、前記入力プログラムを逆アセンブリし、複数の各命令を反復して前記抽象化制御フロー特徴を判定するようにさらに構成された、請求項10に記載のシステム。
- 前記命令が制御依存である場合、オペコードのみを取り出し、前記抽象化制御フロー特徴に含める、請求項15に記載のシステム。
- 前記構造特徴は、バイナリセクションの名称及びバイナリセクションのサイズのリストのうちの少なくとも1つを含む、請求項10に記載のシステム。
- 前記ハイブリッド特徴パラメータは、前記ハイブリッド差異スコアを生成するときの前記特徴毎の貢献量を示す所定のレートのセットである、請求項10に記載のシステム。
- プログラムバイナリの類似度を特定するためのコンピュータで読み取り可能なプログラムを備えた非一時的なコンピュータで読み取り可能な記憶媒体であって、
前記コンピュータで読み取り可能なプログラムは、
1つまたは複数の入力プログラムバイナリからプログラムバイナリ特徴を抽出し、対応するハイブリッド特徴を生成する工程であって、前記ハイブリッド特徴が、参照特徴、リソース特徴、抽象化制御フロー特徴及び構造特徴を含み、
前記抽出されたハイブリッド特徴から複数のバイナリ対の組み合わせを生成する工程と、
前記バイナリ対毎の類似度スコアを決定する工程と、
入力ハイブリッド特徴パラメータと組み合わされた、前記バイナリ毎の前記類似度スコアに基づいて、ハイブリッド差異スコアを生成する工程と、
前記ハイブリッド差異スコアに基づいて前記入力プログラムバイナリに関するマルウェアの尤度を特定する工程と、
を前記コンピュータに実行させる、非一時的なコンピュータで読み取り可能な記憶媒体。 - 所定の閾値ハイブリッド差異スコアに到達している場合に、マルウェア対策ソフトウェアにおけるマルウェア定義ライブラリを更新する工程をさらに含む、請求項19に記載の非一時的なコンピュータで読み取り可能な記憶媒体。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201662318844P | 2016-04-06 | 2016-04-06 | |
US62/318,844 | 2016-04-06 | ||
US15/479,928 US10289843B2 (en) | 2016-04-06 | 2017-04-05 | Extraction and comparison of hybrid program binary features |
US15/479,928 | 2017-04-05 | ||
PCT/US2017/026359 WO2017177003A1 (en) | 2016-04-06 | 2017-04-06 | Extraction and comparison of hybrid program binary features |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2019514119A true JP2019514119A (ja) | 2019-05-30 |
JP2019514119A5 JP2019514119A5 (ja) | 2020-03-19 |
JP6778761B2 JP6778761B2 (ja) | 2020-11-04 |
Family
ID=59998743
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018552688A Active JP6778761B2 (ja) | 2016-04-06 | 2017-04-06 | ハイブリッドプログラムバイナリ特徴の抽出及び比較 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10289843B2 (ja) |
JP (1) | JP6778761B2 (ja) |
WO (1) | WO2017177003A1 (ja) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018230194A1 (ja) * | 2017-06-14 | 2018-12-20 | 日本電信電話株式会社 | 特定支援装置、特定支援方法及び特定支援プログラム |
US10346293B2 (en) * | 2017-10-04 | 2019-07-09 | International Business Machines Corporation | Testing pre and post system call exits |
CN109299609A (zh) * | 2018-08-08 | 2019-02-01 | 北京奇虎科技有限公司 | 一种elf文件检测方法及装置 |
CN111723373A (zh) * | 2019-03-19 | 2020-09-29 | 国家计算机网络与信息安全管理中心 | 复合式二进制文档的漏洞利用文件检测方法及装置 |
CN110852235A (zh) * | 2019-11-05 | 2020-02-28 | 长安大学 | 一种图像特征提取方法 |
CN113378162B (zh) * | 2020-02-25 | 2023-11-07 | 深信服科技股份有限公司 | 可执行和可链接格式文件的检验方法、装置及存储介质 |
US11294804B2 (en) * | 2020-03-23 | 2022-04-05 | International Business Machines Corporation | Test case failure with root cause isolation |
CN113254934B (zh) * | 2021-06-29 | 2021-09-24 | 湖南大学 | 基于图匹配网络的二进制代码相似性检测方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010198565A (ja) * | 2009-02-27 | 2010-09-09 | Hitachi Ltd | 不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置 |
JP2012027710A (ja) * | 2010-07-23 | 2012-02-09 | Nippon Telegr & Teleph Corp <Ntt> | ソフトウェア検出方法及び装置及びプログラム |
US20120159625A1 (en) * | 2010-12-21 | 2012-06-21 | Korea Internet & Security Agency | Malicious code detection and classification system using string comparison and method thereof |
JP2013077154A (ja) * | 2011-09-30 | 2013-04-25 | Kddi Corp | マルウェア検知装置およびプログラム |
JP2014534531A (ja) * | 2011-11-02 | 2014-12-18 | ビットディフェンダー アイピーアール マネジメント リミテッド | ファジーホワイトリスト化アンチマルウェアシステムおよび方法 |
WO2015099780A1 (en) * | 2013-12-27 | 2015-07-02 | Mcafee, Inc. | System and method of detecting malicious multimedia files |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6775780B1 (en) | 2000-03-16 | 2004-08-10 | Networks Associates Technology, Inc. | Detecting malicious software by analyzing patterns of system calls generated during emulation |
US7752667B2 (en) | 2004-12-28 | 2010-07-06 | Lenovo (Singapore) Pte Ltd. | Rapid virus scan using file signature created during file write |
US20070239993A1 (en) | 2006-03-17 | 2007-10-11 | The Trustees Of The University Of Pennsylvania | System and method for comparing similarity of computer programs |
US8621233B1 (en) * | 2010-01-13 | 2013-12-31 | Symantec Corporation | Malware detection using file names |
US8516446B2 (en) * | 2010-05-21 | 2013-08-20 | Apple Inc. | Automated qualification of a binary application program |
US8463797B2 (en) * | 2010-07-20 | 2013-06-11 | Barracuda Networks Inc. | Method for measuring similarity of diverse binary objects comprising bit patterns |
US9215245B1 (en) * | 2011-11-10 | 2015-12-15 | Google Inc. | Exploration system and method for analyzing behavior of binary executable programs |
US9720925B1 (en) * | 2012-04-12 | 2017-08-01 | Orchard Valley Management Llc | Software similarity searching |
US9021589B2 (en) * | 2012-06-05 | 2015-04-28 | Los Alamos National Security, Llc | Integrating multiple data sources for malware classification |
US9197665B1 (en) * | 2014-10-31 | 2015-11-24 | Cyberpoint International Llc | Similarity search and malware prioritization |
-
2017
- 2017-04-05 US US15/479,928 patent/US10289843B2/en active Active
- 2017-04-06 WO PCT/US2017/026359 patent/WO2017177003A1/en active Application Filing
- 2017-04-06 JP JP2018552688A patent/JP6778761B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010198565A (ja) * | 2009-02-27 | 2010-09-09 | Hitachi Ltd | 不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置 |
JP2012027710A (ja) * | 2010-07-23 | 2012-02-09 | Nippon Telegr & Teleph Corp <Ntt> | ソフトウェア検出方法及び装置及びプログラム |
US20120159625A1 (en) * | 2010-12-21 | 2012-06-21 | Korea Internet & Security Agency | Malicious code detection and classification system using string comparison and method thereof |
JP2013077154A (ja) * | 2011-09-30 | 2013-04-25 | Kddi Corp | マルウェア検知装置およびプログラム |
JP2014534531A (ja) * | 2011-11-02 | 2014-12-18 | ビットディフェンダー アイピーアール マネジメント リミテッド | ファジーホワイトリスト化アンチマルウェアシステムおよび方法 |
WO2015099780A1 (en) * | 2013-12-27 | 2015-07-02 | Mcafee, Inc. | System and method of detecting malicious multimedia files |
Also Published As
Publication number | Publication date |
---|---|
JP6778761B2 (ja) | 2020-11-04 |
US10289843B2 (en) | 2019-05-14 |
WO2017177003A1 (en) | 2017-10-12 |
US20170293761A1 (en) | 2017-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6778761B2 (ja) | ハイブリッドプログラムバイナリ特徴の抽出及び比較 | |
Carmony et al. | Extract Me If You Can: Abusing PDF Parsers in Malware Detectors. | |
US9876812B1 (en) | Automatic malware signature extraction from runtime information | |
US10397261B2 (en) | Identifying device, identifying method and identifying program | |
US8949797B2 (en) | Optimizing performance of integrity monitoring | |
Sharif et al. | Eureka: A framework for enabling static malware analysis | |
Sun et al. | Detecting code reuse in android applications using component-based control flow graph | |
US10055585B2 (en) | Hardware and software execution profiling | |
US11048798B2 (en) | Method for detecting libraries in program binaries | |
US20120240231A1 (en) | Apparatus and method for detecting malicious code, malicious code visualization device and malicious code determination device | |
Cui et al. | Tracking rootkit footprints with a practical memory analysis system | |
US11475133B2 (en) | Method for machine learning of malicious code detecting model and method for detecting malicious code using the same | |
Karbalaie et al. | Semantic malware detection by deploying graph mining | |
TW201629832A (zh) | 一種識別病毒變種的方法及裝置 | |
JPWO2016027641A1 (ja) | 脆弱性発見装置、脆弱性発見方法、及び脆弱性発見プログラム | |
WO2011119940A1 (en) | Detection of global metamorphic malware variants using control and data flow analysis | |
JP6000465B2 (ja) | プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法 | |
Pandey et al. | Performance of malware detection tools: A comparison | |
US20180341770A1 (en) | Anomaly detection method and anomaly detection apparatus | |
CN108399321B (zh) | 基于动态指令依赖图胎记的软件局部抄袭检测方法 | |
US20220284109A1 (en) | Backdoor inspection apparatus, backdoor inspection method, and non-transitory computer readable medium | |
CN113010268B (zh) | 恶意程序识别方法及装置、存储介质、电子设备 | |
Jia et al. | Findevasion: an effective environment-sensitive malware detection system for the cloud | |
CN111324890B (zh) | 可移植的执行体文件的处理方法、检测方法及装置 | |
US10909243B2 (en) | Normalizing entry point instructions in executable program files |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181120 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190930 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191029 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200129 |
|
A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20200129 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200728 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200902 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200915 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201012 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6778761 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |