JP7315023B2 - ルール生成装置およびルール生成プログラム - Google Patents
ルール生成装置およびルール生成プログラム Download PDFInfo
- Publication number
- JP7315023B2 JP7315023B2 JP2021561090A JP2021561090A JP7315023B2 JP 7315023 B2 JP7315023 B2 JP 7315023B2 JP 2021561090 A JP2021561090 A JP 2021561090A JP 2021561090 A JP2021561090 A JP 2021561090A JP 7315023 B2 JP7315023 B2 JP 7315023B2
- Authority
- JP
- Japan
- Prior art keywords
- rule
- malware
- unit
- candidates
- evaluation value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Description
本発明は、ルール生成装置およびルール生成プログラムに関する。
近年、マルウェアの痕跡を検知するためのルールに基づきマルウェアが端末上に作成する痕跡を検知し、セキュリティアナリストによる分析結果のフィードバックを提供するサービスとして、EDR(Endpoint Detection & Response)が知られている。また、このようなマルウェアの痕跡を検知するためのルールとして、IOC(Indicator of Compromise)が知られている。IOCには、例えば、マルウェアによって作成されるファイルパス、レジストリキー、プロセス引数、通信先ホスト名、通信先IPアドレス等のマルウェアの痕跡が記載されている。
また、従来、ネットワークシグネチャと呼ばれる、マルウェア実行時の通信内容を表現したルールの自動生成方法が知られている。例えば、ルールの自動生成方法として、マルウェアを実行して解析し、得られた通信内容に対してクラスタリングを施し、クラスタごとに類似箇所を正規表現に縮約し、あらかじめ設定した閾値に基づいて誤検知の少ない正規表現をルール群として選択する方法が存在する。
Roberto Perdisci, Wenke Lee, and Nick Feamster. 2010. 「Behavioral Clustering of HTTP-based Malware and Signature Generation Using Malicious Network Traces」In Proceedings of the 7th USENIX Conference on Networked Systems Design and Implementation (NSDI’10). 26-26.
"mandiant/OpenIOC_1.1"、[online]、GitHub 、[2019年11月20日検索]、インターネット<https://github.com/mandiant/OpenIOC_1.1>
従来の方法では、マルウェアの痕跡を検知するためのルールを精度よく自動的に生成することができないという課題があった。例えば、ネットワークシグネチャのルール自動生成方法をIOCの自動生成に適用した場合に、生成されたルールが、単一の抽象度の正規表現しか含まないがために、本来のマッチさせたいマルウェアによる痕跡以外の正常なプログラムやユーザによって生成された痕跡とマッチしてしまい、誤検知が発生する場合があるという課題があった。
上述した課題を解決し、目的を達成するために、本発明のルール生成装置は、マルウェアの解析結果を用いて、マルウェアの痕跡を検知するためのルールの候補として、それぞれ異なる抽象度のルール候補を列挙する列挙部と、前記列挙部によって列挙されたルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別する最適化部とを有することを特徴とする。
本発明によれば、マルウェアの痕跡を検知するためのルールを精度よく自動的に生成することができるという効果を奏する。
以下に、本願に係るルール生成装置およびルール生成プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係るルール生成装置およびルール生成プログラムが限定されるものではない。
[第1の実施形態]
以下の実施の形態では、第1の実施形態に係るルール生成装置10の構成、ルール生成装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
以下の実施の形態では、第1の実施形態に係るルール生成装置10の構成、ルール生成装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
[ルール生成装置の構成]
まず、図1を用いて、ルール生成装置10の構成について説明する。図1は、第1の実施形態に係るルール生成装置の構成の一例を示す図である。ルール生成装置10は、マルウェアの解析結果からマルウェアの痕跡を検知するためのルールを自動生成する装置である。
まず、図1を用いて、ルール生成装置10の構成について説明する。図1は、第1の実施形態に係るルール生成装置の構成の一例を示す図である。ルール生成装置10は、マルウェアの解析結果からマルウェアの痕跡を検知するためのルールを自動生成する装置である。
図1に示すように、ルール生成装置10は、通信部11、記憶部12及び制御部13を有する。以下では、各部について説明する。
通信部11は、ネットワーク等を介して接続された他の装置との間で、各種情報を送受信する通信インタフェースである。通信部11は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した他の装置と制御部14との間の通信を行う。
記憶部12は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、ルール生成装置10を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。
制御部13は、各種の処理手順などを規定したプログラム及び所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。例えば、制御部13は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路である。制御部13は、列挙部131、最適化部132および出力部133を有する。
列挙部131は、マルウェアの解析結果を用いて、マルウェアの痕跡を検知するためのルールの候補として、それぞれ異なる抽象度のルール候補を列挙する。例えば、列挙部131は、マルウェアの解析結果に含まれるマルウェアの痕跡を、マルウェアの痕跡同士の類似度を基に各クラスタに分割し、クラスタごとに低、中、高の3段階のうちいずれか一つまたは複数の抽象度でルール候補の正規表現を生成する。
列挙部131は、クラスタリング部131a、正規表現生成部131bおよびルール化部131cを有する。ここで、図2を用いて、列挙部131による処理の概要を説明する。図2は、列挙部による処理の概要を説明する図である。まず、列挙部131は、図2に例示するように、マルウェアの解析結果として、マルウェア検体解析結果群を取得する。
マルウェア検体解析結果群は、検体ごとにラベル・ハッシュ値・痕跡・付加情報を含む。また、痕跡にはファイル書き込み先・レジストリ書き込み先・プロセス引数・通信先等、IOCの仕様上許容される項目であれば任意のものを含んでもよい。また、マルウェア検体解析結果群は、仕様上許容されない項目およびその他の説明等は付加情報として記載されていてもよい。なお、列挙部131は、このマルウェア検体解析結果群を外部の解析装置から取得してもよいし、予め記憶部12に記憶されている場合には記憶部12から取得してもよい。
クラスタリング部131aは、マルウェアのラベルごとに痕跡リストに対してクラスタリングを施し、類似した痕跡をクラスタに分割する。例えば、クラスタリング部131aは、痕跡の類似度は文字列としての類似度に基づいて算出し、算出した類似度を基に複数のクラスタに分割してもよい。
続いて、正規表現生成部131bは、与えられたクラスタごとに低・中・高の各抽象度で正規表現を生成する。そして、ルール化部131cは、各正規表現を生成元のマルウェア検知解析結果群のラベルと照合し、ルール化する。列挙部131は、ルール化部131cによってルール化されたルールをルール候補として列挙する。
ここで、図3を用いて、正規表現生成部131bによる詳しい処理例について説明する。図3は、正規表現生成部による詳しい処理例について説明する図である。図3に例示するように、正規表現生成部131bは、与えられたクラスタごとに、各痕跡を階層ごとに分割する(図3の(1)参照)。例えば、正規表現生成部131bは、痕跡がファイルパスの場合には、「¥」で階層を分割する。
そして、正規表現生成部131bは、分割した階層ごとに、正規表現の候補集合を用意し、もし文字列が完全一致すれば重複を削除し、候補集合に追加する。また、文字列が完全一致しない場合には、正規表現生成部131bは、低・中・高のいずれか一つまたは複数の抽象度で正規表現を生成し、候補集合に追加する(図3の(2)参照)。
例えば、正規表現生成部131bは、もし文字列が共通部分列から開始する場合には、抽象度「低」の正規表現として、共通部分列からはじまり共通しない部分列をOR演算子で結合した正規表現を生成し、候補集合に追加する。
また、例えば、正規表現生成部131bは、もし文字列が同じ長さである場合には、抽象度「中」の正規表現として、文字種と文字列長を示す正規表現を生成し、候補集合に追加する。また、例えば、正規表現生成部131bは、もし文字列が同じ長さでない場合には、抽象度「高」の正規表現として、任意の文字列にマッチする正規表現を生成し、候補集合に追加するようにしてもよい。
そして、正規表現生成部131bは、各階層の候補集合について、各要素を結合する(図3の(3)参照)。例えば、正規表現生成部131bは、もし次の階層の候補集合の要素が1である場合には、そのまま要素を結合する。また、正規表現生成部131bは、もし次の階層の候補集合の要素が複数である場合には、自身の階層の候補集合に自身を再度追加した後、次の要素を結合する。
次に、図4を用いて、ルール化部131cによる詳しい処理例について説明する。図4は、ルール化部による詳しい処理例について説明する図である。図4に例示するように、ルール化部131cは、正規表現生成部131bからの入力として、正規表現生成部131bが生成した正規表現の入力を受け付けると、マルウェア検体解析結果群を参照し、入力の正規表現がマルウェア検体解析結果群のどのラベルのどの種類の痕跡にマッチするかを照合する。そして、ルール化部131cは、照合したラベルと痕跡の情報を用いて、入力された正規表現をルール化して出力する。
図1の説明に戻って、最適化部132は、列挙部131によって列挙されたルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別する。なお、評価関数は、どのような関数であってもよいが、例えば、検知率および誤検知率のうち、少なくともいずれか一方に基づいて評価値が算出可能な関数であるものとする。例えば、最適化部132は、ルール候補の集合から部分集合をサンプリングし、各部分集合について、解析結果を参照し、検知率、誤検知率、各ルール候補の項目数、ルール集合のサイズ、ルール同士の重複率のいずれか一つまたは複数に基づいて、評価値をそれぞれ算出し、該評価値に基づいてルールを選別する。
最適化部132は、探索部132aおよびルール照合部132bを有する。ここで、図5および図6を用いて、最適化部132による処理の概要を説明する。図5および図6は、最適化部による処理の概要を説明する図である。図5及び図6に示すように、探索部132aは、ルール化部131cによって生成されたルール候補の集合を受け取ると、評価値リストを初期化する。
そして、探索部132aは、ルール集合から部分集合をサンプリングし、ルール照合部132bに部分集合を入力する。ルール照合部132bは、入力された部分集合について、マルウェア検体解析結果群に対する検知率および誤検知率、各ルールの項目数、ルール集合のサイズ、各ルールの重複率等を基に部分集合に対する評価値を算出し、評価値を探索部132aに入力する。つまり、探索部132aは、検知率が高いほど、誤検知率が低いほど、評価値が大きくなる評価関数で、評価値を算出する。また、評価値は、各ルールの項目数が少ないほど、ルール集合のサイズが小さいほど、各ルールの重複率が低いほど、値が大きくなるものとする。
探索部132aは、ルール照合部132bから部分集合の評価値を受け付けると、受け付けた評価値を評価値リストに追加する。その後、探索部132aは、ルール集合から部分集合をサンプリングし、ルール照合部132bに入力する処理を繰り返す。ルール照合部132bは、部分集合が入力されるたびに、部分集合の評価値を算出する。なお、探索部132aは、ルール候補の集合から全パターンの部分集合をサンプリングするまで繰り返してもよいし、所定の条件を満たすまで繰り返してもよい。その後、探索部132aは、評価値リストにおいて最も評価値の高い部分集合に含まれるルールを出力部133に出力する。
図1の説明に戻って、出力部133は、最適化部132によって選別されたルールに、解析結果に含まれるマルウェアの情報を付与して出力する。例えば、出力部133は、図7に例示するように、前述した探索部132aから入力されたルールを受け付け、該ルールに対して、マルウェア検体解析結果群に含まれる付加情報およびハッシュ値を付与する。その上で、出力部133は、IOCを用いる監視ソフトウェアが受理可能な形式(例えば、xml、json等)でファイルを出力する。図7は、出力部による処理の概要を説明する図である。
[ルール生成装置の処理手順]
次に、図8を用いて、第1の実施形態に係るルール生成装置10による処理手順の例を説明する。図8は、第1の実施形態に係るルール生成装置におけるルール生成処理の流れの一例を示すフローチャートである。
次に、図8を用いて、第1の実施形態に係るルール生成装置10による処理手順の例を説明する。図8は、第1の実施形態に係るルール生成装置におけるルール生成処理の流れの一例を示すフローチャートである。
図8に例示するように、ルール生成装置10の列挙部131は、マルウェアの解析結果として、マルウェア検体解析結果群を取得する(ステップS101)。そして、列挙部131は、マルウェアのラベルごとに痕跡リストに対してクラスタリングを施し、類似した痕跡をクラスタに分割する(ステップS102)。
続いて、列挙部131は、クラスタごとに異なる抽象度で正規表現を生成する(ステップS103)。そして、各正規表現を生成元のマルウェア検知解析結果群のラベルと照合してルール化し、ルール候補として列挙する(ステップS104)。
最適化部132は、ルール集合から部分集合をサンプリングし(ステップS105)、部分集合に対する評価値を算出する(ステップS106)。そして、最適化部132は、所定の繰り返し終了条件を満たしたか否かを判定し(ステップS107)、満たしていないと判定した場合には(ステップS107否定)、ステップS105に戻って、処理を繰り返す。
また、最適化部132は、所定の繰り返し終了条件を満たした場合には(ステップS107肯定)、評価値が最も高い部分集合に含まれるルールを選別する(ステップS108)。そして、出力部133は、選別されたルールに対して付加情報等を付与して出力する(ステップS109)。
[第1の実施形態の効果]
このように、第1の実施形態に係るルール生成装置10は、マルウェアの解析結果を用いて、マルウェアの痕跡を検知するためのルールの候補として、それぞれ異なる抽象度のルール候補を列挙し、列挙したルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別する。このため、ルール生成装置10は、マルウェアの痕跡を検知するためのルールを精度よく自動的に生成することが可能である。
このように、第1の実施形態に係るルール生成装置10は、マルウェアの解析結果を用いて、マルウェアの痕跡を検知するためのルールの候補として、それぞれ異なる抽象度のルール候補を列挙し、列挙したルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別する。このため、ルール生成装置10は、マルウェアの痕跡を検知するためのルールを精度よく自動的に生成することが可能である。
IOCにおいては、端末挙動それ自体ではなく、挙動によって生まれる痕跡の表現が求められる。このため、IOCでは、マルウェアが作成する痕跡を誤検知の少ない形で表す正規表現が記載されている必要がある。また、IOCは、セキュリティ分析官が分析に活用する過程でIOCを読み書きするユースケースを前提としているため、人が見てわかりやすい形式の正規表現および説明文が記載されている必要がある。このように、IOCは、高精度かつ高解釈性のルール群が求められる。
第1の実施形態に係るルール生成装置10によれば、ルールの候補として、それぞれ異なる抽象度のルール候補を列挙し、列挙したルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別するので、高精度かつ高解釈性のIOC群を生成できるという効果を奏する。また、ルール生成装置10は、EDRサービスで即座に利用可能なIOC群を生成できる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
図8は、ルール生成プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
図8は、ルール生成プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、例えばディスプレイ1061に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、ルール生成装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施の形態の処理で用いられるデータは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク、WANを介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 ルール生成装置
11 通信部
12 記憶部
13 制御部
131 列挙部
131a クラスタリング部
131b 正規表現生成部
131c ルール化部
132 最適化部
132a 探索部
132b ルール照合部
133 出力部
11 通信部
12 記憶部
13 制御部
131 列挙部
131a クラスタリング部
131b 正規表現生成部
131c ルール化部
132 最適化部
132a 探索部
132b ルール照合部
133 出力部
Claims (6)
- マルウェアの解析結果を用いて、マルウェアの痕跡を検知するためのルールの候補として、それぞれ異なる抽象度のルール候補を列挙する列挙部と、
前記列挙部によって列挙されたルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別する最適化部と
を有し、
前記列挙部は、前記マルウェアの解析結果に含まれるマルウェアの痕跡を、マルウェアの痕跡同士の類似度を基に複数のクラスタに分割し、クラスタごとに低、中、高の3段階のうちいずれか一つまたは複数の抽象度で前記ルール候補の正規表現を生成することを特徴とするルール生成装置。 - 前記最適化部は、前記ルール候補の集合から部分集合をサンプリングし、各部分集合について、前記解析結果を参照し、検知率、誤検知率、各ルール候補の項目数、ルール集合のサイズ、ルール同士の重複率のいずれか一つまたは複数に基づいて、評価値をそれぞれ算出し、該評価値に基づいてルールを選別することを特徴とする請求項1に記載のルール生成装置。
- 前記最適化部によって選別されたルールに、前記解析結果に含まれる前記マルウェアの情報を付与して出力する出力部をさらに有することを特徴とする請求項1または2のいずれか一つに記載のルール生成装置。
- マルウェアの解析結果を用いて、マルウェアの痕跡を検知するためのルールの候補として、それぞれ異なる抽象度のルール候補を列挙する列挙ステップと、
前記列挙ステップによって列挙されたルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別する最適化ステップと
をコンピュータに実行させ、
前記列挙ステップは、前記マルウェアの解析結果に含まれるマルウェアの痕跡を、マルウェアの痕跡同士の類似度を基に複数のクラスタに分割し、クラスタごとに低、中、高の3段階のうちいずれか一つまたは複数の抽象度で前記ルール候補の正規表現を生成することを特徴とするルール生成プログラム。 - 前記最適化ステップは、前記ルール候補の集合から部分集合をサンプリングし、各部分集合について、前記解析結果を参照し、検知率、誤検知率、各ルール候補の項目数、ルール集合のサイズ、ルール同士の重複率のいずれか一つまたは複数に基づいて、評価値をそれぞれ算出し、該評価値に基づいてルールを選別することを特徴とする請求項4に記載のルール生成プログラム。
- 前記最適化ステップによって選別されたルールに、前記解析結果に含まれる前記マルウェアの情報を付与して出力する出力ステップをさらに有することを特徴とする請求項4または5のいずれか一つに記載のルール生成プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2019/046682 WO2021106172A1 (ja) | 2019-11-28 | 2019-11-28 | ルール生成装置およびルール生成プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2021106172A1 JPWO2021106172A1 (ja) | 2021-06-03 |
| JP7315023B2 true JP7315023B2 (ja) | 2023-07-26 |
Family
ID=76128674
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021561090A Active JP7315023B2 (ja) | 2019-11-28 | 2019-11-28 | ルール生成装置およびルール生成プログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20220391505A1 (ja) |
| JP (1) | JP7315023B2 (ja) |
| WO (1) | WO2021106172A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023089674A1 (ja) * | 2021-11-16 | 2023-05-25 | 日本電信電話株式会社 | 生成装置、生成方法および生成プログラム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005258497A (ja) | 2004-03-09 | 2005-09-22 | Hitachi Ltd | ルール組合せ作成方法、装置及びプログラム |
| WO2015114804A1 (ja) | 2014-01-31 | 2015-08-06 | 株式会社日立製作所 | 不正アクセスの検知方法および検知システム |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| US9323931B2 (en) * | 2013-10-04 | 2016-04-26 | Bitdefender IPR Management Ltd. | Complex scoring for malware detection |
| TWI515600B (zh) * | 2013-10-25 | 2016-01-01 | 緯創資通股份有限公司 | 惡意程式防護方法與系統及其過濾表格更新方法 |
| US9563771B2 (en) * | 2014-01-22 | 2017-02-07 | Object Security LTD | Automated and adaptive model-driven security system and method for operating the same |
| CN106105112B (zh) * | 2014-03-19 | 2019-08-27 | 日本电信电话株式会社 | 分析规则调整装置、分析规则调整系统以及分析规则调整方法 |
| US9832219B2 (en) * | 2014-09-05 | 2017-11-28 | International Business Machines Corporation | System for tracking data security threats and method for same |
| EP3258409B1 (en) * | 2015-03-18 | 2019-07-17 | Nippon Telegraph and Telephone Corporation | Device for detecting terminal infected by malware, system for detecting terminal infected by malware, method for detecting terminal infected by malware, and program for detecting terminal infected by malware |
| RU2634211C1 (ru) * | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
-
2019
- 2019-11-28 WO PCT/JP2019/046682 patent/WO2021106172A1/ja active Application Filing
- 2019-11-28 JP JP2021561090A patent/JP7315023B2/ja active Active
- 2019-11-28 US US17/774,478 patent/US20220391505A1/en active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005258497A (ja) | 2004-03-09 | 2005-09-22 | Hitachi Ltd | ルール組合せ作成方法、装置及びプログラム |
| WO2015114804A1 (ja) | 2014-01-31 | 2015-08-06 | 株式会社日立製作所 | 不正アクセスの検知方法および検知システム |
Non-Patent Citations (3)
| Title |
|---|
| PERDISCI, Roberto et al.,Behavioral Clustering of HTTP-Based Malware and Signature Generation Using Malicious Network Traces,Proceedings of the 7th USENIX Conference on Networked Systems Design and Implementations (NSDI' 10),2010年04月30日,pp.1-14 |
| アクティブ・ディフェンスのトータルサービスに向けた攻撃収集・解析・IOC自動生成技術,BUSINESS COMMUNICATION,日本,株式会社ビジネスコミュニケーション社,2019年04月01日,第56巻,第4号,pp.62-64 |
| 畑田 充弘 他,マルウェアの通信モデルによるクラスタリング精度の評価,電子情報通信学会技術研究報告,日本,一般社団法人電子情報通信学会,2016年07月07日,Vol.116, No.131,pp.59-64 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021106172A1 (ja) | 2021-06-03 |
| JPWO2021106172A1 (ja) | 2021-06-03 |
| US20220391505A1 (en) | 2022-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zhang et al. | Enhancing state-of-the-art classifiers with api semantics to detect evolved android malware | |
| US11423146B2 (en) | Provenance-based threat detection tools and stealthy malware detection | |
| US9305116B2 (en) | Dual DFA decomposition for large scale regular expression matching | |
| US20160253229A1 (en) | Event log analysis | |
| CN106997367B (zh) | 程序文件的分类方法、分类装置和分类系统 | |
| JP6708781B2 (ja) | 選択装置、選択方法及び選択プログラム | |
| US10545746B2 (en) | Biosequence-based approach to analyzing binaries | |
| US11048798B2 (en) | Method for detecting libraries in program binaries | |
| CN114077741B (zh) | 软件供应链安全检测方法和装置、电子设备及存储介质 | |
| EP3051767A1 (en) | Method and apparatus for automatically identifying signature of malicious traffic using latent dirichlet allocation | |
| US11580222B2 (en) | Automated malware analysis that automatically clusters sandbox reports of similar malware samples | |
| WO2022180702A1 (ja) | 解析機能付与装置、解析機能付与プログラム及び解析機能付与方法 | |
| Palahan et al. | Extraction of statistically significant malware behaviors | |
| Kumar et al. | Machine learning based malware detection in cloud environment using clustering approach | |
| US20160098563A1 (en) | Signatures for software components | |
| JP7315023B2 (ja) | ルール生成装置およびルール生成プログラム | |
| JP2019016335A (ja) | コンピュータシステムにおけるデータ損失を防止するためのシステム及び方法 | |
| WO2023067668A1 (ja) | 解析機能付与方法、解析機能付与装置及び解析機能付与プログラム | |
| CN113688240B (zh) | 威胁要素提取方法、装置、设备及存储介质 | |
| JP6984760B2 (ja) | 変換装置及び変換プログラム | |
| KR102289408B1 (ko) | 해시 코드 기반의 검색 장치 및 검색 방법 | |
| Wrench et al. | Detecting derivative malware samples using deobfuscation-assisted similarity analysis | |
| CN105279434A (zh) | 恶意程序样本家族命名方法及装置 | |
| JP7501782B2 (ja) | 活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム | |
| WO2023067667A1 (ja) | 解析機能付与方法、解析機能付与装置及び解析機能付与プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220328 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230404 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230529 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230613 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230626 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7315023 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |