WO2018179628A1

WO2018179628A1 - シグネチャ生成装置、シグネチャ生成方法、プログラムが格納された非一時的なコンピュータ可読媒体

Info

Publication number: WO2018179628A1
Application number: PCT/JP2017/045830
Authority: WO
Inventors: 伊藤　達哉
Original assignee: 日本電気株式会社
Priority date: 2017-03-28
Filing date: 2017-12-20
Publication date: 2018-10-04
Also published as: CN110506268A; RU2019130058A3; US11429717B2; US20200380128A1; RU2019130058A; JPWO2018179628A1; KR20190120312A

Abstract

シグネチャ生成装置（２）は、脅威情報を収集する収集部（１１）と、収集部（１１）により収集された脅威情報から攻撃データを抽出する抽出部（２１）と、抽出部（２１）により抽出された攻撃データに基づいてシグネチャを生成する生成部（３１）と、を備える。生成部（３１）は、抽出部（２１）により共通の文字列を有する複数の攻撃データが抽出された場合、共通の文字列を含むシグネチャを仮生成し、仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価し、仮生成したシグネチャが、非攻撃データに使用される文字列を含む場合、その文字列を、仮生成したシグネチャから除去することで、シグネチャを生成する。

Description

シグネチャ生成装置、シグネチャ生成方法、プログラムが格納された非一時的なコンピュータ可読媒体

　本発明は、シグネチャ生成装置、シグネチャ生成方法、プログラムに関する。

　コンピュータは、外部からマルウェア等の攻撃データで攻撃を受ける可能性がある。マルウェアとは、コンピュータを不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアであり、例えば、コンピュータウイルスやワーム等である。

　このような攻撃データを検知する方式として、シグネチャ型と呼ばれる方式が存在する。シグネチャ型とは、攻撃データを定義したシグネチャを登録しておき、外部からのデータについて、シグネチャを用いて攻撃データであるか否かを判断する方式である。

　ただし、攻撃データは、無数に存在し、また、次々と新しいものが登場するため、シグネチャも、随時生成し、更新していく必要がある。しかし、１人の人間又は組織が、無数に存在する攻撃データを全て把握し、シグネチャを生成していくことは困難である。

　そのため、最近は、脅威情報を収集し、収集した脅威情報に基づいてシグネチャを自動生成する技術が提案されている（例えば、特許文献１，２）。

特表２００５－５２０２３０号公報国際公開第２００３／０５８４５７号

　しかし、特許文献１，２に開示された技術では、脅威情報に基づいて生成したシグネチャを、特に検証するようなことはなされていない。そのため、シグネチャが、非攻撃データを攻撃データと誤って判断してしまう可能性があるという課題がある。

　本発明の目的は、上述した課題を鑑み、非攻撃データを攻撃データと判断してしまう可能性を低減するようなシグネチャを生成することができるシグネチャ生成装置、シグネチャ生成方法、プログラムを提供することにある。

　一態様において、シグネチャ生成装置は、
　脅威情報を収集する収集部と、
　前記収集部により収集された脅威情報から攻撃データを抽出する抽出部と、
　前記抽出部により抽出された攻撃データに基づいてシグネチャを生成する生成部と、を備え、
　前記生成部は、
　前記抽出部により共通の文字列を有する複数の攻撃データが抽出された場合、前記共通の文字列を含むシグネチャを仮生成し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含む場合、該文字列を、仮生成したシグネチャから除去することで、シグネチャを生成する。

　一態様において、シグネチャ生成方法は、
　シグネチャ生成装置によるシグネチャ生成方法であって、
　脅威情報を収集する収集ステップと、
　前記収集ステップにより収集された脅威情報から攻撃データを抽出する抽出ステップと、
　前記抽出ステップにより抽出された攻撃データに基づいてシグネチャを生成する生成ステップと、を含み、
　前記生成ステップでは、
　前記抽出ステップにより共通の文字列を有する複数の攻撃データが抽出された場合、前記共通の文字列を含むシグネチャを仮生成し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含む場合、該文字列を、仮生成したシグネチャから除去することで、シグネチャを生成する。

　一態様において、プログラムは、
　コンピュータに、
　脅威情報を収集する収集手順と、
　前記収集手順により収集された脅威情報から攻撃データを抽出する抽出手順と、
　前記抽出手順により抽出された攻撃データに基づいてシグネチャを生成する生成手順と、を実行させるためのプログラムであって、
　前記生成手順では、
　前記抽出手順により共通の文字列を有する複数の攻撃データが抽出された場合、前記共通の文字列を含むシグネチャを仮生成し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含む場合、該文字列を、仮生成したシグネチャから除去することで、シグネチャを生成する、プログラム。

　上述の態様によれば、非攻撃データを攻撃データと判断してしまう可能性を低減するようなシグネチャを生成することができるという効果が得られる。

本発明の実施の形態に係るシグネチャ生成装置の構成例を示す図である。図１に示した抽出ルールＤＢに登録された抽出ルールの一例を示す図である。図１に示した抽出部が保持する攻撃データのデータフォーマットの一例を示す図である。図１に示したシグネチャ生成部の一動作例を示す図である。図１に示したシグネチャ生成装置の処理フローの一例を示すフロー図である。本発明に係るシグネチャ生成装置の構成例を示す図である。

　以下、図面を参照して本発明の実施の形態について説明する。
　まず、図１を参照して、本実施の形態に係るシグネチャ生成装置１の構成について説明する。図１は、本実施の形態に係るシグネチャ生成装置１の構成例を示す図である。シグネチャ生成装置１は、収集部１０と、抽出部２０と、シグネチャ生成部３０と、シグネチャ投入部４０と、収集ルールＤＢ（Database。以下、同じ）５０と、抽出ルールＤＢ６０と、生成ルールＤＢ７０と、投入ルールＤＢ８０と、を備えている。なお、収集ルールＤＢ５０、抽出ルールＤＢ６０、生成ルールＤＢ７０、及び投入ルールＤＢ８０は、シグネチャ生成装置１の内部に設けることには限定されず、シグネチャ生成装置１の外部に設けても良い。

　収集部１０は、収集ルールＤＢ５０に登録された収集ルールに従って、脅威情報を収集する。脅威情報は、コンピュータに発生する脅威を示す情報であり、多くの脅威情報提供会社により提供されている。収集ルールは、例えば、脅威情報の収集元（例えば、脅威情報提供会社のサーバ）のＵＲＬ（Uniform Resource Locator）、その収集元から収集する脅威情報のタイプ（例えば、ＩＰ（Internet Protocol）アドレスに関する脅威情報）等を規定している。収集部１０は、例えば、収集ルールで規定されたＵＲＬの収集元から、収集ルールで規定されたタイプの脅威情報を収集する。

　抽出部２０は、抽出ルールＤＢ６０に登録された抽出ルールに従って、収集部１０により収集された脅威情報から攻撃データを抽出する。なお、抽出部２０の動作の詳細については後述する。

　シグネチャ生成部３０は、生成ルールＤＢ７０に登録された生成ルールに従って、抽出部２０により抽出された攻撃データに基づいて、シグネチャを生成する。なお、シグネチャ生成部３０の動作の詳細については後述する。

　シグネチャ投入部４０は、投入ルールＤＢ８０に登録された投入ルールに従って、シグネチャ生成部３０により生成されたシグネチャを投入先へ投入する。シグネチャの投入先は、外部からコンピュータへの攻撃データを検知する機器であり、例えば、ネットワーク上に配置されたセキュリティサーバや、クライアント端末内に配置されたセキュリティモジュール等である。投入ルールは、例えば、シグネチャを投入する投入先、その投入先へのアクセス方法（ＩＤ（Identification）やパスワード等）等を規定している。シグネチャ投入部４０は、例えば、投入ルールで規定された投入先へ、投入ルールで規定されたアクセス方法でアクセスし、シグネチャを投入する。

　続いて、図２及び図３を参照して、本実施の形態に係る抽出部２０の動作について説明する。図２は、抽出ルールＤＢ６０に登録された抽出ルールの一例を示す図である。図２に示される抽出ルールは、脅威情報のタイプ（図中の「Type」）、脅威情報から攻撃データを抽出するルール（図中の「rule」）、抽出した攻撃データに設定するタグ（図中の「tag」）、脅威情報の収集元のＵＲＬ（図中の「URL（Source）」）を規定している。

　抽出部２０は、抽出ルールで規定されたＵＲＬの収集元から収集部１０により収集された、抽出ルールで規定されたタイプの脅威情報から、抽出ルールで規定されたルールに従って、攻撃データを抽出する。そして、抽出部２０は、抽出した攻撃データに、抽出ルールで規定されたタグを設定する。

　より具体的には、抽出部２０は、ＵＲＬ「https://www.binarydefense.com/tor.txt」の収集元から取集した、タイプ「IP Address」の脅威情報については、ルール「parser1」に従って、攻撃データを抽出する。そして、抽出部２０は、抽出した攻撃データに、タグ「tor」を設定する。

　抽出部２０は、上記で抽出した攻撃データを保持し、シグネチャ生成部３０は、抽出部２０により保持された攻撃データに基づいて、シグネチャを生成する。
　ただし、脅威情報は、収集元毎にデータフォーマットが異なる。もし、抽出部２０が、攻撃データを互いに異なるデータフォーマットのままで保持していた場合、シグネチャ生成部３０は、抽出部２０が保持する攻撃データを読み出すには、その攻撃データのデータフォーマットを認識する必要があり、シグネチャの生成に時間が掛かってしまう。

　そこで、抽出部２０は、上記で抽出した攻撃データを、所定のデータフォーマットに変換して保持する。図３は、抽出部２０が保持する攻撃データのデータフォーマットの一例を示す図である。図３に示されるデータフォーマットの項目は、攻撃データを抽出した脅威情報の収集元（図中の「Source」）、その脅威情報のタイプ（図中の「Type」）、その攻撃データを表すオブジェクト（図中の「Object」）、その攻撃データを抽出した日付（図中の「date」）、その攻撃データに設定されたタグ（図中の「tag」）である。なお、攻撃データを表すオブジェクトは、その攻撃データそのものでも良いし、その攻撃データのハッシュ値としても良い。ハッシュ値の計算方法は、図２に示される抽出ルールでは、例えば、ルールで規定することができる。

　このように、抽出部２０は、攻撃データを所定のデータフォーマットに変換して保持するため、シグネチャ生成部３０は、抽出部２０から攻撃データを迅速に読み出すことができ、それにより、シグネチャの生成に要する時間の短縮化を図ることができる。

　続いて、図４を参照して、本実施の形態に係るシグネチャ生成部３０の動作について説明する。図４は、シグネチャ生成部３０の一動作例を示す図である。ここでは、攻撃データがマルウェアである例について説明する。

　生成ルールＤＢ７０に登録された生成ルールには、抽出部２０により共通の文字列を有する複数の攻撃データが抽出された場合、共通の文字列を含むシグネチャを生成することが規定されている。そこで、シグネチャ生成部３０は、抽出部２０により共通の文字列を有する複数の攻撃データが抽出されている場合は、共通の文字列を抽出し（ステップＳ１１）、共通の文字列を含むシグネチャを仮生成する（ステップＳ１２）。

　図４の例では、シグネチャ生成部３０は、ステップＳ１１において、共通の文字列として、５つの文字列A,B,C,D,Eを抽出し、ステップＳ１２において、「A and B and (C or D) and E」という関数でマルウェアを定義したシグネチャを仮生成している。

　また、生成ルールＤＢ７０には、生成ルール以外に、攻撃データではない非攻撃データでも使用される文字列のリストであるホワイトリストが登録されている。さらに、生成ルールには、仮生成したシグネチャに含まれる文字列とホワイトリストの文字列とのマッチングを行うことが規定されている。そこで、シグネチャ生成部３０は、仮生成したシグネチャに含まれる文字列とホワイトリストの文字列とのマッチングを行うことで、仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価する。そして、シグネチャ生成部３０は、仮生成したシグネチャが、非攻撃データに使用される文字列を含む場合、仮生成したシグネチャから、該当する文字列を除去し、仮生成したシグネチャを修正する（ステップＳ１３）。このようにしてシグネチャが生成される。

　図４の例では、シグネチャ生成部３０は、仮生成したシグネチャに含まれる５つの文字列A,B,C,D,Eとホワイトリストの文字列とのマッチングを行い、その結果、仮生成したシグネチャは、非攻撃データに使用される文字列E（=</security>）を含んでいると評価している。そのため、シグネチャ生成部３０は、ステップＳ１３において、仮生成したシグネチャから文字列Eを除去し、マルウェアを定義する関数を「A and B and (C or D)」に変更し、シグネチャを修正する。また、修正したシグネチャにタグを設定する。このようにしてシグネチャが生成される。

　このように、シグネチャ生成部３０は、複数の攻撃データが有する共通の文字列を含むシグネチャを仮生成し、仮生成したシグネチャが、非攻撃データに使用される文字列を含む場合、仮生成したシグネチャから、その文字列を除去することで、シグネチャを生成する。これにより、シグネチャが、非攻撃データを攻撃データと判断してしまう可能性を低減することができる。

　続いて、図５を参照して、本実施の形態に係るシグネチャ生成装置１の処理フローについて説明する。図５は、本実施の形態に係るシグネチャ生成装置１の処理フローの一例を示すフロー図である。

　まず、収集部１０は、収集ルールＤＢ５０に登録された収集ルールに従って、脅威情報を収集する（ステップＳ２１）。続いて、抽出部２０は、抽出ルールＤＢ６０に登録された抽出ルールに従って、収集部１０により収集された脅威情報から攻撃データを抽出する（ステップＳ２２）。

　続いて、シグネチャ生成部３０は、生成ルールＤＢ７０に登録された生成ルールに従って、以下のようにしてシグネチャを生成する。

　シグネチャ生成部３０は、抽出部２０により共通の文字列を有する複数の攻撃データが抽出されるまで待機する。抽出部２０により共通の文字列を有する複数の攻撃データが抽出された場合、シグネチャ生成部３０は、その共通の文字列を抽出し（ステップＳ２３）、抽出した共通の文字列を含むシグネチャを仮生成する（ステップＳ２４）。

　続いて、シグネチャ生成部３０は、仮生成したシグネチャに含まれる文字列とホワイトリストの文字列とのマッチングを行うことで、仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価する（ステップＳ２５）。

　ステップＳ２５において、仮生成したシグネチャが、非攻撃データに使用される文字列を含む場合は（ステップＳ２５のＹｅｓ）、シグネチャ生成部３０は、該当する文字列を、仮生成したシグネチャから除去することで、仮生成したシグネチャを修正する（ステップＳ２６）。この場合は、シグネチャ生成部３０は、修正後のシグネチャを新規に生成したシグネチャとする。

　一方、ステップＳ２５において、仮生成したシグネチャが、非攻撃データに使用される文字列を含まない場合は（ステップＳ２５のＮｏ）、仮生成したシグネチャを、修正せず、新規に生成したシグネチャとする。

　その後、シグネチャ投入部４０は、投入ルールＤＢ８０に登録された投入ルールに従って、シグネチャ生成部３０により生成されたシグネチャを投入先へ投入する（ステップＳ２７）。

　上述したように、本実施の形態に係るシグネチャ生成装置１によれば、シグネチャ生成部３０は、複数の攻撃データが有する共通の文字列を含むシグネチャを仮生成し、仮生成したシグネチャが、非攻撃データに使用される文字列を含む場合、仮生成したシグネチャから、その文字列を除去することで、シグネチャを生成する。これにより、シグネチャが、非攻撃データを攻撃データと判断してしまう可能性を低減することができる。

　以下、図６を参照して、本発明のシグネチャ生成装置の概要を説明する。図６は、本発明に係るシグネチャ生成装置２の構成例を示す図である。シグネチャ生成装置２は、収集部１１と、抽出部２１と、生成部３１と、を備えている。

　収集部１１は、脅威情報を収集する。収集部１１は、収集部１０に対応する。

　抽出部２１は、収集部１１により収集された脅威情報から攻撃データを抽出する。抽出部２１は、抽出部２０に対応する。

　生成部３１は、抽出部２１により抽出された攻撃データに基づいて、シグネチャを生成する。具体的には、生成部３１は、抽出部２１により共通の文字列を有する複数の攻撃データが抽出された場合、その共通の文字列を含むシグネチャを仮生成する。続いて、生成部３１は、仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価する。仮生成したシグネチャが、非攻撃データに使用される文字列を含む場合、生成部３１は、その文字列を、仮生成したシグネチャから除去することで、シグネチャを生成する。生成部３１は、シグネチャ生成部３０に対応する。

　上述したように、本発明に係るシグネチャ生成装置２によれば、生成部３１は、複数の攻撃データが有する共通の文字列を含むシグネチャを仮生成し、仮生成したシグネチャが、非攻撃データに使用される文字列を含む場合、仮生成したシグネチャから、その文字列を除去することで、シグネチャを生成する。これにより、シグネチャが、非攻撃データを攻撃データと判断してしまう可能性を低減することができる。

　以上、実施の形態を参照して本願発明における様々な観点を説明したが、本願発明は上記によって限定されるものではない。本願発明の各観点における構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　例えば、上記の実施の形態では、各機能ブロック（収集部、抽出部、シグネチャ生成部（又は生成部）、及びシグネチャ投入部）は、同じ装置内に設けられていたが、これには限定されない。これら機能ブロックは、別々の装置に設けられ、有線又は無線により相互に接続されていても良い。

　また、上記の実施の形態における各機能ブロックは、ハードウェア又はソフトウェア、もしくはその両方によって構成され、１つのハードウェア又はソフトウェアから構成しても良いし、複数のハードウェア又はソフトウェアから構成しても良い。各装置の機能（処理）を、ＣＰＵ（Central Processing Unit）やメモリ等を有するコンピュータにより実現しても良い。例えば、メモリに実施の形態におけるシグネチャ生成方法を行うためのプログラムを格納し、各機能を、メモリに格納されたプログラムをＣＰＵで実行することにより実現しても良い。

　また、上記のプログラムは、様々なタイプの非一時的なコンピュータ可読媒体（non-transitory computer readable medium）を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体（tangible storage medium）を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体（例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（例えば、光磁気ディスク）、ＣＤ－ＲＯＭ（compact disc read only memory）、ＣＤ－Ｒ（compact disc recordable）、ＣＤ－Ｒ／Ｗ（compact disc rewritable）、半導体メモリ（例えば、マスクＲＯＭ、ＰＲＯＭ（programmable ROM）、ＥＰＲＯＭ（erasable PROM）、フラッシュＲＯＭ、ＲＡＭ（random access memory））を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（transitory computer readable medium）によってコンピュータに供給されても良い。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　また、上述の実施形態の一部または全部は、以下の付記のようにも記載されうるが、以下には限られない。
（付記１）
　脅威情報を収集する収集部と、
　前記収集部により収集された脅威情報から攻撃データを抽出する抽出部と、
　前記抽出部により抽出された攻撃データに基づいてシグネチャを生成する生成部と、を備え、
　前記生成部は、
　前記抽出部により共通の文字列を有する複数の攻撃データが抽出された場合、前記共通の文字列を含むシグネチャを仮生成し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含む場合、該文字列を、仮生成したシグネチャから除去することで、シグネチャを生成する、
　シグネチャ生成装置。
（付記２）
　非攻撃データに使用される文字列は、データベースに格納されており、
　前記生成部は、仮生成したシグネチャに含まれる文字列と前記データベースに格納された文字列とのマッチングを行うことで、仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価する、
　付記１に記載のシグネチャ生成装置。
（付記３）
　前記抽出部は、
　前記攻撃データを所定のデータフォーマットに変換して保持する、
　付記１又は２に記載のシグネチャ生成装置。
（付記４）
　前記生成部により生成されたシグネチャを、特定の投入先に投入する投入部をさらに備える、
　付記１から３のいずれか１項に記載のシグネチャ生成装置。
（付記５）
　シグネチャ生成装置によるシグネチャ生成方法であって、
　脅威情報を収集する収集ステップと、
　前記収集ステップにより収集された脅威情報から攻撃データを抽出する抽出ステップと、
　前記抽出ステップにより抽出された攻撃データに基づいてシグネチャを生成する生成ステップと、を含み、
　前記生成ステップでは、
　前記抽出ステップにより共通の文字列を有する複数の攻撃データが抽出された場合、前記共通の文字列を含むシグネチャを仮生成し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含む場合、該文字列を、仮生成したシグネチャから除去することで、シグネチャを生成する、
　シグネチャ生成方法。
（付記６）
　非攻撃データに使用される文字列は、データベースに格納されており、
　前記生成ステップでは、仮生成したシグネチャに含まれる文字列と前記データベースに格納された文字列とのマッチングを行うことで、仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価する、
　付記５に記載のシグネチャ生成方法。
（付記７）
　前記抽出ステップでは、
　前記攻撃データを所定のデータフォーマットに変換して保持する、
　付記５又は６に記載のシグネチャ生成方法。
（付記８）
　前記生成ステップにより生成されたシグネチャを、特定の投入先に投入する投入ステップをさらに含む、
　付記５から７のいずれか１項に記載のシグネチャ生成方法。
（付記９）
　コンピュータに、
　脅威情報を収集する収集手順と、
　前記収集手順により収集された脅威情報から攻撃データを抽出する抽出手順と、
　前記抽出手順により抽出された攻撃データに基づいてシグネチャを生成する生成手順と、を実行させるためのプログラムであって、
　前記生成手順では、
　前記抽出手順により共通の文字列を有する複数の攻撃データが抽出された場合、前記共通の文字列を含むシグネチャを仮生成し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含む場合、該文字列を、仮生成したシグネチャから除去することで、シグネチャを生成する、
　プログラム。
（付記１０）
　非攻撃データに使用される文字列は、データベースに格納されており、
　前記生成手順では、仮生成したシグネチャに含まれる文字列と前記データベースに格納された文字列とのマッチングを行うことで、仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価する、
　付記９に記載のプログラム。
（付記１１）
　前記抽出手順では、
　前記攻撃データを所定のデータフォーマットに変換して保持する、
　付記９又は１０に記載のプログラム。
（付記１２）
　前記生成手順により生成されたシグネチャを、特定の投入先に投入する投入ステップをさらに含む、
　付記９から１１のいずれか１項に記載のプログラム。

　この出願は、２０１７年３月２８日に出願された日本出願特願２０１７－０６２９１８を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　１　シグネチャ生成装置
　１０　収集部
　２０　抽出部
　３０　シグネチャ生成部
　４０　シグネチャ投入部
　５０　収集ルールＤＢ
　６０　抽出ルールＤＢ
　７０　生成ルールＤＢ
　８０　投入ルールＤＢ
　２　シグネチャ生成装置
　１１　収集部
　２１　抽出部
　３１　生成部

Claims

　脅威情報を収集する収集部と、
　前記収集部により収集された脅威情報から攻撃データを抽出する抽出部と、
　前記抽出部により抽出された攻撃データに基づいてシグネチャを生成する生成部と、を備え、
　前記生成部は、
　前記抽出部により共通の文字列を有する複数の攻撃データが抽出された場合、前記共通の文字列を含むシグネチャを仮生成し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含む場合、該文字列を、仮生成したシグネチャから除去することで、シグネチャを生成する、
　シグネチャ生成装置。
　非攻撃データに使用される文字列は、データベースに格納されており、
　前記生成部は、仮生成したシグネチャに含まれる文字列と前記データベースに格納された文字列とのマッチングを行うことで、仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価する、
　請求項１に記載のシグネチャ生成装置。
　前記抽出部は、
　前記攻撃データを所定のデータフォーマットに変換して保持する、
　請求項１又は２に記載のシグネチャ生成装置。
　前記生成部により生成されたシグネチャを、特定の投入先に投入する投入部をさらに備える、
　請求項１から３のいずれか１項に記載のシグネチャ生成装置。
　シグネチャ生成装置によるシグネチャ生成方法であって、
　脅威情報を収集する収集ステップと、
　前記収集ステップにより収集された脅威情報から攻撃データを抽出する抽出ステップと、
　前記抽出ステップにより抽出された攻撃データに基づいてシグネチャを生成する生成ステップと、を含み、
　前記生成ステップでは、
　前記抽出ステップにより共通の文字列を有する複数の攻撃データが抽出された場合、前記共通の文字列を含むシグネチャを仮生成し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含む場合、該文字列を、仮生成したシグネチャから除去することで、シグネチャを生成する、
　シグネチャ生成方法。
　非攻撃データに使用される文字列は、データベースに格納されており、
　前記生成ステップでは、仮生成したシグネチャに含まれる文字列と前記データベースに格納された文字列とのマッチングを行うことで、仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価する、
　請求項５に記載のシグネチャ生成方法。
　前記抽出ステップでは、
　前記攻撃データを所定のデータフォーマットに変換して保持する、
　請求項５又は６に記載のシグネチャ生成方法。
　前記生成ステップにより生成されたシグネチャを、特定の投入先に投入する投入ステップをさらに含む、
　請求項５から７のいずれか１項に記載のシグネチャ生成方法。
　コンピュータに、
　脅威情報を収集する収集手順と、
　前記収集手順により収集された脅威情報から攻撃データを抽出する抽出手順と、
　前記抽出手順により抽出された攻撃データに基づいてシグネチャを生成する生成手順と、を実行させるためのプログラムであって、
　前記生成手順では、
　前記抽出手順により共通の文字列を有する複数の攻撃データが抽出された場合、前記共通の文字列を含むシグネチャを仮生成し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含むか否かを評価し、
　仮生成したシグネチャが、非攻撃データに使用される文字列を含む場合、該文字列を、仮生成したシグネチャから除去することで、シグネチャを生成する、
　プログラムが格納された非一時的なコンピュータ可読媒体。