JP5732372B2 - ソフトウェア検知ルール生成装置、ソフトウェア検知ルール生成方法およびソフトウェア検知ルール生成プログラム - Google Patents
ソフトウェア検知ルール生成装置、ソフトウェア検知ルール生成方法およびソフトウェア検知ルール生成プログラム Download PDFInfo
- Publication number
- JP5732372B2 JP5732372B2 JP2011236053A JP2011236053A JP5732372B2 JP 5732372 B2 JP5732372 B2 JP 5732372B2 JP 2011236053 A JP2011236053 A JP 2011236053A JP 2011236053 A JP2011236053 A JP 2011236053A JP 5732372 B2 JP5732372 B2 JP 5732372B2
- Authority
- JP
- Japan
- Prior art keywords
- character string
- malware
- log
- rule
- detection rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
この方式は、マルウェアの挙動ログや構成ファイルの中に、攻撃に関連する文字列(通信先IP(Internet Protocol)アドレス、重要ファイルの操作、パッケージ名、コードの特定文字列)が含まれていることを検知(検出)する方式である。
また、挙動ログや構成ファイルの特定の一行に現れる文字列からマルウェアを判断することができるように、マルウェアの検出に利用する文字列として、正規表現で記述することが可能な単純な文字列を設定している。
このため、類似の挙動を示すマルウェアにその文字列が含まれているとは限らず、マルウェアの検知において見逃し(False Negative)が生じるという問題がある。また、正常なアプリケーションがその文字列に該当する可能性も高くなり、マルウェアの検知において積極的誤検知(False Positive)が生じるという問題がある。
図1は、本発明の第1実施形態に係るAndroid(登録商標)のソフトウェア検知ルール生成装置1の概略的な構成を示すブロック図である。
また、図1には、アプリケーションデータベース(アプリケーションDB)21と、ルールデータベース(ルールDB)22も示してある。
本実施形態では、アプリケーションデータベース21は、正常なアプリケーションを記憶するデータベース(正常アプリケーションデータベース)と、マルウェア(悪性のアプリケーション)を記憶するデータベース(マルウェアデータベース)と、正常なものであるかあるいは悪性のものであるかが不明なアプリケーションを記憶するデータベース(不明アプリケーションデータベース)と、を有する。
また、アプリケーションデータベース21に記憶されるそれぞれのアプリケーションが正常なものであるか、悪性のものであるか、あるいは、いずれであるかが不明なものであるかは、任意の手法により、あらかじめ確認されて既知になっているとする。
ルールデータベース22に記憶されたマルウェア検知ルールは、マルウェアの検知に使用することができる。
本実施形態に係るソフトウェア検知ルール生成装置1は、単一ログ/ファイル抽出部11と、文字列抽出部12と、ルール生成部13と、ルール検証部14と、を備える。
単一ログ/ファイル抽出部11は、アプリケーションデータベース21のマルウェアデータベースに記憶されたマルウェアを入力し、入力したマルウェアを構成する挙動ログと構成ファイルについて、単一の挙動ログまたは単一の構成ファイルを抽出する。単一ログ/ファイル抽出部11は、抽出した単一の挙動ログまたは単一の構成ファイルを文字列抽出部12に出力する。
ここで、抽出する単一の挙動ログまたは単一の構成ファイルの種類は、例えば、あらかじめ定められている。
本実施形態では、挙動ログの中の一例であるカーネルログに関するマルウェア検知ルールを生成する場合を示す。
ここで、単一ログ/ファイル抽出部11は、複数のマルウェアを入力する場合には、それぞれのマルウェアのカーネルログを抽出して取得し、それぞれのマルウェアのカーネルログを文字列抽出部12に出力する。
ここで、文字列抽出部12は、複数のマルウェアのカーネルログを入力する場合には、それぞれのマルウェアのカーネルログから文字列を抽出して取得し、それぞれのマルウェアのカーネルログごとに、抽出した文字列に関する情報を文字列抽出部12に出力する。
(カーネルログにおける文字列抽出の処理手順1)
文字列抽出部12は、マルウェアのカーネルログの全て(全ての行)を文字列抽出の対象とし、または、当該カーネルログからあらかじめ定められた特定のシステムコールの行の部分を抽出して、抽出した特定のシステムコールの行の部分のみを文字列抽出の対象とする。
文字列抽出部12は、文字列抽出の対象(カーネルログの全ての行、または、特定のシステムコールの行の部分)を構成する各行から、あらかじめ定められた条件(この例では、システムコール)に応じて文字列を抽出する。
ここで、抽出する文字列としては、任意のものが用いられてもよく、例えば、ファイル名、あるいは、通信相手などの文字列を用いることができる。
このシステムコール「execve」は、アプリケーションがファイルを実行する際にログに出現する。したがって、文字列抽出部12は、このシステムコール「execve」の行の部分から、ファイル名のデータを文字列として抽出する。
図2に示される入力は、システムコール「execve」の行の部分に相当する。
そして、文字列抽出部12は、図2に示される入力から、図2に示される出力(「sleep」というファイル名)のデータを文字列のデータとして抽出する。
このシステムコール「connect」は、外部のネットワークとの接続の際に出現する。したがって、文字列抽出部12は、このシステムコール「connect」の行の部分から、通信相手のデータを文字列として抽出する。
この通信相手のデータとして、本実施形態では、接続先のIPアドレスとポート番号を用いる。
図3に示される入力は、システムコール「connect」の行の部分に相当する。
そして、文字列抽出部12は、図3に示される入力から、図3に示される出力(「210.196.3.183_80」という接続先のIPアドレスとポート番号)のデータを文字列のデータとして抽出する。
文字列抽出部12は、抽出した文字列に関する情報として、抽出した文字列のデータと、この抽出に用いたシステムコールを含み、これら(文字列のデータとシステムコール)が対応付けられる情報を用いる。これにより、抽出した文字列に関する情報に基づいて、どのような文字列がどのようなシステムコールに出現したかを把握することができる。
また、他の構成例として、同じ文字列の情報について重複して抽出して採用する構成が用いられてもよい。
本実施形態では、ルール生成部13は、マルウェア検知ルールの生成対象となる全てのマルウェアについて、生成された時系列データを用いて、アソシエーション分析の処理または時系列アソシエーション分析の処理のうちのいずれかを行い、これによりマルウェア検知ルールを導出する。
アソシエーション分析は、組み合わせ(アソシエーションルール)を効率的に発見する方法である。前提部(antecedent)と結論部(consequence)から構成され、前提部と結論部の組み合わせで1つのルールとなる。
信頼度(C:Confidence)は、ルールの前提(X)が発生したときに、結論(Y)が起こる割合を示す。つまり、信頼度の数値が高いほど、ルールの前提と結論との結び付きが強いことを意味する。信頼度は、式(1)で表される。
/{前提(X)を含むトランザクションの件数}
・・(1)
/{全てのトランザクションの件数}
・・(2)
アプリオリ・アルゴリズムは、信頼度と支持度に閾値を設け、その閾値を超える信頼度と支持度を持つルールを重要なものと見なすようにするアルゴリズムである。なお、閾値は、ユーザが指定する。
・・(3)
C=0
S=0
L=1
時系列アソシエーション分析は、アソシエーション分析の際に、時間的な前後関係を考慮して、ルールを生成する方法である。
図4(a)は、システムコールの時系列データの一例を示す図である。
システムコールの時系列データとして、時系列の(1)番目に、{システムコール「execve」において、ファイル名「xxxxxxxx」の文字列が出現する}という情報が取得されており、時系列の(2)番目に、{システムコール「connect」において、通信相手(接続先のIPアドレスとポート番号)「x x x x x x x」の文字列が出現する}という情報が取得されているとする。
この例では、アソシエーションルール生成結果として、2つのルールが生成される。この場合、ルール生成部13は、これら2つのルールを、マルウェア検知ルールとして、ルール検証部14に出力する。
このルールでは、前提部(X)は{システムコール「execve」において、ファイル名「xxxxxxxx」の文字列が出現する}ことであり、結論部(Y)は{システムコール「connect」において、通信相手(接続先のIPアドレスとポート番号)「x x x x x x x」の文字列が出現する}ことである。
このルールでは、前提部(X)は{システムコール「connect」において、通信相手(接続先のIPアドレスとポート番号)「x x x x x x x」の文字列が出現する}ことであり、結論部(Y)は{システムコール「execve」において、ファイル名「xxxxxxxx」の文字列が出現する}ことである。
この例では、時系列アソシエーションルール生成結果として、1つのルールが生成される。この場合、ルール生成部13は、この1つのルールを、マルウェア検知ルールとして、ルール検証部14に出力する。
このルールでは、前提部(X)は{システムコール「execve」において、ファイル名「xxxxxxxx」の文字列が出現する}ことであり、結論部(Y)は{システムコール「connect」において、通信相手(接続先のIPアドレスとポート番号)「x x x x x x x」の文字列が出現する}ことである。
なお、本実施形態では、早い行に出現する方が早い時間であるとしている。
具体的には、ルール検証部14は、それぞれのマルウェア検知ルールについて、そのルールのパターンに該当するマルウェアが幾つ存在するか、および、そのルールのパターンに該当する正常なアプリケーションが幾つ存在するかを検出して、有効性の検証を行う。
図5の例では、ルール検証部14は、[{システムコール「execve」において、ファイル名「xxxxxxxx」の文字列が出現する}ことが成立した場合に、それより後の行で、{システムコール「connect」において、通信相手(接続先のIPアドレスとポート番号)「x x x x x x x」の文字列が出現する}ことが成立する]というルールについて、有効性の検証を行っている。
他の一例として、ルール検証部14は、マルウェアについて判定したルールの該当数の割合(a/n)があらかじめ定められた閾値(第1の閾値)を超え、且つ、正常なアプリケーションについて判定した当該ルールの該当数の割合(b/m)があらかじめ定められた閾値(第2の閾値)以下である場合に、当該ルールが有効であると検証する。
例えば、本実施形態では、マルウェアにルールを適用した結果と正常なアプリケーションに当該ルールを適用した結果の両方に基づいて当該ルールが有効であるか否かを判定するが、他の構成例として、マルウェアにルールを適用した結果のみに基づいて当該ルールが有効であるか否かを判定する構成が用いられてもよく、あるいは、正常なアプリケーションにルールを適用した結果のみに基づいて当該ルールが有効であるか否かを判定する構成が用いられてもよい。
他の具体例として、ルール検証部14は、正常なアプリケーションについて判定したルールの該当数の割合(b/m)があらかじめ定められた閾値(第4の閾値)以下である場合に、当該ルールが有効であると検証する。
これにより、ルールデータベース22に記憶されたマルウェア検知ルールを使用して、アプリケーション(例えば、新たなアプリケーション)がマルウェアであるか否かの評価を行うことができる。
なお、文字列を抽出する対象として、ペイロードを用いることも可能である。
図6(a)は、単一ログ/ファイル抽出部11によりマルウェアから抽出される情報の例を示す。
具体的には、各マルウェアから単一の挙動ログまたは単一の構成ファイルが抽出され、z(zは1以上の整数)個のマルウェアについて、z個のログ/ファイル抽出情報(それぞれ、単一の挙動ログまたは単一の構成ファイル)101−1〜101−zが抽出される。
具体的には、各ログ/ファイル抽出情報101−1〜101−zに基づいて文字列に関する情報が抽出され、z個のログ/ファイル抽出情報101−1〜101−zについて、z個の文字列抽出情報(抽出した文字列に関する情報)111−1〜111−zが得られる。
具体的には、ルール生成部13によりz個の文字列抽出情報111−1〜111−nに基づいてk(この例では、kは1以上の整数)個のルールが生成される。
具体的には、ルール検証部14により、k個のルールのそれぞれについて、ルールに該当するマルウェアの件数と、ルールに該当する正常なアプリケーションの件数が得られる。
なお、この例では、各ルールに該当するか否かを判定する対象とするマルウェアの数(図5に示されるnに相当する値)および正常なアプリケーションの数(図5に示されるmに相当する値)があらかじめ定められているとする。
例えば、挙動ログの一つであるカーネルログにはAndroid(登録商標)のアプリケーションがいずれのファイルを実行したのかを示す記録や、誰と通信したのかを示す記録が含まれており、これらに関連する文字列を抽出することができる。また、構成ファイルの一つであるマニフェストファイルに含まれるパーミッション情報はAndroid(登録商標)のアプリケーションに特有の文字列であり、マルウェアに用いられやすいパーミッション、要するに文字列を自動的に抽出することができる。
このような方法により、マルウェアの見逃し(False Negative)や積極的誤検知(False Positive)を低減することができる。
ルール検証部14を備えないソフトウェア検知ルール生成装置1では、ルール生成部13により生成されたマルウェア検知ルールをルールデータベース22に記憶させる。
なお、ソフトウェア検知ルール生成装置1にルール検証部14を備えるか否かは任意であるが、通常は、ルール検証部14を備えた方が、ソフトウェア検知ルール生成装置1により生成されるマルウェア検知ルール(ルール検証部14を備えない場合にはルール生成部13により生成されるマルウェア検知ルール、ルール検証部14を備える場合にはルール検証部14により有効であると検証されたマルウェア検知ルール)の精度が高くなると考えられる。
図7は、本発明の第2実施形態に係るAndroid(登録商標)のソフトウェア検知ルール生成装置31の概略的な構成を示すブロック図である。
また、図7には、アプリケーションデータベース(アプリケーションDB)51と、ルールデータベース(ルールDB)52も示してある。
本実施形態に係るソフトウェア検知ルール生成装置31は、複数ログ/ファイル抽出部41と、文字列抽出部42と、ルール生成部43と、ルール検証部44と、を備える。
複数ログ/ファイル抽出部41は、アプリケーションデータベース21のマルウェアデータベースに記憶されたマルウェアを入力し、入力したマルウェアを構成する挙動ログと構成ファイルについて、複数の種類のものを抽出する。複数ログ/ファイル抽出部41は、抽出した挙動ログや構成ファイルを文字列抽出部42に出力する。
本実施形態では、挙動ログの中の一例であるカーネルログおよび構成ファイルの中の一例であるマニフェストファイルに関するマルウェア検知ルールを生成する場合を示す。
ここで、複数ログ/ファイル抽出部41は、複数のマルウェアを入力する場合には、それぞれのマルウェアのカーネルログおよびマニフェストファイルを抽出して取得し、それぞれのマルウェアのカーネルログおよびマニフェストファイルを文字列抽出部42に出力する。
ここで、文字列抽出部42は、複数のマルウェアのカーネルログおよびマニフェストファイルを入力する場合には、それぞれのマルウェアのカーネルログおよびマニフェストファイルから文字列を抽出して取得し、それぞれのマルウェアのカーネルログおよびマニフェストファイルごとに、抽出した文字列に関する情報を文字列抽出部42に出力する。
カーネルログにおける文字列抽出の処理手順としては、第1実施形態で示した(カーネルログにおける文字列抽出の処理手順1)〜(カーネルログにおける文字列抽出の処理手順2)と同様な処理手順を用いることができる。具体例として、文字列抽出部42は、カーネルログにおいて、システムコール「execve」の行の部分からファイル名のデータを文字列として抽出すること、あるいは、システムコール「connect」の行の部分から通信相手のデータを文字列として抽出することができる。
(マニフェストファイルにおける文字列抽出の処理手順1)
文字列抽出部42は、マルウェアのマニフェストファイルの全て(全ての行)を文字列抽出の対象とし、または、当該マニフェストファイルからあらかじめ定められた特定のパーミッション情報の行の部分を抽出して、抽出した特定のパーミッション情報の行の部分のみを文字列抽出の対象とする。
(マニフェストファイルにおける文字列抽出の処理手順2)
文字列抽出部42は、文字列抽出の対象(マニフェストファイルの全ての行、または、特定のパーミッション情報の行の部分)を構成する各行から、あらかじめ定められた条件(この例では、パーミッション情報)に応じて文字列を抽出する。
文字列抽出部42は、抽出した文字列に関する情報として、カーネルログから抽出した文字列のデータと、この抽出に用いたシステムコールを含み、これら(文字列のデータとシステムコール)が対応付けられるとともに、マニフェストファイルから抽出した文字列のデータと、この抽出に用いた抽出情報の種別(この例では、「パーミッション情報」という種別)を含み、これら(文字列のデータと抽出情報の種別)が対応付けられる情報を用いる。これにより、抽出した文字列に関する情報に基づいて、カーネルログにおいてどのような文字列がどのようなシステムコールに出現したか、および、マニフェストファイルにおいてどのような文字列がどのような抽出情報の種別に出現したかを把握することができる。
また、他の構成例として、同じ文字列の組み合わせの情報について重複して抽出して採用する構成が用いられてもよい。
なお、このような同じ文字列の情報の重複は、例えば、1個のマルウェアにおいて存在する場合や、あるいは、複数のマルウェアにわたって存在する場合があり得る。
また、他の構成例として、同じ文字列の情報について重複して抽出して採用する構成が用いられてもよい。
本実施形態では、ルール生成部43は、マルウェア検知ルールの生成対象となる全てのマルウェアについて、生成された時系列データを用いて、アソシエーション分析の処理または時系列アソシエーション分析の処理のうちのいずれかを行い、これによりマルウェア検知ルールを導出する。
なお、これらの概略は、第1実施形態で説明したものと同様である。
図8(a)は、カーネルログにおけるシステムコールと文字列との対応の一例を示す図である。
システムコールのデータとして、{システムコール「connect」において、通信相手(接続先のアドレスあるいは他の識別情報など)「example.com」の文字列が出現する}という情報が取得されているとする。
パーミッション情報のデータとして、{パーミッション情報として、「READ_PHONE_STATE」の文字列が出現する}という情報が取得されているとする。
ここで、「READ_PHONE_STATE」は、端末固有の情報を抽出するものである。
この例では、アソシエーションルール生成結果として、1つのルールが生成される。この場合、ルール生成部43は、この1つのルールを、マルウェア検知ルールとして、ルール検証部44に出力する。
なお、ここでは、アソシエーション分析の例を示したが、他の例として、時系列アソシエーション分析が用いられてもよい。
ここで、ルール検証部44により行われる動作は、第1実施形態に係る図1に示されるルール検証部14について説明したものと同様である。
例えば、挙動ログの一つであるカーネルログにはAndroid(登録商標)のアプリケーションがいずれのファイルを実行したのかを示す記録や、誰と通信したのかを示す記録が含まれており、これらに関連する文字列を抽出することができる。また、構成ファイルの一つであるマニフェストファイルに含まれるパーミッション情報はAndroid(登録商標)のアプリケーションに特有の文字列であり、マルウェアに用いられやすいパーミッション、要するに文字列を自動的に抽出することができる。
このような方法により、マルウェアの見逃し(False Negative)や積極的誤検知(False Positive)を低減することができる。
また、本実施形態では、挙動ログと構成ファイルのうちの2種類(本実施形態では、カーネルログとマニフェストファイル)のそれぞれから抽出された文字列(合わせて、2つの文字列)を用いたルールを生成する場合を示したが、他の例として、挙動ログや構成ファイルのうちでルールを生成するために使用するものの種類の数は3種類以上であってもよく、また、ルールを生成するために使用する文字列の数は3つ以上であってもよい。
図9は、本発明の第3実施形態に係るAndroid(登録商標)のソフトウェア検知ルール生成システムの概略的な構成を示すブロック図である。
本実施形態に係るソフトウェア検知ルール生成システムは、アプリケーションデータベース(アプリケーションDB)71と、2つのソフトウェア検知ルール生成装置(第1のソフトウェア検知ルール生成装置61、第2のソフトウェア検知ルール生成装置62)と、ルールデータベース(ルールDB)72と、を備える。
そして、第1のソフトウェア検知ルール生成装置61は、アプリケーションデータベース71に記憶されたアプリケーションに基づいて、マルウェアを検知するルール(マルウェア検知ルール)をソフトウェア検知ルールとして生成し、生成したマルウェア検知ルールを検証する。第1のソフトウェア検知ルール生成装置61は、有効であると検証されたマルウェア検知ルールをルールデータベース72に記憶させる。
そして、第2のソフトウェア検知ルール生成装置62は、アプリケーションデータベース71に記憶されたアプリケーションに基づいて、マルウェアを検知するルール(マルウェア検知ルール)をソフトウェア検知ルールとして生成し、生成したマルウェア検知ルールを検証する。第2のソフトウェア検知ルール生成装置62は、有効であると検証されたマルウェア検知ルールをルールデータベース72に記憶させる。
ルールデータベース72に記憶されたマルウェア検知ルールは、マルウェアの検知に使用することができる。
これにより、ルールデータベース72には、各ソフトウェア検知ルール生成装置61、62から、マルウェアから異なる種類の挙動ログまたは構成ファイルを抽出して生成されたマルウェア検知ルールが記憶される。
そして、ルールデータベース72に記憶されたマルウェア検知ルールについて、前記した2種類のものを複合的に利用することにより、Android(登録商標)向けのマルウェアを検出する。
このように、複合的にマルウェア検知ルールを利用することで、例えば、積極的誤検知(False Positive)を低減しながら、高精度にマルウェアを検出することができる。
従って、本実施形態に係るソフトウェア検知ルール生成システムによれば、異なる種類の挙動ログや構成ファイルについて生成されたマルウェア検知ルールを複合的に使用して、Android(登録商標)向けのアプリケーションに特化したマルウェアの検出を容易化することができる。
以上、本発明の実施形態について図面を参照して詳述したが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM(Read Only Memory)、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことを言う。
また、上記のプログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことを言う。
また、上記のプログラムは、前述した機能の一部を実現するためのものであっても良い。
さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
Claims (7)
- マルウェアを構成する挙動ログまたは構成ファイルのうちの単一の挙動ログまたは単一の構成ファイルを抽出する単一ログ/ファイル抽出部と、
前記単一ログ/ファイル抽出部により抽出された単一の挙動ログまたは単一の構成ファイルから、あらかじめ定められた条件に応じた文字列を、2つ以上の異なる条件について抽出する文字列抽出部と、
前記文字列抽出部により抽出された文字列に基づいて、2つ以上の異なる条件について条件に応じて特定の文字列が出現するという要件を含むマルウェア検知ルールを生成するルール生成部と、
を備えたことを特徴とするソフトウェア検知ルール生成装置。 - マルウェアを構成する挙動ログまたは構成ファイルのうちの複数種類を抽出する複数ログ/ファイル抽出部と、
前記複数ログ/ファイル抽出部により抽出された挙動ログまたは構成ファイルのうちの複数種類のそれぞれから、あらかじめ定められた条件に応じた文字列を抽出する文字列抽出部と、
前記文字列抽出部により抽出された文字列に基づいて、挙動ログまたは構成ファイルのうちの複数種類について条件に応じて特定の文字列が出現するという要件を含むマルウェア検知ルールを生成するルール生成部と、
を備えたことを特徴とするソフトウェア検知ルール生成装置。 - さらに、前記ルール生成部により生成されたマルウェア検知ルールの有効性を検証するルール検証部を備えた、
ことを特徴とする請求項1または請求項2に記載のソフトウェア検知ルール生成装置。 - 単一ログ/ファイル抽出部が、マルウェアを構成する挙動ログまたは構成ファイルのうちの単一の挙動ログまたは単一の構成ファイルを抽出し、
文字列抽出部が、前記単一ログ/ファイル抽出部により抽出された単一の挙動ログまたは単一の構成ファイルから、あらかじめ定められた条件に応じた文字列を、2つ以上の異なる条件について抽出し、
ルール生成部が、前記文字列抽出部により抽出された文字列に基づいて、2つ以上の異なる条件について条件に応じて特定の文字列が出現するという要件を含むマルウェア検知ルールを生成する、
ことを特徴とするソフトウェア検知ルール生成方法。 - 複数ログ/ファイル抽出部が、マルウェアを構成する挙動ログまたは構成ファイルのうちの複数種類を抽出し、
文字列抽出部が、前記複数ログ/ファイル抽出部により抽出された挙動ログまたは構成ファイルのうちの複数種類のそれぞれから、あらかじめ定められた条件に応じた文字列を抽出し、
ルール生成部が、前記文字列抽出部により抽出された文字列に基づいて、挙動ログまたは構成ファイルのうちの複数種類について条件に応じて特定の文字列が出現するという要件を含むマルウェア検知ルールを生成する、
ことを特徴とするソフトウェア検知ルール生成方法。 - 単一ログ/ファイル抽出部が、マルウェアを構成する挙動ログまたは構成ファイルのうちの単一の挙動ログまたは単一の構成ファイルを抽出するステップと、
文字列抽出部が、前記単一ログ/ファイル抽出部により抽出された単一の挙動ログまたは単一の構成ファイルから、あらかじめ定められた条件に応じた文字列を、2つ以上の異なる条件について抽出するステップと、
ルール生成部が、前記文字列抽出部により抽出された文字列に基づいて、2つ以上の異なる条件について条件に応じて特定の文字列が出現するという要件を含むマルウェア検知ルールを生成するステップと、
をコンピュータに実行させるためのソフトウェア検知ルール生成プログラム。 - 複数ログ/ファイル抽出部が、マルウェアを構成する挙動ログまたは構成ファイルのうちの複数種類を抽出するステップと、
文字列抽出部が、前記複数ログ/ファイル抽出部により抽出された挙動ログまたは構成ファイルのうちの複数種類のそれぞれから、あらかじめ定められた条件に応じた文字列を抽出するステップと、
ルール生成部が、前記文字列抽出部により抽出された文字列に基づいて、挙動ログまたは構成ファイルのうちの複数種類について条件に応じて特定の文字列が出現するという要件を含むマルウェア検知ルールを生成するステップと、
をコンピュータに実行させるためのソフトウェア検知ルール生成プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011236053A JP5732372B2 (ja) | 2011-10-27 | 2011-10-27 | ソフトウェア検知ルール生成装置、ソフトウェア検知ルール生成方法およびソフトウェア検知ルール生成プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011236053A JP5732372B2 (ja) | 2011-10-27 | 2011-10-27 | ソフトウェア検知ルール生成装置、ソフトウェア検知ルール生成方法およびソフトウェア検知ルール生成プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013092981A JP2013092981A (ja) | 2013-05-16 |
JP5732372B2 true JP5732372B2 (ja) | 2015-06-10 |
Family
ID=48616043
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011236053A Active JP5732372B2 (ja) | 2011-10-27 | 2011-10-27 | ソフトウェア検知ルール生成装置、ソフトウェア検知ルール生成方法およびソフトウェア検知ルール生成プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5732372B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3099024B1 (en) * | 2014-03-19 | 2019-01-02 | Nippon Telegraph and Telephone Corporation | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program |
JP6246377B2 (ja) | 2014-08-28 | 2017-12-13 | 三菱電機株式会社 | プロセス解析装置、プロセス解析方法、及びプロセス解析プログラム |
JP6698401B2 (ja) * | 2016-03-30 | 2020-05-27 | 株式会社神戸製鋼所 | ルール抽出装置、該方法および該プログラム |
CN106384047B (zh) * | 2016-08-26 | 2019-11-15 | 青岛天龙安全科技有限公司 | App检测未知行为采集及判断方法 |
CN107908802A (zh) * | 2017-12-26 | 2018-04-13 | 广东欧珀移动通信有限公司 | 日志处理方法、装置、终端设备及存储介质 |
-
2011
- 2011-10-27 JP JP2011236053A patent/JP5732372B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2013092981A (ja) | 2013-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11030311B1 (en) | Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise | |
US7797549B2 (en) | Secure method and system for biometric verification | |
RU2708356C1 (ru) | Система и способ двухэтапной классификации файлов | |
JP5732372B2 (ja) | ソフトウェア検知ルール生成装置、ソフトウェア検知ルール生成方法およびソフトウェア検知ルール生成プログラム | |
WO2019144549A1 (zh) | 漏洞测试方法、装置、计算机设备和存储介质 | |
WO2016015680A1 (zh) | 移动终端输入窗口的安全检测方法和安全检测装置 | |
JP6674036B2 (ja) | 分類装置、分類方法及び分類プログラム | |
US11019494B2 (en) | System and method for determining dangerousness of devices for a banking service | |
CN104135467B (zh) | 识别恶意网站的方法及装置 | |
CN114915475B (zh) | 攻击路径的确定方法、装置、设备及存储介质 | |
JP2017142744A (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
KR102180098B1 (ko) | 악성코드 모니터링 및 사용자 단말 제어 기능을 수행하는 악성코드 탐지 시스템 | |
CN114003903A (zh) | 一种网络攻击追踪溯源方法及装置 | |
RU2587429C2 (ru) | Система и способ оценки надежности правила категоризации | |
US20220400133A1 (en) | Information leakage detection method and device using the same | |
Fallah et al. | Android malware detection using network traffic based on sequential deep learning models | |
Kuhn et al. | An analysis of vulnerability trends, 2008-2016 | |
CN105337739A (zh) | 安全登录方法、装置、服务器及终端 | |
US11297083B1 (en) | Identifying and protecting against an attack against an anomaly detector machine learning classifier | |
Shahriar et al. | Content provider leakage vulnerability detection in Android applications | |
US20180173685A1 (en) | Security-Focused Web Application Crawling | |
CN111030978B (zh) | 一种基于区块链的恶意数据获取方法、装置及存储设备 | |
CN106919844A (zh) | 一种Android系统应用程序漏洞检测方法 | |
JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム | |
JP2018121262A (ja) | セキュリティ監視サーバ、セキュリティ監視方法、プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140723 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20140724 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150218 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150317 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150413 |
|
R150 | Certificate of patent (=grant) or registration of utility model |
Ref document number: 5732372 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |