JP4883408B2 - 系列データ間の類似性検査方法及び装置 - Google Patents
系列データ間の類似性検査方法及び装置 Download PDFInfo
- Publication number
- JP4883408B2 JP4883408B2 JP2007012070A JP2007012070A JP4883408B2 JP 4883408 B2 JP4883408 B2 JP 4883408B2 JP 2007012070 A JP2007012070 A JP 2007012070A JP 2007012070 A JP2007012070 A JP 2007012070A JP 4883408 B2 JP4883408 B2 JP 4883408B2
- Authority
- JP
- Japan
- Prior art keywords
- series
- series data
- appearance position
- similarity
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 71
- 238000012360 testing method Methods 0.000 title claims description 5
- 238000012545 processing Methods 0.000 claims description 142
- 238000001228 spectrum Methods 0.000 claims description 44
- 238000010606 normalization Methods 0.000 claims description 39
- 238000007689 inspection Methods 0.000 claims description 37
- 238000006243 chemical reaction Methods 0.000 claims description 32
- 238000001514 detection method Methods 0.000 claims description 30
- 230000008569 process Effects 0.000 claims description 30
- 238000007493 shaping process Methods 0.000 claims description 17
- 238000004364 calculation method Methods 0.000 claims description 14
- 238000013075 data extraction Methods 0.000 claims description 7
- 239000000284 extract Substances 0.000 claims description 5
- 238000010998 test method Methods 0.000 claims description 3
- 230000001360 synchronised effect Effects 0.000 claims 2
- 238000004458 analytical method Methods 0.000 description 17
- 230000006399 behavior Effects 0.000 description 10
- 238000010219 correlation analysis Methods 0.000 description 10
- 238000004422 calculation algorithm Methods 0.000 description 8
- 238000011160 research Methods 0.000 description 8
- 230000007704 transition Effects 0.000 description 8
- 238000005314 correlation function Methods 0.000 description 5
- 238000004452 microanalysis Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000002474 experimental method Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000006866 deterioration Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000010183 spectrum analysis Methods 0.000 description 2
- 238000012731 temporal analysis Methods 0.000 description 2
- 238000000700 time series analysis Methods 0.000 description 2
- 235000004642 Prosopis glandulosa Nutrition 0.000 description 1
- 240000001184 Prosopis glandulosa Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000007431 microscopic evaluation Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Description
また、本件発明者らが推進するインシデント対策のためのプロジェクトnicter(非特許文献1を参照。)では、広域観測網において観測されたトラフィックから、実時間でインシデントを検知する技術が研究されている。
広域ネットワークにおいて実際のインシデントを解析する技術をここではマクロ解析と呼ぶこととする。
このようなインシデント(結果) とマルウェア(原因) との相関関係を得るためには、それぞれの特徴を効果的に抽出した上で相関分析を行う必要がある。
非特許文献2に開示される研究では定点観測網から得られるパケット数の変動に着目した解析を行っている。これは、送信元および送信先のIPアドレスとポート番号といったパラメータ毎のパケット数の変動データに対してウェーブレット解析を施し、そこで得られる時間周波数成分の変化に基づいて脅威を検知する手法である。
これらに対して、非特許文献4に開示される研究はフーリエ変換を用いたマルウェアの特徴抽出である。該文献では、フーリエ変換によって得られたスペクトラムの調波構造に着目し、マルウェアの識別を行っている。
しかし、解析対象となるデータは、上の二例と同じくパケット数の変動データを前提としているため、宛先IPアドレス等のパラメータの遷移情報を検査対象とすることができない。
同時に、同様の特徴を有する系列データの汎用的な類似性検査方法を提供することも目的とする。
すなわち、請求項1に記載の発明は、ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の系列データと、検査対象の第2のソフトウェアの処理結果から得られる第2の系列データとを比較してその類似性を検査する類似性検査方法であって、次の各ステップを有する。
(2)検査対象処理結果検知手段が、該第2のソフトウェアの処理結果を検出しその結果を第2の系列データとして得る検査対象処理結果検知ステップ、
(3)コンピュータの系列データ変換処理手段が、該第1の系列データ及び該第2の系列データを次の各工程:
(3-1)コンピュータの演算手段が、入力された系列データについて、離散フーリエ変換して横軸に周波数、縦軸に周波数成分の強度を表すスペクトラムを得る離散フーリエ変換処理工程、
(3-2)コンピュータのデータ抽出手段が、該スペクトラムについて、該縦軸において所定の閾値を超える周波数強度を持つ要素を抽出し、その出現位置の値の系列を得る出現位置系列取得工程、
(3-3)コンピュータの出現位置値正規化処理手段が、該スペクトラムにおける最も強度の強いスペクトルの出現位置の値で、該系列の全ての出現位置の値を除算し、正規化された出現位置の値の系列を得る出現位置値正規化処理工程、
(3-4)コンピュータの調波構造正規化処理手段が、該正規化された出現位置値の系列について、標準偏差を用いた正規化処理を行う調波構造正規化処理工程
により変換する系列データ変換処理ステップ、
(4)コンピュータの相関係数算出手段が、変換後の第1の系列データと変換後の第2の系列データとから所定の相関関係式を用いて相関係数を算出する相関係数算出ステップ
を有することを特徴とする。
(3’)コンピュータのデータ整形手段が、変換後の第1及び第2の系列データについて、基本周波数における出現位置において両系列データを同期すると共に、該基本周波数間で出現位置値がない場合には所定の値を補完するデータ整形ステップを有することを特徴とする。
すなわち、請求項5に記載の発明は、上記の第1のソフトウェアが、閉じられたネットワークにおいて検査のために実行されるマルウェアであり、第2のソフトウェアが、広域ネットワークにおいて実際に実行され、マルウェアと疑われる挙動を示すソフトウェアであり、請求項1ないし4のいずれかに記載の系列データ間の類似性検査方法を用いて、該第2のソフトウェアの種類を、該第1のソフトウェアとの類似性を検査することにより特定することを特徴とする。
この場合において、
(A)コンピュータの系列データ変換処理手段が、該各系列データを次の各工程:
(A-1)コンピュータの演算手段が、入力された系列データについて、離散フーリエ変換して横軸に周波数、縦軸に周波数成分の強度を表すスペクトラムを得る離散フーリエ変換処理工程、
(A-2)コンピュータのデータ抽出手段が、該スペクトラムについて、該縦軸において所定の閾値を超える周波数強度を持つ要素を抽出し、その出現位置の値の系列を得る出現位置系列取得工程、
(A-3)コンピュータの出現位置値正規化処理手段が、該スペクトラムにおける最も強度の強いスペクトルの出現位置の値で、該出現位置の値の系列の値を全て除算し、正規化された出現位置の値の系列を得る出現位置値正規化処理工程、
(A-4)コンピュータの調波構造正規化処理手段が、該正規化された出現位置値の系列について、標準偏差を用いた正規化処理を行う調波構造正規化処理工程により変換する系列データ変換処理ステップ、
(B)コンピュータの相関係数算出手段が、変換後の各系列データから所定の相関関係式を用いて相関係数を算出する相関係数算出ステップ
を有することを特徴とする。
(A-1’)コンピュータのデータ抽出手段が、所定の閾値以上の高周波数成分を除去する高周波数成分除去処理工程
を含むことを特徴とする。
(A’)コンピュータのデータ整形手段が、変換後の各系列データについて、基本周波数における出現位置において各系列データを同期すると共に、該基本周波数間で出現位置値がない場合には所定の値を補完するデータ整形ステップを有する
ことを特徴とする。
すなわち、本発明によれば、複数の数値の列からなる系列データにおいて、その類似性を高精度に検査する検査方法及び装置を提供することができる。
特に、本発明は、系列データの遷移に着目するものであり、各系列データ間の値が異なる値域にあったり、系列データの要素の数が異なったり、系列中で多少の入れ違いが生じていても、正規化処理、整形処理によって良好に類似性を検査することができる。
特に、
図1は本発明に係る系列データの類似性検査装置(以下、本装置と呼ぶ。)(1)の全体構成図である。本装置(1)は、公知のパーソナルコンピュータやネットワークサーバによって構成するのが簡便である。
これらの構成はいずれも周知の事項であって、その構造や作用については説明を省略する。
このうち、データ整形部(23)については、入力される系列データにより、必ずしも備えなくてもよいが、本実施例のようにIPアドレスなど、異なる値域の系列データを入力する際には必要である。
このうち、高周波数成分除去処理部(221)については、同処理を行うことが好ましいが、入力される系列データによっては必ずしも備えなくてもよい。
(不正処理結果検知処理:S10)
まず、不正処理結果検知部(20)が、第1のソフトウェアによるネットワーク上でのIPアドレスのスキャンを検知する。該不正処理結果検知部(20)の動作としては、例えば実験用に閉じられたネットワーク空間において、仮想的に複数のコンピュータからなるネットワークを設け、検体として収集してあるマルウェアを実験的に実行処理させてみる。そして、その際のマルウェアの挙動のうち、ネットワーク内でパケットを送信する宛先IPアドレスの遷移を抽出する。
本処理により、既知のマルウェアがパケットを送信する際の宛先IPアドレスの系列データを得て、ハードディスク(13)に格納する。
このようにして得られた宛先IPアドレスを時系列でグラフに表すと、図4の(A)のようになる。グラフに示されるように、周期的に小さなアドレスから大きなアドレスまで順にスキャンしていく様子が分かる。同グラフにおいてY軸はIPアドレスの値を表し、入力される系列データからは時間成分を取り除いているため、X軸は時間ではなく単純にパケットの到着順を表している。
抽出された周波数成分を用いて、他のスキャンとの類似性を評価する。
該スペクトラムでは、X軸が周波数を、Y軸が周波数成分の強度を表していることになる。(なお入力する時系列が時間ではなく到着順であるため、厳密な意味での周波数とは異なるが、本発明においては影響しないため、以下でもこの表現により説明する。)
まず、フーリエ変換は直流成分を無視することで一連の系列データの中での相対的なアドレス値の変動を捉えることができる。すなわち、スキャン対象となるアドレス帯の大小にかかわらず、元の信号波形同士に類似性が見られるならば、それを検出することが可能である。
この特性を利用して宛先IPアドレスの系列データから、アドレス遷移を特徴づける支配的な要素を一定の数だけ抜き出して使用することができる。これにより、攻撃元ホストから到達したパケット数の大小に関わらず、一定の要素数を用いた類似性の検証を行うことが可能となる。
このようなフーリエ変換の利点を利用して、図5に示すように、高周波数成分除去処理部(221)では所定の閾値Aにより、それより高い周波数成分を除去する。すなわち図5のグラフにおける右側の信号は利用しない。
上記した通り、パケット到達順序の入れ違いやパケットロスといった軽微な特徴は高周波数帯に表れる。よって本実施例では、ネットワーク状況によってもたらされるスキャンパターンへの影響を抑えるため、スペクトラム中の高周波数帯域の除去を行っている。
次に、出現位置系列取得部(222)において、高レベルスペクトルの閾値B(図5)により、所定の閾値を超える周波数強度を持つ要素のみを抽出する。これにより比較対象とする要素数を削減することできる。
{1,2,4,9,10,13,15,18,・・・}
のようなインデックス値の系列が得られる。
調波構造の抽出本来は同一のスキャンパターンであっても、観測点のネットワーク条件の違いにより採取されるパケット数が大きく異なる場合がある。例えばホスト(A)からのスキャンが3周期分の変動をしたのに対して、ホスト(B)からのスキャンは1周期分しか採取されなかった場合が考えられる。
また、ホスト(A)からのパケットの全てが観測地点に到達するのに対し、ホスト(B)からのパケットは2つに1つしか到達しなかった場合にはホスト(B)の周期はホスト(A)の2分の1となる。
この処理は、上記処理で得られたスペクトラムのうちもっとも強度の高いスペクトルのインデックス値(Ip) で全てのスペクトルのインデックス値(Ii) を除算し、正規化された個々のインデックス値(Ni)を得ることで実現する。
(数1)
Ni = Ii (1)Ip
以降の処理では、この正規化されたインデックス値の系列Nを用いる。
インデックス値の系列Nでは、最初の段階でモニタリングされたスキャンパケットの数によって、インデックス値の取り得る値が大きく異なっている。これにより一つのインデックス値が持つ重みも異なってしまうため、そのまま相関係数を求めた場合には不正確な結果が算出される可能性がある。
そこで調波構造正規化処理部(224)では以下のように、ホスト毎に異なるインデックス値の重みを標準偏差を用いて正規化する。
次に、本発明では同様の処理を広域ネットワーク上におけるインシデントの解析結果に対して用いる。
すなわち、CPU(10)の検査対象処理結果検知部(21)が、例えばダークネット(darknet)と呼ばれる、実際には使用されていないIPアドレス領域に対して送信されるパケットをネットワーク上で検知し、その宛先IPアドレスの遷移を抽出する。
抽出された宛先IPアドレスの系列データはハードディスク(13)に格納される。
これまでの一連の手続きにより、個々の系列に対して要素数の削減やスケール合わせのための正規化処理が済んだ。これにより初めて他のデータとの比較を行えるようになったが、実際に相関分析を行う前に、比較対象である2つの系列の同期と系列長を整える必要がある。データ整形部(23)では以下の処理を行う。
以上の手続きによって、2つの系列の同期と長さが整い、適正な相関処理が行えるようになる。図3では各系列データに対してデータ整形処理を行っている場合を図示しているが、本処理はどちらか一方を他方の系列データに揃える処理でもよい。
最後に、相関係数算出部(24)の演算処理によって、正規化された2つの系列SαとSβの相関係数Cαβを以下の式(数4)を用いて求める。
なお、ここで用いている相関関数は周知の相関関数を任意に用いることができ、上記はその一例である。
本装置(1)は出力部(25)から、該相関係数を出力することにより、最初に入力した2つの系列データ間の類似度を出力することができる。出力の態様としては、ネットワークアダプタ(14)から他のコンピュータに結果を送信してもよいし、モニタから出力したり、ハードディスク(13)に格納してもよい。
また、複数のマルウェアとの類似度を検査して、その一覧表をレポートとして出力してもよい。
相関係数のように実数で出力せず、所定の閾値を用いて、「相関がある」「相関がない」の2値で出力してもよい。
よって不正処理結果検知部(20)や検査対象処理結果検知部(21)でこれらの系列データを抽出して適用することで、より多面的なマルウェアの識別が行うこともできる。これらの抽出方法は、公知の技術を適宜用いることができる。
観測地点に割り当てられるIPアドレス帯は適度に散らばっている。複数のセンサにおいて同一ホストからのスキャンパケットが観測されることが保証されないため、宛先IPアドレス帯の位置に依存しない手法を実現した。
観測地点に割り当てられたIPアドレスの個数は一定ではなく、サブネット長が/24 のものから/16や/8 のものまでさまざまである。観測アドレス数が異なると、単一のホストから採取できるパケット数も大きく変動する。本発明ではパケット数が異なっても比較を可能にした。
攻撃元ホストとの間のネットワーク状態の悪化により、パケットロスが発生したり、パケットの到達順序が頻繁に入れ替わることが知られている。本発明は、これらの軽微な特徴を吸収した上で、相関分析を可能にした。
本発明は、上記ネットワークのインシデントに係る系列データにとどまらず、任意の系列データに対して適用することが可能であり、特に、系列データの値域が異なるもの、系列データの要素数が異なるもの、系列の要素に多少の入れ替わりが生じるもの、などの系列データに適用すると好適である。
本件出願人らにより、図6に示すシステムが提案されている。
同図において、まず広域ネットワーク(60)に複数設けたセンサー(61)で上記したダークネットに対するパケットなどを検知し、マクロ解析器(62)に入力する。マクロ解析の結果はデータベース(63)に格納される。
本発明方法の評価実験を示す。ここでは、(1)同一の系列同士を比較した際に最大の相関係数が得られること。(2)外形が近いスキャンパターンを持つ系列同士を比較した場合にも高い相関係数が得られること。(3)サンプル数が異なる場合でも相関係数を導出することができること。(4)対象とするアドレス帯が異なる場合でも相関係数を導出することができること。(5)全く異なるスキャンパターンの場合の5項目について検証を行う。
まず始めに、あるホストからのスキャンパターンと全く同一のデータを用意し、これら2つの系列を本装置(1)に入力することで相関係数の導出を行った。結果は図7に示すとおり、相関係数が1.00となり、期待通りに最大の値を得ることが出来た。なお、図中では2つのホストからのスキャンパターンを表しているが、重なっているため1本の線に見えている。
また、図は上から(A)IPアドレスの遷移、(B)スペクトラム、(C)相関係数を示している。以下も同様である。
次に、スキャンパターンが外形的に似ていると判断できる2つの系列を用意し、これらを本装置(1)に入力し、相関係数を求めた。結果は図8のとおり、相関係数は0.98 となり、外形が近いスキャンパターン同士の類似性の高さを確認することが出来た。
ケース(1)で用いた2つの系列データの一方のスキャンパケットを1/4周期にした上で、これらのデータに対して相関分析を行った。このような系列同士の比較でも高い相関性が得られることが期待される。結果は図4に示すとおり、相関係数は0.87となり、このケースにおいても十分な効果を得ることが出来た。
スキャン対象となるアドレス帯が異なりながらも、アドレス値の遷移が類似している2 つの系列データを用意し、これらを用いて相関分析を行った。この場合においても、高い相関係数が得られることが期待される。結果は図10に示すとおり、相関係数が0.96となり、一定の相関性の高さを示すことが出来た。
最後に、異なる2種類のマルウェアによるスキャンパターンをもつ系列データを入力したときの結果を示す。この場合には当然に低い値が出力されなければならない。
実験の結果、このときの相関係数は0.08となり、顕著に低い値を得ることができ、本発明の効果が確認された。
10 CPU
11 メモリ
12 キーボード・マウス
13 ハードディスク
14 ネットワークアダプタ
20 不正処理結果検知部
21 検査対象処理結果検知部
22 系列データ変換処理部
23 データ整形部
24 相関係数算出部
25 出力部
Claims (16)
- ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の系列データと、検査対象の第2のソフトウェアの処理結果から得られる第2の系列データとを比較してその類似性を検査する類似性検査方法であって、
不正処理結果検知手段が、該第1のソフトウェアの不正処理の結果を検出しその結果を第1の系列データとして得る不正処理結果検知ステップ、
検査対象処理結果検知手段が、該第2のソフトウェアの処理結果を検出しその結果を第2の系列データとして得る検査対象処理結果検知ステップ、
コンピュータの系列データ変換処理手段が、該第1の系列データ及び該第2の系列データを次の各工程:
コンピュータの演算手段が、入力された系列データについて、離散フーリエ変換して横軸に周波数、縦軸に周波数成分の強度を表すスペクトラムを得る離散フーリエ変換処理工程、
コンピュータのデータ抽出手段が、該スペクトラムについて、該縦軸において所定の閾値を超える周波数強度を持つ要素を抽出し、その出現位置の値の系列を得る出現位置系列取得工程、
コンピュータの出現位置値正規化処理手段が、該スペクトラムにおける最も強度の強いスペクトルの出現位置の値で、該出現位置の値の系列の値を全て除算し、正規化された出現位置の値の系列を得る出現位置値正規化処理工程、
コンピュータの調波構造正規化処理手段が、該正規化された出現位置値の系列について、標準偏差を用いた正規化処理を行う調波構造正規化処理工程
により変換する系列データ変換処理ステップ、
コンピュータの相関係数算出手段が、変換後の第1の系列データと変換後の第2の系列データとから所定の相関関係式を用いて相関係数を算出する相関係数算出ステップ
を有する
ことを特徴とする系列データ間の類似性検査方法。 - 前記系列データ変換処理ステップにおいて、
前記離散フーリエ変換処理工程の後に、
コンピュータのデータ抽出手段が、所定の閾値以上の高周波数成分を除去する高周波数成分除去処理工程を含む
ことを特徴とする請求項1に記載の系列データ間の類似性検査方法。 - 前記系列データ変換処理ステップの後に、
コンピュータのデータ整形手段が、変換後の第1及び第2の系列データについて、基本周波数における出現位置において両系列データを同期すると共に、該基本周波数間で出現位置値がない場合には所定の値を補完するデータ整形ステップを有する
ことを特徴とする請求項1又は2に記載の系列データ間の類似性検査方法。 - 前記不正処理結果検知手段及び検査対象処理結果検知手段が、それぞれ第1及び第2のソフトウェアによる、他のコンピュータのネットワークアドレスに対する連続的なスキャンを検知する構成であって、前記第1及び第2の系列データとして、スキャンしたネットワークアドレスの値の列を用いる
ことを特徴とする請求項1ないし3のいずれかに記載の系列データ間の類似性検査方法。 - 前記第1のソフトウェアが、閉じられたネットワークにおいて検査のために実行されるマルウェアであり、前記第2のソフトウェアが、広域ネットワークにおいて実際に実行され、マルウェアと疑われる挙動を示すソフトウェアであり、
前記請求項1ないし4のいずれかに記載の系列データ間の類似性検査方法を用いて、該第2のソフトウェアの種類を、該第1のソフトウェアとの類似性を検査することにより特定する
ことを特徴とするマルウェアの検査方法。 - 2つ以上の系列データを比較して系列データ間の類似性を検査する類似性検査方法であって、
コンピュータの系列データ変換処理手段が、該各系列データを次の各工程:
コンピュータの演算手段が、入力された系列データについて、離散フーリエ変換して横軸に周波数、縦軸に周波数成分の強度を表すスペクトラムを得る離散フーリエ変換処理工程、
コンピュータのデータ抽出手段が、該スペクトラムについて、該縦軸において所定の閾値を超える周波数強度を持つ要素を抽出し、その出現位置の値の系列を得る出現位置系列取得工程、
コンピュータの出現位置値正規化処理手段が、該スペクトラムにおける最も強度の強いスペクトルの出現位置の値で、該出現位置の値の系列の値を全て除算し、正規化された出現位置の値の系列を得る出現位置値正規化処理工程、
コンピュータの調波構造正規化処理手段が、該正規化された出現位置値の系列について、標準偏差を用いた正規化処理を行う調波構造正規化処理工程
により変換する系列データ変換処理ステップ、
コンピュータの相関係数算出手段が、変換後の各系列データから所定の相関関係式を用いて相関係数を算出する相関係数算出ステップ
を有する
ことを特徴とする系列データ間の類似性検査方法。 - 前記系列データ変換処理ステップにおいて、
前記離散フーリエ変換処理工程の後に、
コンピュータのデータ抽出手段が、所定の閾値以上の高周波数成分を除去する高周波数成分除去処理工程を含む
ことを特徴とする請求項6に記載の系列データ間の類似性検査方法。 - 前記系列データ変換処理ステップの後に、
コンピュータのデータ整形手段が、変換後の各系列データについて、基本周波数における出現位置において各系列データを同期すると共に、該基本周波数間で出現位置値がない場合には所定の値を補完するデータ整形ステップを有する
ことを特徴とする請求項6又は7に記載の系列データ間の類似性検査方法。 - ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の系列データと、検査対象の第2のソフトウェアの処理結果から得られる第2の系列データとを比較してその類似性を検査する類似性検査装置であって、
該第1のソフトウェアの不正処理の結果を検出しその結果を第1の系列データとして得る不正処理結果検知手段と、
該第2のソフトウェアの処理結果を検出しその結果を第2の系列データとして得る検査対象処理結果検知手段と、
該第1の系列データ及び該第2の系列データを変換処理する系列データ変換処理手段であって、
入力された系列データについて、離散フーリエ変換して横軸に周波数、縦軸に周波数成分の強度を表すスペクトラムを得る離散フーリエ変換処理部と、
該スペクトラムについて、該縦軸において所定の閾値を超える周波数強度を持つ要素を抽出し、その出現位置の値の系列を得る出現位置系列取得部と、
該スペクトラムにおける最も強度の強いスペクトルの出現位置の値で、該出現位置の値の系列の値を全て除算し、正規化された出現位置の値の系列を得る出現位置値正規化処理部と
該正規化された出現位置値の系列について、標準偏差を用いた正規化処理を行う調波構造正規化処理部と
を少なくとも含むコンピュータの系列データ変換処理手段と、
変換後の第1の系列データと変換後の第2の系列データとから所定の相関関係式を用いて相関係数を算出するコンピュータの相関係数算出手段と
を少なくとも備える
ことを特徴とする系列データ間の類似性検査装置。 - 前記系列データ変換処理手段が、
離散フーリエ変換処理部から出力されたスペクトラムにおいて、所定の閾値以上の高周波数成分を除去する高周波数成分除去処理部を含む
ことを特徴とする請求項9に記載の系列データ間の類似性検査装置。 - 前記系列データ間の類似性検査装置が、
調波構造正規化処理部において正規化された第1及び第2の系列データについて、基本周波数における出現位置において両系列データを同期すると共に、該基本周波数間で出現位置値がない場合には所定の値を補完するデータ整形手段を備えた
ことを特徴とする請求項9又は10に記載の系列データ間の類似性検査装置。 - 前記不正処理結果検知手段及び検査対象処理結果検知手段が、それぞれ第1及び第2のソフトウェアによる、他のコンピュータのネットワークアドレスに対する連続的なスキャンを検知する構成であって、前記第1及び第2の系列データとして、スキャンしたネットワークアドレスの値の列を用いる
ことを特徴とする請求項9ないし11のいずれかに記載の系列データ間の類似性検査装置。 - 前記第1のソフトウェアが、閉じられたネットワークにおいて検査のために実行されるマルウェアであり、前記第2のソフトウェアが、広域ネットワークにおいて実際に実行され、マルウェアと疑われる挙動を示すソフトウェアであり、
前記請求項1ないし4に記載の系列データ間の類似性検査方法を用いて、該第2のソフトウェアの種類を、該第1のソフトウェアとの類似性を検査することにより特定する
ことを特徴とするマルウェアの検査装置。 - 2つ以上の系列データを比較して系列データ間の類似性を検査する類似性検査装置であって、
該各系列データを変換処理する系列データ変換処理手段であって、
入力された系列データについて、離散フーリエ変換して横軸に周波数、縦軸に周波数成分の強度を表すスペクトラムを得る離散フーリエ変換処理部と、
該スペクトラムについて、該縦軸において所定の閾値を超える周波数強度を持つ要素を抽出し、その出現位置の値の系列を得る出現位置系列取得部と、
該スペクトラムにおける最も強度の強いスペクトルの出現位置の値で、該出現位置の値の系列の値を全て除算し、正規化された出現位置の値の系列を得る出現位置値正規化処理部と
該正規化された出現位置値の系列について、標準偏差を用いた正規化処理を行う調波構造正規化処理部と
を少なくとも含むコンピュータの系列データ変換処理手段と、
変換後の各系列データから所定の相関関係式を用いて相関係数を算出する相関係数算出手段
とを備える
ことを特徴とする系列データ間の類似性検査装置。 - 前記系列データ変換処理手段が、
離散フーリエ変換処理部から出力されたスペクトラムにおいて、所定の閾値以上の高周波数成分を除去する高周波数成分除去処理部を含む
ことを特徴とする請求項14に記載の系列データ間の類似性検査装置。 - 前記系列データ間の類似性検査装置が、
調波構造正規化処理部において正規化された第1及び第2の系列データについて、基本周波数における出現位置において両系列データを同期すると共に、該基本周波数間で出現位置値がない場合には所定の値を補完するデータ整形手段を備えた
ことを特徴とする請求項14又は15に記載の系列データ間の類似性検査装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007012070A JP4883408B2 (ja) | 2007-01-22 | 2007-01-22 | 系列データ間の類似性検査方法及び装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007012070A JP4883408B2 (ja) | 2007-01-22 | 2007-01-22 | 系列データ間の類似性検査方法及び装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008176752A JP2008176752A (ja) | 2008-07-31 |
JP4883408B2 true JP4883408B2 (ja) | 2012-02-22 |
Family
ID=39703700
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007012070A Active JP4883408B2 (ja) | 2007-01-22 | 2007-01-22 | 系列データ間の類似性検査方法及び装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4883408B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8381290B2 (en) * | 2009-07-17 | 2013-02-19 | Exelis Inc. | Intrusion detection systems and methods |
WO2016092836A1 (ja) * | 2014-12-10 | 2016-06-16 | 日本電気株式会社 | 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体 |
JP7024720B2 (ja) | 2016-10-14 | 2022-02-24 | 日本電気株式会社 | マルウェア解析装置、マルウェア解析方法、及び、マルウェア解析プログラム |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS6364100A (ja) * | 1986-09-05 | 1988-03-22 | 沖電気工業株式会社 | 音声認識装置 |
JPH0216676A (ja) * | 1988-07-05 | 1990-01-19 | Yaskawa Electric Mfg Co Ltd | 時系列データのデータベース検索方法 |
JP3251555B2 (ja) * | 1998-12-10 | 2002-01-28 | 科学技術振興事業団 | 信号分析装置 |
JP3746690B2 (ja) * | 2001-07-10 | 2006-02-15 | 日本電信電話株式会社 | 信号検出方法及び装置、プログラムならびに記録媒体 |
JP2003132088A (ja) * | 2001-10-22 | 2003-05-09 | Toshiba Corp | 時系列データ検索システム |
JP3960151B2 (ja) * | 2002-07-09 | 2007-08-15 | ソニー株式会社 | 類似時系列検出方法及び装置、並びにプログラム |
JP4060263B2 (ja) * | 2003-11-18 | 2008-03-12 | Kddi株式会社 | ログ分析装置およびログ分析プログラム |
JP4523480B2 (ja) * | 2005-05-12 | 2010-08-11 | 株式会社日立製作所 | ログ分析システム、分析方法及びログ分析装置 |
JP2008131565A (ja) * | 2006-11-24 | 2008-06-05 | Hitachi Ltd | ログ可視化システム,可視化方法及びログ可視化装置 |
-
2007
- 2007-01-22 JP JP2007012070A patent/JP4883408B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2008176752A (ja) | 2008-07-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Shahsavari et al. | Wavelet-based analysis of mode shapes for statistical detection and localization of damage in beams using likelihood ratio test | |
US11165815B2 (en) | Systems and methods for cyber security alert triage | |
CN106131071B (zh) | 一种Web异常检测方法和装置 | |
JP5440973B2 (ja) | コンピュータ検査システム、コンピュータ検査方法 | |
EP2953298B1 (en) | Log analysis device, information processing method and program | |
US7712134B1 (en) | Method and apparatus for worm detection and containment in the internet core | |
US7962611B2 (en) | Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels | |
JP2004318552A (ja) | Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム | |
CN111049858B (zh) | 一种基于交叉验证的基线扫描漏洞去重方法、装置及设备 | |
US9992216B2 (en) | Identifying malicious executables by analyzing proxy logs | |
Lovanshi et al. | Comparative study of digital forensic tools | |
Kwon et al. | Wavelet methods for the detection of anomalies and their application to network traffic analysis | |
Dainotti et al. | A cascade architecture for DoS attacks detection based on the wavelet transform | |
JP4883408B2 (ja) | 系列データ間の類似性検査方法及び装置 | |
CN110933083A (zh) | 一种基于分词与攻击匹配的漏洞等级评估装置及其方法 | |
CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 | |
US11321453B2 (en) | Method and system for detecting and classifying malware based on families | |
Liu et al. | An entropy-based method for attack detection in large scale network | |
Kim et al. | On network intrusion detection for deployment in the wild | |
KR101589279B1 (ko) | 산업용 제어시스템 웹페이지 판별 장치 및 방법 | |
CN112084541A (zh) | 硬件木马检测方法、系统、计算机设备及可读存储介质 | |
Ye et al. | A scientific approach to cyberattack detection | |
Subba et al. | Enhancing effectiveness of intrusion detection systems: A hybrid approach | |
Celdrán et al. | Intelligent fingerprinting to detect data leakage attacks on spectrum sensors | |
Xi et al. | Network threat assessment based on alert verification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100113 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111115 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111122 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111124 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141216 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4883408 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |