JP7318731B2 - ラベル付与装置およびラベル付与プログラム - Google Patents
ラベル付与装置およびラベル付与プログラム Download PDFInfo
- Publication number
- JP7318731B2 JP7318731B2 JP2021561171A JP2021561171A JP7318731B2 JP 7318731 B2 JP7318731 B2 JP 7318731B2 JP 2021561171 A JP2021561171 A JP 2021561171A JP 2021561171 A JP2021561171 A JP 2021561171A JP 7318731 B2 JP7318731 B2 JP 7318731B2
- Authority
- JP
- Japan
- Prior art keywords
- malware
- label
- labeled
- feature
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000002372 labelling Methods 0.000 title claims description 52
- 239000013598 vector Substances 0.000 claims description 25
- 238000000605 extraction Methods 0.000 claims description 17
- 239000000284 extract Substances 0.000 claims description 5
- 238000012545 processing Methods 0.000 description 20
- 238000000034 method Methods 0.000 description 19
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000002155 anti-virotic effect Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- General Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Image Analysis (AREA)
Description
特許法第30条第2項適用 Black Hat Europe 2019 Arsenal、ExCeL London(Royal Docks,Docklands,London,E16 United Kingdom) 開催日 2019年12月4日~5日(発表日 2019年12月4日) https://github.com/killvxk/avclassplusplus/blob/da2888ea86f65895afc4bffbdb906cdb6b7a36c2/README.md ウェブサイトの掲載日 2019年11月13日
本発明は、ラベル付与装置およびラベル付与プログラムに関する。
従来、マルウェア分類に用いるデータセットを作成する際にマルウェアのラベルを用いることがある。このようなラベルとして、アンチウイルスソフトウェア(以下、アンチウイルスと記載)による検知名を用いることがある。この場合に、ラベルは1つのマルウェアに一つ付与される。
マルウェアの中には、ある1つのアンチウイルスではラベルが付与できない検体が存在する。これに対し、複数社のアンチウイルスを用いて1つ以上のラベルの候補を列挙し、それらを正規化・統合したラベルを生成して付与するAVCLASSという手法がある。
Marcos Sebastian, Richard Rivera, Platon Kotzias, and Juan Caballero. 2016. 「AVclass: A Tool for Massive Malware Labeling」. In Proceedings of the 19th International Symposium on Research in Attacks, Intrusions, and Defenses (RAID’16). 230-253..
Hyrum S. Anderson and Phil Roth. 2018. 「EMBER: An Open Dataset for Training Static PE Malware Machine Learning Models」. CoRR, abs/1804.04637.
Xiaojin Zhu and Zoubin Ghahramani. 2002. 「Learning from Labeled and Unlabeled Data with Label Propagation」. Technical Report CMU-CALD-02-107, Carnegie Mellon University.
従来の方法では、マルウェアに対してラベルを適切に付与できない場合があるという課題があった。例えば、上述したAVCLASSの手法では、ラベル候補が発生することを前提としているため、ラベル候補が出力されない場合にはマルウェアに対してラベル付けができなくなってしまう。なお、ラベル候補の中にアンチウイルスが自動生成したランダムな文字列がラベルとして含まれている場合、有用なラベルが付与できない場合があった。
上述した課題を解決し、目的を達成するために、本発明のラベル付与装置は、ラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴とを抽出する特徴抽出部と、前記特徴抽出部によって抽出されたラベル付与対象のマルウェアの特徴と、前記マルウェア群の各特徴との類似度に基づいて、前記マルウェア群の各特徴のうち、前記ラベル付与対象のマルウェアの特徴と最も類似するマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、前記ラベル付与対象のマルウェアに付与するラベル付与部とを有することを特徴とする。
本発明によれば、ラベル候補がない場合であっても、マルウェアに対してラベルを適切に付与することができるという効果を奏する。
以下に、本願に係るラベル付与装置およびラベル付与プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係るラベル付与装置およびラベル付与プログラムが限定されるものではない。
[第1の実施形態]
以下の実施の形態では、第1の実施形態に係るラベル付与装置10の構成、ラベル付与装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
以下の実施の形態では、第1の実施形態に係るラベル付与装置10の構成、ラベル付与装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
[ラベル付与装置の構成]
まず、図1を用いて、ラベル付与装置10の構成について説明する。図1は、第1の実施形態に係るラベル付与装置の構成の一例を示す図である。ラベル付与装置10は、マルウェアのラベルが既知の検体群を基準に、ラベルが未知の検体にラベルを自動付与する装置である。なお、ラベルが既知のマルウェア群(検体群)は、各マルウェアがそれぞれ一意のラベルをもつ場合に限定されるものではなく、同一のラベルをもつ複数のマルウェアが含まれていてもよいものとする。
まず、図1を用いて、ラベル付与装置10の構成について説明する。図1は、第1の実施形態に係るラベル付与装置の構成の一例を示す図である。ラベル付与装置10は、マルウェアのラベルが既知の検体群を基準に、ラベルが未知の検体にラベルを自動付与する装置である。なお、ラベルが既知のマルウェア群(検体群)は、各マルウェアがそれぞれ一意のラベルをもつ場合に限定されるものではなく、同一のラベルをもつ複数のマルウェアが含まれていてもよいものとする。
図1に示すように、ラベル付与装置10は、通信部11、入力部12、出力部13、記憶部14及び制御部15を有する。以下では、各部について説明する。
通信部11は、ネットワーク等を介して接続された他の装置との間で、各種情報を送受信する通信インタフェースである。通信部11は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した他の装置と制御部15との間の通信を行う。
入力部12は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部13は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。
記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、ラベル付与装置10を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。
制御部15は、各種の処理手順などを規定したプログラム及び所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。例えば、制御部15は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路である。制御部15は、リスト取得部15a、特徴抽出部15bおよびラベル付与部15cを有する。
リスト取得部15aは、マルウェアに対して作成されたラベル候補リストを取得し、取得したラベル候補リストが空である場合には、該ラベル候補リストのマルウェアをラベル付与対象のマルウェアとして特定する。
ここで、図2を用いて、リスト取得部15aによる処理の概要について説明する。図2は、リスト取得部による処理の概要を説明する図である。図2に例示するように、リスト取得部15aは、複数のマルウェア検体について作成されたラベル候補リストを取得する。なお、ラベル候補リストを作成する処理は、既存の手法により、外部の装置が行ってもよいし、ラベル付与装置10が行ってもよい。
そして、リスト取得部15aは、ラベル候補リストを取得すると、各ラベル候補リストにラベル候補が一つ以上あるか検索する。つまり、リスト取得部15aは、各ラベル候補リストが空であるか検索する。続いて、リスト取得部15aは、ラベル候補リストにラベルが含まれる場合には、該ラベルが、ランダムに生成された文字列か否かを判定し、ランダムに生成された文字列であると判定した場合には、該文字列のラベルを除外する。例えば、リスト取得部15aは、各ラベル候補リストに含まれる各ラベル候補について、文字列がランダムな文字列であるかを評価する指標「N-gram normality score」や「Meaningful characters ratio」を算出し、算出した指標値が一定の閾値を下回ったラベルを当該候補リストから除外する。
つまり、リスト取得部15aは、取得したラベル候補リストに含まれるラベル候補のうち、ランダムな文字列のラベルを有用でないラベル候補として除外する。具体例を挙げて説明すると、リスト取得部15aは、例えば、「MmNfrHgm40bj1」、「Trojan.MmNfrHgm40bj1」、「Olympus」をラベル候補として含むラベル候補リストを取得する。ここで、「MmNfrHgm40bj1」および「Trojan.MmNfrHgm40bj1」がランダムに生成された文字列であり、「Olympus」のみが有用なラベルであるものとする。そこで、リスト取得部15aは、「N-gram normality score」や「Meaningful characters ratio」といった指標を用いて、ラベルがランダムに生成された文字列か否かを判定し、ランダムに生成された文字列であると判定した場合には、該文字列のラベルを有用でないラベル候補として除外する。なお、「N-gram normality score」や「Meaningful characters ratio」といった指標は、与えられた文字列が英単語によく見られる文字の並びから構成されているかどうかを識別するものであり、この指標を用いることで、例えば、「MmNfrHgm40bj1」はランダムな文字列である、「Olympus」の場合はランダムな文字列ではないと判定することが可能である。
そして、リスト取得部15aは、ラベル候補が無い空のラベル候補リストがあった場合には、該ラベル候補リストのマルウェア検体Xをラベル付与対象のマルウェア検体として特定する。
図1の説明に戻って、特徴抽出部15bは、ラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴とを抽出する。また、特徴抽出部15bは、ラベル付与対象のマルウェアおよびラベルが既知のマルウェア群から抽出された特徴を特徴ベクトルに変換する。
例えば、特徴抽出部15bは、ラベル付与対象のマルウェアおよびラベルが既知のマルウェア群について、「Byte histogram」、「printable strings」、「file size」、「PE headers」、「sections」、「imports」、「exports」等の特徴を抽出する。そして、特徴抽出部15bは、抽出した特徴をベクトルに変換する。
ラベル付与部15cは、特徴抽出部15bによって抽出されたラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴との類似度に基づいて、ラベルが既知のマルウェア群の各特徴のうち、ラベル付与対象のマルウェアの特徴と最も類似するマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、ラベル付与対象のマルウェアに付与する。
具体的には、ラベル付与部15cは、特徴抽出部15bによって変換されたラベル付与対象のマルウェアの特徴ベクトルと、ラベルが既知のマルウェア群の各特徴ベクトルとの類似度をそれぞれ計算し、ラベルが既知のマルウェア群の各特徴ベクトルのうち、類似度が最も大きいマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、ラベル付与対象のマルウェアに付与する。なお、類似度を計算する手法は、既存のどの手法を用いてもよい。
例えば、ラベル付与部15cは、ラベルが既知のマルウェア群の特徴ベクトルとラベル付与対象のマルウェアの特徴ベクトル両方をノード、ノード間の類似度をエッジの重みとするグラフを作成する。そして、ラベル付与部15cはラベル付与対象のマルウェアのノードが繋がっている近傍のノードから、重みに沿ってラベルを伝播させる(例えば、上記の非特許文献3参照)ようにしてもよい。言い換えれば、ラベル付与部15cは、特徴ベクトルが最も類似しているノードのラベルを、ラベル付与対象のマルウェアに付与する。
ここで、図3を用いて、特徴抽出部15bおよびラベル付与部15cによる処理の概要を説明する。図3は、特徴抽出部およびラベル付与部による処理の概要を説明する図である。図3に例示するように、特徴抽出部15bは、ラベル付与対象のマルウェアの検体Xのファイルと、ラベルが既知であるマルウェアの検体1~nのファイル群とを入力として受け付ける。そして、特徴抽出部15bは、検体Xの特徴ベクトルと検体1~nの特徴ベクトルをラベル付与部15cに出力する。
ラベル付与部15cは、特徴抽出部15bから検体Xの特徴ベクトルと検体1~nの特徴ベクトルの入力を受け付ける。また、ラベル付与部15cは、AVCLASSでラベル候補リストから生成された検体1~nのラベルの入力も受け付ける。なお、AVCLASSでラベル候補リストから検体1~nのラベルを生成する処理については、既存の手法により、外部の装置が行ってもよいし、ラベル付与装置10が行ってもよい。
ラベル付与部15cは、検体Xの特徴ベクトルと、検体1~nの各特徴ベクトルとの類似度をそれぞれ計算し検体1~nの各特徴ベクトルのうち、類似度が最も大きい検体または検体群を特定し、該検体に付与されているラベルを、検体Xのマルウェアに付与する。
このように、ラベル付与装置10は、ある検体Xに対する検知名候補リストが空だった場合、その検体Xのファイルの特徴と、すでにラベルを付与できたマルウェアの検体1~nのファイル群との特徴を比較し、類似したマルウェアに付与されたラベルを検体Xのマルウェアに対しても付与する。
[ラベル付与装置の処理手順]
次に、図4を用いて、第1の実施形態に係るラベル付与装置10による処理手順の例を説明する。図4は、第1の実施形態に係るラベル付与装置におけるラベル付与処理の流れの一例を示すフローチャートである。
次に、図4を用いて、第1の実施形態に係るラベル付与装置10による処理手順の例を説明する。図4は、第1の実施形態に係るラベル付与装置におけるラベル付与処理の流れの一例を示すフローチャートである。
図4に例示するように、ラベル付与装置10のリスト取得部15aは、マルウェアに対して作成されたラベル候補リストを取得し(ステップS101)、各ラベル候補リストにラベル候補が一つ以上あるか検索する(ステップS102)。
続いて、リスト取得部15aは、取得したラベル候補リストに含まれるラベル候補のうち、ランダムな文字列のラベルを除外する(ステップS103)。具体的には、リスト取得部15aは、各ラベル候補リストに含まれる各ラベル候補について、文字列がランダムな文字列であるかを評価する指標値を算出し、指標値が一定の閾値を下回ったラベルを当該候補リストから除外する。そして、リスト取得部15aは、検索を行った結果、全てのラベル候補リストにラベル候補が一つ以上ある場合には(ステップS104肯定)、そのまま処理を終了する。つまり、ラベル付与装置10は、例えば、既存のAVCLASSでラベル候補リストからラベルを生成して付与することができる。
一方、リスト取得部15aが、ラベル候補リストにラベル候補がないと判定した場合には(ステップS104否定)、特徴抽出部15bは、ラベル付与対象の検体の特徴ベクトルと、既知検体群の特徴ベクトルとを抽出する(ステップS105)。
そして、ラベル付与部15cは、ラベル付与対象の検体の特徴ベクトルと、既知検体群の特徴ベクトルとを比較し(ステップS106)、ラベル付与対象の検体と類似する既知検体(もしくは検体群)のラベルをラベル付与対象の検体に付与する(ステップS107)。
[第1の実施形態の効果]
このように、第1の実施形態に係るラベル付与装置10は、ラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴とを抽出する。そして、ラベル付与装置10は、抽出したラベル付与対象のマルウェアの特徴と、マルウェア群の各特徴との類似度に基づいて、マルウェア群の各特徴のうち、ラベル付与対象のマルウェアの特徴と最も類似するマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、ラベル付与対象のマルウェアに付与する。このため、ラベル付与装置10では、ラベル候補がない場合であっても、マルウェアに対してラベルを適切に付与することができるという効果を奏する。
このように、第1の実施形態に係るラベル付与装置10は、ラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴とを抽出する。そして、ラベル付与装置10は、抽出したラベル付与対象のマルウェアの特徴と、マルウェア群の各特徴との類似度に基づいて、マルウェア群の各特徴のうち、ラベル付与対象のマルウェアの特徴と最も類似するマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、ラベル付与対象のマルウェアに付与する。このため、ラベル付与装置10では、ラベル候補がない場合であっても、マルウェアに対してラベルを適切に付与することができるという効果を奏する。
つまり、ラベル付与装置10では、マルウェアに付与するラベルとして、そのマルウェアと特徴が類似する既存のマルウェア群のラベルを活用することで、マルウェアにラベルが付与でき、データセットを生成できるという効果がある。さらに、ラベル付与装置10では、マルウェア群のラベルをマルウェアに付与するため、マルウェアとラベルを1:1で付与するという手間が不要になるという効果もある。
また、ラベル付与装置10は、ラベル候補リストに含まれるラベル候補のうち、ランダムな文字列のラベルを除外するので、有用でないラベル候補を除外することができる結果、ラベル付与の精度を高めることが可能である。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
図5は、ラベル付与プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
図5は、ラベル付与プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、例えばディスプレイ1061に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、ラベル付与装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施の形態の処理で用いられるデータは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク、WANを介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 ラベル付与装置
11 通信部
12 入力部
13 出力部
14 記憶部
15 制御部
15a リスト取得部
15b 特徴抽出部
15c ラベル付与部
11 通信部
12 入力部
13 出力部
14 記憶部
15 制御部
15a リスト取得部
15b 特徴抽出部
15c ラベル付与部
Claims (4)
- マルウェアに対して作成されたラベル候補リストを取得し、取得したラベル候補リストにラベルが含まれる場合には、該ラベルが、ランダムに生成された文字列か否かを判定し、ランダムに生成された文字列であると判定した場合には、該文字列のラベルを除外し、取得したラベル候補リストが空である場合には、該ラベル候補リストのマルウェアをラベル付与対象のマルウェアとして特定するリスト取得部と、
前記リスト取得部によって特定されたラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴とを抽出する特徴抽出部と、
前記特徴抽出部によって抽出されたラベル付与対象のマルウェアの特徴と、前記マルウェア群の各特徴との類似度に基づいて、前記マルウェア群の各特徴のうち、前記ラベル付与対象のマルウェアの特徴と最も類似するマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、前記ラベル付与対象のマルウェアに付与するラベル付与部と
を有することを特徴とするラベル付与装置。 - 前記特徴抽出部は、前記ラベル付与対象のマルウェアおよび前記マルウェア群から抽出された特徴を特徴ベクトルにそれぞれ変換し、
前記ラベル付与部は、前記特徴抽出部によって変換された前記ラベル付与対象のマルウェアの特徴ベクトルと、前記マルウェア群の各特徴ベクトルとの類似度をそれぞれ計算し、前記マルウェア群の各特徴ベクトルのうち、前記類似度が最も大きいマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、前記ラベル付与対象のマルウェアに付与することを特徴とする請求項1に記載のラベル付与装置。 - マルウェアに対して作成されたラベル候補リストを取得し、取得したラベル候補リストにラベルが含まれる場合には、該ラベルが、ランダムに生成された文字列か否かを判定し、ランダムに生成された文字列であると判定した場合には、該文字列のラベルを除外し、取得したラベル候補リストが空である場合には、該ラベル候補リストのマルウェアをラベル付与対象のマルウェアとして特定するリスト取得ステップと、
前記リスト取得ステップによって特定されたラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴とを抽出する特徴抽出ステップと、
前記特徴抽出ステップによって抽出されたラベル付与対象のマルウェアの特徴と、前記マルウェア群の各特徴との類似度に基づいて、前記マルウェア群の各特徴のうち、前記ラベル付与対象のマルウェアの特徴と最も類似するマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、前記ラベル付与対象のマルウェアに付与するラベル付与ステップと
をコンピュータに実行させることを特徴とするラベル付与プログラム。 - 前記特徴抽出ステップは、前記ラベル付与対象のマルウェアおよび前記マルウェア群から抽出された特徴を特徴ベクトルにそれぞれ変換し、
前記ラベル付与ステップは、前記特徴抽出ステップによって変換された前記ラベル付与対象のマルウェアの特徴ベクトルと、前記マルウェア群の各特徴ベクトルとの類似度をそれぞれ計算し、前記マルウェア群の各特徴ベクトルのうち、前記類似度が最も大きいマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、前記ラベル付与対象のマルウェアに付与することを特徴とする請求項3に記載のラベル付与プログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JPPCT/JP2019/046683 | 2019-11-28 | ||
| PCT/JP2019/046683 WO2021106173A1 (ja) | 2019-11-28 | 2019-11-28 | ラベル付与装置およびラベル付与プログラム |
| PCT/JP2020/033818 WO2021106306A1 (ja) | 2019-11-28 | 2020-09-07 | ラベル付与装置およびラベル付与プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2021106306A1 JPWO2021106306A1 (ja) | 2021-06-03 |
| JP7318731B2 true JP7318731B2 (ja) | 2023-08-01 |
Family
ID=76128849
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021561171A Active JP7318731B2 (ja) | 2019-11-28 | 2020-09-07 | ラベル付与装置およびラベル付与プログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230004645A1 (ja) |
| JP (1) | JP7318731B2 (ja) |
| WO (2) | WO2021106173A1 (ja) |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8161548B1 (en) * | 2005-08-15 | 2012-04-17 | Trend Micro, Inc. | Malware detection using pattern classification |
| CN104640105B (zh) * | 2013-11-12 | 2019-08-23 | 上海圣南赛溪信息科技有限公司 | 手机病毒分析和威胁关联的方法和系统 |
| GB2555192B (en) * | 2016-08-02 | 2021-11-24 | Invincea Inc | Methods and apparatus for detecting and identifying malware by mapping feature data into a semantic space |
| CN108256325A (zh) * | 2016-12-29 | 2018-07-06 | 中移(苏州)软件技术有限公司 | 一种恶意代码变种的检测的方法和装置 |
| CN108280350B (zh) * | 2018-02-05 | 2021-09-28 | 南京航空航天大学 | 一种面向Android的移动网络终端恶意软件多特征检测方法 |
| CN109359274B (zh) * | 2018-09-14 | 2023-05-02 | 蚂蚁金服(杭州)网络技术有限公司 | 一种对批量生成的字符串进行识别的方法、装置及设备 |
| US11714905B2 (en) * | 2019-05-10 | 2023-08-01 | Sophos Limited | Attribute relevance tagging in malware recognition |
| US11689561B2 (en) * | 2019-11-11 | 2023-06-27 | Microsoft Technology Licensing, Llc | Detecting unknown malicious content in computer systems |
-
2019
- 2019-11-28 WO PCT/JP2019/046683 patent/WO2021106173A1/ja active Application Filing
-
2020
- 2020-09-07 JP JP2021561171A patent/JP7318731B2/ja active Active
- 2020-09-07 US US17/777,999 patent/US20230004645A1/en active Pending
- 2020-09-07 WO PCT/JP2020/033818 patent/WO2021106306A1/ja active Application Filing
Non-Patent Citations (1)
| Title |
|---|
| 堀合 啓一,ハミング距離によるマルウェア亜種の自動分類,情報処理学会研究報告 Vol.2008 No.45,日本,社団法人情報処理学会,2008年05月15日,p.61-66 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20230004645A1 (en) | 2023-01-05 |
| WO2021106173A1 (ja) | 2021-06-03 |
| WO2021106306A1 (ja) | 2021-06-03 |
| JPWO2021106306A1 (ja) | 2021-06-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Cakir et al. | Malware classification using deep learning methods | |
| CN110348214B (zh) | 对恶意代码检测的方法及系统 | |
| US10552462B1 (en) | Systems and methods for tokenizing user-annotated names | |
| Santos et al. | Semi-supervised learning for unknown malware detection | |
| RU2635902C1 (ru) | Способ и система отбора обучающих признаков для алгоритма машинного обучения | |
| Carlin et al. | The effects of traditional anti-virus labels on malware detection using dynamic runtime opcodes | |
| JP6912488B2 (ja) | 文字列距離計算方法及び装置 | |
| US9535910B2 (en) | Corpus generation based upon document attributes | |
| RU2722692C1 (ru) | Способ и система выявления вредоносных файлов в неизолированной среде | |
| CN113688240B (zh) | 威胁要素提取方法、装置、设备及存储介质 | |
| CN111222137A (zh) | 一种程序分类模型训练方法、程序分类方法及装置 | |
| US20190318191A1 (en) | Noise mitigation in vector space representations of item collections | |
| US7599921B2 (en) | System and method for improved name matching using regularized name forms | |
| EP4044054A1 (en) | Execution behavior analysis text-based ensemble malware detector | |
| Pashaei et al. | A combined SVM and Markov model approach for splice site identification | |
| KR102031592B1 (ko) | 악성코드를 탐지하기 위한 방법 및 장치 | |
| Alqurashi et al. | A comparison between API call sequences and opcode sequences as reflectors of malware behavior | |
| CN112231696B (zh) | 恶意样本的识别方法、装置、计算设备以及介质 | |
| JP7318731B2 (ja) | ラベル付与装置およびラベル付与プログラム | |
| Thosar et al. | Effective malware detection using gradient boosting and convolutional neural network | |
| Yaseen et al. | A Deep Learning-based Approach for Malware Classification using Machine Code to Image Conversion | |
| CN115455416A (zh) | 一种恶意代码检测方法、装置、电子设备及存储介质 | |
| US11334607B2 (en) | Identifying key words within a plurality of documents | |
| JP6740184B2 (ja) | 付与装置、付与方法および付与プログラム | |
| WO2011118428A1 (ja) | 要求獲得システム、要求獲得方法、及び要求獲得用プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220415 |
|
| A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A801 Effective date: 20220415 |
|
| A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A80 Effective date: 20220415 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230425 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230609 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230620 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230703 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7318731 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |