CN110506268A - 签名产生设备、签名产生方法和存储程序的非暂时性计算机可读介质 - Google Patents
签名产生设备、签名产生方法和存储程序的非暂时性计算机可读介质 Download PDFInfo
- Publication number
- CN110506268A CN110506268A CN201780089063.0A CN201780089063A CN110506268A CN 110506268 A CN110506268 A CN 110506268A CN 201780089063 A CN201780089063 A CN 201780089063A CN 110506268 A CN110506268 A CN 110506268A
- Authority
- CN
- China
- Prior art keywords
- signature
- character string
- attack data
- unit
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004519 manufacturing process Methods 0.000 title description 5
- 238000000605 extraction Methods 0.000 claims abstract description 62
- 238000000034 method Methods 0.000 claims description 32
- 230000008569 process Effects 0.000 claims description 15
- 239000000284 extract Substances 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000013075 data extraction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000004321 preservation Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
- G06F16/90344—Query processing by using string matching techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
签名产生设备(2)包括:收集单元(11),收集威胁信息;提取单元(21),从由收集单元(11)收集的威胁信息中提取攻击数据;以及产生单元(31),基于由提取单元(21)提取的攻击数据来产生签名。如果由提取单元(21)提取了具有相同字符串的多条攻击数据,则产生单元(31)临时产生包括该相同字符串在内的签名,评价临时产生的签名是否包括了在非攻击数据中使用的字符串,并且如果临时产生的签名包括了在非攻击数据中使用的字符串,则从临时产生的签名中去除该字符串以产生签名。
Description
技术领域
本公开涉及签名产生设备、签名产生方法和程序。
背景技术
计算机容易受到来自外部的攻击数据(例如,恶意软件)的攻击。恶意软件是意图使计算机非法地和有害地操作的有恶意的软件,其示例包括计算机病毒和蠕虫。
用于检测这种攻击数据的一种方法是所谓的基于签名的***。在基于签名的***中,登记定义攻击数据的签名,并且通过使用签名来确定来自外部的数据是否是攻击数据。
现有攻击数据有无数个,并且新的攻击数据层出不穷。因此,签名也需要不断创建和更新。然而,一个人或一个组织很难全部跟踪无数个现有攻击数据并持续产生签名。
因此,近来提出了用于收集威胁信息并基于所收集的威胁信息自动产生签名的技术(例如,专利文献1和2)。
引用列表
专利文献
专利文献1:专利申请第2005-520230号的PCT国际公开的已公开的日语译文
专利文献2:国际专利公开第WO2003/058457号
发明内容
技术问题
根据专利文献1和2中公开的技术,并不特别地验证基于威胁信息产生的签名。因此,该技术的缺点在于签名可能错误地将非攻击数据识别为攻击数据。
鉴于上述缺点,本公开旨在提供一种签名产生设备、签名产生方法和程序,其能够产生减少将非攻击数据错误识别为攻击数据的可能性的签名。
问题的解决方案
在一方面中,签名产生设备包括:
收集单元,被配置为收集威胁信息;
提取单元,被配置为从由所述收集单元收集的威胁信息中提取攻击数据;以及
产生单元,被配置为基于由所述提取单元提取的攻击数据来产生签名,其中,
产生单元被配置为:
当由所述提取单元提取了具有共同字符串的多条攻击数据时,临时产生包括所述共同字符串在内的签名,
评价临时产生的签名是否包括了在非攻击数据中使用的字符串,以及
当临时产生的签名包括了在非攻击数据中使用的字符串时,从临时产生的签名中去除该字符串以产生签名。
在一方面中,签名产生方法是一种利用签名产生设备产生签名的方法,并且该方法包括:
收集步骤,收集威胁信息;
提取步骤,从在所述收集步骤中收集的威胁信息中提取攻击数据;以及
产生步骤,基于在所述提取步骤中提取的攻击数据来产生签名,其中,
产生步骤包括:
当在所述提取步骤中提取了具有共同字符串的多条攻击数据时,临时产生包括所述共同字符串在内的签名,
评价临时产生的签名是否包括了在非攻击数据中使用的字符串,以及
当临时产生的签名包括了在非攻击数据中使用的字符串时,从临时产生的签名中去除该字符串以产生签名。
在一个方面中,一种程序使计算机执行:
收集过程,收集威胁信息;
提取过程,从在所述收集过程中收集的威胁信息中提取攻击数据;以及
产生过程,基于在所述提取过程中提取的攻击数据来产生签名,其中,
产生过程包括:
当在提取过程中提取了具有共同字符串的多条攻击数据时,临时产生包括所述共同字符串在内的签名,
评价临时产生的签名是否包括了在非攻击数据中使用的字符串,以及
当临时产生的签名包括了在非攻击数据中使用的字符串时,从临时产生的签名中去除该字符串以产生签名。
发明的有益效果
以上方面使得可以获得如下有益效果:能够产生减少将非攻击数据错误识别为攻击数据的可能性的签名。
附图说明
图1示出了根据本公开的示例实施例的签名产生设备的配置的示例。
图2示出了在图1所示的提取规则DB中登记的提取规则的示例。
图3示出了保存在图1所示的提取单元中的攻击数据的数据格式的示例。
图4示出了图1所示的签名产生单元的操作的示例。
图5是示出了图1所示的签名产生设备的处理流程的示例的流程图。
图6示出了根据本公开的签名产生设备的配置的示例。
具体实施方式
在下文中,将参考附图描述本公开的示例实施例。
首先,参考图1,将描述根据本示例实施例的签名产生设备1的配置。图1示出了根据本示例实施例的签名产生设备1的配置的示例。签名产生设备1包括收集单元10、提取单元20、签名产生单元30、签名提交单元40、收集规则数据库(DB)50、提取规则DB 60、产生规则DB 70和提交规则DB 80。收集规则DB 50、提取规则DB 60、产生规则DB 70和提交规则DB80不限于设置在签名产生设备1内部,而是可以设置在签名产生设备1外部。
收集单元10根据收集规则DB 50中登记的收集规则来收集威胁信息。威胁信息指示对计算机的威胁,并且由许多威胁信息提供者提供。收集规则定义了例如威胁信息的源(例如,威胁信息提供者的服务器)的统一资源定位符(URL)、从该源收集的威胁信息的类型(例如,关于互联网协议(IP)地址的威胁信息)等。例如,收集单元10从由收集规则定义的URL处的源,收集由收集规则定义的类型的威胁信息。
提取单元20根据在提取规则DB 60中登记的提取规则,从由收集单元10收集的威胁信息中提取攻击数据。稍后将详细描述提取单元20的操作。
签名产生单元30基于由提取单元20提取的攻击数据,并且根据在产生规则DB 70中登记的产生规则来产生签名。稍后将详细描述签名产生单元30的操作。
签名提交单元40根据在提交规则DB 80中登记的提交规则,将由签名产生单元30产生的签名提交给提交目的地。签名的提交目的地是检测从外部进入计算机的攻击数据的设备,并且例如是布置在网络上的安全服务器、布置在客户终端中的安全模块等。提交规则定义了例如签名被提交到的提交目的地、访问该提交目的地的方法(例如,标识(ID)和/或密码)等。例如,签名提交单元40通过由提交规则定义的访问方法,访问由提交规则定义的提交目的地以提交签名。
现在,将参考图2和图3描述根据本示例实施例的提取单元20的操作。图2示出了在提取规则DB 60中登记的提取规则的示例。图2所示的提取规则定义了威胁信息的类型(图2中的“类型”)、用于从威胁信息中提取攻击数据的规则(图2中的“规则”)、在所提取的攻击数据中设置的标签(图2中的“标签”)和威胁信息的源的URL(图2中的“URL(源)”)。
提取单元20根据由提取规则定义的规则,从如下威胁信息提取攻击数据:所述威胁信息由收集单元10从由提取规则定义的URL处的源收集并且具有由提取规则定义的类型。然后,提取单元20将由提取规则定义的标签设置到所提取的攻击数据中。
更具体地说,提取单元20对于已经从URL“https://www.binarydefense.com/tor.txt”处的源收集的、类型为“IP地址”的威胁信息,根据规则“parser1”来提取攻击数据。然后,提取单元20将标签“tor”设置在所提取的攻击数据中。
提取单元20保存上面提取的攻击数据,并且签名产生单元30基于提取单元20中保存的攻击数据产生签名。
在此,根据威胁信息是从何处收集的,威胁信息具有不同的数据格式。如果提取单元20以不同的数据格式保存每个攻击数据,则当签名产生单元30取回保存在提取单元20中的给定攻击数据时,签名产生单元30需要识别该攻击数据的数据格式,这会增加产生签名所需的时间。
因此,提取单元20在将上面提取的攻击数据的数据格式转换成预定数据格式之后,保存攻击数据。图3示出了提取单元20中保存的攻击数据的数据格式的示例。图3所示的数据格式的头部是:提取攻击数据的威胁信息的源(例如,图3中的“源”)、威胁信息的类型(图3中的“类型”)、表示攻击数据的对象(图3中的“对象”)、提取攻击数据的日期(图3中的“日期”)、以及设置在攻击数据中的标签(图3中的“标签”)。表示攻击数据的对象可以是攻击数据本身,也可以是该攻击数据的哈希值。可以通过例如图2所示的提取规则中的规则来定义计算哈希值的方法。
以这种方式,由于提取单元20在将攻击数据的数据格式转换为预定数据格式之后保存攻击数据,因此签名产生单元30可以迅速地从提取单元20取回攻击数据,这使得可以减少产生签名所需的时间。
现在,参考图4,将描述根据本示例实施例的签名产生单元30的操作。图4示出了签名产生单元30的操作的示例。在此,将描述攻击数据是恶意软件的示例。
登记在产生规则DB 70中的产生规则定义:当由提取单元20提取了具有公共字符串的多条攻击数据时,产生包括公共字符串的签名。因此,当提取单元20提取了具有公共字符串的多条攻击数据时,签名产生单元30提取公共字符串(步骤S11),并临时产生包括公共字符串的签名(步骤S12)。
在图4所示的示例中,签名产生单元30在步骤S11中提取五个字符串A、B、C、D和E,每个字符串均作为共同字符串,并且在步骤S12中以函数“A and B and(C or D)and E”临时产生定义恶意软件的签名。
在产生规则DB 70中,除了产生规则之外还登记了白名单,白名单是也在并非攻击数据的非攻击数据中使用的字符串的列表。此外,产生规则定义:在临时产生的签名所包括的字符串与白名单中的字符串之间执行匹配。因此,签名产生单元30在临时产生的签名所包括的字符串与白名单中的字符串之间执行匹配,从而评价临时产生的签名是否包括了在非攻击数据中使用的字符串。当临时产生的签名包括了在非攻击数据中使用的字符串时,签名产生单元30从临时产生的签名中去除该字符串以修改临时产生的签名(步骤S13)。因此,产生签名。
在图4所示的示例中,签名产生单元30在临时产生的签名所包括的五个字符串A、B、C、D和E与白名单中的字符串之间执行匹配,得到的评价为:临时产生的签名包括了在非攻击数据中使用的字符串E(=</security>)。因此,在步骤S13中,签名产生单元30从临时产生的签名中去除字符串E,并且将定义恶意软件的函数改变为“A and B and(C or D)”以修改签名。此外,在修改后的签名中设置标签。因此,产生签名。
以这种方式,签名产生单元30临时产生包括多条攻击数据中包括的公共字符串在内的签名,并且当临时产生的签名包括了在非攻击数据中使用的字符串时,签名产生单元30从该临时产生的签名中去除该字符串以产生签名。这使得可以减少签名将非攻击数据误识别为攻击数据的可能性。
现在,参考图5,将描述根据本示例实施例的签名产生设备1的处理流程。图5是根据本示例实施例的签名产生设备1的处理流程的示例的流程图。
首先,收集单元10根据在收集规则DB 50中登记的收集规则收集威胁信息(步骤S21)。然后,提取单元20根据提取规则DB 60中登记的提取规则,从由收集单元10收集的威胁信息中提取攻击数据(步骤S22)。
然后,签名产生单元30根据产生规则DB 70中登记的产生规则按如下方式产生签名。
签名产生单元30等待,直到提取单元20提取了具有共同字符串的多条攻击数据为止。当提取单元20提取了具有公共字符串的多条攻击数据时,签名产生单元30提取公共字符串(步骤S23),并临时产生包括所提取的公共字符串的签名(步骤S24)。
然后,签名产生单元30在临时产生的签名所包括的字符串与白名单中的字符串之间执行匹配,从而评价临时产生的签名是否包括了在非攻击数据中使用的字符串(步骤S25)。
在步骤S25中,如果临时产生的签名包括了在非攻击数据中使用的字符串(步骤S25中的是),则签名产生单元30从临时产生的签名中去除该字符串以修改临时产生的签名(步骤S26)。在这种情况下,签名产生单元30采用修改后的签名作为新产生的签名。
另一方面,在步骤S25中,如果临时产生的签名不包括在非攻击数据中使用的任何字符串(步骤S25中的否),则将该临时产生的签名用作新产生的签名,而不对其进行任何修改。
此后,签名提交单元40根据在提交规则DB 80中登记的提交规则,将由签名产生单元30产生的签名提交给提交目的地(步骤S27)。
如上所述,利用根据本示例实施例的签名产生设备1,签名产生单元30临时产生包括多条攻击数据中包括的公共字符串在内的签名,并且当临时产生的签名包括了在非攻击数据中使用的字符串时,签名产生单元30从该临时产生的签名中去除该字符串以产生签名。这使得可以减少签名将非攻击数据误识别为攻击数据的可能性。
在下文中,参考图6,将描述根据本公开的签名产生设备的概况。图6示出了根据本公开的签名产生设备2的配置的示例。签名产生设备2包括收集单元11、提取单元21和产生单元31。
收集单元11收集威胁信息。收集单元11与收集单元10相对应。
提取单元21从由收集单元11收集的威胁信息中提取攻击数据。提取单元21与提取单元20相对应。
产生单元31基于由提取单元21提取的攻击数据来产生签名。具体地,当提取单元21提取了具有公共字符串的多条攻击数据时,产生单元31临时产生包括该公共字符串在内的签名。然后,产生单元31评价临时产生的签名是否包括了在非攻击数据中使用的字符串。如果临时产生的签名包括了在非攻击数据中使用的字符串,则产生单元31从该临时产生的签名中去除该字符串以产生签名。产生单元31与签名产生单元30相对应。
如上所述,利用根据本公开的签名产生设备2,产生单元31临时产生包括多条攻击数据中包括的公共字符串在内的签名,并且当临时产生的签名包括了在非攻击数据中使用的字符串时,产生单元31从该临时产生的签名中去除该字符串以产生签名。这使得可以减少签名将非攻击数据误识别为攻击数据的可能性。
到目前为止,已经参考示例实施例描述了本申请的公开的各个方面,但是本申请的公开不限于前述内容。在本公开的范围内,可以对本申请的公开的每个方面的配置和细节进行本领域技术人员可以理解的各种修改。
例如,在前述示例实施例中,功能块(收集单元、提取单元、签名产生单元(或产生单元)和签名提交单元)设置在相同设备内,但是这不是限制性示例。这些功能块可以设置在单独的设备中,并经由电缆互连或无线互连。
前述示例实施例中的每个功能块可以由硬件或软件或两者构成,并且每个功能块可以由单个硬件、单个软件、多个硬件或多个软件构成。每个设备的功能(处理)可以由具有中央处理单元(CPU)、存储器等的计算机来实现。例如,用于实现根据示例实施例的签名产生方法的程序可以存储在存储器中,并且存储在存储器中的该程序可以由CPU执行以实现每个功能。
可以使用各种类型的非暂时性计算机可读介质来存储上述程序,并且将其提供给计算机。非暂时性计算机可读介质包括各种类型的有形存储介质。非暂时性计算机可读介质的示例包括磁存储介质(例如,软盘、磁带、硬盘驱动器)、光磁存储介质(例如,磁光盘)、光盘只读存储器(CD-ROM)、可刻录光盘(CD-R)、可擦写光盘(CD-R/W)和半导体存储器(例如,掩模ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、闪存ROM、随机存取存储器(RAM))。此外,可以以各种类型的暂时性计算机可读介质的形式将程序提供给计算机。暂时性计算机可读介质的示例包括电信号、光信号和电磁波。暂时性计算机可读介质可以经由有线通信线路(例如,电线或者光纤)或者经由无线通信线路将程序提供给计算机。
前述示例实施例的一部分或全部还可以如以下补充说明中所表达的,但不限于以下内容。
(补充说明1)
一种签名产生设备,包括:
收集单元,被配置为收集威胁信息;
提取单元,被配置为从由所述收集单元收集的威胁信息中提取攻击数据;以及
产生单元,被配置为基于由所述提取单元提取的攻击数据来产生签名,其中,
产生单元被配置为:
当由所述提取单元提取了具有共同字符串的多条攻击数据时,临时产生包括所述共同字符串在内的签名,
评价临时产生的签名是否包括了在非攻击数据中使用的字符串,以及
当临时产生的签名包括了在非攻击数据中使用的字符串时,从临时产生的签名中去除该字符串以产生签名。
(补充说明2)
根据补充说明1所述的签名产生设备,其中,
在非攻击数据中使用的字符串存储在数据库中,并且
所述产生单元被配置为在临时产生的签名所包括的字符串与所述数据库中存储的字符串之间执行匹配,以评价临时产生的签名是否包括了在非攻击数据中使用的字符串。
(补充说明3)
根据补充说明1或2所述的签名产生设备,其中,提取单元被配置为在将攻击数据的数据格式转换为预定数据格式之后保存攻击数据。
(补充说明4)
根据补充说明1至3中任一项所述的签名产生设备,还包括:
提交单元,被配置为将由产生单元产生的签名提交给特定的提交目的地。
(补充说明5)
一种利用签名产生设备产生签名的方法,所述方法包括:
收集步骤,收集威胁信息;
提取步骤,从在所述收集步骤中收集的威胁信息中提取攻击数据;以及
产生步骤,基于在所述提取步骤中提取的攻击数据来产生签名,其中,
产生步骤包括:
当在所述提取步骤中提取了具有共同字符串的多条攻击数据时,临时产生包括所述共同字符串在内的签名,
评价临时产生的签名是否包括了在非攻击数据中使用的字符串,以及
当临时产生的签名包括了在非攻击数据中使用的字符串时,从临时产生的签名中去除该字符串以产生签名。
(补充说明6)
根据补充说明5所述的产生签名的方法,其中,
在非攻击数据中使用的字符串存储在数据库中,并且
所述产生步骤包括:在临时产生的签名所包括的字符串与所述数据库中存储的字符串之间执行匹配,以评价临时产生的签名是否包括了在非攻击数据中使用的字符串。
(补充说明7)
根据补充说明5或6所述的产生签名的方法,其中,提取步骤包括在将攻击数据的数据格式转换为预定数据格式之后保存攻击数据。
(补充说明8)
根据补充说明5至7中任一项所述的产生签名的方法,还包括:
提交步骤,将在所述产生步骤中产生的签名提交给特定的提交目的地。
(补充说明9)
一种程序,使计算机执行:
收集过程,收集威胁信息;
提取过程,从在所述收集过程中收集的威胁信息中提取攻击数据;以及
产生过程,基于在所述提取过程中提取的攻击数据来产生签名,其中,
产生过程包括:
当在提取过程中提取了具有共同字符串的多条攻击数据时,临时产生包括所述共同字符串在内的签名,
评价临时产生的签名是否包括了在非攻击数据中使用的字符串,以及
当临时产生的签名包括了在非攻击数据中使用的字符串时,从临时产生的签名中去除该字符串以产生签名。
(补充说明10)
根据补充说明9所述的程序,其中,
在非攻击数据中使用的字符串存储在数据库中,并且
产生过程包括:在临时产生的签名所包括的字符串与数据库中存储的字符串之间执行匹配,以评价临时产生的签名是否包括了在非攻击数据中使用的字符串。
(补充说明11)
根据补充说明9或10所述的程序,其中,产生过程包括在将攻击数据的数据格式转换为预定数据格式之后保存攻击数据。
(补充说明12)
根据补充说明9至11中任一项所述的程序,还包括:
提交过程,将在产生过程中产生的签名提交给特定的提交目的地。
本申请要求于2017年3月28日提交的日本专利申请第2017-062918号的优先权,其全部内容合并于此。
附图标记列表
1 签名产生设备,
10 收集单元,
20 提取单元,
30 签名产生单元,
40 签名提交单元,
50 收集规则DB,
60 提取规则DB,
70 产生规则DB,
80 提交规则DB,
2 签名产生设备,
11 收集单元,
21 提取单元,
31 产生单元。
Claims (9)
1.一种签名产生设备,包括:
收集单元,被配置为收集威胁信息;
提取单元,被配置为从由所述收集单元收集的威胁信息中提取攻击数据;以及
产生单元,被配置为基于由所述提取单元提取的攻击数据来产生签名,其中,
所述产生单元被配置为:
当由所述提取单元提取了具有共同字符串的多条攻击数据时,临时产生包括所述共同字符串在内的签名,
评价临时产生的签名是否包括了在非攻击数据中使用的字符串,以及
当临时产生的签名包括了在非攻击数据中使用的字符串时,从临时产生的签名中去除该字符串以产生签名。
2.根据权利要求1所述的签名产生设备,其中,
在非攻击数据中使用的字符串存储在数据库中,并且
所述产生单元被配置为在临时产生的签名所包括的字符串与所述数据库中存储的字符串之间执行匹配,以评价临时产生的签名是否包括了在非攻击数据中使用的字符串。
3.根据权利要求1或2所述的签名产生设备,其中,所述提取单元被配置为在将所述攻击数据的数据格式转换为预定数据格式之后保存所述攻击数据。
4.根据权利要求1至3中任一项所述的签名产生设备,还包括:
提交单元,被配置为将由所述产生单元产生的签名提交给特定的提交目的地。
5.一种利用签名产生设备产生签名的方法,所述方法包括:
收集步骤,收集威胁信息;
提取步骤,从在所述收集步骤中收集的威胁信息中提取攻击数据;以及
产生步骤,基于在所述提取步骤中提取的攻击数据来产生签名,其中,
所述产生步骤包括:
当在所述提取步骤中提取了具有共同字符串的多条攻击数据时,临时产生包括所述共同字符串在内的签名,
评价临时产生的签名是否包括了在非攻击数据中使用的字符串,以及
当临时产生的签名包括了在非攻击数据中使用的字符串时,从临时产生的签名中去除该字符串以产生签名。
6.根据权利要求5所述的产生签名的方法,其中,
在非攻击数据中使用的字符串存储在数据库中,并且
所述产生步骤包括:在临时产生的签名所包括的字符串与所述数据库中存储的字符串之间执行匹配,以评价临时产生的签名是否包括了在非攻击数据中使用的字符串。
7.根据权利要求5或6所述的产生签名的方法,其中,所述提取步骤包括在将所述攻击数据的数据格式转换为预定数据格式之后保存所述攻击数据。
8.根据权利要求5至7中任一项所述的产生签名的方法,还包括:
提交步骤,将在所述产生步骤中产生的签名提交给特定的提交目的地。
9.一种存储程序的非暂时性计算机可读介质,所述程序使计算机执行:
收集过程,收集威胁信息;
提取过程,从在所述收集过程中收集的威胁信息中提取攻击数据;以及
产生过程,基于在所述提取过程中提取的攻击数据来产生签名,其中,
所述产生过程包括:
当在所述提取过程中提取了具有共同字符串的多条攻击数据时,临时产生包括所述共同字符串在内的签名,
评价临时产生的签名是否包括了在非攻击数据中使用的字符串,以及
当临时产生的签名包括了在非攻击数据中使用的字符串时,从临时产生的签名中去除该字符串以产生签名。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017-062918 | 2017-03-28 | ||
| JP2017062918 | 2017-03-28 | ||
| PCT/JP2017/045830 WO2018179628A1 (ja) | 2017-03-28 | 2017-12-20 | シグネチャ生成装置、シグネチャ生成方法、プログラムが格納された非一時的なコンピュータ可読媒体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110506268A true CN110506268A (zh) | 2019-11-26 |
Family
ID=63674508
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780089063.0A Pending CN110506268A (zh) | 2017-03-28 | 2017-12-20 | 签名产生设备、签名产生方法和存储程序的非暂时性计算机可读介质 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11429717B2 (zh) |
| JP (1) | JPWO2018179628A1 (zh) |
| KR (1) | KR20190120312A (zh) |
| CN (1) | CN110506268A (zh) |
| RU (1) | RU2019130058A (zh) |
| WO (1) | WO2018179628A1 (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050265331A1 (en) * | 2003-11-12 | 2005-12-01 | The Trustees Of Columbia University In The City Of New York | Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data |
| GB0909954D0 (en) * | 2009-06-10 | 2009-07-22 | F Secure Oyj | False alarm detection for malware scanning |
| US20140007238A1 (en) * | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
| CN104603791A (zh) * | 2012-09-25 | 2015-05-06 | 三菱电机株式会社 | 签名验证装置及签名验证方法和程序 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005532606A (ja) | 2001-12-31 | 2005-10-27 | シタデル セキュリティ ソフトウェア インコーポレイテッド | コンピュータの脆弱性を解決する自動化されたシステム |
| US7096498B2 (en) | 2002-03-08 | 2006-08-22 | Cipher Trust, Inc. | Systems and methods for message threat management |
| EP1854019A4 (en) | 2004-09-22 | 2010-12-22 | Cyberdefender Corp | NETWORK FOR PROTECTION AGAINST THREATS |
| JP4585925B2 (ja) * | 2005-06-16 | 2010-11-24 | 株式会社日立製作所 | セキュリティ設計支援方法及び支援装置 |
| US7730040B2 (en) | 2005-07-27 | 2010-06-01 | Microsoft Corporation | Feedback-driven malware detector |
| US8713686B2 (en) | 2006-01-25 | 2014-04-29 | Ca, Inc. | System and method for reducing antivirus false positives |
| US8201244B2 (en) * | 2006-09-19 | 2012-06-12 | Microsoft Corporation | Automated malware signature generation |
| JP2012003463A (ja) | 2010-06-16 | 2012-01-05 | Kddi Corp | シグネチャの生成を支援する支援装置、方法及びプログラム |
| RU2573262C2 (ru) | 2014-05-12 | 2016-01-20 | Самсунг Электроникс Ко., Лтд. | Способ теплового анализа портативных электронных устройств на основе измерений |
| US9665716B2 (en) * | 2014-12-23 | 2017-05-30 | Mcafee, Inc. | Discovery of malicious strings |
| KR102390355B1 (ko) * | 2015-11-16 | 2022-04-26 | 한국전자통신연구원 | 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치 |
| US10547627B2 (en) * | 2016-03-08 | 2020-01-28 | Palo Alto Networks, Inc. | Malicious HTTP cookies detection and clustering |
| US10855701B2 (en) * | 2017-11-03 | 2020-12-01 | F5 Networks, Inc. | Methods and devices for automatically detecting attack signatures and generating attack signature identifications |
| WO2020186033A1 (en) * | 2019-03-13 | 2020-09-17 | Arun Lakhotia | Method for automatic creation of malware detection signature |
-
2017
- 2017-12-20 KR KR1020197027930A patent/KR20190120312A/ko not_active Application Discontinuation
- 2017-12-20 US US16/497,124 patent/US11429717B2/en active Active
- 2017-12-20 JP JP2019508574A patent/JPWO2018179628A1/ja active Pending
- 2017-12-20 WO PCT/JP2017/045830 patent/WO2018179628A1/ja active Application Filing
- 2017-12-20 RU RU2019130058A patent/RU2019130058A/ru not_active Application Discontinuation
- 2017-12-20 CN CN201780089063.0A patent/CN110506268A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050265331A1 (en) * | 2003-11-12 | 2005-12-01 | The Trustees Of Columbia University In The City Of New York | Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data |
| GB0909954D0 (en) * | 2009-06-10 | 2009-07-22 | F Secure Oyj | False alarm detection for malware scanning |
| US20140007238A1 (en) * | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
| CN104603791A (zh) * | 2012-09-25 | 2015-05-06 | 三菱电机株式会社 | 签名验证装置及签名验证方法和程序 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11429717B2 (en) | 2022-08-30 |
| JPWO2018179628A1 (ja) | 2020-01-16 |
| RU2019130058A (ru) | 2021-04-28 |
| WO2018179628A1 (ja) | 2018-10-04 |
| RU2019130058A3 (zh) | 2021-04-28 |
| US20200380128A1 (en) | 2020-12-03 |
| KR20190120312A (ko) | 2019-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110493208B (zh) | 一种多特征的dns结合https恶意加密流量识别方法 | |
| US9256831B2 (en) | Match engine for detection of multi-pattern rules | |
| EP1959367B1 (en) | Automatic extraction of signatures for Malware | |
| CN110177114B (zh) | 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质 | |
| US20170149830A1 (en) | Apparatus and method for automatically generating detection rule | |
| JP2021503142A5 (zh) | ||
| US8707426B1 (en) | Method and apparatus for resolving a cousin domain name to detect web-based fraud | |
| CN113656807B (zh) | 一种漏洞管理方法、装置、设备及存储介质 | |
| CN106576051B (zh) | 一种检测零日威胁的方法、网络设备、非暂态机器可读介质 | |
| US20180077117A1 (en) | Identifying algorithmically generated domains | |
| US11140196B1 (en) | Malware fingerprinting on encrypted transport layer security (TLS) traffic | |
| WO2017157335A1 (zh) | 报文识别的方法及装置 | |
| CN113595967A (zh) | 数据识别方法、设备、存储介质及装置 | |
| US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
| CN110135153A (zh) | 软件的可信检测方法及装置 | |
| WO2019169982A1 (zh) | Url异常定位方法、装置、服务器及存储介质 | |
| US11159566B2 (en) | Countering phishing attacks | |
| Saleh et al. | A control flow graph-based signature for packer identification | |
| CN110506268A (zh) | 签名产生设备、签名产生方法和存储程序的非暂时性计算机可读介质 | |
| CN113704569A (zh) | 信息的处理方法、装置及电子设备 | |
| CN107251015B (zh) | 高效地检测用户证书 | |
| US20200162339A1 (en) | Extending encrypted traffic analytics with traffic flow data | |
| CN110263540A (zh) | 一种代码标识方法及装置 | |
| TW201626279A (zh) | 保護方法與其電腦系統 | |
| KR101079815B1 (ko) | 해싱결과값의 비트-벡터를 이용한 공격 시그니처 분류에 기반한 시그니처 클러스터링 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20191126 |
|
| WD01 | Invention patent application deemed withdrawn after publication |