JP7318731B2 - ラベル付与装置およびラベル付与プログラム - Google Patents
ラベル付与装置およびラベル付与プログラム Download PDFInfo
- Publication number
- JP7318731B2 JP7318731B2 JP2021561171A JP2021561171A JP7318731B2 JP 7318731 B2 JP7318731 B2 JP 7318731B2 JP 2021561171 A JP2021561171 A JP 2021561171A JP 2021561171 A JP2021561171 A JP 2021561171A JP 7318731 B2 JP7318731 B2 JP 7318731B2
- Authority
- JP
- Japan
- Prior art keywords
- malware
- label
- labeled
- feature
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000002372 labelling Methods 0.000 title claims description 52
- 239000013598 vector Substances 0.000 claims description 25
- 238000000605 extraction Methods 0.000 claims description 17
- 239000000284 extract Substances 0.000 claims description 5
- 238000012545 processing Methods 0.000 description 20
- 238000000034 method Methods 0.000 description 19
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000002155 anti-virotic effect Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- General Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Image Analysis (AREA)
Description
以下の実施の形態では、第1の実施形態に係るラベル付与装置10の構成、ラベル付与装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
まず、図1を用いて、ラベル付与装置10の構成について説明する。図1は、第1の実施形態に係るラベル付与装置の構成の一例を示す図である。ラベル付与装置10は、マルウェアのラベルが既知の検体群を基準に、ラベルが未知の検体にラベルを自動付与する装置である。なお、ラベルが既知のマルウェア群(検体群)は、各マルウェアがそれぞれ一意のラベルをもつ場合に限定されるものではなく、同一のラベルをもつ複数のマルウェアが含まれていてもよいものとする。
次に、図4を用いて、第1の実施形態に係るラベル付与装置10による処理手順の例を説明する。図4は、第1の実施形態に係るラベル付与装置におけるラベル付与処理の流れの一例を示すフローチャートである。
このように、第1の実施形態に係るラベル付与装置10は、ラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴とを抽出する。そして、ラベル付与装置10は、抽出したラベル付与対象のマルウェアの特徴と、マルウェア群の各特徴との類似度に基づいて、マルウェア群の各特徴のうち、ラベル付与対象のマルウェアの特徴と最も類似するマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、ラベル付与対象のマルウェアに付与する。このため、ラベル付与装置10では、ラベル候補がない場合であっても、マルウェアに対してラベルを適切に付与することができるという効果を奏する。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
図5は、ラベル付与プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
11 通信部
12 入力部
13 出力部
14 記憶部
15 制御部
15a リスト取得部
15b 特徴抽出部
15c ラベル付与部
Claims (4)
- マルウェアに対して作成されたラベル候補リストを取得し、取得したラベル候補リストにラベルが含まれる場合には、該ラベルが、ランダムに生成された文字列か否かを判定し、ランダムに生成された文字列であると判定した場合には、該文字列のラベルを除外し、取得したラベル候補リストが空である場合には、該ラベル候補リストのマルウェアをラベル付与対象のマルウェアとして特定するリスト取得部と、
前記リスト取得部によって特定されたラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴とを抽出する特徴抽出部と、
前記特徴抽出部によって抽出されたラベル付与対象のマルウェアの特徴と、前記マルウェア群の各特徴との類似度に基づいて、前記マルウェア群の各特徴のうち、前記ラベル付与対象のマルウェアの特徴と最も類似するマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、前記ラベル付与対象のマルウェアに付与するラベル付与部と
を有することを特徴とするラベル付与装置。 - 前記特徴抽出部は、前記ラベル付与対象のマルウェアおよび前記マルウェア群から抽出された特徴を特徴ベクトルにそれぞれ変換し、
前記ラベル付与部は、前記特徴抽出部によって変換された前記ラベル付与対象のマルウェアの特徴ベクトルと、前記マルウェア群の各特徴ベクトルとの類似度をそれぞれ計算し、前記マルウェア群の各特徴ベクトルのうち、前記類似度が最も大きいマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、前記ラベル付与対象のマルウェアに付与することを特徴とする請求項1に記載のラベル付与装置。 - マルウェアに対して作成されたラベル候補リストを取得し、取得したラベル候補リストにラベルが含まれる場合には、該ラベルが、ランダムに生成された文字列か否かを判定し、ランダムに生成された文字列であると判定した場合には、該文字列のラベルを除外し、取得したラベル候補リストが空である場合には、該ラベル候補リストのマルウェアをラベル付与対象のマルウェアとして特定するリスト取得ステップと、
前記リスト取得ステップによって特定されたラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴とを抽出する特徴抽出ステップと、
前記特徴抽出ステップによって抽出されたラベル付与対象のマルウェアの特徴と、前記マルウェア群の各特徴との類似度に基づいて、前記マルウェア群の各特徴のうち、前記ラベル付与対象のマルウェアの特徴と最も類似するマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、前記ラベル付与対象のマルウェアに付与するラベル付与ステップと
をコンピュータに実行させることを特徴とするラベル付与プログラム。 - 前記特徴抽出ステップは、前記ラベル付与対象のマルウェアおよび前記マルウェア群から抽出された特徴を特徴ベクトルにそれぞれ変換し、
前記ラベル付与ステップは、前記特徴抽出ステップによって変換された前記ラベル付与対象のマルウェアの特徴ベクトルと、前記マルウェア群の各特徴ベクトルとの類似度をそれぞれ計算し、前記マルウェア群の各特徴ベクトルのうち、前記類似度が最も大きいマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、前記ラベル付与対象のマルウェアに付与することを特徴とする請求項3に記載のラベル付与プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JPPCT/JP2019/046683 | 2019-11-28 | ||
PCT/JP2019/046683 WO2021106173A1 (ja) | 2019-11-28 | 2019-11-28 | ラベル付与装置およびラベル付与プログラム |
PCT/JP2020/033818 WO2021106306A1 (ja) | 2019-11-28 | 2020-09-07 | ラベル付与装置およびラベル付与プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2021106306A1 JPWO2021106306A1 (ja) | 2021-06-03 |
JP7318731B2 true JP7318731B2 (ja) | 2023-08-01 |
Family
ID=76128849
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021561171A Active JP7318731B2 (ja) | 2019-11-28 | 2020-09-07 | ラベル付与装置およびラベル付与プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20230004645A1 (ja) |
JP (1) | JP7318731B2 (ja) |
WO (2) | WO2021106173A1 (ja) |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8161548B1 (en) * | 2005-08-15 | 2012-04-17 | Trend Micro, Inc. | Malware detection using pattern classification |
CN104640105B (zh) * | 2013-11-12 | 2019-08-23 | 上海圣南赛溪信息科技有限公司 | 手机病毒分析和威胁关联的方法和系统 |
GB2555192B (en) * | 2016-08-02 | 2021-11-24 | Invincea Inc | Methods and apparatus for detecting and identifying malware by mapping feature data into a semantic space |
CN108256325A (zh) * | 2016-12-29 | 2018-07-06 | 中移(苏州)软件技术有限公司 | 一种恶意代码变种的检测的方法和装置 |
CN108280350B (zh) * | 2018-02-05 | 2021-09-28 | 南京航空航天大学 | 一种面向Android的移动网络终端恶意软件多特征检测方法 |
CN109359274B (zh) * | 2018-09-14 | 2023-05-02 | 蚂蚁金服(杭州)网络技术有限公司 | 一种对批量生成的字符串进行识别的方法、装置及设备 |
US11714905B2 (en) * | 2019-05-10 | 2023-08-01 | Sophos Limited | Attribute relevance tagging in malware recognition |
US11689561B2 (en) * | 2019-11-11 | 2023-06-27 | Microsoft Technology Licensing, Llc | Detecting unknown malicious content in computer systems |
-
2019
- 2019-11-28 WO PCT/JP2019/046683 patent/WO2021106173A1/ja active Application Filing
-
2020
- 2020-09-07 JP JP2021561171A patent/JP7318731B2/ja active Active
- 2020-09-07 US US17/777,999 patent/US20230004645A1/en active Pending
- 2020-09-07 WO PCT/JP2020/033818 patent/WO2021106306A1/ja active Application Filing
Non-Patent Citations (1)
Title |
---|
堀合 啓一,ハミング距離によるマルウェア亜種の自動分類,情報処理学会研究報告 Vol.2008 No.45,日本,社団法人情報処理学会,2008年05月15日,p.61-66 |
Also Published As
Publication number | Publication date |
---|---|
US20230004645A1 (en) | 2023-01-05 |
WO2021106173A1 (ja) | 2021-06-03 |
WO2021106306A1 (ja) | 2021-06-03 |
JPWO2021106306A1 (ja) | 2021-06-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Cakir et al. | Malware classification using deep learning methods | |
CN110348214B (zh) | 对恶意代码检测的方法及系统 | |
US10552462B1 (en) | Systems and methods for tokenizing user-annotated names | |
Santos et al. | Semi-supervised learning for unknown malware detection | |
RU2635902C1 (ru) | Способ и система отбора обучающих признаков для алгоритма машинного обучения | |
Carlin et al. | The effects of traditional anti-virus labels on malware detection using dynamic runtime opcodes | |
JP6912488B2 (ja) | 文字列距離計算方法及び装置 | |
US9535910B2 (en) | Corpus generation based upon document attributes | |
RU2722692C1 (ru) | Способ и система выявления вредоносных файлов в неизолированной среде | |
CN113688240B (zh) | 威胁要素提取方法、装置、设备及存储介质 | |
CN111222137A (zh) | 一种程序分类模型训练方法、程序分类方法及装置 | |
US20190318191A1 (en) | Noise mitigation in vector space representations of item collections | |
US7599921B2 (en) | System and method for improved name matching using regularized name forms | |
EP4044054A1 (en) | Execution behavior analysis text-based ensemble malware detector | |
Pashaei et al. | A combined SVM and Markov model approach for splice site identification | |
KR102031592B1 (ko) | 악성코드를 탐지하기 위한 방법 및 장치 | |
Alqurashi et al. | A comparison between API call sequences and opcode sequences as reflectors of malware behavior | |
CN112231696B (zh) | 恶意样本的识别方法、装置、计算设备以及介质 | |
JP7318731B2 (ja) | ラベル付与装置およびラベル付与プログラム | |
Thosar et al. | Effective malware detection using gradient boosting and convolutional neural network | |
Yaseen et al. | A Deep Learning-based Approach for Malware Classification using Machine Code to Image Conversion | |
CN115455416A (zh) | 一种恶意代码检测方法、装置、电子设备及存储介质 | |
US11334607B2 (en) | Identifying key words within a plurality of documents | |
JP6740184B2 (ja) | 付与装置、付与方法および付与プログラム | |
WO2011118428A1 (ja) | 要求獲得システム、要求獲得方法、及び要求獲得用プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220415 |
|
A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A801 Effective date: 20220415 |
|
A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A80 Effective date: 20220415 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230425 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230609 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230620 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230703 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7318731 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |