WO2021106306A1

WO2021106306A1 - ラベル付与装置およびラベル付与プログラム

Info

Publication number: WO2021106306A1
Application number: PCT/JP2020/033818
Authority: WO
Inventors: 祐馬黒米; 誠岩村; 三好　潤
Original assignee: 日本電信電話株式会社
Priority date: 2019-11-28
Filing date: 2020-09-07
Publication date: 2021-06-03
Also published as: JP7318731B2; WO2021106173A1; US20230004645A1; JPWO2021106306A1

Abstract

ラベル付与装置（１０）は、ラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴とを抽出する。そして、ラベル付与装置（１０）は、抽出したラベル付与対象のマルウェアの特徴と、マルウェア群の各特徴との類似度に基づいて、マルウェア群の各特徴のうち、ラベル付与対象のマルウェアの特徴と最も類似するマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、ラベル付与対象のマルウェアに付与する。

Description

ラベル付与装置およびラベル付与プログラム

　本発明は、ラベル付与装置およびラベル付与プログラムに関する。

　従来、マルウェア分類に用いるデータセットを作成する際にマルウェアのラベルを用いることがある。このようなラベルとして、アンチウイルスソフトウェア（以下、アンチウイルスと記載）による検知名を用いることがある。この場合に、ラベルは１つのマルウェアに一つ付与される。

　マルウェアの中には、ある１つのアンチウイルスではラベルが付与できない検体が存在する。これに対し、複数社のアンチウイルスを用いて１つ以上のラベルの候補を列挙し、それらを正規化・統合したラベルを生成して付与するＡＶＣＬＡＳＳという手法がある。

Marcos　Sebastian,　Richard　Rivera,　Platon　Kotzias,　and　Juan　Caballero.　2016.　「AVclass:　A　Tool　for　Massive　Malware　Labeling」.　In　Proceedings　of　the　19th　International　Symposium　on　Research　in　Attacks,　Intrusions,　and　Defenses　(RAID’16).　230-253.. Hyrum　S.　Anderson　and　Phil　Roth.　2018.　「EMBER:　An　Open　Dataset　for　Training　Static　PE　Malware　Machine　Learning　Models」.　CoRR,　abs/1804.04637. Xiaojin　Zhu　and　Zoubin　Ghahramani.　2002.　「Learning　from　Labeled　and　Unlabeled　Data　with　Label　Propagation」.　Technical　Report　CMU-CALD-02-107,　Carnegie　Mellon　University.

　従来の方法では、マルウェアに対してラベルを適切に付与できない場合があるという課題があった。例えば、上述したＡＶＣＬＡＳＳの手法では、ラベル候補が発生することを前提としているため、ラベル候補が出力されない場合にはマルウェアに対してラベル付けができなくなってしまう。なお、ラベル候補の中にアンチウイルスが自動生成したランダムな文字列がラベルとして含まれている場合、有用なラベルが付与できない場合があった。

　上述した課題を解決し、目的を達成するために、本発明のラベル付与装置は、ラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴とを抽出する特徴抽出部と、前記特徴抽出部によって抽出されたラベル付与対象のマルウェアの特徴と、前記マルウェア群の各特徴との類似度に基づいて、前記マルウェア群の各特徴のうち、前記ラベル付与対象のマルウェアの特徴と最も類似するマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、前記ラベル付与対象のマルウェアに付与するラベル付与部とを有することを特徴とする。

　本発明によれば、ラベル候補がない場合であっても、マルウェアに対してラベルを適切に付与することができるという効果を奏する。

図１は、第１の実施形態に係るラベル付与装置の構成の一例を示す図である。図２は、リスト取得部による処理の概要を説明する図である。図３は、特徴抽出部およびラベル付与部による処理の概要を説明する図である。図４は、第１の実施形態に係るラベル付与装置におけるラベル付与処理の流れの一例を示すフローチャートである。図５は、ラベル付与プログラムを実行するコンピュータを示す図である。

　以下に、本願に係るラベル付与装置およびラベル付与プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係るラベル付与装置およびラベル付与プログラムが限定されるものではない。

［第１の実施形態］
　以下の実施の形態では、第１の実施形態に係るラベル付与装置１０の構成、ラベル付与装置１０の処理の流れを順に説明し、最後に第１の実施形態による効果を説明する。

［ラベル付与装置の構成］
　まず、図１を用いて、ラベル付与装置１０の構成について説明する。図１は、第１の実施形態に係るラベル付与装置の構成の一例を示す図である。ラベル付与装置１０は、マルウェアのラベルが既知の検体群を基準に、ラベルが未知の検体にラベルを自動付与する装置である。なお、ラベルが既知のマルウェア群（検体群）は、各マルウェアがそれぞれ一意のラベルをもつ場合に限定されるものではなく、同一のラベルをもつ複数のマルウェアが含まれていてもよいものとする。

　図１に示すように、ラベル付与装置１０は、通信部１１、入力部１２、出力部１３、記憶部１４及び制御部１５を有する。以下では、各部について説明する。

　通信部１１は、ネットワーク等を介して接続された他の装置との間で、各種情報を送受信する通信インタフェースである。通信部１１は、ＮＩＣ（Network　Interface　Card）等で実現され、ＬＡＮ（Local　Area　Network）やインターネットなどの電気通信回線を介した他の装置と制御部１５との間の通信を行う。

　入力部１２は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部１５に対して処理開始などの各種指示情報を入力する。出力部１３は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。

　記憶部１４は、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、ラベル付与装置１０を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。

　制御部１５は、各種の処理手順などを規定したプログラム及び所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。例えば、制御部１５は、ＣＰＵ（Central　Processing　Unit）やＭＰＵ（Micro　Processing　Unit）などの電子回路である。制御部１５は、リスト取得部１５ａ、特徴抽出部１５ｂおよびラベル付与部１５ｃを有する。

　リスト取得部１５ａは、マルウェアに対して作成されたラベル候補リストを取得し、取得したラベル候補リストが空である場合には、該ラベル候補リストのマルウェアをラベル付与対象のマルウェアとして特定する。

　ここで、図２を用いて、リスト取得部１５ａによる処理の概要について説明する。図２は、リスト取得部による処理の概要を説明する図である。図２に例示するように、リスト取得部１５ａは、複数のマルウェア検体について作成されたラベル候補リストを取得する。なお、ラベル候補リストを作成する処理は、既存の手法により、外部の装置が行ってもよいし、ラベル付与装置１０が行ってもよい。

　そして、リスト取得部１５ａは、ラベル候補リストを取得すると、各ラベル候補リストにラベル候補が一つ以上あるか検索する。つまり、リスト取得部１５ａは、各ラベル候補リストが空であるか検索する。続いて、リスト取得部１５ａは、ラベル候補リストにラベルが含まれる場合には、該ラベルが、ランダムに生成された文字列か否かを判定し、ランダムに生成された文字列であると判定した場合には、該文字列のラベルを除外する。例えば、リスト取得部１５ａは、各ラベル候補リストに含まれる各ラベル候補について、文字列がランダムな文字列であるかを評価する指標「N-gram　normality　score」や「Meaningful　characters　ratio」を算出し、算出した指標値が一定の閾値を下回ったラベルを当該候補リストから除外する。

　つまり、リスト取得部１５ａは、取得したラベル候補リストに含まれるラベル候補のうち、ランダムな文字列のラベルを有用でないラベル候補として除外する。具体例を挙げて説明すると、リスト取得部１５ａは、例えば、「MmNfrHgm40bj1」、「Trojan.MmNfrHgm40bj1」、「Olympus」をラベル候補として含むラベル候補リストを取得する。ここで、「MmNfrHgm40bj1」および「Trojan.MmNfrHgm40bj1」がランダムに生成された文字列であり、「Olympus」のみが有用なラベルであるものとする。そこで、リスト取得部１５ａは、「N-gram　normality　score」や「Meaningful　characters　ratio」といった指標を用いて、ラベルがランダムに生成された文字列か否かを判定し、ランダムに生成された文字列であると判定した場合には、該文字列のラベルを有用でないラベル候補として除外する。なお、「N-gram　normality　score」や「Meaningful　characters　ratio」といった指標は、与えられた文字列が英単語によく見られる文字の並びから構成されているかどうかを識別するものであり、この指標を用いることで、例えば、「MmNfrHgm40bj1」はランダムな文字列である、「Olympus」の場合はランダムな文字列ではないと判定することが可能である。

　そして、リスト取得部１５ａは、ラベル候補が無い空のラベル候補リストがあった場合には、該ラベル候補リストのマルウェア検体Ｘをラベル付与対象のマルウェア検体として特定する。

　図１の説明に戻って、特徴抽出部１５ｂは、ラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴とを抽出する。また、特徴抽出部１５ｂは、ラベル付与対象のマルウェアおよびラベルが既知のマルウェア群から抽出された特徴を特徴ベクトルに変換する。

　例えば、特徴抽出部１５ｂは、ラベル付与対象のマルウェアおよびラベルが既知のマルウェア群について、「Byte　histogram」、「printable　strings」、「file　size」、「PE　headers」、「sections」、「imports」、「exports」等の特徴を抽出する。そして、特徴抽出部１５ｂは、抽出した特徴をベクトルに変換する。

　ラベル付与部１５ｃは、特徴抽出部１５ｂによって抽出されたラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴との類似度に基づいて、ラベルが既知のマルウェア群の各特徴のうち、ラベル付与対象のマルウェアの特徴と最も類似するマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、ラベル付与対象のマルウェアに付与する。

　具体的には、ラベル付与部１５ｃは、特徴抽出部１５ｂによって変換されたラベル付与対象のマルウェアの特徴ベクトルと、ラベルが既知のマルウェア群の各特徴ベクトルとの類似度をそれぞれ計算し、ラベルが既知のマルウェア群の各特徴ベクトルのうち、類似度が最も大きいマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、ラベル付与対象のマルウェアに付与する。なお、類似度を計算する手法は、既存のどの手法を用いてもよい。

　例えば、ラベル付与部１５ｃは、ラベルが既知のマルウェア群の特徴ベクトルとラベル付与対象のマルウェアの特徴ベクトル両方をノード、ノード間の類似度をエッジの重みとするグラフを作成する。そして、ラベル付与部１５ｃはラベル付与対象のマルウェアのノードが繋がっている近傍のノードから、重みに沿ってラベルを伝播させる（例えば、上記の非特許文献３参照）ようにしてもよい。言い換えれば、ラベル付与部１５ｃは、特徴ベクトルが最も類似しているノードのラベルを、ラベル付与対象のマルウェアに付与する。

　ここで、図３を用いて、特徴抽出部１５ｂおよびラベル付与部１５ｃによる処理の概要を説明する。図３は、特徴抽出部およびラベル付与部による処理の概要を説明する図である。図３に例示するように、特徴抽出部１５ｂは、ラベル付与対象のマルウェアの検体Ｘのファイルと、ラベルが既知であるマルウェアの検体１～ｎのファイル群とを入力として受け付ける。そして、特徴抽出部１５ｂは、検体Ｘの特徴ベクトルと検体１～ｎの特徴ベクトルをラベル付与部１５ｃに出力する。

　ラベル付与部１５ｃは、特徴抽出部１５ｂから検体Ｘの特徴ベクトルと検体１～ｎの特徴ベクトルの入力を受け付ける。また、ラベル付与部１５ｃは、ＡＶＣＬＡＳＳでラベル候補リストから生成された検体１～ｎのラベルの入力も受け付ける。なお、ＡＶＣＬＡＳＳでラベル候補リストから検体１～ｎのラベルを生成する処理については、既存の手法により、外部の装置が行ってもよいし、ラベル付与装置１０が行ってもよい。

　ラベル付与部１５ｃは、検体Ｘの特徴ベクトルと、検体１～ｎの各特徴ベクトルとの類似度をそれぞれ計算し検体１～ｎの各特徴ベクトルのうち、類似度が最も大きい検体または検体群を特定し、該検体に付与されているラベルを、検体Ｘのマルウェアに付与する。

　このように、ラベル付与装置１０は、ある検体Ｘに対する検知名候補リストが空だった場合、その検体Ｘのファイルの特徴と、すでにラベルを付与できたマルウェアの検体１～ｎのファイル群との特徴を比較し、類似したマルウェアに付与されたラベルを検体Ｘのマルウェアに対しても付与する。

［ラベル付与装置の処理手順］
　次に、図４を用いて、第１の実施形態に係るラベル付与装置１０による処理手順の例を説明する。図４は、第１の実施形態に係るラベル付与装置におけるラベル付与処理の流れの一例を示すフローチャートである。

　図４に例示するように、ラベル付与装置１０のリスト取得部１５ａは、マルウェアに対して作成されたラベル候補リストを取得し（ステップＳ１０１）、各ラベル候補リストにラベル候補が一つ以上あるか検索する（ステップＳ１０２）。

　続いて、リスト取得部１５ａは、取得したラベル候補リストに含まれるラベル候補のうち、ランダムな文字列のラベルを除外する（ステップＳ１０３）。具体的には、リスト取得部１５ａは、各ラベル候補リストに含まれる各ラベル候補について、文字列がランダムな文字列であるかを評価する指標値を算出し、指標値が一定の閾値を下回ったラベルを当該候補リストから除外する。そして、リスト取得部１５ａは、検索を行った結果、全てのラベル候補リストにラベル候補が一つ以上ある場合には（ステップＳ１０４肯定）、そのまま処理を終了する。つまり、ラベル付与装置１０は、例えば、既存のＡＶＣＬＡＳＳでラベル候補リストからラベルを生成して付与することができる。

　一方、リスト取得部１５ａが、ラベル候補リストにラベル候補がないと判定した場合には（ステップＳ１０４否定）、特徴抽出部１５ｂは、ラベル付与対象の検体の特徴ベクトルと、既知検体群の特徴ベクトルとを抽出する（ステップＳ１０５）。

　そして、ラベル付与部１５ｃは、ラベル付与対象の検体の特徴ベクトルと、既知検体群の特徴ベクトルとを比較し（ステップＳ１０６）、ラベル付与対象の検体と類似する既知検体（もしくは検体群）のラベルをラベル付与対象の検体に付与する（ステップＳ１０７）。

［第１の実施形態の効果］
　このように、第１の実施形態に係るラベル付与装置１０は、ラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴とを抽出する。そして、ラベル付与装置１０は、抽出したラベル付与対象のマルウェアの特徴と、マルウェア群の各特徴との類似度に基づいて、マルウェア群の各特徴のうち、ラベル付与対象のマルウェアの特徴と最も類似するマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、ラベル付与対象のマルウェアに付与する。このため、ラベル付与装置１０では、ラベル候補がない場合であっても、マルウェアに対してラベルを適切に付与することができるという効果を奏する。

　つまり、ラベル付与装置１０では、マルウェアに付与するラベルとして、そのマルウェアと特徴が類似する既存のマルウェア群のラベルを活用することで、マルウェアにラベルが付与でき、データセットを生成できるという効果がある。さらに、ラベル付与装置１０では、マルウェア群のラベルをマルウェアに付与するため、マルウェアとラベルを１：１で付与するという手間が不要になるという効果もある。

　また、ラベル付与装置１０は、ラベル候補リストに含まれるラベル候補のうち、ランダムな文字列のラベルを除外するので、有用でないラベル候補を除外することができる結果、ラベル付与の精度を高めることが可能である。

［システム構成等］
　また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、ＣＰＵおよび当該ＣＰＵにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　図５は、ラベル付与プログラムを実行するコンピュータを示す図である。コンピュータ１０００は、例えば、メモリ１０１０、ＣＰＵ１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ（Read　Only　Memory）１０１１及びＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１０５１、キーボード１０５２に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１０６１に接続される。

　ハードディスクドライブ１０９０は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、ラベル付与装置１０の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、装置における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、ＳＳＤ（Solid　State　Drive）により代替されてもよい。

　また、上述した実施の形態の処理で用いられるデータは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０が、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク、ＷＡＮを介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　１０　ラベル付与装置
　１１　通信部
　１２　入力部
　１３　出力部
　１４　記憶部
　１５　制御部
　１５ａ　リスト取得部
　１５ｂ　特徴抽出部
　１５ｃ　ラベル付与部

Claims

　ラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴とを抽出する特徴抽出部と、
　前記特徴抽出部によって抽出されたラベル付与対象のマルウェアの特徴と、前記マルウェア群の各特徴との類似度に基づいて、前記マルウェア群の各特徴のうち、前記ラベル付与対象のマルウェアの特徴と最も類似するマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、前記ラベル付与対象のマルウェアに付与するラベル付与部と
　を有することを特徴とするラベル付与装置。
　前記特徴抽出部は、前記ラベル付与対象のマルウェアおよび前記マルウェア群から抽出された特徴を特徴ベクトルにそれぞれ変換し、
　前記ラベル付与部は、前記特徴抽出部によって変換された前記ラベル付与対象のマルウェアの特徴ベクトルと、前記マルウェア群の各特徴ベクトルとの類似度をそれぞれ計算し、前記マルウェア群の各特徴ベクトルのうち、前記類似度が最も大きいマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、前記ラベル付与対象のマルウェアに付与することを特徴とする請求項１に記載のラベル付与装置。
　マルウェアに対して作成されたラベル候補リストを取得し、取得したラベル候補リストが空である場合には、該ラベル候補リストのマルウェアをラベル付与対象のマルウェアとして特定するリスト取得部をさらに有し、
　前記特徴抽出部は、前記リスト取得部によって特定されたラベル付与対象のマルウェアの特徴と、前記マルウェア群の各特徴とを抽出することを特徴とする請求項１に記載のラベル付与装置。
　前記リスト取得部は、前記ラベル候補リストを取得し、取得したラベル候補リストにラベルが含まれる場合には、該ラベルが、ランダムに生成された文字列か否かを判定し、ランダムに生成された文字列であると判定した場合には、該文字列のラベルを除外し、取得したラベル候補リストが空である場合には、該ラベル候補リストのマルウェアをラベル付与対象のマルウェアとして特定することを特徴とする請求項３に記載のラベル付与装置。
　ラベル付与対象のマルウェアの特徴と、ラベルが既知のマルウェア群の各特徴とを抽出する特徴抽出ステップと、
　前記特徴抽出ステップによって抽出されたラベル付与対象のマルウェアの特徴と、前記マルウェア群の各特徴との類似度に基づいて、前記マルウェア群の各特徴のうち、前記ラベル付与対象のマルウェアの特徴と最も類似するマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、前記ラベル付与対象のマルウェアに付与するラベル付与ステップと
　をコンピュータに実行させることを特徴とするラベル付与プログラム。
　前記特徴抽出ステップは、前記ラベル付与対象のマルウェアおよび前記マルウェア群から抽出された特徴を特徴ベクトルにそれぞれ変換し、
　前記ラベル付与ステップは、前記特徴抽出ステップによって変換された前記ラベル付与対象のマルウェアの特徴ベクトルと、前記マルウェア群の各特徴ベクトルとの類似度をそれぞれ計算し、前記マルウェア群の各特徴ベクトルのうち、前記類似度が最も大きいマルウェアまたはマルウェア群を特定し、該マルウェアまたはマルウェア群に付与されているラベルを、前記ラベル付与対象のマルウェアに付与することを特徴とする請求項５に記載のラベル付与プログラム。
　マルウェアに対して作成されたラベル候補リストを取得し、取得したラベル候補リストが空である場合には、該ラベル候補リストのマルウェアをラベル付与対象のマルウェアとして特定するリスト取得ステップをさらにコンピュータに実行させ、
　前記特徴抽出ステップは、前記リスト取得ステップによって特定されたラベル付与対象のマルウェアの特徴と、前記マルウェア群の各特徴とを抽出することを特徴とする請求項５に記載のラベル付与プログラム。