WO2021106172A1

WO2021106172A1 - ルール生成装置およびルール生成プログラム

Info

Publication number: WO2021106172A1
Application number: PCT/JP2019/046682
Authority: WO
Inventors: 祐馬黒米; 裕平川古谷; 誠岩村; 勇人大月; 三好　潤
Original assignee: 日本電信電話株式会社
Priority date: 2019-11-28
Filing date: 2019-11-28
Publication date: 2021-06-03
Also published as: JP7315023B2; JPWO2021106172A1; US20220391505A1

Abstract

ルール生成装置（１０）は、マルウェアの解析結果を用いて、マルウェアの痕跡を検知するためのルールの候補として、それぞれ異なる抽象度のルール候補を列挙する。そして、ルール生成装置（１０）は、列挙したルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別する。

Description

ルール生成装置およびルール生成プログラム

　本発明は、ルール生成装置およびルール生成プログラムに関する。

　近年、マルウェアの痕跡を検知するためのルールに基づきマルウェアが端末上に作成する痕跡を検知し、セキュリティアナリストによる分析結果のフィードバックを提供するサービスとして、ＥＤＲ（Endpoint　Detection　&　Response）が知られている。また、このようなマルウェアの痕跡を検知するためのルールとして、ＩＯＣ（Indicator　of　Compromise）が知られている。ＩＯＣには、例えば、マルウェアによって作成されるファイルパス、レジストリキー、プロセス引数、通信先ホスト名、通信先ＩＰアドレス等のマルウェアの痕跡が記載されている。

　また、従来、ネットワークシグネチャと呼ばれる、マルウェア実行時の通信内容を表現したルールの自動生成方法が知られている。例えば、ルールの自動生成方法として、マルウェアを実行して解析し、得られた通信内容に対してクラスタリングを施し、クラスタごとに類似箇所を正規表現に縮約し、あらかじめ設定した閾値に基づいて誤検知の少ない正規表現をルール群として選択する方法が存在する。

Roberto　Perdisci,　Wenke　Lee,　and　Nick　Feamster.　2010.　「Behavioral　Clustering　of　HTTP-based　Malware　and　Signature　Generation　Using　Malicious　Network　Traces」In　Proceedings　of　the　7th　USENIX　Conference　on　Networked　Systems　Design　and　Implementation　(NSDI’10).　26-26. "mandiant/OpenIOC_1.1"、[online]、GitHub　、[２０１９年１１月２０日検索]、インターネット＜https://github.com/mandiant/OpenIOC_1.1＞

　従来の方法では、マルウェアの痕跡を検知するためのルールを精度よく自動的に生成することができないという課題があった。例えば、ネットワークシグネチャのルール自動生成方法をＩＯＣの自動生成に適用した場合に、生成されたルールが、単一の抽象度の正規表現しか含まないがために、本来のマッチさせたいマルウェアによる痕跡以外の正常なプログラムやユーザによって生成された痕跡とマッチしてしまい、誤検知が発生する場合があるという課題があった。

　上述した課題を解決し、目的を達成するために、本発明のルール生成装置は、マルウェアの解析結果を用いて、マルウェアの痕跡を検知するためのルールの候補として、それぞれ異なる抽象度のルール候補を列挙する列挙部と、前記列挙部によって列挙されたルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別する最適化部とを有することを特徴とする。

　本発明によれば、マルウェアの痕跡を検知するためのルールを精度よく自動的に生成することができるという効果を奏する。

図１は、第１の実施形態に係るルール生成装置の構成の一例を示す図である。図２は、列挙部による処理の概要を説明する図である。図３は、正規表現生成部による詳しい処理例について説明する図である。図４は、ルール化部による詳しい処理例について説明する図である。図５は、最適化部による処理の概要を説明する図である。図６は、最適化部による処理の概要を説明する図である。図７は、出力部による処理の概要を説明する図である。図８は、第１の実施形態に係るルール生成装置におけるルール生成処理の流れの一例を示すフローチャートである。図９は、ルール生成プログラムを実行するコンピュータを示す図である。

　以下に、本願に係るルール生成装置およびルール生成プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係るルール生成装置およびルール生成プログラムが限定されるものではない。

［第１の実施形態］
　以下の実施の形態では、第１の実施形態に係るルール生成装置１０の構成、ルール生成装置１０の処理の流れを順に説明し、最後に第１の実施形態による効果を説明する。

［ルール生成装置の構成］
　まず、図１を用いて、ルール生成装置１０の構成について説明する。図１は、第１の実施形態に係るルール生成装置の構成の一例を示す図である。ルール生成装置１０は、マルウェアの解析結果からマルウェアの痕跡を検知するためのルールを自動生成する装置である。

　図１に示すように、ルール生成装置１０は、通信部１１、記憶部１２及び制御部１３を有する。以下では、各部について説明する。

　通信部１１は、ネットワーク等を介して接続された他の装置との間で、各種情報を送受信する通信インタフェースである。通信部１１は、ＮＩＣ（Network　Interface　Card）等で実現され、ＬＡＮ（Local　Area　Network）やインターネットなどの電気通信回線を介した他の装置と制御部１４との間の通信を行う。

　記憶部１２は、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、ルール生成装置１０を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。

　制御部１３は、各種の処理手順などを規定したプログラム及び所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。例えば、制御部１３は、ＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）などの電子回路である。制御部１３は、列挙部１３１、最適化部１３２および出力部１３３を有する。

　列挙部１３１は、マルウェアの解析結果を用いて、マルウェアの痕跡を検知するためのルールの候補として、それぞれ異なる抽象度のルール候補を列挙する。例えば、列挙部１３１は、マルウェアの解析結果に含まれるマルウェアの痕跡を、マルウェアの痕跡同士の類似度を基に各クラスタに分割し、クラスタごとに低、中、高の３段階のうちいずれか一つまたは複数の抽象度でルール候補の正規表現を生成する。

　列挙部１３１は、クラスタリング部１３１ａ、正規表現生成部１３１ｂおよびルール化部１３１ｃを有する。ここで、図２を用いて、列挙部１３１による処理の概要を説明する。図２は、列挙部による処理の概要を説明する図である。まず、列挙部１３１は、図２に例示するように、マルウェアの解析結果として、マルウェア検体解析結果群を取得する。

　マルウェア検体解析結果群は、検体ごとにラベル・ハッシュ値・痕跡・付加情報を含む。また、痕跡にはファイル書き込み先・レジストリ書き込み先・プロセス引数・通信先等、ＩＯＣの仕様上許容される項目であれば任意のものを含んでもよい。また、マルウェア検体解析結果群は、仕様上許容されない項目およびその他の説明等は付加情報として記載されていてもよい。なお、列挙部１３１は、このマルウェア検体解析結果群を外部の解析装置から取得してもよいし、予め記憶部１２に記憶されている場合には記憶部１２から取得してもよい。

　クラスタリング部１３１ａは、マルウェアのラベルごとに痕跡リストに対してクラスタリングを施し、類似した痕跡をクラスタに分割する。例えば、クラスタリング部１３１ａは、痕跡の類似度は文字列としての類似度に基づいて算出し、算出した類似度を基に複数のクラスタに分割してもよい。

　続いて、正規表現生成部１３１ｂは、与えられたクラスタごとに低・中・高の各抽象度で正規表現を生成する。そして、ルール化部１３１ｃは、各正規表現を生成元のマルウェア検知解析結果群のラベルと照合し、ルール化する。列挙部１３１は、ルール化部１３１ｃによってルール化されたルールをルール候補として列挙する。

　ここで、図３を用いて、正規表現生成部１３１ｂによる詳しい処理例について説明する。図３は、正規表現生成部による詳しい処理例について説明する図である。図３に例示するように、正規表現生成部１３１ｂは、与えられたクラスタごとに、各痕跡を階層ごとに分割する（図３の（１）参照）。例えば、正規表現生成部１３１ｂは、痕跡がファイルパスの場合には、「￥」で階層を分割する。

　そして、正規表現生成部１３１ｂは、分割した階層ごとに、正規表現の候補集合を用意し、もし文字列が完全一致すれば重複を削除し、候補集合に追加する。また、文字列が完全一致しない場合には、正規表現生成部１３１ｂは、低・中・高のいずれか一つまたは複数の抽象度で正規表現を生成し、候補集合に追加する（図３の（２）参照）。

　例えば、正規表現生成部１３１ｂは、もし文字列が共通部分列から開始する場合には、抽象度「低」の正規表現として、共通部分列からはじまり共通しない部分列をＯＲ演算子で結合した正規表現を生成し、候補集合に追加する。

　また、例えば、正規表現生成部１３１ｂは、もし文字列が同じ長さである場合には、抽象度「中」の正規表現として、文字種と文字列長を示す正規表現を生成し、候補集合に追加する。また、例えば、正規表現生成部１３１ｂは、もし文字列が同じ長さでない場合には、抽象度「高」の正規表現として、任意の文字列にマッチする正規表現を生成し、候補集合に追加するようにしてもよい。

　そして、正規表現生成部１３１ｂは、各階層の候補集合について、各要素を結合する（図３の（３）参照）。例えば、正規表現生成部１３１ｂは、もし次の階層の候補集合の要素が１である場合には、そのまま要素を結合する。また、正規表現生成部１３１ｂは、もし次の階層の候補集合の要素が複数である場合には、自身の階層の候補集合に自身を再度追加した後、次の要素を結合する。

　次に、図４を用いて、ルール化部１３１ｃによる詳しい処理例について説明する。図４は、ルール化部による詳しい処理例について説明する図である。図４に例示するように、ルール化部１３１ｃは、正規表現生成部１３１ｂからの入力として、正規表現生成部１３１ｂが生成した正規表現の入力を受け付けると、マルウェア検体解析結果群を参照し、入力の正規表現がマルウェア検体解析結果群のどのラベルのどの種類の痕跡にマッチするかを照合する。そして、ルール化部１３１ｃは、照合したラベルと痕跡の情報を用いて、入力された正規表現をルール化して出力する。

　図１の説明に戻って、最適化部１３２は、列挙部１３１によって列挙されたルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別する。なお、評価関数は、どのような関数であってもよいが、例えば、検知率および誤検知率のうち、少なくともいずれか一方に基づいて評価値が算出可能な関数であるものとする。例えば、最適化部１３２は、ルール候補の集合から部分集合をサンプリングし、各部分集合について、解析結果を参照し、検知率、誤検知率、各ルール候補の項目数、ルール集合のサイズ、ルール同士の重複率のいずれか一つまたは複数に基づいて、評価値をそれぞれ算出し、該評価値に基づいてルールを選別する。

　最適化部１３２は、探索部１３２ａおよびルール照合部１３２ｂを有する。ここで、図５および図６を用いて、最適化部１３２による処理の概要を説明する。図５および図６は、最適化部による処理の概要を説明する図である。図５及び図６に示すように、探索部１３２ａは、ルール化部１３１ｃによって生成されたルール候補の集合を受け取ると、評価値リストを初期化する。

　そして、探索部１３２ａは、ルール集合から部分集合をサンプリングし、ルール照合部１３２ｂに部分集合を入力する。ルール照合部１３２ｂは、入力された部分集合について、マルウェア検体解析結果群に対する検知率および誤検知率、各ルールの項目数、ルール集合のサイズ、各ルールの重複率等を基に部分集合に対する評価値を算出し、評価値を探索部１３２ａに入力する。つまり、探索部１３２ａは、検知率が高いほど、誤検知率が低いほど、評価値が大きくなる評価関数で、評価値を算出する。また、評価値は、各ルールの項目数が少ないほど、ルール集合のサイズが小さいほど、各ルールの重複率が低いほど、値が大きくなるものとする。

　探索部１３２ａは、ルール照合部１３２ｂから部分集合の評価値を受け付けると、受け付けた評価値を評価値リストに追加する。その後、探索部１３２ａは、ルール集合から部分集合をサンプリングし、ルール照合部１３２ｂに入力する処理を繰り返す。ルール照合部１３２ｂは、部分集合が入力されるたびに、部分集合の評価値を算出する。なお、探索部１３２ａは、ルール候補の集合から全パターンの部分集合をサンプリングするまで繰り返してもよいし、所定の条件を満たすまで繰り返してもよい。その後、探索部１３２ａは、評価値リストにおいて最も評価値の高い部分集合に含まれるルールを出力部１３３に出力する。

　図１の説明に戻って、出力部１３３は、最適化部１３２によって選別されたルールに、解析結果に含まれるマルウェアの情報を付与して出力する。例えば、出力部１３３は、図７に例示するように、前述した探索部１３２ａから入力されたルールを受け付け、該ルールに対して、マルウェア検体解析結果群に含まれる付加情報およびハッシュ値を付与する。その上で、出力部１３３は、ＩＯＣを用いる監視ソフトウェアが受理可能な形式（例えば、ｘｍｌ、ｊｓｏｎ等）でファイルを出力する。図７は、出力部による処理の概要を説明する図である。

［ルール生成装置の処理手順］
　次に、図８を用いて、第１の実施形態に係るルール生成装置１０による処理手順の例を説明する。図８は、第１の実施形態に係るルール生成装置におけるルール生成処理の流れの一例を示すフローチャートである。

　図８に例示するように、ルール生成装置１０の列挙部１３１は、マルウェアの解析結果として、マルウェア検体解析結果群を取得する（ステップＳ１０１）。そして、列挙部１３１は、マルウェアのラベルごとに痕跡リストに対してクラスタリングを施し、類似した痕跡をクラスタに分割する（ステップＳ１０２）。

　続いて、列挙部１３１は、クラスタごとに異なる抽象度で正規表現を生成する（ステップＳ１０３）。そして、各正規表現を生成元のマルウェア検知解析結果群のラベルと照合してルール化し、ルール候補として列挙する（ステップＳ１０４）。

　最適化部１３２は、ルール集合から部分集合をサンプリングし（ステップＳ１０５）、部分集合に対する評価値を算出する（ステップＳ１０６）。そして、最適化部１３２は、所定の繰り返し終了条件を満たしたか否かを判定し（ステップＳ１０７）、満たしていないと判定した場合には（ステップＳ１０７否定）、ステップＳ１０５に戻って、処理を繰り返す。

　また、最適化部１３２は、所定の繰り返し終了条件を満たした場合には（ステップＳ１０７肯定）、評価値が最も高い部分集合に含まれるルールを選別する（ステップＳ１０８）。そして、出力部１３３は、選別されたルールに対して付加情報等を付与して出力する（ステップＳ１０９）。

［第１の実施形態の効果］
　このように、第１の実施形態に係るルール生成装置１０は、マルウェアの解析結果を用いて、マルウェアの痕跡を検知するためのルールの候補として、それぞれ異なる抽象度のルール候補を列挙し、列挙したルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別する。このため、ルール生成装置１０は、マルウェアの痕跡を検知するためのルールを精度よく自動的に生成することが可能である。

　ＩＯＣにおいては、端末挙動それ自体ではなく、挙動によって生まれる痕跡の表現が求められる。このため、ＩＯＣでは、マルウェアが作成する痕跡を誤検知の少ない形で表す正規表現が記載されている必要がある。また、ＩＯＣは、セキュリティ分析官が分析に活用する過程でＩＯＣを読み書きするユースケースを前提としているため、人が見てわかりやすい形式の正規表現および説明文が記載されている必要がある。このように、ＩＯＣは、高精度かつ高解釈性のルール群が求められる。

　第１の実施形態に係るルール生成装置１０によれば、ルールの候補として、それぞれ異なる抽象度のルール候補を列挙し、列挙したルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別するので、高精度かつ高解釈性のＩＯＣ群を生成できるという効果を奏する。また、ルール生成装置１０は、ＥＤＲサービスで即座に利用可能なＩＯＣ群を生成できる。

［システム構成等］
　また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、ＣＰＵおよび当該ＣＰＵにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　図８は、ルール生成プログラムを実行するコンピュータを示す図である。コンピュータ１０００は、例えば、メモリ１０１０、ＣＰＵ１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ（Read　Only　Memory）１０１１及びＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１０５１、キーボード１０５２に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１０６１に接続される。

　ハードディスクドライブ１０９０は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、ルール生成装置１０の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、装置における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、ＳＳＤ（Solid　State　Drive）により代替されてもよい。

　また、上述した実施の形態の処理で用いられるデータは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０が、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク、ＷＡＮを介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　１０　ルール生成装置
　１１　通信部
　１２　記憶部
　１３　制御部
　１３１　列挙部
　１３１ａ　クラスタリング部
　１３１ｂ　正規表現生成部
　１３１ｃ　ルール化部
　１３２　最適化部
　１３２ａ　探索部
　１３２ｂ　ルール照合部
　１３３　出力部

Claims

　マルウェアの解析結果を用いて、マルウェアの痕跡を検知するためのルールの候補として、それぞれ異なる抽象度のルール候補を列挙する列挙部と、
　前記列挙部によって列挙されたルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別する最適化部と
　を有することを特徴とするルール生成装置。
　前記列挙部は、前記マルウェアの解析結果に含まれるマルウェアの痕跡を、マルウェアの痕跡同士の類似度を基に複数のクラスタに分割し、クラスタごとに低、中、高の３段階のうちいずれか一つまたは複数の抽象度で前記ルール候補の正規表現を生成することを特徴とする請求項１に記載のルール生成装置。
　前記最適化部は、前記ルール候補の集合から部分集合をサンプリングし、各部分集合について、前記解析結果を参照し、検知率、誤検知率、各ルール候補の項目数、ルール集合のサイズ、ルール同士の重複率のいずれか一つまたは複数に基づいて、評価値をそれぞれ算出し、該評価値に基づいてルールを選別することを特徴とする請求項１または２に記載のルール生成装置。
　前記最適化部によって選別されたルールに、前記解析結果に含まれる前記マルウェアの情報を付与して出力する出力部をさらに有することを特徴とする請求項１～３のいずれか一つに記載のルール生成装置。
　マルウェアの解析結果を用いて、マルウェアの痕跡を検知するためのルールの候補として、それぞれ異なる抽象度のルール候補を列挙する列挙ステップと、
　前記列挙ステップによって列挙されたルール候補について、所定の評価関数を用いて評価値をそれぞれ算出し、該評価値に基づいてルール候補のなかからルールを選別する最適化ステップと
　をコンピュータに実行させることを特徴とするルール生成プログラム。
　前記列挙ステップは、前記マルウェアの解析結果に含まれるマルウェアの痕跡を、マルウェアの痕跡同士の類似度を基に複数のクラスタに分割し、クラスタごとに低、中、高の３段階のうちいずれか一つまたは複数の抽象度で前記ルール候補の正規表現を生成することを特徴とする請求項５に記載のルール生成プログラム。
　前記最適化ステップは、前記ルール候補の集合から部分集合をサンプリングし、各部分集合について、前記解析結果を参照し、検知率、誤検知率、各ルール候補の項目数、ルール集合のサイズ、ルール同士の重複率のいずれか一つまたは複数に基づいて、評価値をそれぞれ算出し、該評価値に基づいてルールを選別することを特徴とする請求項５または６に記載のルール生成プログラム。
　前記最適化ステップによって選別されたルールに、前記解析結果に含まれる前記マルウェアの情報を付与して出力する出力ステップをさらに有することを特徴とする請求項５～７のいずれか一つに記載のルール生成プログラム。