JP7243837B2 - 情報処理装置、情報処理システム、情報処理方法、及びプログラム - Google Patents
情報処理装置、情報処理システム、情報処理方法、及びプログラム Download PDFInfo
- Publication number
- JP7243837B2 JP7243837B2 JP2021539704A JP2021539704A JP7243837B2 JP 7243837 B2 JP7243837 B2 JP 7243837B2 JP 2021539704 A JP2021539704 A JP 2021539704A JP 2021539704 A JP2021539704 A JP 2021539704A JP 7243837 B2 JP7243837 B2 JP 7243837B2
- Authority
- JP
- Japan
- Prior art keywords
- query
- queries
- graph structure
- similarity
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
まず、本発明の骨子について説明する。図1は実施の形態1にかかる情報処理装置を説明するためのブロック図であり、本発明の骨子を説明するためのブロック図である。
上述のように、類似度判定部13は、クエリQ1のグラフ構造が備えるノードおよびエッジの少なくとも一方と、クエリQ2のグラフ構造が備えるノードおよびエッジの少なくとも一方と、を対応づけることで、クエリQ1とクエリQ2の類似度スコアを算出する。そして、類似度スコアが所定の閾値以上である場合に、クエリQ1とクエリQ2とが類似であると判定する。類似度判定部13は、例えば、次のような方法を用いて類似度スコアを算出することができる。
なお、上述の類似度スコアの算出方法は一例であり、本実施の形態では上記以外の方法を用いて類似度スコアを算出してもよい。例えば、上述の例では、グラフ構造の辺の数(エッジの数)を詳細度スコアとした場合について説明したが、ノードを詳細度スコアの算出に用いてもよい。また、ノードとエッジの両方を詳細度スコアの算出に用いてもよい。更に、ノードやエッジに重み付けをして詳細度スコアを算出してもよい。
類似度スコア=(クエリQMの詳細度スコア×2)/(クエリQ1の詳細度スコア+クエリQ2の詳細度スコア)
上述の情報処理装置10では、統合部14において、クエリQ1に対応するグラフ構造とクエリQ2に対応するグラフ構造との間の共通部分を抽出して、クエリQ1とクエリQ2とを統合している。上述の統合処理では、クエリQ1のノードのラベルとクエリQ2のノードのラベルとが異なる場合、共通部分ではないとしてこれらのノードを削除する処理を行っていた。
図13に示すクエリQ3のグラフ構造において、ノードN3_1は、図12のクエリQ3のプロセス条件IDが「P31」のノードに対応している。また、ノードN3_2、N3_3、N3_4はそれぞれ、図12のクエリQ3のプロセス条件IDが「P31」の実行ファイルパス「dir:system」、「name:browser」、「ext:exe」に対応している。ノードN3_1からノードN3_2、N3_3、N3_4の各々に向かう矢印はエッジを示しており、これらのエッジのラベルはそれぞれ、「dir」、「name」、「ext」である。ノードN3_0はルートノードである。
図13の統合結果に示すグラフ構造において、ノードNM2_1は、クエリQ3のクエリ構造のノードN3_1とクエリQ4のクエリ構造のノードN4_1に対応している。図13の統合結果に示すグラフ構造において、ノードNM2_2は、クエリQ3のクエリ構造のノードN3_2とクエリQ4のクエリ構造のノードN4_2に対応している。つまり、クエリQ3のクエリ構造のノードN3_2のラベルは「dir:system」であり、クエリQ4のクエリ構造のノードN4_2のラベルは「dir:system」であり、これらは同一のラベルなので、統合結果に示すグラフ構造において、ノードNM2_2として示している。
例えば、ノードの持つラベル集合Lに対して以下の重みを使用して詳細度スコアを計算することができる。つまり、ラベル集合Lに「互換性がないラベル」が含まれている場合は、ノード重みを0とする。一方、ラベル集合Lに「互換性がないラベル」が含まれていない場合は、ノード重みをラベル集合Lの要素数の逆数とする。
マルウェアの挙動検出に用いられる第1及び第2のクエリの類似度を判定する類似度判定部と、
前記類似度判定部の判定結果に応じて前記第1及び第2のクエリを統合する統合部と、を備え、
前記類似度判定部は、前記第1のクエリに対応する第1のグラフ構造と前記第2のクエリに対応する第2のグラフ構造とを用いて、前記第1及び第2のクエリの類似度を判定し、
前記統合部は、前記第1のグラフ構造と前記第2のグラフ構造との間の共通部分を抽出して、前記第1及び第2のクエリを統合する、
情報処理装置。
前記第1及び第2のクエリをそれぞれ有向グラフとして表現することで前記第1及び第2のグラフ構造を生成するグラフ構造生成部を更に備える、付記1に記載の情報処理装置。
前記類似度判定部は、
前記第1のグラフ構造が備えるノードおよびエッジの少なくとも一つと、前記第2のグラフ構造が備えるノードおよびエッジの少なくとも一つと、を対応づけることで、前記第1及び第2のクエリの類似度スコアを算出し、
前記類似度スコアが所定の閾値以上である場合に、前記第1及び第2のクエリが類似であると判定する、
付記1または2に記載の情報処理装置。
前記類似度判定部は、前記第1のグラフ構造が備えるノードおよびエッジの各々と、前記第2のグラフ構造が備えるノードおよびエッジの各々と、の対応づけに関する最適化問題を解くことで前記類似度スコアを算出する、付記3に記載の情報処理装置。
マルウェアの挙動を動的解析する動的解析装置から動的解析結果が供給され、当該供給された動的解析結果を用いてクエリを生成するクエリ生成部を更に備える、付記1~4のいずれか一項に記載の情報処理装置。
前記クエリを格納するクエリ格納部を更に備え、
前記類似度判定部は、前記クエリ生成部から供給された前記第1のクエリと、前記クエリ格納部から供給された前記第2のクエリと、の類似度を判定し、
前記統合部は、前記第1及び第2のクエリが類似であると判定された場合、前記第1及び第2のクエリを統合し、前記クエリ格納部に格納されている前記第2のクエリを前記統合したクエリを用いて書き換える、
付記5に記載の情報処理装置。
前記クエリを格納するクエリ格納部を更に備え、
前記クエリ格納部には、前記第2のクエリとして複数のクエリが格納されており、
前記類似度判定部は、前記クエリ生成部から供給された前記第1のクエリと、前記クエリ格納部から供給された複数の前記第2のクエリと、の類似度を各々判定し、
前記統合部は、複数の前記第2のクエリのうち前記類似度が最も高い第2のクエリを前記第1のクエリと統合し、前記クエリ格納部に格納されている前記類似度が最も高い第2のクエリを前記統合したクエリを用いて書き換える、
付記5に記載の情報処理装置。
前記統合部は、前記第1のグラフ構造の特定ノードに含まれる第1のラベルと前記第2のグラフ構造の特定ノードに含まれる第2のラベルとが互換性を有する場合、前記統合後のクエリの前記特定ノードに前記第1のラベルと前記第2のラベルとを含める、付記1~7のいずれか一項に記載の情報処理装置。
付記1~8のいずれか一項に記載の情報処理装置と、
端末から収集したイベント情報のうち、前記情報処理装置から供給されたクエリに合致するイベント情報を検索する検索装置と、を備える、
情報処理システム。
前記検索装置は、
複数の端末から収集したイベント情報を前記端末の各々と対応づけて格納するイベント情報格納部と、
前記イベント情報格納部に格納されている前記イベント情報の中から、前記情報処理装置から供給されたクエリに合致するイベント情報を検索し、前記複数の端末の中から前記クエリに合致する端末を特定する検索部と、を備える、
付記9に記載の情報処理システム。
マルウェアの挙動検出に用いられる第1及び第2のクエリの類似度を判定し、
前記判定結果に応じて前記第1及び第2のクエリを統合し、
前記類似度を判定する際、前記第1のクエリに対応する第1のグラフ構造と前記第2のクエリに対応する第2のグラフ構造とを用いて、前記第1及び第2のクエリの類似度を判定し、
前記第1及び第2のクエリを統合する際、前記第1のグラフ構造と前記第2のグラフ構造との間の共通部分を抽出して、前記第1及び第2のクエリを統合する、
情報処理方法。
マルウェアの挙動検出に用いられる第1及び第2のクエリの類似度を判定し、
前記判定結果に応じて前記第1及び第2のクエリを統合し、
前記類似度を判定する際、前記第1のクエリに対応する第1のグラフ構造と前記第2のクエリに対応する第2のグラフ構造とを用いて、前記第1及び第2のクエリの類似度を判定し、
前記第1及び第2のクエリを統合する際、前記第1のグラフ構造と前記第2のグラフ構造との間の共通部分を抽出して、前記第1及び第2のクエリを統合する、
処理をコンピュータに実行させるためのプログラムが格納された非一時的なコンピュータ可読媒体。
11 クエリ生成部
12 グラフ構造生成部
13 類似度判定部
14 統合部
15 クエリ格納部
18 動的解析装置
20 検索装置
21 イベント情報格納部
22 検索部
25 端末
50 コンピュータ
51 プロセッサ
52 メモリ
100 情報処理システム
Claims (12)
- マルウェアの挙動検出に用いられる第1及び第2のクエリの類似度を判定する類似度判定部と、
前記類似度判定部の判定結果に応じて前記第1及び第2のクエリを統合する統合部と、を備え、
前記類似度判定部は、前記第1のクエリに対応する第1のグラフ構造と前記第2のクエリに対応する第2のグラフ構造とを用いて、前記第1及び第2のクエリの類似度を判定し、
前記統合部は、前記第1のグラフ構造と前記第2のグラフ構造との間の共通部分を抽出して、前記第1及び第2のクエリを統合する、
情報処理装置。 - 前記第1及び第2のクエリをそれぞれ有向グラフとして表現することで前記第1及び第2のグラフ構造を生成するグラフ構造生成部を更に備える、請求項1に記載の情報処理装置。
- 前記類似度判定部は、
前記第1のグラフ構造が備えるノードおよびエッジの少なくとも一つと、前記第2のグラフ構造が備えるノードおよびエッジの少なくとも一つと、を対応づけることで、前記第1及び第2のクエリの類似度スコアを算出し、
前記類似度スコアが所定の閾値以上である場合に、前記第1及び第2のクエリが類似であると判定する、
請求項1または2に記載の情報処理装置。 - 前記類似度判定部は、前記第1のグラフ構造が備えるノードおよびエッジの各々と、前記第2のグラフ構造が備えるノードおよびエッジの各々と、の対応づけに関する最適化問題を解くことで前記類似度スコアを算出する、請求項3に記載の情報処理装置。
- マルウェアの挙動を動的解析する動的解析装置から動的解析結果が供給され、当該供給された動的解析結果を用いてクエリを生成するクエリ生成部を更に備える、請求項1~4のいずれか一項に記載の情報処理装置。
- 前記クエリを格納するクエリ格納部を更に備え、
前記類似度判定部は、前記クエリ生成部から供給された前記第1のクエリと、前記クエリ格納部から供給された前記第2のクエリと、の類似度を判定し、
前記統合部は、前記第1及び第2のクエリが類似であると判定された場合、前記第1及び第2のクエリを統合し、前記クエリ格納部に格納されている前記第2のクエリを前記統合したクエリを用いて書き換える、
請求項5に記載の情報処理装置。 - 前記クエリを格納するクエリ格納部を更に備え、
前記クエリ格納部には、前記第2のクエリとして複数のクエリが格納されており、
前記類似度判定部は、前記クエリ生成部から供給された前記第1のクエリと、前記クエリ格納部から供給された複数の前記第2のクエリと、の類似度を各々判定し、
前記統合部は、複数の前記第2のクエリのうち前記類似度が最も高い第2のクエリを前記第1のクエリと統合し、前記クエリ格納部に格納されている前記類似度が最も高い第2のクエリを前記統合したクエリを用いて書き換える、
請求項5に記載の情報処理装置。 - 前記統合部は、前記第1のグラフ構造の特定ノードに含まれる第1のラベルと前記第2のグラフ構造の特定ノードに含まれる第2のラベルとが互換性を有する場合、前記統合後のクエリの前記特定ノードに前記第1のラベルと前記第2のラベルとを含める、請求項1~7のいずれか一項に記載の情報処理装置。
- 請求項1~8のいずれか一項に記載の情報処理装置と、
端末から収集したイベント情報のうち、前記情報処理装置から供給されたクエリに合致するイベント情報を検索する検索装置と、を備える、
情報処理システム。 - 前記検索装置は、
複数の端末から収集したイベント情報を前記端末の各々と対応づけて格納するイベント情報格納部と、
前記イベント情報格納部に格納されている前記イベント情報の中から、前記情報処理装置から供給されたクエリに合致するイベント情報を検索し、前記複数の端末の中から前記クエリに合致する端末を特定する検索部と、を備える、
請求項9に記載の情報処理システム。 - コンピュータが、
マルウェアの挙動検出に用いられる第1及び第2のクエリの類似度を判定し、
前記判定結果に応じて前記第1及び第2のクエリを統合し、
前記類似度を判定する際、前記第1のクエリに対応する第1のグラフ構造と前記第2のクエリに対応する第2のグラフ構造とを用いて、前記第1及び第2のクエリの類似度を判定し、
前記第1及び第2のクエリを統合する際、前記第1のグラフ構造と前記第2のグラフ構造との間の共通部分を抽出して、前記第1及び第2のクエリを統合する、
情報処理方法。 - マルウェアの挙動検出に用いられる第1及び第2のクエリの類似度を判定し、
前記判定結果に応じて前記第1及び第2のクエリを統合し、
前記類似度を判定する際、前記第1のクエリに対応する第1のグラフ構造と前記第2のクエリに対応する第2のグラフ構造とを用いて、前記第1及び第2のクエリの類似度を判定し、
前記第1及び第2のクエリを統合する際、前記第1のグラフ構造と前記第2のグラフ構造との間の共通部分を抽出して、前記第1及び第2のクエリを統合する、
処理をコンピュータに実行させるためのプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/031643 WO2021028968A1 (ja) | 2019-08-09 | 2019-08-09 | 情報処理装置、情報処理システム、情報処理方法、及びコンピュータ可読媒体 |
Publications (3)
Publication Number | Publication Date |
---|---|
JPWO2021028968A1 JPWO2021028968A1 (ja) | 2021-02-18 |
JPWO2021028968A5 JPWO2021028968A5 (ja) | 2022-04-08 |
JP7243837B2 true JP7243837B2 (ja) | 2023-03-22 |
Family
ID=74569526
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021539704A Active JP7243837B2 (ja) | 2019-08-09 | 2019-08-09 | 情報処理装置、情報処理システム、情報処理方法、及びプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20220269786A1 (ja) |
JP (1) | JP7243837B2 (ja) |
WO (1) | WO2021028968A1 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016147944A1 (ja) | 2015-03-18 | 2016-09-22 | 日本電信電話株式会社 | マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム |
US20170193099A1 (en) | 2015-12-31 | 2017-07-06 | Quixey, Inc. | Machine Identification of Grammar Rules That Match a Search Query |
WO2019032180A1 (en) | 2017-08-09 | 2019-02-14 | Nec Laboratories America, Inc. | ANALYSIS OF DEPENDENCE BETWEEN APPLICATIONS TO IMPROVE THE DETECTION OF THREATS IN A COMPUTER SYSTEM |
-
2019
- 2019-08-09 WO PCT/JP2019/031643 patent/WO2021028968A1/ja active Application Filing
- 2019-08-09 JP JP2021539704A patent/JP7243837B2/ja active Active
- 2019-08-09 US US17/632,839 patent/US20220269786A1/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016147944A1 (ja) | 2015-03-18 | 2016-09-22 | 日本電信電話株式会社 | マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム |
US20170193099A1 (en) | 2015-12-31 | 2017-07-06 | Quixey, Inc. | Machine Identification of Grammar Rules That Match a Search Query |
WO2019032180A1 (en) | 2017-08-09 | 2019-02-14 | Nec Laboratories America, Inc. | ANALYSIS OF DEPENDENCE BETWEEN APPLICATIONS TO IMPROVE THE DETECTION OF THREATS IN A COMPUTER SYSTEM |
Also Published As
Publication number | Publication date |
---|---|
WO2021028968A1 (ja) | 2021-02-18 |
JPWO2021028968A1 (ja) | 2021-02-18 |
US20220269786A1 (en) | 2022-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9600403B1 (en) | Method and system for creating functional model of test cases | |
Farhadi et al. | Binclone: Detecting code clones in malware | |
US9621571B2 (en) | Apparatus and method for searching for similar malicious code based on malicious code feature information | |
US8468146B2 (en) | System and method for creating search index on cloud database | |
US10459704B2 (en) | Code relatives detection | |
US10909179B2 (en) | Malware label inference and visualization in a large multigraph | |
US20150324178A1 (en) | Hash-based change tracking for software make tools | |
RU2014127300A (ru) | Ретроспективный отбор клинически релевантной информации из данных секвенирования пациента для поддержки принятия клинических решений | |
US10789294B2 (en) | Method and system for performing searches of graphs as represented within an information technology system | |
US8793224B2 (en) | Linear sweep filesystem checking | |
CN113015970A (zh) | 划分知识图 | |
US9465694B2 (en) | Method and apparatus for recovering partition based on file system metadata | |
Yoshida et al. | Proactive clone recommendation system for extract method refactoring | |
JP7243837B2 (ja) | 情報処理装置、情報処理システム、情報処理方法、及びプログラム | |
JP6955162B2 (ja) | 解析装置、解析方法および解析プログラム | |
Li | A better approach to track the evolution of static code warnings | |
US20220147630A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
JP6217440B2 (ja) | シンボリック実行プログラム、シンボリック実行方法及びシンボリック実行装置 | |
Wijitrisnanto et al. | Efficient Machine Learning Model for Hardware Trojan Detection on Register Transfer Level | |
US9003373B2 (en) | Identification of performance bottlenecks | |
US20210342396A1 (en) | Retrieval sentence utilization device and retrieval sentence utilization method | |
KR101658778B1 (ko) | 경로 기반의 문자열 분석 방법 및 장치 | |
WO2022249588A1 (ja) | 計算機システム及びサイバーセキュリティ情報の評価方法 | |
CN115242614B (zh) | 网络信息分析方法、装置、设备及介质 | |
JP6580232B1 (ja) | 検索装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220119 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220119 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221206 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230126 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230207 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230220 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7243837 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |