JP7315023B2 - ルール生成装置およびルール生成プログラム - Google Patents
ルール生成装置およびルール生成プログラム Download PDFInfo
- Publication number
- JP7315023B2 JP7315023B2 JP2021561090A JP2021561090A JP7315023B2 JP 7315023 B2 JP7315023 B2 JP 7315023B2 JP 2021561090 A JP2021561090 A JP 2021561090A JP 2021561090 A JP2021561090 A JP 2021561090A JP 7315023 B2 JP7315023 B2 JP 7315023B2
- Authority
- JP
- Japan
- Prior art keywords
- rule
- malware
- unit
- candidates
- evaluation value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Description
以下の実施の形態では、第1の実施形態に係るルール生成装置10の構成、ルール生成装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
まず、図1を用いて、ルール生成装置10の構成について説明する。図1は、第1の実施形態に係るルール生成装置の構成の一例を示す図である。ルール生成装置10は、マルウェアの解析結果からマルウェアの痕跡を検知するためのルールを自動生成する装置である。
次に、図8を用いて、第1の実施形態に係るルール生成装置10による処理手順の例を説明する。図8は、第1の実施形態に係るルール生成装置におけるルール生成処理の流れの一例を示すフローチャートである。
このように、第1の実施形態に係るルール生成装置10は、マルウェアの解析結果を用いて、マルウェアの痕跡を検知するためのルールの候補として、それぞれ異なる抽象度のルール候補を列挙し、列挙したルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別する。このため、ルール生成装置10は、マルウェアの痕跡を検知するためのルールを精度よく自動的に生成することが可能である。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
図8は、ルール生成プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
11 通信部
12 記憶部
13 制御部
131 列挙部
131a クラスタリング部
131b 正規表現生成部
131c ルール化部
132 最適化部
132a 探索部
132b ルール照合部
133 出力部
Claims (6)
- マルウェアの解析結果を用いて、マルウェアの痕跡を検知するためのルールの候補として、それぞれ異なる抽象度のルール候補を列挙する列挙部と、
前記列挙部によって列挙されたルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別する最適化部と
を有し、
前記列挙部は、前記マルウェアの解析結果に含まれるマルウェアの痕跡を、マルウェアの痕跡同士の類似度を基に複数のクラスタに分割し、クラスタごとに低、中、高の3段階のうちいずれか一つまたは複数の抽象度で前記ルール候補の正規表現を生成することを特徴とするルール生成装置。 - 前記最適化部は、前記ルール候補の集合から部分集合をサンプリングし、各部分集合について、前記解析結果を参照し、検知率、誤検知率、各ルール候補の項目数、ルール集合のサイズ、ルール同士の重複率のいずれか一つまたは複数に基づいて、評価値をそれぞれ算出し、該評価値に基づいてルールを選別することを特徴とする請求項1に記載のルール生成装置。
- 前記最適化部によって選別されたルールに、前記解析結果に含まれる前記マルウェアの情報を付与して出力する出力部をさらに有することを特徴とする請求項1または2のいずれか一つに記載のルール生成装置。
- マルウェアの解析結果を用いて、マルウェアの痕跡を検知するためのルールの候補として、それぞれ異なる抽象度のルール候補を列挙する列挙ステップと、
前記列挙ステップによって列挙されたルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別する最適化ステップと
をコンピュータに実行させ、
前記列挙ステップは、前記マルウェアの解析結果に含まれるマルウェアの痕跡を、マルウェアの痕跡同士の類似度を基に複数のクラスタに分割し、クラスタごとに低、中、高の3段階のうちいずれか一つまたは複数の抽象度で前記ルール候補の正規表現を生成することを特徴とするルール生成プログラム。 - 前記最適化ステップは、前記ルール候補の集合から部分集合をサンプリングし、各部分集合について、前記解析結果を参照し、検知率、誤検知率、各ルール候補の項目数、ルール集合のサイズ、ルール同士の重複率のいずれか一つまたは複数に基づいて、評価値をそれぞれ算出し、該評価値に基づいてルールを選別することを特徴とする請求項4に記載のルール生成プログラム。
- 前記最適化ステップによって選別されたルールに、前記解析結果に含まれる前記マルウェアの情報を付与して出力する出力ステップをさらに有することを特徴とする請求項4または5のいずれか一つに記載のルール生成プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/046682 WO2021106172A1 (ja) | 2019-11-28 | 2019-11-28 | ルール生成装置およびルール生成プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2021106172A1 JPWO2021106172A1 (ja) | 2021-06-03 |
JP7315023B2 true JP7315023B2 (ja) | 2023-07-26 |
Family
ID=76128674
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021561090A Active JP7315023B2 (ja) | 2019-11-28 | 2019-11-28 | ルール生成装置およびルール生成プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20220391505A1 (ja) |
JP (1) | JP7315023B2 (ja) |
WO (1) | WO2021106172A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023089674A1 (ja) * | 2021-11-16 | 2023-05-25 | 日本電信電話株式会社 | 生成装置、生成方法および生成プログラム |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005258497A (ja) | 2004-03-09 | 2005-09-22 | Hitachi Ltd | ルール組合せ作成方法、装置及びプログラム |
WO2015114804A1 (ja) | 2014-01-31 | 2015-08-06 | 株式会社日立製作所 | 不正アクセスの検知方法および検知システム |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
US9323931B2 (en) * | 2013-10-04 | 2016-04-26 | Bitdefender IPR Management Ltd. | Complex scoring for malware detection |
TWI515600B (zh) * | 2013-10-25 | 2016-01-01 | 緯創資通股份有限公司 | 惡意程式防護方法與系統及其過濾表格更新方法 |
US9563771B2 (en) * | 2014-01-22 | 2017-02-07 | Object Security LTD | Automated and adaptive model-driven security system and method for operating the same |
CN106105112B (zh) * | 2014-03-19 | 2019-08-27 | 日本电信电话株式会社 | 分析规则调整装置、分析规则调整系统以及分析规则调整方法 |
US9832219B2 (en) * | 2014-09-05 | 2017-11-28 | International Business Machines Corporation | System for tracking data security threats and method for same |
EP3258409B1 (en) * | 2015-03-18 | 2019-07-17 | Nippon Telegraph and Telephone Corporation | Device for detecting terminal infected by malware, system for detecting terminal infected by malware, method for detecting terminal infected by malware, and program for detecting terminal infected by malware |
RU2634211C1 (ru) * | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
-
2019
- 2019-11-28 WO PCT/JP2019/046682 patent/WO2021106172A1/ja active Application Filing
- 2019-11-28 JP JP2021561090A patent/JP7315023B2/ja active Active
- 2019-11-28 US US17/774,478 patent/US20220391505A1/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005258497A (ja) | 2004-03-09 | 2005-09-22 | Hitachi Ltd | ルール組合せ作成方法、装置及びプログラム |
WO2015114804A1 (ja) | 2014-01-31 | 2015-08-06 | 株式会社日立製作所 | 不正アクセスの検知方法および検知システム |
Non-Patent Citations (3)
Title |
---|
PERDISCI, Roberto et al.,Behavioral Clustering of HTTP-Based Malware and Signature Generation Using Malicious Network Traces,Proceedings of the 7th USENIX Conference on Networked Systems Design and Implementations (NSDI' 10),2010年04月30日,pp.1-14 |
アクティブ・ディフェンスのトータルサービスに向けた攻撃収集・解析・IOC自動生成技術,BUSINESS COMMUNICATION,日本,株式会社ビジネスコミュニケーション社,2019年04月01日,第56巻,第4号,pp.62-64 |
畑田 充弘 他,マルウェアの通信モデルによるクラスタリング精度の評価,電子情報通信学会技術研究報告,日本,一般社団法人電子情報通信学会,2016年07月07日,Vol.116, No.131,pp.59-64 |
Also Published As
Publication number | Publication date |
---|---|
WO2021106172A1 (ja) | 2021-06-03 |
JPWO2021106172A1 (ja) | 2021-06-03 |
US20220391505A1 (en) | 2022-12-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zhang et al. | Enhancing state-of-the-art classifiers with api semantics to detect evolved android malware | |
US11423146B2 (en) | Provenance-based threat detection tools and stealthy malware detection | |
US9305116B2 (en) | Dual DFA decomposition for large scale regular expression matching | |
US20160253229A1 (en) | Event log analysis | |
CN106997367B (zh) | 程序文件的分类方法、分类装置和分类系统 | |
JP6708781B2 (ja) | 選択装置、選択方法及び選択プログラム | |
US10545746B2 (en) | Biosequence-based approach to analyzing binaries | |
US11048798B2 (en) | Method for detecting libraries in program binaries | |
CN114077741B (zh) | 软件供应链安全检测方法和装置、电子设备及存储介质 | |
EP3051767A1 (en) | Method and apparatus for automatically identifying signature of malicious traffic using latent dirichlet allocation | |
US11580222B2 (en) | Automated malware analysis that automatically clusters sandbox reports of similar malware samples | |
WO2022180702A1 (ja) | 解析機能付与装置、解析機能付与プログラム及び解析機能付与方法 | |
Palahan et al. | Extraction of statistically significant malware behaviors | |
Kumar et al. | Machine learning based malware detection in cloud environment using clustering approach | |
US20160098563A1 (en) | Signatures for software components | |
JP7315023B2 (ja) | ルール生成装置およびルール生成プログラム | |
JP2019016335A (ja) | コンピュータシステムにおけるデータ損失を防止するためのシステム及び方法 | |
WO2023067668A1 (ja) | 解析機能付与方法、解析機能付与装置及び解析機能付与プログラム | |
CN113688240B (zh) | 威胁要素提取方法、装置、设备及存储介质 | |
JP6984760B2 (ja) | 変換装置及び変換プログラム | |
KR102289408B1 (ko) | 해시 코드 기반의 검색 장치 및 검색 방법 | |
Wrench et al. | Detecting derivative malware samples using deobfuscation-assisted similarity analysis | |
CN105279434A (zh) | 恶意程序样本家族命名方法及装置 | |
JP7501782B2 (ja) | 活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム | |
WO2023067667A1 (ja) | 解析機能付与方法、解析機能付与装置及び解析機能付与プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220328 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230404 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230529 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230613 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230626 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7315023 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |