JP5569935B2 - ソフトウェア検出方法及び装置及びプログラム - Google Patents
ソフトウェア検出方法及び装置及びプログラム Download PDFInfo
- Publication number
- JP5569935B2 JP5569935B2 JP2010166150A JP2010166150A JP5569935B2 JP 5569935 B2 JP5569935 B2 JP 5569935B2 JP 2010166150 A JP2010166150 A JP 2010166150A JP 2010166150 A JP2010166150 A JP 2010166150A JP 5569935 B2 JP5569935 B2 JP 5569935B2
- Authority
- JP
- Japan
- Prior art keywords
- word
- malware
- software
- determination
- character string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000605 extraction Methods 0.000 claims description 35
- 239000013598 vector Substances 0.000 claims description 29
- 238000004891 communication Methods 0.000 claims description 26
- 238000010801 machine learning Methods 0.000 claims description 25
- 238000012706 support-vector machine Methods 0.000 claims description 8
- 230000003068 static effect Effects 0.000 claims description 6
- 210000002784 stomach Anatomy 0.000 claims description 2
- 238000000034 method Methods 0.000 description 17
- 238000001514 detection method Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 239000000284 extract Substances 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000009931 harmful effect Effects 0.000 description 1
- 238000010921 in-depth analysis Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
Images
Description
本発明は、ソフトウェア検出方法及び装置及びプログラムに係り、特に、教師付き機械学習システムを用いたマルウェアあるいはマルウェアを送受信する通信の検出を行うためのソフトウェア検出方法及び装置及びプログラムに関する。
ワームやボットネットと呼ばれるマルウェア(悪意のあるソフトウェア)による被害が拡大・深刻化している。マルウェアに感染したコンピュータはネットワークに接続された他のコンピュータに対して不正あるいは有害な動作を行うことが特徴であり、迷惑メールの大量送信や、サーバへの不正な大量アクセスによるサービス妨害攻撃といった悪質な行動を行うためのツールとして使われる。マルウェアの脅威は外部に対する攻撃のみならず、感染したコンピュータからクレジット番号やアドレス帳などの個人情報を抽出し、外部のコンピュータに送信する活動も存在する。このようなマルウェアによる被害を未然に防ぐためにはマルウェア本体、あるいはマルウェア本体を送受信している通信を検出する技術が必要となる。
マルウェアにはパターンマッチングによる検出や逆アセンブラによる静的解析を避けるために意図的に複雑な暗号化や圧縮(パッキングと呼ばれる)を施したものが多い。パッキングされた実行ファイルは実行時に自分自身を復号してメモリ上に展開する。
一般にマルウェアの詳細な分析を実施するためには、パッキングされた実行ファイルを様々な技術を駆使して復号する必要がある。
更に復号したファイルに対して、逆アセンブルやデバッガを用いる手法が一般的に利用されている(例えば、比特許文献1参照)。
K. Rozinov. "Reverse Code Engineering: An In-Depth Analysis of the Bagle Virus". Bell Labs - Government communication Laboratory - Internet Research, August 2004. http://old.idapalace.net/papers/bagle_analysis_v. 1.0. pdf
しかしながら、上記のような復号・逆アセンブル、デバッガを用いる手法は時間と演算リソースがかかるため、リアルタイムでマルウェアを含む通信を検出する用途には向かない。
マルウェアを実際のオペレーティングシステム上で実行し、その挙動を分析することによってマルウェアであるかを検出するアプローチとして、例えば、文献「伊藤光恭、針生剛男、谷本直人、岩村誠、八木毅、川古谷裕平、青木一史、秋山満昭、中山心太、"マルウェア対策技術",NTT技術ジャーナル2010年3月号、pp. 40-44. http://www.ntt.co.jp/journal/1003/files/jn201003040.html」に記載された方法もあるが、やはり時間と演算リソースを消費するため、即時的な検出・判定ができないという問題があった。
本発明は、上記の点に鑑みなされたもので、未知のパターンにも対応可能な高速かつ処理の軽いマルウェア及びマルウェアを含む通信の検出を実現することが可能なソフトウェア検出方法及び装置及びプログラムを提供することを目的とする。
上記の課題を解決するため、本発明(請求項1)は、悪意のあるソフトウェア(以下、「マルウェア」と記す)あるいはマルウェアを送受信する通信を検出する悪意のあるソフトウェアを検出するソフトウェア検出装置であって、
ファイルあるいは送受信する通信データ(以下、ファイルあるいは通信データをまとめて「オブジェクト」と記す)を記憶するオブジェクト記憶手段と、
予め用意した静的な単語辞書を参照して、または、ネットワーク上の検索エンジンの結果を用いて、前記オブジェクト記憶手段に記録されたオブジェクトより文字列として印字及び可読なバイト列を単語として抽出する単語抽出手段と、
前記単語抽出手段によって抽出された単語の集合を元に、サポートベクターマシンを用いてオブジェクトごとに特徴ベクトルを構成する特徴抽出手段と、
前記特徴ベクトルに機械学習システムを適用することにより新たに観測した特徴ベクトルを元に前記オブジェクトがマルウェアであるか否かを判定する判定手段と、
を有し、
前記単語抽出手段は、
文字列の英数字以外を区切り文字に置換し、大文字が2文字以上連続している場合には、該当した大文字を一つの単語としてマークし、マークされた以外に大文字がある場合は、該当した大文字の前に区切り文字を挿入し、該文字列を区切り文字によって分割し、分割した各々の文字列を単語として抽出する手段を含む。
ファイルあるいは送受信する通信データ(以下、ファイルあるいは通信データをまとめて「オブジェクト」と記す)を記憶するオブジェクト記憶手段と、
予め用意した静的な単語辞書を参照して、または、ネットワーク上の検索エンジンの結果を用いて、前記オブジェクト記憶手段に記録されたオブジェクトより文字列として印字及び可読なバイト列を単語として抽出する単語抽出手段と、
前記単語抽出手段によって抽出された単語の集合を元に、サポートベクターマシンを用いてオブジェクトごとに特徴ベクトルを構成する特徴抽出手段と、
前記特徴ベクトルに機械学習システムを適用することにより新たに観測した特徴ベクトルを元に前記オブジェクトがマルウェアであるか否かを判定する判定手段と、
を有し、
前記単語抽出手段は、
文字列の英数字以外を区切り文字に置換し、大文字が2文字以上連続している場合には、該当した大文字を一つの単語としてマークし、マークされた以外に大文字がある場合は、該当した大文字の前に区切り文字を挿入し、該文字列を区切り文字によって分割し、分割した各々の文字列を単語として抽出する手段を含む。
また、本発明(請求項2)は、前記機械学習システムにおいて、
任意に設定が可能な周期が到来する毎に新たな学習データをフィードバックすることによって再学習を可能とする。
任意に設定が可能な周期が到来する毎に新たな学習データをフィードバックすることによって再学習を可能とする。
また、本発明(請求項3)は、前記単語抽出手段において、
任意の単語辞書を参照して、印字可能な文字から可読な単語集合を抽出する手段を含む。
任意の単語辞書を参照して、印字可能な文字から可読な単語集合を抽出する手段を含む。
また、本発明(請求項3)は、前記判定手段において、
マルウェアであるか否かのみならず、マルウェアの種別に関して学習並びに判定を行う手段を含む。
マルウェアであるか否かのみならず、マルウェアの種別に関して学習並びに判定を行う手段を含む。
また、本発明(請求項4)は、上記請求項1または3の前記判定手段において、
前記オブジェクトの全体または一部のみを使って判定する手段を含む。
前記オブジェクトの全体または一部のみを使って判定する手段を含む。
また、本発明(請求項5)は、オブジェクト記憶手段、単語抽出手段、特徴抽出手段、判定手段を有し、悪意のあるソフトウェア(以下、「マルウェア」と記す)あるいはマルウェアを送受信する通信を検出する装置における、悪意のあるソフトウェアを検出するソフトウェア検出方法であって、
前記単語抽出手段は、ファイルあるいは送受信する通信データ(以下、ファイルあるいは通信データをまとめて「オブジェクト」と記す)を記憶する前記オブジェクト記憶手段に記録されたオブジェクトより文字列として、予め用意した静的な単語辞書を参照して、または、ネットワーク上の検索エンジンの結果を用いて、印字及び可読なバイト列を単語として抽出する単語抽出ステップと、
前記特徴抽出手段が、前記単語抽出ステップによって抽出された単語の集合を元に、サポートベクターマシンを用いてオブジェクトごとに特徴ベクトルを構成する特徴抽出ステップと、
前記判定手段が、前記特徴ベクトルに機械学習システムを適用することにより新たに観測した特徴ベクトルを元に前記オブジェクトがマルウェアであるか否かを判定する判定ステップと、
を行い、
前記単語抽出ステップにおいて、
文字列の英数字以外を区切り文字に置換し、大文字が2文字以上連続している場合には、該当した大文字を一つの単語としてマークし、マークされた以外に大文字がある場合は、該当した大文字の前に区切り文字を挿入し、該文字列を区切り文字によって分割し、分割した各々の文字列を単語として抽出する。
前記単語抽出手段は、ファイルあるいは送受信する通信データ(以下、ファイルあるいは通信データをまとめて「オブジェクト」と記す)を記憶する前記オブジェクト記憶手段に記録されたオブジェクトより文字列として、予め用意した静的な単語辞書を参照して、または、ネットワーク上の検索エンジンの結果を用いて、印字及び可読なバイト列を単語として抽出する単語抽出ステップと、
前記特徴抽出手段が、前記単語抽出ステップによって抽出された単語の集合を元に、サポートベクターマシンを用いてオブジェクトごとに特徴ベクトルを構成する特徴抽出ステップと、
前記判定手段が、前記特徴ベクトルに機械学習システムを適用することにより新たに観測した特徴ベクトルを元に前記オブジェクトがマルウェアであるか否かを判定する判定ステップと、
を行い、
前記単語抽出ステップにおいて、
文字列の英数字以外を区切り文字に置換し、大文字が2文字以上連続している場合には、該当した大文字を一つの単語としてマークし、マークされた以外に大文字がある場合は、該当した大文字の前に区切り文字を挿入し、該文字列を区切り文字によって分割し、分割した各々の文字列を単語として抽出する。
また、本発明(請求項6)は、前記判定ステップにおいて、
任意に設定が可能な周期が到来する毎に新たな学習データをフィードバックすることによって再学習を可能とする前記機械学習システムを用いる。
任意に設定が可能な周期が到来する毎に新たな学習データをフィードバックすることによって再学習を可能とする前記機械学習システムを用いる。
また、本発明(請求項7)は、前記判定ステップにおいて、
マルウェアであるか否かのみならず、マルウェアの種別に関して学習並びに判定を行う。
マルウェアであるか否かのみならず、マルウェアの種別に関して学習並びに判定を行う。
また、本発明(請求項8)は、上記請求項5または7の前記判定ステップにおいて、
前記オブジェクトの全体または一部のみを使って判定する。
前記オブジェクトの全体または一部のみを使って判定する。
また、本発明(請求項9)は、請求項1乃至4のいずれか1項に記載のソフトウェア検出装置を構成する各手段としてコンピュータを機能させるためのプログラムである。
上記のように、本発明では、ソフトウェアファイルに含まれる可読な文字列に着目し、マルウェアを構成するプログラム中に含まれるメッセージ、通信に利用するために用いられるホスト名、実行コマンド名、関数名やライブラリ名などのマルウェアを特徴付ける情報を(特徴ベクトル)を収集しておき、この内容と検査対象のファイルに含まれる文字列とを比較することにより、マルウェアを検出するため、未知のパターンにも対応可能な高速なマルウェア及びマルウェアを含む通信の検出が可能になる。
本発明は、マルウェアと通常のデータの比較にあたり、データに含まれる印字可能な文字列を適切に処理し、可読な単語集合とした際に単語集合間に差異が存在するという性質を利用する。可読な文字列にはマルウェアを構成するプログラム中に含まれるメッセージ、通信に利用するために用いられるホスト名、実行コマンド名に加え、関数名やライブラリ名などがあり、マルウェアに関する様々な情報を収集することができる。
マルウェアにはコードの一部のみを改変した亜種と呼ばれるソフトウェアが存在する。今日のマルウェアの大多数はオリジナルが開発された後に、多数の亜種が開発されることが知られているが、亜種のコードの大部分はオリジナルと変わらないため、印字可能な文字列の特徴はオリジナルとほぼ同様となる可能性が高い。
以下に、本発明の概要を示す。
(1)はじめにファイルあるいは送受信する通信データ(以下、ファイルあるいは通信データをまとめて「オブジェクト」とする)を後述するオブジェクト記録部によって記録する。
(2)次に、後述する単語抽出部が、上記の記録したオブジェクトにより文字列として印字及び可読なバイト列を単語として抽出し、単語集合とする。
(3)次に、上記の単語集合を元にオブジェクト毎に特徴ベクトルを構成し、さらに上記の特徴ベクトルに機械学習システムを適用することによって、判定機能により新たに観測した特徴ベクトルを元に該オブジェクトがマルウェアであるか否かを判定する。ここで、特徴ベクトルはある単語が存在したか否かを「0」、「1」で表現したもの、あるいは、単語毎の頻度、あるいは、単語毎の頻度を正規化した値、あるいは単語毎のtf−idf値など、任意に定めることができる。
上記の教師付き機械学習システムは、任意の設定が可能な周期が到来する毎に、新たなデータをフィードバックすることによって再学習が可能である。ここで、新たなデータとは、先行技術などの方法でリアルタイムではないものの、時間をかけてマルウェアあるいは通常ファイルと判定されたファイルに関するデータなどである。
上記の(2)の単語抽出部は、任意の単語辞書を利用することによって、印字可能な文字列から可読な単語集合を抽出する。このとき、予め用意した静的な辞書の他、ネットワーク上の検索エンジンの結果を利用することもできる。すなわち、印字可能な文字列を任意に指定が可能な検索エンジンで検索し、その結果が1件以上、あるいは、一般にX件以上であったときに可読であると判定する。
上記の判定機能では、マルウェアであるか通常のファイルであるのかの判定のみならず、他のクラスの分類を実現する機械学習によってマルウェアの種別に関しても判定を行う機能を有する。
オブジェクトに対する判定は、そのオブジェクトの全体ではなく、一部のみを使って判定を実施することも可能である。例えば、通信データの場合、全てのデータを受信し終わる前に、現在までに受信したデータを用いて判定することができる。
以下図面と共に、本発明の実施の形態を詳細に説明する。
図1は、本発明の一実施の形態におけるシステム構成を示す。
検出装置100は、ネットワーク200と接続され、オブジェクト記録部10、オブジェクト記憶部20、単語抽出部30、単語辞書35、特徴抽出部40、機械学習システム50、判定部60から構成される。ここで、オブジェクト記憶部20及び単語辞書35は、ハードディスク等の記憶媒体である。
オブジェクト記録部10は、マルウェアの実行ファイル(バイナリ)あるいはマルウェアを送受信している通信をオブジェクトとしてオブジェクト記憶部20に記録する。
単語抽出部30は、オブジェクト記憶部20からオブジェクトを読み出して、オブジェクトを解析し、はじめに印字可能な文字コードがX文字以上連続する文字列を抽出する。Xは任意の正数(X=1,2,…)に設定が可能である。ここで、印字可能であるとは、例えば、ASCIIコードにおいては、制御文字を除いた0×20から0×7eまでの空白及び図形文字の文字コードを指す。表1に得られた文字列の例を示す。
さらに、抽出された文字列に対し、任意に設定が可能な規則に従って文字列を処理し、単語の候補とする。図2に文字列処理の例を示す。
ステップ101) 文字列の英数字以外を区切り文字に置換する。
ステップ102) 大文字が2文字以上連続している場合は、ステップ103に移行し、連続していない場合は、ステップ104に移行する。
ステップ103) 該当した大文字を一つの単語としてマークする。
ステップ104) マークされた以外に大文字がある場合は、ステップ105に移行し、ない場合はステップ106に移行する。
ステップ105) 該当した大文字の前に区切り文字を挿入する。
ステップ106) 文字列を区切り文字によって分割し、分割した各々の文字列を単語とする。
上記のフローに従って文字列処理を実施した結果、上記の表1に示す文字列は表2に示す単語候補となる。
単語抽出部30は、上記の表2に示す単語候補に対して予め準備しておいた単語辞書35を用いて、単語辞書35に登録されている単語にマッチした単語のみ抽出する。あるいは、インターネットの検索エンジンで該当する単語候補を検索し、検索結果の数がある任意に設定が可能な閾値以上であったときのみ単語として抽出する。単語辞書35とマッチした結果、表3に示す単語集合を得る。
特徴抽出部40は、各々のファイルについて表3で得られた単語集合を単語抽出部30のメモリから読み出して、特徴ベクトルを構成する。すなわち、
ファイルX_i (i=1,2,…,N)の特徴ベクトル
V_i = {v_i1,v_i2,…,v_ij,…,v_iM}
を各々のファイルX_iに含まれる各単語w_j(j=1,2,…,M)を用い、
v_ij = g(w_j,X_i,X,a)
のように、w_j,X_i,X,aの関数で定義する。ここで、Xは全てのファイルの集合であり、aは任意に定義可能な重みパラメータである。
ファイルX_i (i=1,2,…,N)の特徴ベクトル
V_i = {v_i1,v_i2,…,v_ij,…,v_iM}
を各々のファイルX_iに含まれる各単語w_j(j=1,2,…,M)を用い、
v_ij = g(w_j,X_i,X,a)
のように、w_j,X_i,X,aの関数で定義する。ここで、Xは全てのファイルの集合であり、aは任意に定義可能な重みパラメータである。
v_ijの構成例としては、例えば、公知のtf−idf値を用いることができる。すなわち、
v_ij = tf_ij * idf_j
であり、
tf_ij = n_ij / sum_k n_k, j
idf_j = log(N / c)
である。ここで、
・n_ijはファイルF_iにおいて単語w_jが生起した回数;
・sum_k n_kjは単語w_jが全てのファイルで生起した回数の合計;
・Nは全てのファイルの総数;
・cは単語w_jを含むファイルの総数;
である。なお、*は乗算を示す演算子である。
v_ij = tf_ij * idf_j
であり、
tf_ij = n_ij / sum_k n_k, j
idf_j = log(N / c)
である。ここで、
・n_ijはファイルF_iにおいて単語w_jが生起した回数;
・sum_k n_kjは単語w_jが全てのファイルで生起した回数の合計;
・Nは全てのファイルの総数;
・cは単語w_jを含むファイルの総数;
である。なお、*は乗算を示す演算子である。
判定部60は、特徴ベクトルV_iに機械学習システム50を適用する。
特徴ベクトルV_iに教師付き機械学習システム50を適用することによって、ファイルを「マルウェア」、「通常ファイル」に分類する。具体的には、予め「マルウェア」、「通常ファイル」のそれぞれのファイルの特徴ベクトルを学習し、新たに得られたファイルについてその特徴ベクトルを元に「マルウェア」であるか「通常ファイル」であるかを判定する。
機械学習システム50の機械学習の手法としては、公知の教師あり学習の手法を用いることができる。教師あり学習では事前に教師データ(V_1,y_1),(V_2,y_2),…,(V_N,y _N)が与えられる。ここで、V_iは前述のファイルX_iに対する特徴ベクトルである。y_iは同ファイルのクラスであり、「0」か「1」の二値をとる。「0」なら通常ファイル、「1」ならマルウェアのように定義する。
上記の教師あり学習は、新たに観測したV_mに対するクラスy_mを高精度に推定する手法であり、サポートベクターマシン(SVM)、ナイーブベイズ法、ニューラルネットワーク、決定木など様々な公知の手法が広く使われている。
以下では、SVMを教師あり学習として適用した結果を例示するが、本発明における機械学習の適用範囲はこの例に限定されることなく、上記の種々の方法が適用可能である。
表4は、機械学習システム50において、各ファイルに対し、出現する単語及びその出現単語数を分析した結果であり、判定部60のメモリ(図示せず)に格納される。
また、学習には各々100ファイルを用い、残り全てのファイルについて判定を実施した。すなわち、既知の100+100 = 200ファイルを用いて機械学習を行い、その200ファイルも除いた未知の1547ファイルに対して判定を行った。得られた結果は精度(precision)が99.37%、再現率(Recall)が99.86%と高い精度を得ることができる。
また、機械学習システム50は、任意の設定が可能な周期が到来する毎に新たなデータをフィードバックすることによって再学習が可能である。ここで、新たなデータとは、先行技術などの方法でリアルタイムではないもの、時間をかけてマルウェアあるいは通常ファイルと判定されたファイルに関するデータなどである。
上記のオブジェクトに対する判定はそのオブジェクト全体ではなく、一部のみを使って判定を実施することも可能である。例えば、通信データの場合、全てのデータを受信し終わる前に、現在までに受信したデータを用いて判定する。
上記のように、本発明では、ソフトウェアファイルに含まれる可読な文字列に着目し、マルウェアを構成するプログラム中に含まれるメッセージ、通信に利用するために用いられるホスト名、実行コマンド名、関数名やライブラリ名などのマルウェアを特徴づける情報を(特徴ベクトル)を収集しておき、この内容と検査対象のファイルに含まれる文字列とを比較することにより、マルウェアを検出することができる。
上記の図1に示す検出装置の各構成要素の動作をプログラムとして構築し、検出装置として利用されるコンピュータにインストールして実行させる、または、ネットワークを介して流通させることが可能である。
また、構築されたプログラムをハードディスクや、フレキシブルディスク、CD-ROM等の可搬記憶媒体に格納し、コンピュータにインストールする、または、配布することが可能である。
なお、本発明は上記の実施の形態に限定されることなく、特許請求の範囲内において種々変更・応用が可能である。
10 オブジェクト記録部
20 オブジェクト記憶部
30 単語抽出部
35 単語辞書
40 特徴抽出部
50 機械学習システム
60 判定部
100 検出装置
200 ネットワーク
20 オブジェクト記憶部
30 単語抽出部
35 単語辞書
40 特徴抽出部
50 機械学習システム
60 判定部
100 検出装置
200 ネットワーク
Claims (9)
- 悪意のあるソフトウェア(以下、「マルウェア」と記す)あるいはマルウェアを送受信する通信を検出する悪意のあるソフトウェアを検出するソフトウェア検出装置であって、
ファイルあるいは送受信する通信データ(以下、ファイルあるいは通信データをまとめて「オブジェクト」と記す)を記憶するオブジェクト記憶手段と、
予め用意した静的な単語辞書を参照して、または、ネットワーク上の検索エンジンの結果を用いて、前記オブジェクト記憶手段に記録されたオブジェクトより文字列として印字及び可読なバイト列を単語として抽出する単語抽出手段と、
前記単語抽出手段によって抽出された単語の集合を元に、サポートベクターマシンを用いてオブジェクトごとに特徴ベクトルを構成する特徴抽出手段と、
前記特徴ベクトルに機械学習システムを適用することにより新たに観測した特徴ベクトルを元に前記オブジェクトがマルウェアであるか否かを判定する判定手段と、
を有し、
前記単語抽出手段は、
文字列の英数字以外を区切り文字に置換し、大文字が2文字以上連続している場合には、該当した大文字を一つの単語としてマークし、マークされた以外に大文字がある場合は、該当した大文字の前に区切り文字を挿入し、該文字列を区切り文字によって分割し、分割した各々の文字列を単語として抽出する手段を含む
ことを特徴とするソフトウェア検出装置。 - 前記機械学習システムは、
任意に設定が可能な周期が到来する毎に新たな学習データをフィードバックすることによって再学習を可能とする
請求項1記載のソフトウェア検出装置。 - 前記判定手段は、
マルウェアであるか否かのみならず、マルウェアの種別に関して学習並びに判定を行う手段を含む
請求項1記載のソフトウェア検出装置。 - 前記判定手段は、
前記オブジェクトの全体または一部のみを使って判定する手段を含む
請求項1または3記載のソフトウェア検出装置。 - オブジェクト記憶手段、単語抽出手段、特徴抽出手段、判定手段を有し、悪意のあるソフトウェア(以下、「マルウェア」と記す)あるいはマルウェアを送受信する通信を検出する装置における、悪意のあるソフトウェアを検出するソフトウェア検出方法であって、
前記単語抽出手段は、ファイルあるいは送受信する通信データ(以下、ファイルあるいは通信データをまとめて「オブジェクト」と記す)を記憶する前記オブジェクト記憶手段に記録されたオブジェクトより、予め用意した静的な単語辞書を参照して、または、ネットワーク上の検索エンジンの結果を用いて、文字列として印字及び可読なバイト列を単語として抽出する単語抽出ステップと、
前記特徴抽出手段が、前記単語抽出ステップによって抽出された単語の集合を元に、サポートベクターマシンを用いてオブジェクトごとに特徴ベクトルを構成する特徴抽出ステップと、
前記判定手段が、前記特徴ベクトルに機械学習システムを適用することにより新たに観測した特徴ベクトルを元に前記オブジェクトがマルウェアであるか否かを判定する判定ステップと、
を行い、
前記単語抽出ステップにおいて、
文字列の英数字以外を区切り文字に置換し、大文字が2文字以上連続している場合には、該当した大文字を一つの単語としてマークし、マークされた以外に大文字がある場合は、該当した大文字の前に区切り文字を挿入し、該文字列を区切り文字によって分割し、分割した各々の文字列を単語として抽出する
ことを特徴とするソフトウェア検出方法。 - 前記判定ステップにおいて、
任意に設定が可能な周期が到来する毎に新たな学習データをフィードバックすることによって再学習を可能とする前記機械学習システムを用いる、
請求項5記載のソフトウェア検出方法。 - 前記判定ステップにおいて、
マルウェアであるか否かのみならず、マルウェアの種別に関して学習並びに判定を行う請求項5記載のソフトウェア検出方法。 - 前記判定ステップにおいて、
前記オブジェクトの全体または一部のみを使って判定する
請求項5または7記載のソフトウェア検出方法。 - 請求項1乃至4のいずれか1項に記載のソフトウェア検出装置を構成する各手段としてコンピュータを機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010166150A JP5569935B2 (ja) | 2010-07-23 | 2010-07-23 | ソフトウェア検出方法及び装置及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010166150A JP5569935B2 (ja) | 2010-07-23 | 2010-07-23 | ソフトウェア検出方法及び装置及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012027710A JP2012027710A (ja) | 2012-02-09 |
| JP5569935B2 true JP5569935B2 (ja) | 2014-08-13 |
Family
ID=45780565
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010166150A Expired - Fee Related JP5569935B2 (ja) | 2010-07-23 | 2010-07-23 | ソフトウェア検出方法及び装置及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5569935B2 (ja) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9798981B2 (en) | 2013-07-31 | 2017-10-24 | Entit Software Llc | Determining malware based on signal tokens |
| CN105431859A (zh) * | 2013-07-31 | 2016-03-23 | 惠普发展公司,有限责任合伙企业 | 指示恶意软件的信号标记 |
| US10268820B2 (en) | 2014-06-11 | 2019-04-23 | Nippon Telegraph And Telephone Corporation | Malware determination device, malware determination system, malware determination method, and program |
| US9330264B1 (en) * | 2014-11-26 | 2016-05-03 | Glasswall (Ip) Limited | Statistical analytic method for the determination of the risk posed by file based content |
| EP3329412A4 (en) | 2015-07-31 | 2019-01-23 | Bluvector, Inc. | SYSTEM AND METHOD FOR REFORMING AN IN SITU CLASSIFIER FOR IDENTIFYING MALWARE SOFTWARE AND HETEROGENEITY OF A MODEL |
| US9690938B1 (en) | 2015-08-05 | 2017-06-27 | Invincea, Inc. | Methods and apparatus for machine learning based malware detection |
| US10289843B2 (en) * | 2016-04-06 | 2019-05-14 | Nec Corporation | Extraction and comparison of hybrid program binary features |
| WO2017187999A1 (ja) * | 2016-04-26 | 2017-11-02 | 日本電気株式会社 | プログラム分析システム、プログラム分析方法、及び、記録媒体 |
| US10318735B2 (en) | 2016-06-22 | 2019-06-11 | Invincea, Inc. | Methods and apparatus for detecting whether a string of characters represents malicious activity using machine learning |
| KR101863615B1 (ko) * | 2017-05-24 | 2018-06-01 | (주)이스트소프트 | 신경망 학습 기반의 변종 악성 코드를 탐지하기 위한 장치, 이를 위한 방법 및 이 방법을 수행하기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체 |
| WO2019145912A1 (en) | 2018-01-26 | 2019-08-01 | Sophos Limited | Methods and apparatus for detection of malicious documents using machine learning |
| US11941491B2 (en) | 2018-01-31 | 2024-03-26 | Sophos Limited | Methods and apparatus for identifying an impact of a portion of a file on machine learning classification of malicious content |
| US11947668B2 (en) | 2018-10-12 | 2024-04-02 | Sophos Limited | Methods and apparatus for preserving information between layers within a neural network |
| US11714905B2 (en) | 2019-05-10 | 2023-08-01 | Sophos Limited | Attribute relevance tagging in malware recognition |
| US20210089992A1 (en) * | 2019-09-20 | 2021-03-25 | Nec Laboratories America, Inc. | Method for automated code reviewer recommendation |
| JP6856162B2 (ja) * | 2019-09-24 | 2021-04-07 | ダイキン工業株式会社 | 制御システム |
| JP7272446B2 (ja) * | 2019-09-27 | 2023-05-12 | 日本電気株式会社 | 学習装置、判別システム、学習方法及び学習プログラム |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0750487B2 (ja) * | 1986-11-26 | 1995-05-31 | 松下電器産業株式会社 | 情報抽出装置 |
| US7519998B2 (en) * | 2004-07-28 | 2009-04-14 | Los Alamos National Security, Llc | Detection of malicious computer executables |
| US8037535B2 (en) * | 2004-08-13 | 2011-10-11 | Georgetown University | System and method for detecting malicious executable code |
| JP4460417B2 (ja) * | 2004-10-08 | 2010-05-12 | 日本電信電話株式会社 | 自動分類方法、自動分類プログラム、記録媒体、および、自動分類装置 |
| JP2008192122A (ja) * | 2007-01-09 | 2008-08-21 | Nec Corp | 悪意メール検出装置、検出方法およびプログラム |
| IL191744A0 (en) * | 2008-05-27 | 2009-02-11 | Yuval Elovici | Unknown malcode detection using classifiers with optimal training sets |
-
2010
- 2010-07-23 JP JP2010166150A patent/JP5569935B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2012027710A (ja) | 2012-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5569935B2 (ja) | ソフトウェア検出方法及び装置及びプログラム | |
| Li et al. | Textbugger: Generating adversarial text against real-world applications | |
| Ahmed et al. | A system call refinement-based enhanced Minimum Redundancy Maximum Relevance method for ransomware early detection | |
| Cohen et al. | SFEM: Structural feature extraction methodology for the detection of malicious office documents using machine learning methods | |
| Nissim et al. | Detection of malicious PDF files and directions for enhancements: A state-of-the art survey | |
| Smutz et al. | Malicious PDF detection using metadata and structural features | |
| EP2588983B1 (en) | Systems and methods for alternating malware classifiers in an attempt to frustrate brute-force malware testing | |
| Alazab et al. | Malware detection based on structural and behavioural features of API calls | |
| US9043247B1 (en) | Systems and methods for classifying documents for data loss prevention | |
| Nissim et al. | Keeping pace with the creation of new malicious PDF files using an active-learning based detection framework | |
| Han et al. | {SIGL}: Securing software installations through deep graph learning | |
| Niakanlahiji et al. | A natural language processing based trend analysis of advanced persistent threat techniques | |
| CN109983464B (zh) | 检测恶意脚本 | |
| CN112241530B (zh) | 恶意pdf文档的检测方法及电子设备 | |
| Li et al. | {TextShield}: Robust text classification based on multimodal embedding and neural machine translation | |
| Malisa et al. | Mobile application impersonation detection using dynamic user interface extraction | |
| Carlin et al. | Dynamic analysis of malware using run-time opcodes | |
| Thunga et al. | Identifying metamorphic virus using n-grams and hidden markov model | |
| Zhang et al. | Smartdetect: a smart detection scheme for malicious web shell codes via ensemble learning | |
| Deepa et al. | Investigation of feature selection methods for android malware analysis | |
| Tajiri et al. | Detection of malicious powershell using word-level language models | |
| Rasheed et al. | Adversarial attacks on featureless deep learning malicious URLs detection | |
| US11321453B2 (en) | Method and system for detecting and classifying malware based on families | |
| US8402545B1 (en) | Systems and methods for identifying unique malware variants | |
| Kutlay et al. | Static based classification of malicious software using machine learning methods |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20121029 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20121029 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130116 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20130116 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131118 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131203 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131217 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140203 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140610 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140618 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5569935 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |