JP6740184B2 - Granting device, assigning method, and assigning program - Google Patents

Granting device, assigning method, and assigning program Download PDF

Info

Publication number
JP6740184B2
JP6740184B2 JP2017133795A JP2017133795A JP6740184B2 JP 6740184 B2 JP6740184 B2 JP 6740184B2 JP 2017133795 A JP2017133795 A JP 2017133795A JP 2017133795 A JP2017133795 A JP 2017133795A JP 6740184 B2 JP6740184 B2 JP 6740184B2
Authority
JP
Japan
Prior art keywords
malware
detection
name
label
given
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017133795A
Other languages
Japanese (ja)
Other versions
JP2019016212A (en
Inventor
彩子 長谷川
彩子 長谷川
和憲 神谷
和憲 神谷
真徳 山田
真徳 山田
友貴 山中
友貴 山中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017133795A priority Critical patent/JP6740184B2/en
Publication of JP2019016212A publication Critical patent/JP2019016212A/en
Application granted granted Critical
Publication of JP6740184B2 publication Critical patent/JP6740184B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、付与装置、付与方法および付与プログラムに関する。 The present invention relates to a granting device, a granting method, and a granting program.

機械学習によるマルウェアの分類において、アンチウイルスソフト(以下、AVSと記す)による検知名を用いて教師データへのラベルを付与する場合がある。AVSの検知名を用いたラベル付与には、情報の入手が容易等の利点がある一方で、未検知のマルウェアの割合が高いという問題もある。未検知のマルウェアについては、これを教師データとして用いないか、あるいは、未検知を意味する「NotDetected」のラベルを付与して教師データとする。 In classification of malware by machine learning, a label may be attached to teacher data by using a detection name of antivirus software (hereinafter, referred to as AVS). Labeling using the detected name of AVS has an advantage that information can be easily obtained, but also has a problem that the ratio of undetected malware is high. For undetected malware, this is not used as teacher data, or a label “NotDetected” meaning undetected is added as teacher data.

しかしながら、未検知のマルウェアを教師データとして用いないと、教師データの数が少なくなってしまう。さらには、新種のマルウェアである可能性が高いデータを教師データとして使用できない。一方、「NotDetected」のラベルが付与された教師データの中には、他のAVSによれば検知され別のラベルが付与されるはずのものが存在する場合がある。その場合に、「NotDetected」のラベルが付与された教師データのデータ内容がばらばらであるという問題がある。したがって、いずれの場合にも、マルウェア分類の精度の低下につながるおそれがある。 However, if undetected malware is not used as teacher data, the number of teacher data will decrease. Furthermore, data that is likely to be a new type of malware cannot be used as teacher data. On the other hand, in the teacher data to which the label “NotDetected” is attached, there may be data that is detected by another AVS and should be attached with another label. In that case, there is a problem that the data content of the teacher data to which the label “NotDetected” is attached is different. Therefore, in either case, the accuracy of malware classification may decrease.

なお、約50社のAVSによるマルウェアの検知結果が開示されている(非特許文献1参照)。また、マルウェアの通信ログのクラスタリングを行う技術が開示されている(特許文献1参照)。この技術を用いれば、AVSで未検知のマルウェアに対しても、特徴が類似し同じクラスタに分類されるマルウェアの検知名を参照してラベルを付与することが可能となる。 The detection results of malware by AVSs of about 50 companies are disclosed (see Non-Patent Document 1). Further, a technique for clustering communication logs of malware has been disclosed (see Patent Document 1). By using this technique, it is possible to attach a label to malware that has not been detected by AVS by referring to the detection name of malware that has similar characteristics and is classified into the same cluster.

国際公開第2016/080232号International Publication No. 2016/080232

“virustotal”、[online]、2012年9月、Virus Total、[2017年6月1日検索]、インターネット<URL: https://www.virustotal.com/ja/>"Virustotal", [online], September 2012, Virus Total, [Search June 1, 2017], Internet <URL: https://www.virustotal.com/en/>

しかしながら、従来の技術では、未検知のマルウェアにラベルを付与するためには、通信ログを必要とし、分析に時間がかかるという問題があった。 However, the conventional technique has a problem that a communication log is required to attach a label to undetected malware and it takes time to analyze.

本発明は、上記に鑑みてなされたものであって、未検知のマルウェアのラベルを容易に推定して付与することを目的とする。 The present invention has been made in view of the above, and an object thereof is to easily estimate and attach a label of undetected malware.

上述した課題を解決し、目的を達成するために、本発明に係る付与装置は、複数のアンチウイルスソフトにより付与されたマルウェアの階層型の検知名を取得する取得部と、前記取得部により取得された検知名のうち、所定のアンチウイルスソフトにより検知名が付与されているマルウェアについては、該検知名を用いてマルウェアに階層型のラベルを付与し、該所定のアンチウイルスソフトにより検知名が付与されていないマルウェアについては、他のアンチウイルスソフトにより同一の検知名が付与されている複数のマルウェアを特定し、特定した複数のマルウェアに対して該所定のアンチウイルスソフトが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、浅い階層から順に該所定数以上の階層までの検知名を用いて階層型のラベルをマルウェアに付与する付与部と、を備えることを特徴とする。 In order to solve the above-mentioned problems and to achieve the object, the assigning device according to the present invention obtains by the obtaining unit that obtains the hierarchical detection name of malware provided by a plurality of antivirus software, and the obtaining unit. Among the detected detection names, for the malware to which the detection name is given by the predetermined antivirus software, a hierarchical label is attached to the malware using the detection name, and the detection name is given by the predetermined antivirus software. For malware that has not been assigned, identify multiple malwares that have been given the same detection name by other antivirus software, and use the detection names given by the specified antivirus software for the identified multiple malwares. And an adding unit that adds a hierarchical label to malware by using detection names from a shallow hierarchy to a predetermined number or more in order when the total number is greater than or equal to a predetermined number. Characterize.

本発明によれば、未検知のマルウェアのラベルを容易に推定して付与することができる。 According to the present invention, a label of undetected malware can be easily estimated and added.

図1は、本発明の一実施形態に係る付与装置の概略構成を例示する模式図である。FIG. 1 is a schematic diagram illustrating a schematic configuration of a applying device according to an embodiment of the present invention. 図2は、対応表のデータ構成を例示する図である。FIG. 2 is a diagram illustrating a data structure of the correspondence table. 図3は、ラベル階層情報のデータ構成を例示する図である。FIG. 3 is a diagram illustrating a data structure of label hierarchy information. 図4は、取得部の処理を説明するための説明図である。FIG. 4 is an explanatory diagram for explaining the processing of the acquisition unit. 図5は、付与部の処理を説明するための説明図である。FIG. 5 is an explanatory diagram for explaining the processing of the adding unit. 図6は、付与部の処理を説明するための説明図である。FIG. 6 is an explanatory diagram for explaining the processing of the adding unit. 図7は、付与部の処理を説明するための説明図である。FIG. 7 is an explanatory diagram for explaining the processing of the adding unit. 図8は、付与部の処理を説明するための説明図である。FIG. 8 is an explanatory diagram for explaining the processing of the adding unit. 図9は、付与部の処理を説明するための説明図である。FIG. 9 is an explanatory diagram for explaining the processing of the adding unit. 図10は、ラベル階層情報のデータ構成を例示する図である。FIG. 10 is a diagram illustrating a data structure of label hierarchy information. 図11は、付与部の処理を説明するための説明図である。FIG. 11 is an explanatory diagram for explaining the processing of the adding unit. 図12は、付与部の処理を説明するための説明図である。FIG. 12 is an explanatory diagram for explaining the processing of the adding unit. 図13は、付与処理手順を示すフローチャートである。FIG. 13 is a flowchart showing the procedure of the adding process. 図14は、付与装置の活用例について説明するための説明図である。FIG. 14 is an explanatory diagram for describing an example of utilizing the application device. 図15は、付与プログラムを実行するコンピュータを例示する図である。FIG. 15 is a diagram exemplifying a computer that executes the giving program.

以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。 Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings. The present invention is not limited to this embodiment. In the description of the drawings, the same parts are designated by the same reference numerals.

[付与装置の構成]
図1は、付与装置の概略構成を例示する模式図である。図1に例示するように、付与装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。 [Structure of application device]
FIG. 1 is a schematic view illustrating the schematic configuration of the applying device. As illustrated in FIG. 1, the application device 10 is realized by a general-purpose computer such as a personal computer, and includes an input unit 11, an output unit 12, a communication control unit 13, a storage unit 14, and a control unit 15.

入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。 The input unit 11 is realized by using an input device such as a keyboard and a mouse, and inputs various instruction information such as processing start to the control unit 15 in response to an input operation by an operator. The output unit 12 is realized by a display device such as a liquid crystal display and a printing device such as a printer.

通信制御部13は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した外部の装置と制御部15との通信を制御する。 The communication control unit 13 is realized by a NIC (Network Interface Card) or the like, and controls communication between an external device and a control unit 15 via a telecommunication line such as a LAN (Local Area Network) or the Internet.

記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、後述する付与処理により特定される正常な状態のモデルのパラメータ等が記憶される。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。 The storage unit 14 is realized by a semiconductor memory device such as a RAM (Random Access Memory) or a flash memory (Flash Memory), or a storage device such as a hard disk or an optical disk, and is a model in a normal state specified by an applying process described later. Parameters and the like are stored. The storage unit 14 may be configured to communicate with the control unit 15 via the communication control unit 13.

本実施形態において、記憶部14には、対応表14a、ラベル階層情報14b、および付与結果情報14cが格納される。 In the present embodiment, the storage unit 14 stores a correspondence table 14a, label hierarchy information 14b, and assignment result information 14c.

対応表14aは、複数のAVSにより付与されたマルウェアの階層型の検知名を表す情報である。この対応表14aは、後述する付与処理において、virustotal等を参照して取得された情報が整形されたものである。 The correspondence table 14a is information representing hierarchical detection names of malware given by a plurality of AVSs. The correspondence table 14a is formed by shaping the information acquired by referring to virustotal or the like in the adding process described later.

図2は、対応表14aのデータ構成を例示する図である。図2に例示するように、対応表14aには、マルウェアを識別するハッシュ値と、各社のAVSにより各マルウェアに付与された検知名とが含まれる。図2に示す例では、SHA1HASHとは、ハッシュ関数SHA−1による各マルウェアのハッシュ値であり、マルウェアを識別するIDを意味する。 FIG. 2 is a diagram showing an example of the data structure of the correspondence table 14a. As illustrated in FIG. 2, the correspondence table 14a includes a hash value for identifying malware and a detection name given to each malware by the AVS of each company. In the example shown in FIG. 2, SHA1HASH is a hash value of each malware by the hash function SHA-1 and means an ID for identifying the malware.

また、各社の検知名は、階層型で表される。本実施形態では、マルウェアファミリ名を表す浅い階層Xと、子番号を表す深い階層Yとがドットで連結された「X.Y」等の2階層で表されている。図2には、例えば、ID「a1b2c3…」で識別されるマルウェアについて、A社のAVSによる検知名は「A.X」であり、B社のAVSによる検知名は「A.Y」であり、C社のAVSによる検知名は「X.1」であることが示されている。なお、「NotDetected」は、マルウェアが該当社のAVSにより検知されなかったことすなわち未検知を意味する。 In addition, the detection name of each company is represented by a hierarchical type. In this embodiment, a shallow hierarchy X that represents a malware family name and a deep hierarchy Y that represents a child number are represented by two hierarchies such as "XY" in which dots are connected. In FIG. 2, for example, regarding the malware identified by the ID “a1b2c3... ”, the detection name by AVS of company A is “AX”, and the detection name by AVS of company B is “AY”. , C company's AVS detection name is shown to be "X.1". Note that “NotDetected” means that the malware has not been detected by the AVS of the relevant company, that is, has not been detected.

ラベル階層情報14bは、付与装置10が付与するラベルの階層構造を表す情報である。ラベル階層情報14bは、予め、あるいは後述する付与処理において生成される。ラベル階層情報14bは、付与装置10により階層型ラベルが付与された教師データを用いた学習を行う際に参照される。 The label hierarchical information 14b is information representing the hierarchical structure of the label given by the giving device 10. The label hierarchy information 14b is generated in advance or in an attaching process described later. The label hierarchical information 14b is referred to when learning is performed using the teacher data to which the hierarchical label is added by the adding device 10.

図3は、ラベル階層情報14bのデータ構成を例示する図である。図3には、2階層のラベルについて、階層の浅い粗いラベルとして、AまたはBが例示されている。また、粗いラベルAに対する階層の深い詳細ラベルとして、1または2が例示されている。 FIG. 3 is a diagram showing an example of the data structure of the label hierarchy information 14b. FIG. 3 exemplifies A or B as a label having a shallow hierarchy with respect to a label of two hierarchies. Further, 1 or 2 is illustrated as a detailed label having a deeper hierarchy than the coarse label A.

付与結果情報14cは、後述する付与処理の処理結果を表し、各マルウェアに付与された階層型ラベルを示す情報である。付与結果情報14cは、特定のマルウェアに階層型ラベルを付与する際に参照される。 The addition result information 14c is information indicating a processing result of an addition process described later and indicating a hierarchical label given to each piece of malware. The addition result information 14c is referred to when a hierarchical label is added to specific malware.

図1の説明に戻る。制御部15は、CPU(Central Processing Unit)等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図1に例示するように、取得部15aおよび付与部15bとして機能する。なお、これらの機能部は、それぞれ、異なるハードウェアに実装されてもよい。 Returning to the description of FIG. The control unit 15 is realized by using a CPU (Central Processing Unit) or the like, and executes a processing program stored in the memory. As a result, the control unit 15 functions as the acquisition unit 15a and the addition unit 15b, as illustrated in FIG. Note that these functional units may be implemented in different hardware.

取得部15aは、複数のAVSにより付与されたマルウェアの階層型の検知名を取得する。具体的には、取得部15aは、virustotal等を参照して、マルウェアについての各社のAVSの検知名を取得する。また、取得部15aは、取得した各社の検知名に対し、以下に説明する前処理を行って整形して対応表14aを生成する。 The acquisition unit 15a acquires a hierarchical detection name of malware given by a plurality of AVSs. Specifically, the acquisition unit 15a refers to virustotal or the like to acquire the AVS detection name of each company regarding malware. In addition, the acquisition unit 15a performs preprocessing described below on the acquired detection name of each company and shapes it to generate the correspondence table 14a.

ここで、図4を参照して、取得部15aの処理について説明する。図4には、virustotal等を参照して取得される各社のAVSの検知名と、取得部15aによる前処理により整形された検知名との対応が例示されている。取得部15aは、取得した各社の検知名を各社に共通な様式の階層型に整形する前処理を行う。本実施形態において、取得部15aは、前処理により、マルウェアファミリ名を表す浅い階層Xと、子番号を表す深い階層Yとがドットで連結された「X.Y」等の2階層の検知名に整形する。 Here, the processing of the acquisition unit 15a will be described with reference to FIG. FIG. 4 exemplifies the correspondence between the detection name of the AVS of each company acquired by referring to virustotal and the like, and the detection name shaped by the preprocessing by the acquisition unit 15a. The acquisition unit 15a performs preprocessing for shaping the acquired detection name of each company into a hierarchical type common to each company. In the present embodiment, the acquisition unit 15a performs a pre-processing to detect a detection name of two layers such as "X.Y" in which a shallow layer X representing a malware family name and a deep layer Y representing a child number are connected by a dot. Format to

図4には、取得部15aが、例えば、整形前のある社のAVSの検知名「WIN32/Conficker.A」を、マルウェアファミリ名「Conficker」と子番号「A」とを用いて「Conficker.A」とする整形を行うことが示されている。なお、取得部15aが取得した検知名の子番号が不明な場合には、「*」とする。例えば、取得部15aは、取得した検知名「WIN32/Conficker」を「Conficker.*」とする整形を行う。 In FIG. 4, the acquisition unit 15 a uses, for example, a detection name “WIN32/Confirmer.A” of an AVS of a company before shaping, using the malware family name “Conficker” and a child number “A” as “Conficker. It is shown that shaping is performed as "A". In addition, when the child number of the detection name acquired by the acquisition unit 15a is unknown, “*” is set. For example, the acquisition unit 15a performs shaping with the acquired detection name "WIN32/Confirmer" as "Confirmer.*".

図1の説明に戻る。付与部15bは、取得部15aにより取得された検知名のうち、所定のAVSにより検知名が付与されているマルウェアについては、該検知名を用いてマルウェアに階層型のラベルを付与する。また、付与部15bは、該所定のAVSにより検知名が付与されていないマルウェアについては、他のAVSにより同一の検知名が付与されている複数のマルウェアを特定し、特定した複数のマルウェアに対して該所定のAVSが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、浅い階層から順に該所定数以上の階層までの検知名を用いて階層型のラベルをマルウェアに付与する。 Returning to the description of FIG. Of the detection names acquired by the acquisition unit 15a, the attaching unit 15b attaches a hierarchical label to the malware using the detection name for the malware to which the detection name is attached by a predetermined AVS. Further, for the malware whose detection name is not given by the predetermined AVS, the adding unit 15b identifies a plurality of malwares to which the same detection name is added by another AVS, and identifies the plurality of identified malwares. Then, the detection names given by the predetermined AVS are aggregated for each layer, and when the total number is equal to or more than a predetermined number, the hierarchical labels are detected using the detection names from the shallow layer to the predetermined number or more in order of malware. Given to.

ここで、図5を参照して、所定のAVSについて説明する。各社のAVSの検知名のマルウェアファミリ名は各社が独自に名付けており、一般的なマルウェアファミリ名と一致するとは限らない。例えば、一般にDridexと呼ばれるマルウェアファミリ名について、図5に例示するように、A社ではDrideX、B社ではCridexと名付けられている。 Here, the predetermined AVS will be described with reference to FIG. The malware family name of the AVS detection name of each company is uniquely named by each company, and does not always match the general malware family name. For example, regarding a malware family name generally called Dridex, as illustrated in FIG. 5, Company A is named DrideX and Company B is named Cridex.

そこで、まず、付与部15bが付与するラベルの基準とする所定のAVSが選定される。所定のAVSは、複数のAVSのうち、マルウェアの未検知の割合が最も低いもの、または、マルウェアの検知の精度が最も高いものが選定されればよい。 Therefore, first, a predetermined AVS to be the reference of the label given by the giving unit 15b is selected. The predetermined AVS may be selected from among the plurality of AVSs that has the lowest rate of undetected malware or the highest accuracy of detecting malware.

次に、図6〜図9を参照して、付与部15bの処理について説明する。まず、付与部15bは、所定のAVSにより検知名が付与されているマルウェアについては、付与された検知名を用いてマルウェアに階層型のラベルを付与する。本実施形態では、図6に例示するように、A社を基準として、対応表14aのA社について整形した階層型の検知名(A.1)をそのまま階層型のラベル(A.1)として各マルウェアに付与する。 Next, with reference to FIGS. 6 to 9, the processing of the adding unit 15b will be described. First, for the malware to which the detection name is given by the predetermined AVS, the giving unit 15b gives a hierarchical label to the malware using the given detection name. In the present embodiment, as illustrated in FIG. 6, the hierarchical detection name (A.1) shaped for the company A in the correspondence table 14a is used as it is as the hierarchical label (A.1) based on the company A. Assign to each malware.

また、付与部15bは、所定のAVSであるA社のAVSにより未検知のマルウェアについては、他のAVSにより同一の検知名が付与されている複数のマルウェアを特定し、特定した複数のマルウェアに対して該所定のAVSが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、浅い階層から順に該所定数以上の階層までの検知名を用いて階層型のラベルをマルウェアに付与する。 Further, for the malware not detected by the AVS of the company A, which is a predetermined AVS, the adding unit 15b identifies a plurality of malware to which the same detection name is added by another AVS, and identifies the plurality of identified malware. On the other hand, the detection names given by the predetermined AVS are totaled for each layer, and when the total number is equal to or more than a predetermined number, a hierarchical label is formed by using the detection names from the shallow layer to the predetermined number or more in order. Attach to malware.

具体的には、まず、図7に例示するように、所定数s以上の他のAVSでも未検知であれば、未検知を意味する階層型のラベル「NotDetected.*」を付与する。ここで、所定数sは、例えば50%のように、全AVS数に対する未検知のAVS数の割合で表される。 Specifically, first, as illustrated in FIG. 7, if no detection is made in another AVS of a predetermined number s or more, a hierarchical label “NotDetected.*” that means undetected is added. Here, the predetermined number s is represented by the ratio of the undetected AVS number to the total AVS number, such as 50%.

次に、付与部15bは、図8に例示するように、A社のAVSにより未検知かつ「NotDetected.*」が付与されていないマルウェアについては、A社以外のAVSで検知名が付与されている場合に、各社でこのA社のAVSで未検知のマルウェアと同一の検知名が付与されている他のマルウェアを特定する。これらのマルウェアは、同一のマルウェアである可能性が高く、同一のラベルを付与することができるものと推察される。そこで、付与部15bは、特定した複数のマルウェアにA社が付与した検知名を参照して、未検知のマルウェアに付与するラベルを決定する。 Next, as illustrated in FIG. 8, the assigning unit 15b assigns a detection name to an AVS of a company other than A that has not been detected by the AVS of the company A and has not been attached with “NotDetected.*”. If so, each company identifies other malware that has the same detection name as the undetected malware in the AVS of the company A. It is highly probable that these pieces of malware are the same malware, and it is presumed that the same label can be given. Therefore, the adding unit 15b determines the label to be added to the undetected malware by referring to the detection names given by the company A to the identified plural pieces of malware.

図8に示す例では、例えば、A社のAVSで未検知のマルウェア「a1b2c3…」について、B社のAVSが検知名「X.1」、また、D社のAVSが検知名「Y.1」を付与している。そこで、B社のAVSが検知名「X.1」を付与したマルウェアと、D社のAVSが検知名「Y.1」を付与したマルウェアとが特定される。そして、付与部15bは、特定したマルウェアにA社が付与した検知名のうち、「NotDetected」を除いた検知名を用いて、A社のAVSにより未検知のマルウェアに付与するラベルを決定する。具体的には、図9に例示するように、付与部15bは、「NotDetected」以外の検知名のうち、最も多いマルウェアファミリ名Aを、付与する粗いラベルと決定する。 In the example shown in FIG. 8, for example, regarding the malware “a1b2c3... ”Not detected in the AVS of the company A, the AVS of the company B has the detection name “X.1” and the AVS of the company D has the detection name “Y.1”. Is added. Therefore, the malware to which the AVS of the company B added the detection name “X.1” and the malware to which the AVS of the company D added the detection name “Y.1” are specified. Then, the assigning unit 15b determines the label to be attached to the undetected malware by the AVS of the company A by using the detection name excluding “NotDetected” among the detection names provided by the company A to the identified malware. Specifically, as illustrated in FIG. 9, the assigning unit 15b determines the most common malware family name A among the detection names other than “NotDetected” as a rough label to be assigned.

また、付与部15bは、同一の粗いラベルを付与するマルウェアのうちの所定数t以上のマルウェアに、子番号を含めた同一の検知名が付与されている場合に、A社のAVSにより未検知のマルウェアに確度高くこの検知名を付与できるもの推定する。この場合に、付与部15bは、この子番号を付与する詳細ラベルと決定する。ここで、所定数tは、例えば、全数に対する割合で表される。 The assigning unit 15b does not detect the AVS of the company A when the same detection name including the child number is assigned to a predetermined number t or more of the malware that assigns the same rough label. It is estimated that this detection name can be given to the malware of with high accuracy. In this case, the giving unit 15b determines that the detailed label is given this child number. Here, the predetermined number t is represented by, for example, a ratio to the total number.

図9に示す例では、所定数が50%、抽出されたマルウェアの検知名が{A.1,A.2,NotDetected,A.1,A.1,B.1,A.1}であった場合に、浅い階層が同一すなわちマルウェアファミリ名Aのマルウェアは5つである。そのうち、深い階層である子番号まで含めて同一の検知名(A.1)のマルウェアは4つであり、50%以上すなわち所定数t以上を満たす。したがって、このA社のAVSで未検知のマルウェアに対して、浅い階層から順にこの深い階層までの検知名(A.1)の付与が決定されている。 In the example shown in FIG. 9, the predetermined number is 50%, and the detection name of the extracted malware is {A. 1, A. 2, NotDetected, A.; 1, A. 1, B. 1, A. 1}, the shallow layers are the same, that is, there are five malwares with the malware family name A. Among them, there are four pieces of malware having the same detection name (A.1) including the child number which is a deep hierarchy, and satisfy 50% or more, that is, the predetermined number t or more. Therefore, it is determined that the detection names (A.1) from the shallow hierarchy to this deep hierarchy are assigned to the malware that has not been detected by the AVS of the company A.

一方、付与部15bは、同一の粗いラベルを付与するマルウェアのうち、子番号を含めた同一の検知名が付与されているマルウェアが所定数t未満の場合に、子番号までは推定できないものとして、付与する詳細ラベルは不明を意味する「*」とする。 On the other hand, when the malware having the same detection name including the child number is less than the predetermined number t among the malware to which the same rough label is given, the giving unit 15b determines that the child number cannot be estimated. , The detailed label to be given is "*" which means unknown.

図9に示す例では、所定数が50%、抽出されたマルウェアの検知名が{A.1,A.2,NotDetected,A.1,A.3,B.1,A.4}であった場合に、浅い階層が同一すなわちマルウェアファミリ名Aのマルウェアは5つである。そのうち、深い階層である子番号まで含めて同一の検知名(A.1)のマルウェアは2つであり、50%未満である。したがって、したがって、このA社のAVSで未検知のマルウェアに対して、浅い階層までの検知名(A.*)の付与が決定されている。 In the example shown in FIG. 9, the predetermined number is 50%, and the detection name of the extracted malware is {A. 1, A. 2, NotDetected, A.; 1, A. 3, B. 1, A. 4}, the shallow layers are the same, that is, there are five malwares with the malware family name A. Among them, there are two pieces of malware with the same detection name (A.1) including the child numbers in the deep hierarchy, which is less than 50%. Therefore, it is decided to attach the detection name (A.*) to the shallow layer to the malware not detected by the AVS of the company A.

このようにして、付与部15bは、所定のAVSにより検知名が付与されていないマルウェアについて、他のAVSにより同一の検知名が付与されている複数のマルウェアに対し、該所定のAVSが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、該階層までの検知名を用いて階層型のラベルを付与し、付与結果を付与結果情報14cに格納する。 In this way, the assigning unit 15b assigns the predetermined AVS to a plurality of malware to which the same detection name has been assigned by another AVS for the malware to which the detection name has not been assigned by the predetermined AVS. The detection names are totaled for each layer, and when the total number is equal to or larger than a predetermined number, a hierarchical label is attached using the detection names up to the layer, and the attachment result is stored in the attachment result information 14c.

なお、上記の実施形態では、付与部15bは、AVSによる検知名のみを用いて階層型のラベルを付与しているが、これに限定されない。例えば、付与部15bは、さらに、マルウェアのマルウェアタイプを用いて階層型のラベルを付与してもよい。この場合には、図10に例示するラベル階層情報14bのラベルが付与される。すなわち、付与部15bは、図10に例示するように、マルウェアタイプを粗いラベルとし、マルウェアファミリ名を詳細ラベルとする階層型のラベルをマルウェアに付与する。 In the above embodiment, the assigning unit 15b assigns the hierarchical label using only the detection name by AVS, but the present invention is not limited to this. For example, the assigning unit 15b may further assign a hierarchical label using the malware type of malware. In this case, the label of the label hierarchy information 14b illustrated in FIG. 10 is given. That is, as illustrated in FIG. 10, the assigning unit 15b assigns a hierarchical label having a malware type as a coarse label and a malware family name as a detailed label to malware.

ここで、マルウェアタイプは感染による影響のタイプ等を示し、各社が公式HPに開示している情報を用いればよい。検知名より大域的なマルウェアタイプを用いたラベルが付与されることにより、例えば、セキュリティ対策の現場において、知識が乏しいオペレータでも、階層型ラベルで分類されたマルウェアに対する適切な初期対策を迅速に行うことが可能となる。 Here, the malware type indicates the type of influence due to infection, etc., and the information disclosed in the official HP by each company may be used. By giving a label that uses a global malware type rather than a detection name, for example, an operator with little knowledge at a security countermeasure site can quickly take appropriate initial countermeasures against malware classified by hierarchical labels. It becomes possible.

例えば、図10に示した例において、分類の結果、ラベル(Pushdo.1)が付与されたマルウェアについては、Pushdoの挙動を調査する必要があり、対策を打つまでに時間を要する。これに対し、同じマルウェアにラベル(バックドア.Pushdo.1)が付与されれば、バックドア型のマルウェアの特徴を大まかに把握することにより、即座に初期対策をとり、その後Pushdoを調査して詳細な分析や対策を行うことが可能になる。 For example, in the example shown in FIG. 10, for malware to which a label (Pushdo.1) is added as a result of classification, it is necessary to investigate the behavior of Pushdo, and it takes time to take countermeasures. On the other hand, if a label (backdoor.Pushdo.1) is attached to the same malware, an initial measure can be taken immediately by roughly grasping the characteristics of the backdoor type malware, and then Pushdo can be investigated. It enables detailed analysis and countermeasures.

そこで、図11および図12を参照して、マルウェアタイプを用いて階層型のラベルを付与する場合の付与部15bの処理について説明する。まず、付与部15bは、所定のAVSにより付与された検知名とマルウェアタイプとを用いて、各マルウェアに階層型のラベルを付与する。 Therefore, with reference to FIG. 11 and FIG. 12, a process of the assigning unit 15b when assigning a hierarchical label using a malware type will be described. First, the attaching unit 15b attaches a hierarchical label to each piece of malware using the detection name and the malware type given by a predetermined AVS.

図11に示す例では、付与部15bは、基準とするA社について対応表14aの整形した階層型の検知名(A.1)のマルウェアファミリ名Aを詳細ラベルとする。また、付与部15bは、A社HPを参照して取得した検知名に対応するマルウェアタイプ(Type−I)を粗いラベルとする。これにより、このマルウェアに階層型のラベル(Type−I.A)が付与される。 In the example shown in FIG. 11, the assigning unit 15b sets the malware family name A of the hierarchical detection name (A.1) shaped in the correspondence table 14a for the reference company A as the detailed label. Further, the assigning unit 15b sets the malware type (Type-I) corresponding to the detection name acquired by referring to the HP of Company A as a rough label. As a result, a hierarchical label (Type-IA) is given to this malware.

また、付与部15bは、A社のAVSにより未検知のマルウェアについて、まず、図7に例示した手順と同様に、所定数s以上の他のAVSでも未検知であれば、未検知を意味する階層型のラベル「NotDetected.*」を付与する。 Further, regarding the malware that has not been detected by the AVS of the company A, the adding unit 15b first indicates that the malware has not been detected by another AVS of a predetermined number s or more, similarly to the procedure illustrated in FIG. A hierarchical label “NotDetected.*” is added.

また、付与部15bは、図8に例示した手順と同様に、A社のAVSにより未検知かつ「NotDetected.*」が付与されていないマルウェアについて、A社以外のAVSで検知名が付与されている場合に、各社でこれと同一の検知名が付与されている他のマルウェアを抽出する。 Further, in the same manner as the procedure illustrated in FIG. 8, the assigning unit 15b assigns a detection name to an AVS of a company other than A that has not been detected by the AVS of the company A and has not been attached with “NotDetected.*”. If so, each company extracts other malware that has the same detection name as this.

次に、付与部15bは、図12に例示するように、抽出したマルウェアにA社が付与した検知名のうち「NotDetected」以外の検知名について、マルウェアファミリ名を詳細ラベルに、対応するマルウェアタイプを粗いラベルに変換する。また、付与部15bは、そのうち最も多いマルウェアタイプType−Iを、付与する粗いラベルと決定する。 Next, as illustrated in FIG. 12, the assigning unit 15b uses the malware family name as a detailed label and the corresponding malware type for detection names other than “NotDetected” among the detection names assigned by Company A to the extracted malware. To a coarse label. Further, the assigning unit 15b determines the most common malware type Type-I among them as a rough label to be assigned.

また、付与部15bは、同一の粗いラベルを付与するマルウェアのうちの所定数以上のマルウェアのマルウェアファミリ名が同一の場合に、A社のAVSにより未検知のマルウェアに確度高くこのマルウェアファミリ名を詳細ラベルとして付与できるもの推定する。図12に示す例では、所定数tが50%、抽出されたマルウェアの検知名から変換されたラベルが{Type−I.A,Type−I.A,Type−I.A,Type−I.A,Type−II.B,Type−I.C}であった場合に、(Type−I.A)の付与が決定されている。 Further, when the malware family name of a predetermined number or more of the malwares to which the same rough label is given is the same, the assigning unit 15b highly accurately identifies this malware family name as the undetected malware by the AVS of Company A. Estimate what can be given as a detailed label. In the example shown in FIG. 12, the predetermined number t is 50%, and the label converted from the extracted malware detection name is {Type-I. A, Type-I. A, Type-I. A, Type-I. A, Type-II. B, Type-I. If it is C}, the assignment of (Type-IA) is determined.

一方、付与部15bは、同一の粗いラベルを付与するマルウェアのうち、マルウェアファミリ名が同一のものが所定数t未満の場合に、マルウェアファミリ名までは推定できないものとして、付与する詳細ラベルは不明を意味する「*」とする。 On the other hand, the assigning unit 15b determines that the malware family name cannot be estimated and the detailed label to be assigned is unknown when the malware having the same malware family name is less than the predetermined number t among the malware to which the same coarse label is assigned. It means "*".

また、上記実施形態では、2階層のラベルを付与しているが、3階層のラベルを付与することも可能である。例えば、同様の手順により、マルウェアタイプ、マルウェアファミリ名、子番号で構成される階層型ラベルを付与することも可能である。 Further, in the above embodiment, the label of two layers is given, but the label of three layers can also be given. For example, it is possible to give a hierarchical label including a malware type, a malware family name, and a child number by the same procedure.

[付与処理]
次に、図13を参照して、本実施形態に係る付与装置10による付与処理について説明する。図13は、付与処理手順を示すフローチャートである。図13のフローチャートは、例えば、付与処理の開始を指示する操作入力があったタイミングで開始される。 [Granting process]
Next, with reference to FIG. 13, the imparting process by the imparting apparatus 10 according to the present embodiment will be described. FIG. 13 is a flowchart showing the procedure of the adding process. The flowchart of FIG. 13 is started, for example, at the timing when there is an operation input for instructing the start of the giving process.

まず、取得部15aが、複数のAVSにより付与されたマルウェアの階層型の検知名を取得して、マルウェアとAVSの検知名との対応表14aを作成する(ステップS1)。 First, the acquisition unit 15a acquires the hierarchical detection names of malware provided by a plurality of AVSs, and creates a correspondence table 14a between the malwares and the AVS detection names (step S1).

次に、付与部15bが、基準となるAVSを選定する(ステップS2)。また、付与部15bが、対応表14aを参照し、マルウェアのハッシュ値を選択し(ステップS3)、基準となるAVSで検知名が付いているか否かを確認する(ステップS4)。基準となるAVSで検知名が付いている場合には(ステップS4,Yes)、付与部15bは、基準のAVSにより付与された検知名をそのまま用いてマルウェアに階層型のラベルを付与する(ステップS5)。また、付与部15bは、ステップS14に処理を進める。 Next, the giving unit 15b selects a reference AVS (step S2). Further, the adding unit 15b refers to the correspondence table 14a, selects a hash value of malware (step S3), and confirms whether the detection name is attached to the reference AVS (step S4). When the detection name is attached to the reference AVS (step S4, Yes), the attaching unit 15b attaches the hierarchical label to the malware by using the detection name attached to the reference AVS as it is (step S4). S5). Moreover, the provision part 15b advances a process to step S14.

一方、基準となるAVSで検知名が付いていない場合には(ステップS4,No)、付与部15bは、AVSのうち所定のs以上の割合で未検知であるか否かを確認する(ステップS6)。s以上の割合で未検知の場合には(ステップS6,Yes)、付与部15bは、階層型ラベル「NotDetected.*」を付与する(ステップS7)。また、付与部15bは、ステップS14に処理を進める。 On the other hand, when the detection name is not attached to the reference AVS (step S4, No), the giving unit 15b confirms whether or not the detection is not performed at a ratio of a predetermined s or more in the AVS (step). S6). When not detected at a rate of s or more (step S6, Yes), the assigning unit 15b assigns the hierarchical label “NotDetected.*” (step S7). Moreover, the provision part 15b advances a process to step S14.

一方、s未満の割合で未検知の場合には(ステップS6,No)、付与部15bは、基準のAVSで未検知のマルウェアを検知した他の各AVSについて、同一の検知名をもつマルウェアの、基準となるAVSにおける検知名を全て列挙する(ステップS8)。また、付与部15bは、列挙した検知名の粗いラベルのうち最も多いものを、マルウェアに付与する粗いラベルとする(ステップS9)。 On the other hand, when undetected at a rate of less than s (step S6, No), the assigning unit 15b determines that the malware having the same detection name is detected for each of the other AVSs that have detected the undetected malware by the reference AVS. , All the detection names in the reference AVS are listed (step S8). Further, the giving unit 15b sets the largest number of the rough labels of the listed detection names as the rough label to be given to the malware (step S9).

次に、付与部15bは、列挙した検知名のうち、付与した粗いラベルと同一の粗いラベルをもつ検知名を抽出する(ステップS10)。また、付与部15bは、抽出した検知名のうち、所定のt以上の割合で同一の詳細ラベルをもつか否かを確認する(ステップS11)。 Next, the assigning unit 15b extracts, from the enumerated detection names, a detection name having the same rough label as the assigned rough label (step S10). Further, the assigning unit 15b confirms whether or not the extracted detection names have the same detailed label at a rate of a predetermined t or more (step S11).

t以上の割合で同一の詳細ラベルをもつ場合には(ステップS11,Yes)、同一の詳細ラベルをマルウェアに付与する詳細ラベルとして(ステップS12)、ステップS14に処理を進める。一方、同一の詳細ラベルをもつ割合がt未満の場合には(ステップS11,No)、マルウェアに付与する詳細ラベルを「*」として(ステップS13)、ステップS14に処理を進める。 When it has the same detailed label at a rate of t or more (step S11, Yes), the same detailed label is given to the malware as a detailed label (step S12), and the process proceeds to step S14. On the other hand, when the ratio having the same detailed label is less than t (No in step S11), the detailed label given to the malware is set to "*" (step S13), and the process proceeds to step S14.

ステップS14の処理では、付与部15bは、全てのハッシュ値について調査したか否かを確認する。全てのハッシュ値について調査していない場合には(ステップS14,No)、付与部15bは、次のマルウェアのハッシュ値を選択して(ステップS15)、ステップS4に処理を戻す。一方、全てのハッシュ値について調査した場合には(ステップS14,Yes)、付与部15bは、一連の付与処理を終了させる。 In the process of step S14, the adding unit 15b confirms whether or not all hash values have been investigated. If all hash values have not been investigated (step S14, No), the assigning unit 15b selects the hash value of the next malware (step S15) and returns the process to step S4. On the other hand, when all the hash values have been investigated (step S14, Yes), the adding unit 15b ends the series of adding processes.

以上、説明したように、本実施形態の付与装置10において、取得部15aが、複数のAVSにより付与されたマルウェアの階層型の検知名を取得する。また、付与部15bは、取得部15aにより取得された検知名のうち、所定のAVSにより検知名が付与されているマルウェアについては、該検知名を用いてマルウェアに階層型のラベルを付与する。また、付与部15bは、該所定のAVSにより検知名が付与されていないマルウェアについては、他のAVSにより同一の検知名が付与されている複数のマルウェアを特定し、特定した複数のマルウェアに対して該所定のAVSが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、浅い階層から順に該所定数以上の階層までの検知名を用いて階層型のラベルをマルウェアに付与する。 As described above, in the assigning device 10 of the present exemplary embodiment, the acquisition unit 15a acquires the hierarchical detection name of malware provided by a plurality of AVSs. Further, the attaching unit 15b attaches a hierarchical label to the malware using the detection name for the malware to which the detection name is attached by the predetermined AVS among the detection names obtained by the obtaining unit 15a. Further, for the malware whose detection name is not given by the predetermined AVS, the adding unit 15b identifies a plurality of malwares to which the same detection name is added by another AVS, and identifies the plurality of identified malwares. Then, the detection names given by the predetermined AVS are aggregated for each layer, and when the total number is equal to or more than a predetermined number, the hierarchical labels are detected using the detection names from the shallow layer to the predetermined number or more in order of malware. Given to.

これにより、基準のAVSによる検知名を用いてマルウェアに階層型のラベルを付与することができる。また、基準のAVSで未検知のマルウェアに、他のAVSで検知状況に応じた確度を反映した階層型のラベルを付与することができる。このように、本実施形態の付与装置10によれば、未検知のマルウェアのラベルを容易に推定して付与することが可能となる。 As a result, a hierarchical label can be attached to the malware using the detection name by the standard AVS. Further, a hierarchical label that reflects the accuracy according to the detection status in another AVS can be attached to malware that has not been detected in the reference AVS. As described above, according to the assigning device 10 of the present embodiment, it is possible to easily estimate and attach the label of the undetected malware.

また、図14を参照して、付与装置10の活用例について説明する。図14に示すように、付与装置10は、virustotal等を参照して、マルウェアについての各社のAVSの階層型の検知名をリスト化して対応表14aを生成し、これを用いてマルウェアに付与する階層型のラベルを算出する。また、付与装置10は、マルウェアと算出した階層型のラベルとの対応表である付与結果情報14cと、付与したラベルの階層構造を示すラベル階層情報14bとを管理する。 Further, an example of utilizing the applying device 10 will be described with reference to FIG. 14. As shown in FIG. 14, the adding device 10 refers to virustotal or the like to list the AVS hierarchical detection names of each company regarding malware, generates a correspondence table 14a, and uses this to add to the malware. Calculate a hierarchical label. Further, the assigning apparatus 10 manages the assignment result information 14c, which is a correspondence table between the malware and the calculated hierarchical label, and the label hierarchy information 14b, which indicates the hierarchical structure of the assigned label.

そして、付与装置10は、分類対象のマルウェアのハッシュ値{ID}が入力された場合に、付与結果情報14cを参照し、当該マルウェアに(X.Y)または(X.*)等の階層型のラベルを付与して出力する。例えば、{ID,(X.Y)}または{ID,(X.*)}等の形式で出力される。 When the hash value {ID} of the malware to be classified is input, the assigning apparatus 10 refers to the assignment result information 14c and assigns the malware a hierarchical type such as (X.Y) or (X.*). The label is added and output. For example, it is output in a format such as {ID, (X.Y)} or {ID, (X.*)}.

ここで付与装置10が出力したデータは、階層構造の深層学習器に対する教師データとして活用される。例えば、マルウェアのproxyログ等の通信ログを用いて、マルウェアの通信ログの特徴ベクトルと階層型のラベルとの組み合わせからなる教師データを深層学習器に入力する。階層構造の深層学習器は、階層型ラベルつき教師データの階層の数に応じて深層分類器を生成して結合させる。このような階層構造の深層学習器は、階層型ラベルの学習を行って、最も階層の深い詳細ラベルの分類を行う。これにより、新しく悪性と疑わしい通信が観測された場合に、生成された深層分類器を用いて、通信ログがどのようなマルウェアの特徴をもつかを判定することが可能となる。 Here, the data output by the assigning device 10 is used as teacher data for a deep learning device having a hierarchical structure. For example, by using a communication log such as a malware proxy log, teacher data including a combination of a feature vector of the malware communication log and a hierarchical label is input to the deep learning device. The hierarchical deep learning device generates and combines deep classifiers according to the number of layers of hierarchical labeled teacher data. Such a deep learning device having a hierarchical structure learns hierarchical labels and classifies the deepest detailed labels. With this, when a new suspicious communication is observed, it is possible to determine what kind of malware characteristics the communication log has by using the generated deep classifier.

[プログラム]
上記実施形態に係る付与装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、付与装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の付与処理を実行する付与プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の付与プログラムを情報処理装置に実行させることにより、情報処理装置を付与装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。 [program]
It is also possible to create a program in which the processing executed by the application device 10 according to the above-described embodiment is described in a computer-executable language. As one embodiment, the granting device 10 can be implemented by installing a granting program that executes the above-described granting process as package software or online software in a desired computer. For example, by causing the information processing apparatus to execute the above-mentioned addition program, the information processing apparatus can be caused to function as the addition apparatus 10. The information processing apparatus referred to here includes a desktop or notebook personal computer. Further, in addition to the above, the information processing apparatus includes a mobile communication terminal such as a smartphone, a mobile phone or a PHS (Personal Handyphone System), and a slate terminal such as a PDA (Personal Digital Assistants) in its category.

また、付与装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の付与処理に関するサービスを提供するサーバ装置として実装することもできる。例えば、付与装置10は、マルウェアを入力とし、階層型のラベルを出力する付与処理サービスを提供するサーバ装置として実装される。この場合、付与装置10は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の付与処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。以下に、付与装置10と同様の機能を実現する付与プログラムを実行するコンピュータの一例を説明する。 Further, the granting device 10 can also be implemented as a terminal device used by a user as a client and as a server device that provides the client with the service related to the granting process. For example, the assigning device 10 is implemented as a server device that provides an assigning processing service that inputs malware and outputs a hierarchical label. In this case, the granting device 10 may be implemented as a Web server, or may be implemented as a cloud that provides a service related to the above granting process by outsourcing. Hereinafter, an example of a computer that executes a granting program that realizes a function similar to that of the granting device 10 will be described.

図15は、付与プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。 FIG. 15 is a diagram illustrating an example of a computer that executes the adding program. The computer 1000 has, for example, a memory 1010, a CPU 1020, a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network interface 1070. These units are connected by a bus 1080.

メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。 The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM 1012. The ROM 1011 stores, for example, a boot program such as a BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1031. The disk drive interface 1040 is connected to the disk drive 1041. A removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1041. A mouse 1051 and a keyboard 1052 are connected to the serial port interface 1050, for example. A display 1061 is connected to the video adapter 1060, for example.

ここで、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1031やメモリ1010に記憶される。 Here, the hard disk drive 1031 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. Each table described in the above embodiment is stored in, for example, the hard disk drive 1031 or the memory 1010.

また、付与プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した付与装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。 Further, the giving program is stored in the hard disk drive 1031 as a program module 1093 in which a command executed by the computer 1000 is described, for example. Specifically, the program module 1093 in which each process executed by the assigning device 10 described in the above embodiment is described is stored in the hard disk drive 1031.

また、付与プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。 Further, data used for information processing by the adding program is stored in the hard disk drive 1031 as the program data 1094, for example. Then, the CPU 1020 reads the program module 1093 and the program data 1094 stored in the hard disk drive 1031 into the RAM 1012 as necessary, and executes the above-described procedures.

なお、付与プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、付与プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。 The program module 1093 and the program data 1094 related to the imparting program are not limited to being stored in the hard disk drive 1031 and may be stored in, for example, a removable storage medium and read by the CPU 1020 via the disk drive 1041 or the like. May be done. Alternatively, the program module 1093 and the program data 1094 related to the giving program are stored in another computer connected via a network such as LAN or WAN (Wide Area Network), and read by the CPU 1020 via the network interface 1070. May be.

以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。 Although the embodiments to which the invention made by the present inventor has been applied have been described above, the present invention is not limited to the description and the drawings that form part of the disclosure of the present invention according to the present embodiment. That is, all other embodiments, examples, operation techniques, and the like made by those skilled in the art based on this embodiment are included in the scope of the present invention.

10 付与装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a 対応表
14b ラベル階層情報
14c 付与結果情報
15 制御部
15a 取得部
15b 付与部 DESCRIPTION OF SYMBOLS 10 Granting device 11 Input part 12 Output part 13 Communication control part 14 Storage part 14a Correspondence table 14b Label hierarchy information 14c Granting result information 15 Control part 15a Acquisition part 15b Granting part

Claims (5)

複数のアンチウイルスソフトにより付与されたマルウェアの階層型の検知名を取得する取得部と、
前記取得部により取得された検知名のうち、所定のアンチウイルスソフトにより検知名が付与されているマルウェアについては、該検知名を用いてマルウェアに階層型のラベルを付与し、該所定のアンチウイルスソフトにより検知名が付与されていないマルウェアについては、他のアンチウイルスソフトにより同一の検知名が付与されている複数のマルウェアを特定し、特定した複数のマルウェアに対して該所定のアンチウイルスソフトが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、浅い階層から順に該所定数以上の階層までの検知名を用いて階層型のラベルをマルウェアに付与する付与部と、
を備えることを特徴とする付与装置。 An acquisition unit that acquires the hierarchical detection name of malware given by multiple antivirus software,
Among the detection names acquired by the acquisition unit, for the malware to which the detection name is given by a predetermined antivirus software, a hierarchical label is attached to the malware using the detection name, and the predetermined antivirus is added. For malware that has not been given a detection name by software, specify multiple malwares that have been given the same detection name by other anti-virus software, and if the specified anti-virus software When the number of collected detection names is aggregated for each layer and the number of aggregations is a predetermined number or more, the layered label is attached to malware by using the detection names from the shallow layer to the predetermined number or more layers in order. ,
An application device, comprising: 前記所定のアンチウイルスソフトは、前記複数のアンチウイルスソフトのうち、マルウェアの未検知の割合が最も低いもの、または、マルウェアの検知の精度が最も高いものであることを特徴とする請求項1に記載の付与装置。 The predetermined anti-virus software is one of the plurality of anti-virus software that has the lowest ratio of undetected malware or has the highest accuracy of detecting malware. The application device described. 前記付与部は、さらに、マルウェアのマルウェアタイプを用いて前記階層型のラベルを付与することを特徴とする請求項1または2に記載の付与装置。 The assigning apparatus according to claim 1, wherein the assigning unit further assigns the hierarchical label using a malware type of malware. 付与装置で実行される付与方法であって、
複数のアンチウイルスソフトにより付与されたマルウェアの階層型の検知名を取得する取得工程と、
前記取得工程において取得された検知名のうち、所定のアンチウイルスソフトにより検知名が付与されているマルウェアについては、該検知名を用いてマルウェアに階層型のラベルを付与し、該所定のアンチウイルスソフトにより検知名が付与されていないマルウェアについては、他のアンチウイルスソフトにより同一の検知名が付与されている複数のマルウェアを特定し、特定した複数のマルウェアに対して該所定のアンチウイルスソフトが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、浅い階層から順に該所定数以上の階層までの検知名を用いて階層型のラベルをマルウェアに付与する付与工程と、
を含んだことを特徴とする付与方法。 An application method executed by an application device,
An acquisition process that acquires the hierarchical detection name of malware given by multiple antivirus software,
Among the detection names acquired in the acquisition step, for the malware to which the detection name is given by a predetermined antivirus software, a hierarchical label is attached to the malware using the detection name, and the predetermined antivirus is added. For malware that has not been given a detection name by software, specify multiple malwares that have been given the same detection name by other anti-virus software, and if the specified anti-virus software An aggregating step of aggregating the assigned detection names for each layer, and assigning a hierarchical label to malware by using detection names from a shallow layer up to a predetermined number or more in the case where the total number is a predetermined number or more. ,
An application method characterized in that 複数のアンチウイルスソフトにより付与されたマルウェアの階層型の検知名を取得する取得ステップと、
前記取得ステップにおいて取得された検知名のうち、所定のアンチウイルスソフトにより検知名が付与されているマルウェアについては、該検知名を用いてマルウェアに階層型のラベルを付与し、該所定のアンチウイルスソフトにより検知名が付与されていないマルウェアについては、他のアンチウイルスソフトにより同一の検知名が付与されている複数のマルウェアを特定し、特定した複数のマルウェアに対して該所定のアンチウイルスソフトが付与した検知名を階層ごとに集計し、集計数が所定数以上の場合に、浅い階層から順に該所定数以上の階層までの検知名を用いて階層型のラベルをマルウェアに付与する付与ステップと、
をコンピュータに実行させることを特徴とする付与プログラム。 An acquisition step of acquiring a hierarchical detection name of malware given by multiple anti-virus software,
Among the detection names acquired in the acquisition step, for the malware to which the detection name is given by a predetermined antivirus software, a hierarchical label is attached to the malware using the detection name, and the predetermined antivirus is added. For malware that has not been given a detection name by software, specify multiple malwares that have been given the same detection name by other anti-virus software, and if the specified anti-virus software An affixing step of aggregating the assigned detection names for each layer, and attaching a hierarchical label to malware by using detection names from a shallow layer up to a predetermined number or more in order when the total number is a predetermined number or more. ,
A program for causing a computer to execute.
JP2017133795A 2017-07-07 2017-07-07 Granting device, assigning method, and assigning program Active JP6740184B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017133795A JP6740184B2 (en) 2017-07-07 2017-07-07 Granting device, assigning method, and assigning program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017133795A JP6740184B2 (en) 2017-07-07 2017-07-07 Granting device, assigning method, and assigning program

Publications (2)

Publication Number Publication Date
JP2019016212A JP2019016212A (en) 2019-01-31
JP6740184B2 true JP6740184B2 (en) 2020-08-12

Family

ID=65359040

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017133795A Active JP6740184B2 (en) 2017-07-07 2017-07-07 Granting device, assigning method, and assigning program

Country Status (1)

Country Link
JP (1) JP6740184B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102199704B1 (en) * 2020-06-26 2021-01-08 주식회사 이스트시큐리티 An apparatus for selecting a representative token from the detection names of multiple vaccines, a method therefor, and a computer recordable medium storing program to perform the method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140201208A1 (en) * 2013-01-15 2014-07-17 Corporation Symantec Classifying Samples Using Clustering
JP6725452B2 (en) * 2017-05-26 2020-07-22 日本電信電話株式会社 Classification device, classification method, and classification program

Also Published As

Publication number Publication date
JP2019016212A (en) 2019-01-31

Similar Documents

Publication Publication Date Title
US20210256127A1 (en) System and method for automated machine-learning, zero-day malware detection
US9665713B2 (en) System and method for automated machine-learning, zero-day malware detection
RU2454714C1 (en) System and method of increasing efficiency of detecting unknown harmful objects
JP6138896B2 (en) Method, apparatus and terminal for detecting maliciously vulnerable files
RU2708356C1 (en) System and method for two-stage classification of files
EP2955658B1 (en) System and methods for detecting harmful files of different formats
JP6697123B2 (en) Profile generation device, attack detection device, profile generation method, and profile generation program
US10691739B2 (en) Multi-label content recategorization
US8732587B2 (en) Systems and methods for displaying trustworthiness classifications for files as visually overlaid icons
US20180211041A1 (en) Detection of Malware Using Feature Hashing
US20100192222A1 (en) Malware detection using multiple classifiers
JP6725452B2 (en) Classification device, classification method, and classification program
KR101858620B1 (en) Device and method for analyzing javascript using machine learning
US11797668B2 (en) Sample data generation apparatus, sample data generation method, and computer readable medium
US10417579B2 (en) Multi-label classification for overlapping classes
JP2016091549A (en) Systems, devices, and methods for separating malware and background events
Kumar et al. Machine learning based malware detection in cloud environment using clustering approach
US20180341770A1 (en) Anomaly detection method and anomaly detection apparatus
JP5441043B2 (en) Program, information processing apparatus, and information processing method
JP6740184B2 (en) Granting device, assigning method, and assigning program
CN113010268A (en) Malicious program identification method and device, storage medium and electronic equipment
CN112231696B (en) Malicious sample identification method, device, computing equipment and medium
JP6787861B2 (en) Sorting device
US20200334353A1 (en) Method and system for detecting and classifying malware based on families
JP7140268B2 (en) WARNING DEVICE, CONTROL METHOD AND PROGRAM

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190823

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200629

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200721

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200722

R150 Certificate of patent or registration of utility model

Ref document number: 6740184

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150