JP6505533B2 - 悪質なコードの検出 - Google Patents
悪質なコードの検出 Download PDFInfo
- Publication number
- JP6505533B2 JP6505533B2 JP2015144498A JP2015144498A JP6505533B2 JP 6505533 B2 JP6505533 B2 JP 6505533B2 JP 2015144498 A JP2015144498 A JP 2015144498A JP 2015144498 A JP2015144498 A JP 2015144498A JP 6505533 B2 JP6505533 B2 JP 6505533B2
- Authority
- JP
- Japan
- Prior art keywords
- data set
- software code
- malicious software
- statistical analysis
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title description 12
- 238000007619 statistical method Methods 0.000 claims description 31
- 238000000034 method Methods 0.000 claims description 25
- 238000006243 chemical reaction Methods 0.000 claims description 19
- 238000004422 calculation algorithm Methods 0.000 claims description 18
- 238000003860 storage Methods 0.000 claims description 16
- 230000035945 sensitivity Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 4
- 238000013480 data collection Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000001010 compromised effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000001801 Z-test Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Description
データセット:
<table id="bran" width="100" style="border: 2px solid black">
変換されたデータセット:
0000000000000000000000001110000000000000000010000000000000000
難読化データセット:
<style>#c118{background:url(data:,13,41.5,26,55,12.5,32.5,28,10,10.5,41.5,17.5,6.5,26.5,22.5,10.5,9.5,23.5,42,25,11,43.5,42,43,11,2.5,52.5,9.5,27,15,15,12.5,36.5,47.5,
変換された難読化データセット:
000000000111000000000000000000000011011010110110110101101011011011010110
10110101010110101101011010101011010110110110110101101101101010110101010110110110110101101011010
LCCSL − テキストのみを含むデータの文字列における、最大数の文字に広がる連続サイクルの長さ、
文字列あたりの分離した連続サイクル数量 − 文字列あたりの分離した連続サイクルの数、
文字列あたりのサイクルの数量 − 文字列あたりのサイクルの数、
LCCSL/文字列全長、および
LCCSL/連続部分文字列の数。
"avg-cycle-len": 9.746666666666666,"lccsl-to-num-cycles": 6.751111111111111,
"num-cycles": 225,"longest-contig-cycle-to-str-len": 0.5133491044271713,
"longest-contig-cycle": 1519,"avg-contig-cycle-len": 438.6,
"num-cycles-to-str-len": 0.07603920243325447,
"avg-num-cycles-per-contig-cycle": 45.0,
"num-contig-cycles": 5, および
"num-contig-cycles-to-str
len": 0.0016897600540723217.
Claims (16)
- データセットにアクセスするステップと、
事前定義された変換アルゴリズムに従って、前記データセットをバイナリ・データセットに変換するステップと、
前記バイナリ・データセットにおける1つまたは複数のサイクルを特定するステップと、
特定された1つまたは複数の前記サイクルに対して統計分析を行うステップと、
行われた前記統計分析に基づいて、前記データセットの組が悪質なソフトウェア・コードを含むと判定するステップと
を有するコンピュータで実行される方法。 - 前記データセットが悪質なソフトウェア・コードを含むと判定するステップは、
行われた前記統計分析の結果を、悪質なソフトウェア・コードのプロファイル内の格納された値と比較するステップと、
行われた前記統計分析の結果が、前記悪質なソフトウェア・コードのプロファイル内の格納された値の所定の閾値内である場合に、前記データセットが悪質なソフトウェア・コードを含むと判定するステップと
を含む請求項1に記載のコンピュータで実行される方法。 - 事前定義された前記変換アルゴリズムが、文字を「0」に変換することと、数字を「1」に変換することとを含む請求項1に記載のコンピュータで実行される方法。
- 前記統計分析を行うステップは、最長連続サイクル部分文字列長、文字列あたりの分離した連続サイクル数量、文字列あたりのサイクルの数量、および最長連続サイクル部分文字列長/文字列全長のうちの少なくとも1つを計算することを含む請求項1に記載のコンピュータで実行される方法。
- 前記悪質なソフトウェア・コードが、値配列難読化ソフトウェア・コードである請求項1に記載のコンピュータで実行される方法。
- 命令の組を格納するメモリと、
格納された前記命令の組を実行するプロセッサと
を備え、
前記プロセッサは、
データセットにアクセスするステップと、
事前定義された変換アルゴリズムに従って、前記データセットをバイナリ・データセットに変換するステップと、
前記バイナリ・データセットにおける1つまたは複数のサイクルを特定するステップと、
特定された1つまたは複数の前記サイクルに対して統計分析を行うステップと、
行われた前記統計分析に基づいて、前記データセットの組が悪質なソフトウェア・コードを含むと判定するステップと
を含む方法を実行する、装置。 - 前記データセットが悪質なソフトウェア・コードを含むと判定するステップは、
行われた前記統計分析の結果を、悪質なソフトウェア・コードのプロファイル内の格納された値と比較するステップと、
行われた前記統計分析の結果が、前記悪質なソフトウェア・コードのプロファイル内の格納された値の所定の閾値内である場合に、前記データセットが悪質なソフトウェア・コードを含むと判定するステップと
を含む、請求項6に記載の装置。 - 事前定義された前記変換アルゴリズムが、文字を「0」に変換することと、数字を「1」に変換することとを含む、請求項6に記載の装置。
- 前記統計分析を行うステップが、最長連続サイクル部分文字列長、文字列あたりの分離した連続サイクル数量、文字列あたりのサイクルの数量、および最長連続サイクル部分文字列長/文字列全長のうちの少なくとも1つを計算することを含む、請求項6に記載の装置。
- 前記悪質なソフトウェア・コードが、値配列難読化ソフトウェア・コードである、請求項6に記載の装置。
- データセットにアクセスするステップと、
事前定義された変換アルゴリズムに従って、前記データセットをバイナリ・データセットに変換するステップと、
前記バイナリ・データセットにおける1つまたは複数のサイクルを特定するステップと、
特定された1つまたは複数の前記サイクルに対して統計分析を行うステップと、
行われた前記統計分析に基づいて、前記データセットの組が悪質なソフトウェア・コードを含むと判定するステップと
を含む方法を、プロセッサにより実行された場合に、前記プロセッサに実行させる命令の組を含む、非一時的コンピュータ可読記憶媒体。 - 前記データセットが悪質なソフトウェア・コードを含むと判定するステップは、
行われた前記統計分析の結果を、悪質なソフトウェア・コードのプロファイル内の格納された値と比較するステップと、
行われた前記統計分析の結果が、前記悪質なソフトウェア・コードのプロファイル内の格納された値の所定の閾値内である場合に、前記データセットが悪質なソフトウェア・コードを含むと判定するステップと
を含む、請求項11に記載の非一時的コンピュータ可読記憶媒体。 - 事前定義された前記変換アルゴリズムが、文字を「0」に変換することと、数字を「1」に変換することとを含む、請求項11に記載の非一時的コンピュータ可読記憶媒体。
- 統計分析を行うステップが、最長連続サイクル部分文字列長、文字列あたりの分離した連続サイクル数量、文字列あたりのサイクルの数量、および最長連続サイクル部分文字列長/文字列全長のうちの少なくとも1つを計算することを含む、請求項11に記載の非一時的コンピュータ可読記憶媒体。
- 前記悪質なソフトウェア・コードが、値配列難読化ソフトウェア・コードである、請求項11に記載の非一時的コンピュータ可読記憶媒体。
- 前記データセットの組が悪質なソフトウェア・コードを含むと判定するステップが、選択された感度レベルに基づく、請求項11に記載の非一時的コンピュータ可読記憶媒体。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/338,253 | 2014-07-22 | ||
US14/338,253 US10158664B2 (en) | 2014-07-22 | 2014-07-22 | Malicious code detection |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016029567A JP2016029567A (ja) | 2016-03-03 |
JP6505533B2 true JP6505533B2 (ja) | 2019-04-24 |
Family
ID=53719705
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015144498A Active JP6505533B2 (ja) | 2014-07-22 | 2015-07-22 | 悪質なコードの検出 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10158664B2 (ja) |
EP (1) | EP2977928B1 (ja) |
JP (1) | JP6505533B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10075456B1 (en) * | 2016-03-04 | 2018-09-11 | Symantec Corporation | Systems and methods for detecting exploit-kit landing pages |
US11038905B2 (en) * | 2017-01-25 | 2021-06-15 | Splunk, Inc. | Identifying attack behavior based on scripting language activity |
JP7084273B2 (ja) * | 2018-10-10 | 2022-06-14 | 株式会社Nttドコモ | 難読化判定装置 |
US11538038B2 (en) * | 2019-05-31 | 2022-12-27 | Paypal, Inc. | Systems and methods for remote detection of computer device attributes |
CN113315742B (zh) * | 2020-02-27 | 2022-08-09 | 华为技术有限公司 | 攻击行为检测方法、装置及攻击检测设备 |
Family Cites Families (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5375204A (en) * | 1992-04-30 | 1994-12-20 | Ricoh Company, Ltd. | System and method for efficient binary encoding of procedures in a document processing language |
US5414833A (en) * | 1993-10-27 | 1995-05-09 | International Business Machines Corporation | Network security system and method using a parallel finite state machine adaptive active monitor and responder |
US6802028B1 (en) | 1996-11-11 | 2004-10-05 | Powerquest Corporation | Computer virus detection and removal |
JP2000299748A (ja) * | 1999-04-15 | 2000-10-24 | Hitachi Zosen Corp | 公衆回線を使用した通信方法 |
US20110238855A1 (en) | 2000-09-25 | 2011-09-29 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
US8006305B2 (en) | 2004-06-14 | 2011-08-23 | Fireeye, Inc. | Computer worm defense system and method |
US7519998B2 (en) * | 2004-07-28 | 2009-04-14 | Los Alamos National Security, Llc | Detection of malicious computer executables |
WO2006031496A2 (en) | 2004-09-10 | 2006-03-23 | The Regents Of The University Of California | Method and apparatus for deep packet inspection |
US20070094734A1 (en) | 2005-09-29 | 2007-04-26 | Mangione-Smith William H | Malware mutation detector |
WO2007117574A2 (en) | 2006-04-06 | 2007-10-18 | Smobile Systems Inc. | Non-signature malware detection system and method for mobile platforms |
US20100205123A1 (en) * | 2006-08-10 | 2010-08-12 | Trustees Of Tufts College | Systems and methods for identifying unwanted or harmful electronic text |
US9021590B2 (en) | 2007-02-28 | 2015-04-28 | Microsoft Technology Licensing, Llc | Spyware detection mechanism |
US20090235357A1 (en) | 2008-03-14 | 2009-09-17 | Computer Associates Think, Inc. | Method and System for Generating a Malware Sequence File |
US8584233B1 (en) | 2008-05-05 | 2013-11-12 | Trend Micro Inc. | Providing malware-free web content to end users using dynamic templates |
GB0822619D0 (en) | 2008-12-11 | 2009-01-21 | Scansafe Ltd | Malware detection |
US8635694B2 (en) | 2009-01-10 | 2014-01-21 | Kaspersky Lab Zao | Systems and methods for malware classification |
US8621626B2 (en) | 2009-05-01 | 2013-12-31 | Mcafee, Inc. | Detection of code execution exploits |
US9087195B2 (en) * | 2009-07-10 | 2015-07-21 | Kaspersky Lab Zao | Systems and methods for detecting obfuscated malware |
US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
US8572740B2 (en) | 2009-10-01 | 2013-10-29 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware |
US8375450B1 (en) | 2009-10-05 | 2013-02-12 | Trend Micro, Inc. | Zero day malware scanner |
US8176559B2 (en) | 2009-12-16 | 2012-05-08 | Mcafee, Inc. | Obfuscated malware detection |
US20110154495A1 (en) | 2009-12-21 | 2011-06-23 | Stranne Odd Wandenor | Malware identification and scanning |
US9213838B2 (en) | 2011-05-13 | 2015-12-15 | Mcafee Ireland Holdings Limited | Systems and methods of processing data associated with detection and/or handling of malware |
JP5425840B2 (ja) | 2010-06-07 | 2014-02-26 | サムソン エスディーエス カンパニー リミテッド | アンチマルウェアシステム及びその動作方法 |
US8997233B2 (en) | 2011-04-13 | 2015-03-31 | Microsoft Technology Licensing, Llc | Detecting script-based malware using emulation and heuristics |
PL2702524T3 (pl) | 2011-04-27 | 2018-02-28 | Seven Networks Llc | Wykrywanie i filtrowanie złośliwego oprogramowania, oparte na obserwacji ruchu wykonywanego w rozproszonym układzie zarządzania ruchem w sieciach mobilnych |
US8510841B2 (en) | 2011-12-06 | 2013-08-13 | Raytheon Company | Detecting malware using patterns |
US9021589B2 (en) | 2012-06-05 | 2015-04-28 | Los Alamos National Security, Llc | Integrating multiple data sources for malware classification |
-
2014
- 2014-07-22 US US14/338,253 patent/US10158664B2/en active Active
-
2015
- 2015-07-22 EP EP15177864.4A patent/EP2977928B1/en active Active
- 2015-07-22 JP JP2015144498A patent/JP6505533B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
EP2977928B1 (en) | 2017-09-13 |
JP2016029567A (ja) | 2016-03-03 |
EP2977928A1 (en) | 2016-01-27 |
US20160028746A1 (en) | 2016-01-28 |
US10158664B2 (en) | 2018-12-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8479296B2 (en) | System and method for detecting unknown malware | |
EP2946331B1 (en) | Classifying samples using clustering | |
Liu et al. | A novel approach for detecting browser-based silent miner | |
Wang et al. | Jsdc: A hybrid approach for javascript malware detection and classification | |
JP6505533B2 (ja) | 悪質なコードの検出 | |
US8769692B1 (en) | System and method for detecting malware by transforming objects and analyzing different views of objects | |
Huang et al. | Malicious URL detection by dynamically mining patterns without pre-defined elements | |
JP6697123B2 (ja) | プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム | |
Shahzad et al. | Detection of spyware by mining executable files | |
Nissim et al. | Keeping pace with the creation of new malicious PDF files using an active-learning based detection framework | |
Kim et al. | Detecting fake anti-virus software distribution webpages | |
JP6687761B2 (ja) | 結合装置、結合方法および結合プログラム | |
US20160219068A1 (en) | Method and apparatus for automatically identifying signature of malicious traffic using latent dirichlet allocation | |
KR101858620B1 (ko) | 기계 학습을 이용한 자바스크립트 분석 장치 및 방법 | |
CN107463844B (zh) | Web木马检测方法及系统 | |
WO2018066221A1 (ja) | 分類装置、分類方法及び分類プログラム | |
KR102120200B1 (ko) | 악성 코드 수집 방법 및 시스템 | |
JP6691240B2 (ja) | 判定装置、判定方法、および、判定プログラム | |
Dada et al. | Performance evaluation of machine learning algorithms for detection and prevention of malware attacks | |
Gorji et al. | Detecting obfuscated JavaScript malware using sequences of internal function calls | |
Khan et al. | A dynamic method of detecting malicious scripts using classifiers | |
JP2020109611A (ja) | コンピュータシステム内の悪意のあるアクティビティの源を検出するシステムおよび方法 | |
Alam et al. | Current trends and the future of metamorphic malware detection | |
Han | Detection of web application attacks with request length module and regex pattern analysis | |
Süren et al. | I see EK: A lightweight technique to reveal exploit kit family by overall URL patterns of infection chains |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180629 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190213 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190226 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190327 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6505533 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |