WO2021059509A1

WO2021059509A1 - 学習装置、判別システム、学習方法及び学習プログラムが格納された非一時的なコンピュータ可読媒体

Info

Publication number: WO2021059509A1
Application number: PCT/JP2019/038283
Authority: WO
Inventors: 陽平小川
Original assignee: 日本電気株式会社
Priority date: 2019-09-27
Filing date: 2019-09-27
Publication date: 2021-04-01
Also published as: US20220327210A1; JPWO2021059509A1; JP7272446B2

Abstract

本開示に係る学習装置（１０）は、第１の期間に収集された、既存のマルウェアである、複数の第１のマルウェアを複数のクラスタに分類する第１の分類部（１１）と、第２の期間に収集された、新規マルウェアである、複数の第２のマルウェアを前記複数のクラスタに分類する第２の分類部（１２）と、複数の第２のマルウェアの分類結果に応じた複数のクラスタの特徴量に基づいて、マルウェアを判別するための学習モデルを作成する学習部（１３）と、を備える。

Description

学習装置、判別システム、学習方法及び学習プログラムが格納された非一時的なコンピュータ可読媒体

　本発明は、学習装置、判別システム、学習方法及び学習プログラムが格納された非一時的なコンピュータ可読媒体に関する。

　近年、ディープラーニングに代表されるように機械学習の研究が盛んに行われており、様々な分野への活用が進められている。例えば、インターネット上で年々増え続けるマルウェアの検知に機械学習が利用されている。

　関連する技術として、例えば、特許文献１が知られている。特許文献１には、クラスタリングを行って検知モデルを作成し、マルウェアを検知する技術が記載されている。

特開２０１８－１３３００４号公報

　特許文献１のように、関連する技術では、機械学習を利用してマルウェアを検知するため、特徴量に基づいてクラスタリングを行い、学習モデルを作成している。しかしながら、関連する技術では、マルウェアを精度よく判別し得る学習モデルを作成することが困難な場合があるという問題がある。

　本開示は、このような課題に鑑み、マルウェアの判別精度を向上し得る学習モデルを作成することが可能な学習装置、判別システム、学習方法及び学習プログラムが格納された非一時的なコンピュータ可読媒体を提供することを目的とする。

　本開示に係る学習装置は、第１の期間に収集された複数の第１のマルウェアを複数のクラスタに分類する第１の分類手段と、第２の期間に収集された複数の第２のマルウェアを前記複数のクラスタに分類する第２の分類手段と、前記複数の第２のマルウェアの分類結果に応じた前記複数のクラスタの特徴量に基づいて、マルウェアを判別するための学習モデルを作成する学習手段と、を備えるものである。

　本開示に係る判別システムは、第１の期間に収集された複数の第１のマルウェアを複数のクラスタに分類する第１の分類手段と、第２の期間に収集された複数の第２のマルウェアを前記複数のクラスタに分類する第２の分類手段と、前記複数の第２のマルウェアの分類結果に応じた前記複数のクラスタの特徴量に基づいて、マルウェアを判別するための学習モデルを作成する学習手段と、前記作成された学習モデルに基づいて、入力されるファイルがマルウェアか否かを判別する判別手段と、を備えるものである。

　本開示に係る学習方法は、第１の期間に収集された複数の第１のマルウェアを複数のクラスタに分類し、第２の期間に収集された複数の第２のマルウェアを前記複数のクラスタに分類し、前記複数の第２のマルウェアの分類結果に応じた前記複数のクラスタの特徴量に基づいて、マルウェアを判別するための学習モデルを作成するものである。

　本開示に係る学習プログラムが格納された非一時的なコンピュータ可読媒体は、第１の期間に収集された複数の第１のマルウェアを複数のクラスタに分類し、第２の期間に収集された複数の第２のマルウェアを前記複数のクラスタに分類し、前記複数の第２のマルウェアの分類結果に応じた前記複数のクラスタの特徴量に基づいて、マルウェアを判別するための学習モデルを作成する、処理をコンピュータに実行させるための学習プログラムが格納された非一時的なコンピュータ可読媒体である。

　本開示によれば、マルウェアの判別精度を向上し得る学習モデルを作成することが可能な学習装置、判別システム、学習方法及び学習プログラムが格納された非一時的なコンピュータ可読媒体を提供することができる。

関連する学習方法を示すフローチャートである。実施の形態に係る学習装置の概要を示す構成図である。実施の形態に係る判別システムの概要を示す構成図である。実施の形態１に係る判別システムの構成例を示す構成図である。実施の形態１に係る判別システムの他の構成例を示す構成図である。実施の形態１に係る学習方法を示すフローチャートである。実施の形態１に係る学習方法における既存マルウェア処理を示すフローチャートである。実施の形態１に係る学習方法における新規マルウェア処理を示すフローチャートである。実施の形態１に係る学習方法における特徴量の一例を示す図である。実施の形態１に係る学習方法における既存マルウェアのクラスタリングのイメージを示す図である。実施の形態１に係る学習方法における平準化のイメージを示す図である。実施の形態１に係る学習方法における平準化のイメージを示す図である。実施の形態１に係る学習方法における新規マルウェアのクラスタリングのイメージを示す図である。実施の形態１に係る学習方法におけるクラスタの特徴量の調整イメージを示す図である。実施の形態１に係る判別方法を示すフローチャートである。

　以下、図面を参照して実施の形態について説明する。以下の記載及び図面は、説明の明確化のため、適宜、省略、及び簡略化がなされている。また、各図面において、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略されている。

（実施の形態に至る検討）
　関連する技術として、ディープラーニングによる学習モデルを用いてマルウェアを判別する方法について検討する。図１は、関連する学習方法を示している。図１に示すように、関連する学習方法では、検体となるマルウェアを大量に収集し（Ｓ１０１）、収集したマルウェアの特徴量を抽出し（Ｓ１０２）、抽出したマルウェアの特徴量を用いて学習モデルを作成する（Ｓ１０３）。

　このように、関連する学習方法では、大量のマルウェアの特徴量を学習することによって、マルウェアに共通した“特徴”を見つけ出し、様々なマルウェアの判別を可能とし得る。なお、マルウェアとは、コンピュータウィルスやワームのように、コンピュータ上やネットワーク上で、不正な（悪質な）動作を行うソフトウェアやデータである。

　しかしながら、発明者は、関連する学習方法では、特徴量の抽出に時間がかかるという課題を見出した。すなわち、関連する学習方法では、検体として収集した大量のマルウェアの特徴量を抽出する必要があるため、特徴量の抽出処理に膨大な時間がかかる。

　また、発明者は、関連する学習方法で得られた学習モデルを用いると、マルウェアを精度よく判別することができないという課題を見出した。すなわち、学習させるマルウェアに“バラツキ”があるため、マルウェアの判別精度の低下や、検体によって判別精度が不安定となる恐れがある。例えば、一部の方法で収集した検体のみが判別精度を良くする場合もあるが、他の方法で収集した検体は判別精度を悪くする場合がある。また、マルウェアの特徴は収集する時期によってトレンドが変わる可能性があるものの、関連する学習方法では、そのようなマルウェアのトレンドが考慮されていない。このため、関連する学習方法では、最新のトレンドのマルウェアを精度よく判別することが困難である。また、最新のマルウェアに対応しようとすると、常にマルウェアを学習させ続ける（特徴量抽出をする）必要があるため、システム維持費が増大する可能性がある。

　このように、関連する学習方法を用いると、特徴量の抽出に時間がかかり、また、マルウェアを精度よく判別することができない。そこで、以下の実施の形態では、少なくともいずれかの課題を解決する解決策を提供する。特に、以下の実施の形態では、最新のトレンドのマルウェアを考慮し、マルウェアの判別精度を向上することを可能とする。

（実施の形態の概要）
　図２は、実施の形態に係る学習装置の概要を示し、図３は、実施の形態に係る判別システムの概要を示している。図２に示すように、学習装置１０は、第１の分類部１１、第２の分類部１２、学習部１３を備えている。

　第１の分類部１１は、第１の期間（例えば、最新よりも古い期間）に収集された複数の第１のマルウェアを複数のクラスタに分類する。第２の分類部１２は、第１の分類部１１により分類された複数のクラスタへ、第２の期間（例えば、最新の期間）に収集された複数の第２のマルウェアを分類する。学習部１３は、第２の分類部１２による複数の第２のマルウェアの分類結果に応じた複数のクラスタの特徴量に基づいて、マルウェアを判別するための学習モデルを作成する。

　また、図３に示すように、判別システム２は、学習装置１０と判別装置２０を備えている。判別装置２０は、学習装置１０によって作成された判別学習モデルに基づいて、入力されるファイルがマルウェアか否かを判別する判別部２１を備えている。なお、判別システム２において、学習装置１０と判別装置２０の構成は、これに限定されない。すなわち、判別システム２は、学習装置１０と判別装置２０の構成に限らず、少なくとも、第１の分類部１１、第２の分類部１２、学習部１３、判別部２１を備えている。

　このように、実施の形態では、第１の期間に収集された複数の第１のマルウェア（例えば既存マルウェア）を複数のクラスタに分類した上で、第２の期間に収集された複数の第２のマルウェア（例えば新規マルウェア）を複数のクラスタに分類し、その分類結果に応じて学習モデルを作成する。これにより、第１の期間のマルウェアに限らず、第２の期間のマルウェアにも対応して学習することができるため、マルウェアの判別精度を向上し得る学習モデルを作成することができる。

（実施の形態１）
　以下、図面を参照して実施の形態１について説明する。図４は、本実施の形態に係る判別システム１の構成例を示し、図５は、他の構成例を示している。判別システム１は、マルウェアの特徴を学習した学習モデルを使用し、ユーザから提供されたファイルがマルウェアか否かを判別するシステムである。

　図４に示すように、例えば、判別システム１は、学習装置１００、判別装置２００、既存マルウェア記憶装置３０１、新規マルウェア記憶装置３０２、学習モデル記憶装置４００を備えている。例えば、判別システム１の各装置は、クラウド上に構築され、判別システム１のサービスは、ＳａａＳ（Software as a Service）により提供される。すなわち、各装置は、サーバやパーソナルコンピュータ等のコンピュータ装置で実現されるが、物理的な１つの装置で実現されてもよいし、仮想化技術等によりクラウド上の複数の装置で実現されてもよい。なお、各装置及び装置内の各部（ブロック）の構成は一例であり、後述の方法（動作）が可能であれば、その他の各装置及び各部で構成されてもよい。例えば、判別装置２００と学習装置１００を１つの装置としてもよいし、各装置を複数の装置としてもよい。既存マルウェア記憶装置３０１や新規マルウェア記憶装置３０２、学習モデル記憶装置４００を、判別装置２００や学習装置１００に内蔵してもよい。また、判別装置２００や学習装置１００に内蔵された記憶部を外部の記憶装置としてもよい。

　既存マルウェア記憶装置３０１及び新規マルウェア記憶装置３０２は、学習のための検体となる大量のマルウェアを記憶するデータベース装置である。既存マルウェア記憶装置３０１及び新規マルウェア記憶装置３０２は、それぞれの収集期間において、予め収集されたマルウェアを記憶してもよいし、インターネット上で提供される情報を記憶してもよい。既存マルウェア記憶装置３０１は、最新よりも古い期間である第１の期間に収集されたマルウェア（既存マルウェアと言う）を記憶する。新規マルウェア記憶装置３０２は、第１の期間よりも後の最新の期間である第２の期間に収集されたマルウェア（新規マルウェアと言う）を記憶する。例えば、マルウェアのトレンドが３か月（四半期）周期で変わるとすると、第２の期間は最新の３か月であり、第１の期間はそれより前の３か月（さらに前を含んでもよい）である。例えば、最新の３か月に収集されたマルウェアを新規マルウェアとし、それより前に収集されたマルウェアを既存マルウェアとする。なお、３か月の期間は一例であり、任意の期間でもよい（任意の年、月、日でもよい）。

　学習モデル記憶装置４００は、マルウェアを判別するための学習モデルを記憶する。学習モデル記憶装置４００は、学習装置１００が作成する学習モデルを記憶し、記憶された学習モデルを判別装置２００がマルウェアの判別のために参照する。

　学習装置１００は、検体となるマルウェアの特徴を学習した学習モデルを作成する装置である。学習装置１００は、既存マルウェアをクラスタに分類し、そのクラスタに新規マルウェアを分類した上で、学習モデルを作成する。学習装置１００は、制御部１１０及び記憶部１２０を備えている。学習装置１００は、その他、必要に応じて、判別装置２００やインターネット等との通信部や、ユーザやオペレータ等とのインタフェースとして入力部や出力部等を有してもよい。

　記憶部１２０は、学習装置１００の動作に必要な情報を格納する。記憶部１２０は、不揮発性の記憶部（格納部）であり、例えば、フラッシュメモリなどの不揮発性メモリやハードディスクである。記憶部１２０は、マルウェアの特徴量を記憶する特徴量記憶部１２１、マルウェアを分類したクラスタの情報を記憶するクラスタ記憶部１２２を含む。その他、記憶部１２０には、機械学習により学習モデルを作成するために必要なプログラム等が格納される。

　制御部１１０は、学習装置１００の各部の動作を制御する制御部であり、ＣＰＵ（Central Processing Unit）等のプログラム実行部である。制御部１１０は、記憶部１２０に格納されたプログラムを読み出し、読み出したプログラムを実行することで、各機能（処理）を実現する。この機能として、制御部１１０は、例えば、既存準備部１１１、特徴量抽出部１１２、既存分類部１１３、平準化部１１４、新規準備部１１５、新規分類部１１６、特徴量調整部１１７、学習部１１８を含む。

　既存準備部１１１、特徴量抽出部１１２、既存分類部１１３、平準化部１１４は、後述する既存マルウェア処理を行う既存マルウェア処理部（第１の処理部）である。

　既存準備部１１１は、既存マルウェアの学習のために必要な準備を行う。既存準備部１１１は、既存マルウェア記憶装置３０１を参照して、既存マルウェアの検体を準備し、学習するための既存マルウェアの検体を選定する。既存準備部１１１は、所定の基準に基づいて検体の準備及び選定を行ってもよいし、入力されるユーザ等の操作に応じて検体の準備及び選定を行ってもよい。

　特徴量抽出部１１２は、既存マルウェアの特徴を示す特徴量を抽出する。特徴量抽出部１１２は、所定の特徴量抽出ルールにしたがい、選定された既存マルウェアの特徴量を抽出し、抽出した特徴量を特徴量記憶部１２１に格納する。特徴量抽出ルールは、予め記憶部１２０に記憶されていてもよいし、ユーザ等の操作に応じて指定されてもよい。

　既存分類部（第１の分類部）１１３は、既存マルウェアをクラスタに分類する。既存分類部１１３は、選定された既存マルウェアをクラスタに分類し、分類したクラスタのクラスタ情報をクラスタ記憶部１２２に格納する。既存分類部１１３は、階層クラスタリング等の所定のクラスタリング方法により、既存マルウェアの類似度に基づいてクラスタリングを行う。クラスタ情報には、各クラスタに含まれるマルウェアを示す情報や、各クラスタにおけるマルウェアの特徴量等が含まれる。

　平準化部１１４は、既存マルウェアを分類した各クラスタを平準化する。平準化部１１４は、クラスタ記憶部１２２に記憶されているクラスタ情報を参照し、各クラスタのマルウェア数（もしくは特徴量）に基づいて平準化し、クラスタ記憶部１２２のクラスタ情報を更新する。例えば、平準化部１１４は、オーバーサンプリングやアンダーサンプリング等の所定のサンプリングアルゴリズムにより、全てのクラスタでマルウェア数（もしくは特徴量）が等しくなるように平準化する。

　新規準備部１１５、新規分類部１１６、特徴量調整部１１７は、後述する新規マルウェア処理を行う新規マルウェア処理部（第２の処理部）である。

　新規準備部１１５は、新規マルウェアの学習のために必要な準備を行う。新規準備部１１５は、新規マルウェア記憶装置３０２を参照して、新規マルウェアの検体を準備し、学習するための新規マルウェアの検体を選定する。新規準備部１１５は、既存準備部１１１と同様に、所定の基準に基づいて検体の準備及び選定を行ってもよいし、入力されるユーザ等の操作に応じて検体の準備及び選定を行ってもよい。

　新規分類部（第２の分類部）１１６は、新規マルウェアをクラスタに分類する。新規分類部１１６は、クラスタ記憶部１２２に記憶されているクラスタ情報を参照し、既存マルウェアを分類し平準化されたクラスタに対し、選定された新規マルウェアを分類し、クラスタ記憶部１２２のクラスタ情報を更新する。新規分類部１１６は、新規マルウェアとクラスタの類似度に基づいて、新規マルウェアがいずれかのクラスタに属するように分類する。

　特徴量調整部１１７は、新規マルウェアを分類した各クラスタの特徴量を調整する。特徴量調整部１１７は、クラスタ記憶部１２２に記憶されているクラスタ情報を参照し、各クラスタに対する新規マルウェアの分類結果に応じて、各クラスタの特徴量を調整し、クラスタ記憶部１２２のクラスタ情報を更新する。例えば、各クラスタに対する新規マルウェアの分類数や分類割合に応じて、各クラスタの特徴量を調整する。

　学習部１１８は、調整された各クラスタの特徴量を用いて学習する。学習部１１８は、クラスタ記憶部１２２に記憶されたクラスタ情報を参照し、分類結果に応じて調整された各クラスタの特徴量に基づいて学習モデルを作成し、作成した学習モデルを学習モデル記憶装置４００に格納する。学習部１１８は、各クラスタのマルウェアの特徴量を教師データとして、ＳＶＭ（Support Vector Machine）等の機械学習器に学習させることで、学習モデルを作成する。

　判別装置２００は、ユーザから提供されるファイルをマルウェアか否か判別する装置である。判別装置２００は、入力部２１０、判別部２２０、出力部２３０を備えている。判別装置２００は、その他、必要に応じて、学習装置１００やインターネット等との通信部等を有してもよい。

　入力部２１０は、ユーザから入力されたファイルを取得する。入力部２１０は、インターネット等のネットワークを介して、アップロードされたファイルを受け付ける。

　判別部２２０は、学習装置１００が作成した学習モデルに基づき、ファイルがマルウェアか否かを判別する。判別部２２０は、学習モデル記憶装置４００に記憶された学習モデルを参照し、ファイルの特徴がマルウェアの特徴に近いか否か判断する。

　出力部２３０は、判別部２２０の判別結果をユーザへ出力する。出力部２３０は、入力部２１０と同様に、インターネット等のネットワークを介して、ファイルの判別結果を出力する。

　なお、学習装置１００は、図４のような構成に限らず、図５のような構成でもよい。すなわち、既存マルウェア処理と新規マルウェア処理は別のタイミングで実施されてもよいため、既存マルウェア処理と新規マルウェア処理を同じブロックで行ってもよい。例えば、既存準備部１１１と新規準備部１１５を一つの準備部１１１ａとし、既存分類部１１３と新規分類部１１６を一つの分類部１１３ａとしてもよい。また、既存マルウェア記憶装置３０１と新規マルウェア記憶装置３０２を一つのマルウェア記憶装置３００としてもよい。

　図６は、本実施の形態に係る学習装置１００により実施される学習方法を示しており、図７は、図６の学習方法における既存マルウェア処理を示しており、図８は、図６の学習方法における新規マルウェア処理を示している。

　図６に示すように、本実施の形態に係る学習方法では、まず、学習装置１００は、第１のステップとして既存マルウェア処理を実施し（Ｓ２０１）、第２のステップとして新規マルウェア処理を実施し（Ｓ２０２）、さらに、学習モデルを作成する（Ｓ２０３）。例えば、第１の時期（例えば第２の時期の３か月前）に既存マルウェア処理を実施し（Ｓ２０１）、第２の時期（例えば第１の時期の３か月後）に新規マルウェア処理及び学習モデルを作成する（Ｓ２０２及びＳ２０３）。なお、既存マルウェア記憶装置３０１及び新規マルウェア記憶装置３０２にそれぞれ必要なマルウェアが格納されている場合、Ｓ２０１～Ｓ２０３を同じ時期に行ってもよい。

　Ｓ２０１の既存マルウェア処理では、図７に示すように、学習装置１００は、まず、既存の検体である既存マルウェアを収集する（Ｓ３０１）。すなわち、既存準備部１１１は、第１の期間におけるマルウェアの検体を既存マルウェア記憶装置３０１やインターネット等から大量に準備する。また、既存準備部１１１は、所定の基準等に基づいて、準備した既存マルウェアの中から、学習するための既存マルウェアを選定する。

　続いて、学習装置１００は、既存マルウェアの特徴量を抽出する（Ｓ３０２）。すなわち、特徴量抽出部１１２は、検体として学習する既存マルウェアの特徴量を抽出する。

　図９は、Ｓ３０２における特徴量のイメージを示している。特徴量は、マルウェアの特徴を示すデータであり、複数の特徴データ要素の数値データである。特徴データ要素は、所定の特徴量抽出ルールに基づいており、例えば、所定の文字列パターンの出現回数である。所定の文字列は、１～３文字でもよいし、任意の長さの文字列でもよい。また、特徴データ要素は、所定のファイルへのアクセス回数や所定のＡＰＩ（Application Programming Interface）の呼び出し回数等を含む。

　図９は、特徴データ要素Ｅ１及びＥ２の２次元の特徴データ要素の例である。例えば、特徴データ要素Ｅ１及びＥ２は、それぞれ異なる文字列パターンの出現回数である。マルウェアの判別精度を上げるためには、より多くの特徴データ要素を使用することが好ましい。例えば、１文字のパターン、２文字のパターン、３文字のパターンをそれぞれ１００～２００個用意し、全てを特徴データ要素としてもよい。

　続いて、学習装置１００は、既存マルウェアをクラスタに分類する（Ｓ３０３～Ｓ３０５）。具体的には、学習装置１００は、既存マルウェアの類似度を計算し（Ｓ３０３）、既存マルウェアをクラスタリングし（Ｓ３０４）、クラスタの類似度を計算する（Ｓ３０５）。すなわち、既存分類部１１３は、検体であるマルウェア同士の類似度を計算し、最も類似度が高いマルウェア同士を同じクラスタに分類する。既存分類部１１３は、さらに、分類したクラスタ同士の類似度を計算してクラスタリングを行い、必要に応じて類似度の計算とクラスタリングを繰り返す。ここで計算する類似度は、クラスタリングのための分類要素の類似度である。分類要素は、特徴量における複数の特徴データ要素の一部でもよいし、特徴データ要素とは別の要素でもよい。分類要素は、特徴量における全ての特徴データ要素ではなく、特徴量よりも簡易に計算できる要素である。例えば、分類要素は、所定の文字列パターン（特徴量で用いるうちの一部の文字列パターン）の出現回数である。

　図１０は、Ｓ３０４におけるクラスタリングのイメージを示している。図１０の例では、既存マルウェアにマルウェアＭ－Ａ～Ｍ－Ｆが含まれている。マルウェアＭ－ＡとマルウェアＭ－Ｄの類似度が最も高い（例えば所定の文字列パターンの出現回数が最も近い）ため、クラスタＣ－Ａに分類し、マルウェアＭ－ＢとマルウェアＭ－Ｃの類似度が最も高いため、クラスタＣ－Ｂに分類し、マルウェアＭ－ＥとマルウェアＭ－Ｆの類似度が最も高いため、クラスタＣ－Ｃに分類する。

　続いて、学習装置１００は、クラスタを平準化する（Ｓ３０６）。すなわち、平準化部１１４は、各クラスタのクラスタサイズを平均化する。クラスタサイズは、クラスタのマルウェア数であり、また、クラスタのマルウェアの特徴量である。平準化部１１４は、マルウェア数が少ないクラスタの特徴量は、サンプリングアルゴリズム等で増やし、マルウェア数が多いクラスタの特徴量の一部を学習で使わないようにする。

　図１１及び図１２は、平準化のイメージを示している。例えば、図１１に示すように、クラスタＣ－Ａのクラスタ数が２、クラスタＣ－Ｂのクラスタ数が５、クラスタＣ－Ｃのクラスタ数が４とすると、各クラスタのクラスタ数が平均値の４となるように調整する。クラスタＣ－Ｂについては、クラスタ数が５であるため、例えば、マルウェアＭ－Ｇの特徴量を使用しないようにする（マルウェアをクラスタから削除する）。クラスタＣ－Ａについては、クラスタ数が２であるため、マルウェアＭ－Ａ及びＭ－Ｄの特徴量に近い特徴量を追加する。この例では、ダミーのマルウェアＭ－Ｈ及びＭ－Ｉの特徴量を生成し、クラスタＣ－Ａに追加する。例えば、クラスタＣ－Ａの特徴量（例えば、マルウェアＭ－Ａ及びＭ－Ｄの特徴量の平均値）のデータを変更したり、データを削除または増加させたりすることで、クラスタＣ－Ａの特徴量に近いマルウェアＭ－Ｈ及びＭ－Ｉの特徴量を生成する。例えば、図１２に示すように、クラスタＣ－Ａの特徴量に含まれる一つのデータの値のみを変更し、マルウェアＭ－Ｈの特徴量を生成する。また、クラスタＣ－Ａの特徴量に含まれる一つのデータのみを削除し、マルウェアＭ－Ｉの特徴量を生成する。

　Ｓ２０１の既存マルウェア処理に続いて、Ｓ２０２の新規マルウェア処理では、図８に示すように、学習装置１００は、まず、新規の検体である新規マルウェアを収集する（Ｓ４０１）。すなわち、新規準備部１１５は、第２の期間におけるマルウェアの検体を新規マルウェア記憶装置３０２やインターネット等から大量に準備する。また、新規準備部１１５は、所定の基準等に基づいて、準備した新規マルウェアの中から、学習するための新規マルウェアを選定する。

　続いて、学習装置１００は、新規マルウェアを既存のクラスタに分類する（Ｓ４０２～Ｓ４０３）。具体的には、学習装置１００は、新規マルウェアの類似度を計算し（Ｓ４０２）、新規マルウェアをクラスタリングする（Ｓ４０３）。すなわち、新規分類部１１６は、検体である新規マルウェアと既存マルウェアを分類済みの各クラスタとの類似度を計算し、新規マルウェアを最も類似度が高いクラスタに分類する。新規分類部１１６は、上記の既存マルウェアのクラスタリングと同様、所定の文字列パターンの出現回数等の分類要素により類似度を計算する。例えば、新規マルウェアにおける所定の文字列パターンの出現回数と各クラスタの既存マルウェアにおける所定の文字列パターンの出現回数の平均値との類似度を計算する。

　図１３は、Ｓ４０３におけるクラスタリングのイメージを示している。図１３の例では、新規マルウェアにマルウェアＮ－Ａ～Ｎ－Ｆが含まれている。例えば、マルウェアＮ－Ａ、Ｎ－Ｂ、Ｎ－Ｃは、クラスタＣ－Ａと最も類似度が高い（例えばマルウェアの所定の文字列パターンの出現回数とクラスタの所定の文字列パターンの出現回数が最も近い）ため、クラスタＣ－Ａに分類し、マルウェアＮ－Ｅ、Ｎ－Ｆは、クラスタＣ－Ｂと最も類似度が高いため、クラスタＣ－Ｂに分類し、マルウェアＮ－Ｄは、クラスタＣ－Ｃと最も類似度が高いため、クラスタＣ－Ｃに分類する。

　続いて、学習装置１００は、新規マルウェアの分類割合を計算し（Ｓ４０４）、クラスタの特徴量を調整する（Ｓ４０５）。すなわち、特徴量調整部１１７は、新規マルウェアが各クラスタへ分類された割合（もしくは分類数）を計算し、計算した分類割合に基づいて学習に使用するクラスタの特徴量を調整する。

　図１４は、Ｓ４０５における特徴量の調整イメージを示している。例えば、図１３のように、新規マルウェアを分類した結果、クラスタＣ－Ａに３個の新規マルウェアを分類し、クラスタＣ－Ｂに２個の新規マルウェアを分類し、クラスタＣ－Ｃに１個の新規マルウェアを分類したとすると、クラスタＣ－Ａの分類割合は１／２、クラスタＣ－Ｂの分類割合は１／３、クラスタＣ－Ｃの分類割合は１／６となる。この分類割合に応じて各クラスタの特徴量を調整する。クラスタＣ－Ａの分類割合は、クラスタＣ－Ｂ及びＣ－Ｃよりも大きいため、学習に使用するクラスタＣ－Ａの特徴量を増やす。クラスタＣ－Ｃの分類割合は、クラスタＣ－Ａ及びＣ－Ｂよりも小さいため、学習に使用するクラスタＣ－Ｃの特徴量を減らす。上記のクラスタの平準化と同様、クラスタの特徴量を増やす場合、所定のサンプリングアルゴリズムで特徴量を追加し、クラスタの特徴量を減らす場合、クラスタの特徴量の一部を使用しないようにする（クラスタから削除する）。なお、この時、平準化時に特徴量を減らした（特徴量として使うマルウェアを減らした）クラスタの特徴量を増やす場合、サンプリングアルゴリズムで特徴量を追加するだけではなく、平準化時に減らした分のマルウェアの特徴量を使用してもよい。

　Ｓ２０１の既存マルウェア処理、Ｓ２０２の新規マルウェア処理に続いて、図６に示すように、学習装置１００は、学習モデルを作成する（Ｓ２０３）。すなわち、学習部１１８は、調整した各クラスタの特徴量を用いて、マルウェアの学習モデルを作成する。

　図１５は、本実施の形態に係る判別装置２００により実施される判別方法を示している。この判別方法は、図６の学習方法により判別学習モデルが作成された後に実行される。なお、この判別方法の中で、図６の学習方法により学習モデルを作成してもよい。

　図１５に示すように、判別装置２００は、ユーザからファイルの入力を受け付ける（Ｓ５０１）。例えば、入力部２１０は、ユーザにＷｅｂインタフェースを提供し、ユーザがＷｅｂインタフェース上でアップロードしたファイルを取得する。

　続いて、判別装置２００は、学習モデルを参照し（Ｓ５０２）、学習モデルに基づいてファイルを判別する（Ｓ５０３）。判別部２２０は、学習装置１００が作成した学習モデルを参照し、入力ファイルがマルウェアか否か判別する。学習モデルで学習したマルウェアの特徴を持つファイルは、“マルウェア”と判定され、その特徴に当てはまらないファイルは、マルウェアではない“正常ファイル”と判定される。例えば、入力ファイルの特徴量を抽出し、抽出した特徴量と学習モデルにおけるマルウェアの特徴量とが、所定の範囲よりも近い場合、マルウェアと判定する。

　続いて、判別装置２００は、判別結果を出力する（Ｓ５０４）。例えば、出力部２３０は、Ｓ５０１と同様、Ｗｅｂインタフェースを介して、ユーザに判断結果を表示する。例えば、「ファイルはマルウェアである」、もしくは「ファイルは正常ファイルである」と表示する。また、ファイルの特徴量と学習モデルの特徴量との距離から、マルウェアや正常ファイルと判断される可能性（確率）を表示してもよい。

　以上のように、本実施の形態では、第１のステップの既存マルウェア処理で、マルウェアを学習させる前に検体を類似度でクラスタリングし、第２のステップの新規マルウェア処理で、新規マルウェアと“似た”既存マルウェアの特徴をクラスタに適用するようにした。これにより、新規マルウェアに対応した特徴を学習できるため、新しいトレンドのマルウェアの判別精度を向上することができる。また、本実施の形態では、新規マルウェアの特徴量を抽出する必要がないため、特徴量の抽出にかかる時間を抑え、簡易に新しいトレンドのマルウェアの特徴を学習することができる。さらに、既存マルウェアのクラスタリングでは、分類したクラスタを平準化することにより、学習する既存マルウェアの特徴量のばらつきを抑えることができる。平準化されたクラスタに新規マルウェアをクラスタリングし、クラスタの特徴量を調整することで、新しいマルウェアのトレンドに確実に対応することができる。

　なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。例えば、ユーザから提供されたファイルの判別に限らず、自動的に収集したファイルを判別するシステムとしてもよい。また、マルウェアの判別に限らず、その他の異常ファイルを判別するシステムとしてもよい。

　上述の実施形態における各構成は、ハードウェア又はソフトウェア、もしくはその両方によって構成され、１つのハードウェア又はソフトウェアから構成してもよいし、複数のハードウェア又はソフトウェアから構成してもよい。各装置の機能（処理）を、ＣＰＵやメモリ等を有するコンピュータにより実現してもよい。例えば、記憶装置に実施形態における方法（学習方法や判別方法）を行うためのプログラムを格納し、各機能を、記憶装置に格納されたプログラムをＣＰＵで実行することにより実現してもよい。

　これらのプログラムは、様々なタイプの非一時的なコンピュータ可読媒体（non-transitory computer readable medium）を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体（tangible storage medium）を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体（例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（例えば光磁気ディスク）、ＣＤ－ＲＯＭ（Read Only Memory）、ＣＤ－Ｒ、ＣＤ－Ｒ／Ｗ、半導体メモリ（例えば、マスクＲＯＭ、ＰＲＯＭ（Programmable ROM）、ＥＰＲＯＭ（Erasable PROM）、フラッシュＲＯＭ、ＲＡＭ（random access memory））を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（transitory computer readable medium）によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　以上、実施の形態を参照して本開示を説明したが、本開示は上記実施の形態に限定されるものではない。本開示の構成や詳細には、本開示のスコープ内で当業者が理解し得る様々な変更をすることができる。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
（付記１）
　第１の期間に収集された複数の第１のマルウェアを複数のクラスタに分類する第１の分類手段と、
　第２の期間に収集された複数の第２のマルウェアを前記複数のクラスタに分類する第２の分類手段と、
　前記複数の第２のマルウェアの分類結果に応じた前記複数のクラスタの特徴量に基づいて、マルウェアを判別するための学習モデルを作成する学習手段と、
　を備える、学習装置。
（付記２）
　前記第１の分類手段は、前記複数の第１のマルウェアのそれぞれの類似度に基づいて、前記複数の第１のマルウェアを前記複数のクラスタに分類する、
　付記１に記載の学習装置。
（付記３）
　前記第２の分類手段は、前記複数の第２のマルウェアと前記複数のクラスタとの類似度に基づいて、前記複数の第２のマルウェアを前記複数のクラスタに分類する、
　付記１又は２に記載の学習装置。
（付記４）
　前記類似度は、所定の文字列パターンの出現回数の類似度である、
　付記２又は３に記載の学習装置。
（付記５）
　前記複数の第２のマルウェアの分類結果に応じて前記複数のクラスタの特徴量を調整する調整手段をさらに備え、
　前記学習手段は、前記調整された特徴量に基づいて、前記学習モデルを作成する、
　付記１乃至４のいずれかに記載の学習装置。
（付記６）
　前記調整手段は、前記複数のクラスタのそれぞれにおける前記複数の第２のマルウェアの分類数に応じて、前記特徴量を調整する、
　付記５に記載の学習装置。
（付記７）
　前記調整手段は、前記複数のクラスタのそれぞれにおける前記複数の第２のマルウェアの分類割合に応じて、前記特徴量を調整する、
　付記５に記載の学習装置。
（付記８）
　前記複数の第１のマルウェアを分類した前記複数のクラスタを平準化する平準化手段をさらに備え、
　前記第２の分類手段は、前記平準化された複数のクラスタに、前記複数の第２のマルウェアを分類する、
　付記１乃至７のいずれかに記載の学習装置。
（付記９）
　前記平準化手段は、前記複数のクラスタのそれぞれにおける前記複数の第１のマルウェアのマルウェア数に応じて、前記複数のクラスタを平準化する、
　付記８に記載の学習装置。
（付記１０）
　前記平準化手段は、前記複数のクラスタのそれぞれにおける前記複数の第１のマルウェアの特徴量に応じて、前記複数のクラスタを平準化する、
　付記８に記載の学習装置。
（付記１１）
　第１の期間に収集された複数の第１のマルウェアを複数のクラスタに分類する第１の分類手段と、
　第２の期間に収集された複数の第２のマルウェアを前記複数のクラスタに分類する第２の分類手段と、
　前記複数の第２のマルウェアの分類結果に応じた前記複数のクラスタの特徴量に基づいて、マルウェアを判別するための学習モデルを作成する学習手段と、
　前記作成された学習モデルに基づいて、入力されるファイルがマルウェアか否かを判別する判別手段と、
　を備える、判別システム。
（付記１２）
　前記判別手段は、前記ファイルの特徴量と前記学習モデルにおける特徴量とに基づいて判別する、
　付記１１に記載の判別システム。
（付記１３）
　第１の期間に収集された複数の第１のマルウェアを複数のクラスタに分類し、
　第２の期間に収集された複数の第２のマルウェアを前記複数のクラスタに分類し、
　前記複数の第２のマルウェアの分類結果に応じた前記複数のクラスタの特徴量に基づいて、マルウェアを判別するための学習モデルを作成する、
　学習方法。
（付記１４）
　前記複数の第１のマルウェアの分類では、前記複数の第１のマルウェアのそれぞれの類似度に基づいて、前記複数の第１のマルウェアを前記複数のクラスタに分類する、
　付記１３に記載の学習方法。
（付記１５）
　第１の期間に収集された複数の第１のマルウェアを複数のクラスタに分類し、
　第２の期間に収集された複数の第２のマルウェアを前記複数のクラスタに分類し、
　前記複数の第２のマルウェアの分類結果に応じた前記複数のクラスタの特徴量に基づいて、マルウェアを判別するための学習モデルを作成する、
　処理をコンピュータに実行させるための学習プログラム。
（付記１６）
　前記複数の第１のマルウェアの分類では、前記複数の第１のマルウェアのそれぞれの類似度に基づいて、前記複数の第１のマルウェアを前記複数のクラスタに分類する、
　付記１５に記載の学習プログラム。

１、２　判別システム
１０　　学習装置
１１　　第１の分類部
１２　　第２の分類部
１３　　学習部
２０　　判別装置
２１　　判別部
１００　学習装置
１１０　制御部
１１１　既存準備部
１１１ａ　準備部
１１２　特徴量抽出部
１１３　既存分類部
１１３ａ　分類部
１１４　平準化部
１１５　新規準備部
１１６　新規分類部
１１７　特徴量調整部
１１８　学習部
１２０　記憶部
１２１　特徴量記憶部
１２２　クラスタ記憶部
２００　判別装置
２１０　入力部
２２０　判別部
２３０　出力部
３００　マルウェア記憶装置
３０１　既存マルウェア記憶装置
３０２　新規マルウェア記憶装置
４００　学習モデル記憶装置

Claims

　第１の期間に収集された複数の第１のマルウェアを複数のクラスタに分類する第１の分類手段と、
　第２の期間に収集された複数の第２のマルウェアを前記複数のクラスタに分類する第２の分類手段と、
　前記複数の第２のマルウェアの分類結果に応じた前記複数のクラスタの特徴量に基づいて、マルウェアを判別するための学習モデルを作成する学習手段と、
　を備える、学習装置。
　前記第１の分類手段は、前記複数の第１のマルウェアのそれぞれの類似度に基づいて、前記複数の第１のマルウェアを前記複数のクラスタに分類する、
　請求項１に記載の学習装置。
　前記第２の分類手段は、前記複数の第２のマルウェアと前記複数のクラスタとの類似度に基づいて、前記複数の第２のマルウェアを前記複数のクラスタに分類する、
　請求項１又は２に記載の学習装置。
　前記類似度は、所定の文字列パターンの出現回数の類似度である、
　請求項２又は３に記載の学習装置。
　前記複数の第２のマルウェアの分類結果に応じて前記複数のクラスタの特徴量を調整する調整手段をさらに備え、
　前記学習手段は、前記調整された特徴量に基づいて、前記学習モデルを作成する、
　請求項１乃至４のいずれか一項に記載の学習装置。
　前記調整手段は、前記複数のクラスタのそれぞれにおける前記複数の第２のマルウェアの分類数に応じて、前記特徴量を調整する、
　請求項５に記載の学習装置。
　前記調整手段は、前記複数のクラスタのそれぞれにおける前記複数の第２のマルウェアの分類割合に応じて、前記特徴量を調整する、
　請求項５に記載の学習装置。
　前記複数の第１のマルウェアを分類した前記複数のクラスタを平準化する平準化手段をさらに備え、
　前記第２の分類手段は、前記平準化された複数のクラスタに、前記複数の第２のマルウェアを分類する、
　請求項１乃至７のいずれか一項に記載の学習装置。
　前記平準化手段は、前記複数のクラスタのそれぞれにおける前記複数の第１のマルウェアのマルウェア数に応じて、前記複数のクラスタを平準化する、
　請求項８に記載の学習装置。
　前記平準化手段は、前記複数のクラスタのそれぞれにおける前記複数の第１のマルウェアの特徴量に応じて、前記複数のクラスタを平準化する、
　請求項８に記載の学習装置。
　第１の期間に収集された複数の第１のマルウェアを複数のクラスタに分類する第１の分類手段と、
　第２の期間に収集された複数の第２のマルウェアを前記複数のクラスタに分類する第２の分類手段と、
　前記複数の第２のマルウェアの分類結果に応じた前記複数のクラスタの特徴量に基づいて、マルウェアを判別するための学習モデルを作成する学習手段と、
　前記作成された学習モデルに基づいて、入力されるファイルがマルウェアか否かを判別する判別手段と、
　を備える、判別システム。
　前記判別手段は、前記ファイルの特徴量と前記学習モデルにおける特徴量とに基づいて判別する、
　請求項１１に記載の判別システム。
　第１の期間に収集された複数の第１のマルウェアを複数のクラスタに分類し、
　第２の期間に収集された複数の第２のマルウェアを前記複数のクラスタに分類し、
　前記複数の第２のマルウェアの分類結果に応じた前記複数のクラスタの特徴量に基づいて、マルウェアを判別するための学習モデルを作成する、
　学習方法。
　前記複数の第１のマルウェアの分類では、前記複数の第１のマルウェアのそれぞれの類似度に基づいて、前記複数の第１のマルウェアを前記複数のクラスタに分類する、
　請求項１３に記載の学習方法。
　第１の期間に収集された複数の第１のマルウェアを複数のクラスタに分類し、
　第２の期間に収集された複数の第２のマルウェアを前記複数のクラスタに分類し、
　前記複数の第２のマルウェアの分類結果に応じた前記複数のクラスタの特徴量に基づいて、マルウェアを判別するための学習モデルを作成する、
　処理をコンピュータに実行させるための学習プログラムが格納された非一時的なコンピュータ可読媒体。
　前記複数の第１のマルウェアの分類では、前記複数の第１のマルウェアのそれぞれの類似度に基づいて、前記複数の第１のマルウェアを前記複数のクラスタに分類する、
　請求項１５に記載の非一時的なコンピュータ可読媒体。