JP2008192127A - 侵入コード探知装置およびその方法 - Google Patents

侵入コード探知装置およびその方法 Download PDF

Info

Publication number
JP2008192127A
JP2008192127A JP2007293641A JP2007293641A JP2008192127A JP 2008192127 A JP2008192127 A JP 2008192127A JP 2007293641 A JP2007293641 A JP 2007293641A JP 2007293641 A JP2007293641 A JP 2007293641A JP 2008192127 A JP2008192127 A JP 2008192127A
Authority
JP
Japan
Prior art keywords
code
intrusion
data
intrusion code
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007293641A
Other languages
English (en)
Other versions
JP4699438B2 (ja
Inventor
Tae Jin Ahn
兌臻 安
Taejoon Park
兌濬 朴
Tae-Chul Jung
泰哲 鄭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of JP2008192127A publication Critical patent/JP2008192127A/ja
Application granted granted Critical
Publication of JP4699438B2 publication Critical patent/JP4699438B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Burglar Alarm Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】データの侵入コードの可否を判断できる免疫データベースを差別化して生成することを目的とし、侵入コード探知装置およびその方法が開示される。
【解決手段】本発明の侵入コード探知装置は、グループ別にそれぞれ差別化された設定値が入力される設定値入力部と、前記設定値に基づいて免疫データベースを生成する免疫データベース生成部と、前記生成された免疫データベースに基づいてデータの侵入コードの可否を判断する侵入コード判断部とを含むことを特徴にする。
【選択図】図1

Description

本発明は、侵入コード探知に関し、より詳細には、コンピュータ別に個人特性を設定し、差別化された免疫データベースを介して侵入コードの可否を探知する侵入コード探知装置およびその方法に関する。
コンピュータによる有無線通信の発達に伴い、ウイルス(virus)、ワーム(worm)、トロイの木馬(Trojan)、スパム(spam)、ハッキングツール(hacking tool)などの悪性コードが拡散するようになった。このような悪性コードの拡散を防止および検出するために、悪性コードを検出する技術が必要とされている。
従来の悪性コードを検出する技術では、悪性コードに対するシグネチャ(signature)をデータベースとして構成し、データベースに構成されたシグネチャを含むデータを悪性コードとして検出している。
しかし、従来の悪性コードを検出する技術は、存在するすべての悪性コードの検出が不可能であるため、新種または変種の悪性コードが拡散するようになれば、この悪性コードの検出および感染が画一的に発生してしまう。
すなわち、拡散した悪性コードによってコンピュータが感染され、コンピュータを感染させた悪性コードが他のコンピュータにまで拡散するようになれば、悪性コードに接したコピュータも感染してしまう。このように、悪性コードに接したすべてのコンピュータは同じように感染されてしまう。言い換えれば、ある特定のコンピュータで悪性コードが検出されれば、すべてのコンピュータでも同じように悪性コードの検出される可能性がある。
上述のように、従来の悪性コードを検出する技術は、すべてのコンピュータで同じように検出が行われ、検出が不可能な悪性コードに接すれば、同じように感染されるという問題がある。これは、悪性コードを検出するデータベースが、すべてのコンピュータに同じように構成されるためである。
したがって、悪性コードの画一的な検出および悪性コードによる画一的な感染を防ぎ、一部のシステムにて悪性コードに対する耐性を有し得る装置の必要性が高まっている。
特開平11−167487号公報 韓国特許出願公開第2003−087195号公報 韓国特許出願公開第2004−090373号公報
本発明は、上述した従来技術の問題点を解決するために案出されたものであって、データの侵入コードの可否を判断できる免疫データベースを差別化して生成することを目的とする。
また、本発明は、差別化された免疫データベースを介して、新種または変種の悪性コードによる画一的な被害を防ぐことを目的とする。
また、本発明は、新種または変種の悪性コードに対する耐性が誘導されたシステムから、新種または変種の悪性コードに対する診断法を取得することを目的とする。
前記の目的を達成し、従来技術の問題点を解決するために、本発明の侵入コード探知装置は、少なくとも1つのコンピュータの各グループ別に差別化された設定値が入力される設定値入力部と、前記設定値に基づいて免疫データベースを生成する免疫データベース生成部と、前記生成された免疫データベースに基づいてデータの侵入コードの可否を判断する侵入コード判断部とを含むことを特徴とする。
ここで、前記設定値は、グループを区分するためのグループ特性キーと、安全なコードである常駐コードリストと、前記免疫データベースのプール(pool)を生成するためのランダムプール生成因子とを含む。
また、前記免疫データベース生成部は、前記グループ特性キーを用いて前記常駐コードのフィーチャ(feature)を抽出するフィーチャ抽出部と、前記グループ特性キーおよび前記ランダムプール生成因子に基づいてランダムプールフィーチャを生成するプールフィーチャ生成部と、前記抽出された常駐コードのフィーチャおよび前記生成されたランダムプールフィーチャの類似性を演算する類似性演算部と、前記ランダムプールフィーチャのうち、演算された類似性値が既決定された臨界値以下であるフィーチャを前記免疫データベースとして生成する免疫データベース生成管理部とを含む。
ここで、前記プールフィーチャ生成部は、前記グループ特性キーの長さおよび前記ランダムプール生成因子に含まれたランダムプールの大きさに基づいて前記ランダムプールフィーチャを生成するようになる。
また、前記侵入コード判断部は、前記グループ特性キーを用いて前記データのフィーチャを抽出するデータフィーチャ抽出部と、前記抽出されたデータのフィーチャと前記免疫データベースのフィーチャの類似性を演算するデータ類似性演算部と、前記演算された類似性値が既決定された臨界値以上であれば、前記データを侵入コードとして判断する侵入コード判断管理部とを含む。
また、前記侵入コード判断部は、前記侵入コードの可否を判断するためのデータを収集するデータ収集部をさらに含み、前記データフィーチャ抽出部は、前記収集されたデータそれぞれの特徴を抽出するようになる。
また、前記侵入コード判断部は、前記生成された免疫データベースに基づいて、内部に保存されている実行ファイルデータの侵入コードの可否を判断するようになる。
また、前記侵入コード判断部は、前記生成された免疫データベースに基づいて、リアルタイムで入力されるデータの侵入コードの可否を判断するようになる。
このとき、前記グループは、少なくとも1つ以上のコンピュータで成されるようになる。
本発明の侵入コード探知方法は、グループ別にそれぞれ差別化された設定値が入力される段階と、前記設定値に基づいて前記免疫データベースを生成する段階と、前記生成された免疫データベースに基づいてデータの侵入コードの可否を判断する段階とを含むことを特徴とする。
ここで、前記設定値は、グループを区分するためのグループ特性キーと、安全なコードである常駐コードリストと、前記免疫データベースのプールを生成するためのランダムプール生成因子とを含む。
また、前記免疫データベースを生成する段階は、前記グループ特性キーを用いて前記常駐コードのフィーチャを抽出する段階と、前記グループ特性キーおよび前記ランダムプール生成因子に基づいてランダムプールフィーチャを生成する段階と、前記抽出された常駐コードのフィーチャおよび前記生成されたランダムプールフィーチャの類似性を演算する段階と、前記ランダムプールフィーチャのうち、演算された類似性値が既決定された臨界値以下であるフィーチャを前記免疫データベースとして生成する段階とを含む。
本発明の侵入コード探知装置およびその方法は、データの侵入コード恐れを判断できる免疫データベースを差別化して生成することができる。
また、本発明は、差別化された免疫データベースを介して、新種または変種の悪性コードによる画一的な被害を防ぐことができる。
また、本発明は、新種または変種の悪性コードに対する耐性が誘導されたシステムから、新種または変種の悪性コードに対する診断法を取得することができる。
以下、本発明に係る好ましい実施形態を、添付の図面を参照して詳細に説明する。
図1は、本発明の一実施形態に係る侵入コード探知装置を示した構成ブロック図である。
侵入コード探知装置は、設定値入力部110と、免疫データベース生成部120と、侵入コード判断部130とを含む。
設定値入力部110は、少なくとも1つのコンピュータの各グループ別に差別化された設定値の入力を受けるものである。
ここで、設定値は、グループを区分するためのグループ特性キーと、安全なコードである常駐コードリストと、免疫データベースのプールを生成するためのランダムプール生成因子とを含む。
ここで、グループ特性キーは、免疫データベースを生成するための常駐コードのフィーチャを抽出したり、侵入コードの可否を判断するためのデータのフィーチャを抽出したりするときに用いられるものである。すなわち、常駐コードからグループ特性キーの条件に該当するフィーチャを抽出したり、侵入コードの可否を判断するためのデータからグループ特性キーの条件に該当するフィーチャを抽出したりする。
また、グループ特性キーは、バイナリファイルまたは原本バイナリ実行ファイルを加工した形態のファイルにおいて一定の確率、例えば1/10〜1/10000の確率で示されるパターンである。すなわち、グループ特性キーは、特定の長さのバイナリ序列において、一定の確率で得られるバイナリ序列を限定できるパターンとなる。
一例として、グループ特性キーがXXYX[YF]XX[LMIV]である場合に、Xはいかなる任意のパターンが来ても問題がなく、[YF]はYパターンおよびFパターンのうちのいずれか1つのパターンが来なければならず、[LMIV]はLパターン、Mパターン、IパターンおよびVパターンのうちのいずれか1つのパターンが来なければならない。
ここで、パターンそれぞれは、バイナリ値を所定の単位および所定の法則に従ってマッピングしたものであって、パターンとマッピングされるバイナリ値は変動が可能であり、バイナリ値とマッピングされるパターンも変動が可能である。
このとき、各パターンが所定の単位および所定の法則に従って6ビットで構成された場合に、グループ特性キーは48ビットで構成されるようになる。また、Yパターン、Fパターン、Lパターン、Mパターン、IパターンおよびVパターンに対する構成は、事業者によって決められる。
また、常駐コードリストとは、ユーザがコンピュータに設置されているプログラムまたは実行コードのうち、安全であると判断されるコードリストである。
また、常駐コードリストは、ユーザによって手動で設定されても良いし、実行ファイル検索または安全性の可否を検査するためのコンピュータウイルスソフトウェアを用いて設定されても良い。
これにより、プログラムおよび実行ファイルは、各コンピュータに応じて異なり得るため、常駐コードリストが相違して設定されるようになる。また、これはコンピュータそれぞれの特性となる。
また、ランダムプール生成因子は、臨界値およびランダムプールの大きさを設定する因子を含む。ここで、臨界値は、免疫データベースを生成したり、生成された免疫データベースを用いて侵入コードを判断したりするときに用いられる。
このとき、グループは、少なくとも1つ以上のコンピュータで成されるようになる。
免疫データベース生成部120は、設定値入力部110の設定値に基づいて免疫データベースを生成する。
ここで、免疫データベース生成部120は、常駐コードリストに構成された常駐コードそれぞれからフィーチャを抽出したり、グループ特性キーおよびランダムプール生成因子に基づいてランダムプールフィーチャを生成したりする。
このとき、常駐コードのフィーチャは、グループ特性キーを用いて抽出されるようになる。
また、ランダムプールフィーチャは、グループ特性キーの長さおよびランダムプール生成因子に含まれたランダムプールの大きさに基づいて生成されるようになる。
さらに、免疫データベース生成部120は、常駐コードのフィーチャおよびランダムプールフィーチャの類似性を演算し、ランダムプールフィーチャのうち、演算された類似性値が既決定された臨界値以下である特徴を免疫データベースとして生成するようになる。
ここで、類似性とは、与えられた2つのフィーチャの相違性または相同性を意味するものである。すなわち、類似性の演算とは、2つのフィーチャの相違性または相同性を数値化することであって、演算された類似性値が数値化された2つのフィーチャの相違性または相同性となることを意味する。
このような類似性は、ユークリッド距離(Euclidean distance)法、調和平均(Harmonic means)法、一致係数(Matching coefficient)方法、ダイス係数(Dice coefficient)法、コサイン類似度(Cosine similarity)法、レーベンシュタイン距離(Levenshtein distance)法、セラーズアルゴリズム(Sellers algorithm)法、スミス−ウォーターマン距離(Smith−Waterman distance)法、ブロック距離(Block distance)法などによって演算される。しかし、本発明における類似性を演算する方法は、上述した方法に限定されるものではなく、類似性を演算するすべての方法が用いられることはもちろんである。
一例として、ブロック距離法を用いて2つのストリング(string)の類似性を演算すれば、次の通りとなる。
ストリングqが「ABCDEFGH」であり、ストリングrが「BCDEFGHG」である場合に、ブロック距離関数を用いて2つのストリングqおよびrの各構成間の距離値を計算した後、計算された距離値を加えて2つのストリングの類似性を演算する。すなわち、ブロック距離関数を用いてqのAとrのBの構成間のd距離値を計算し、qのBとrのCの構成間の距離値を計算する。距離を計算する過程がrのHとqのGの構成まで行われた後に、計算されたすべての距離値を加えて2つのストリングの類似性を演算する。
侵入コード判断部130は、免疫データベース生成部120によって生成された免疫データベースに基づいてデータの侵入コードの可否を判断する。
このとき、侵入コード判断部130は、侵入コードの可否を判断するためのデータを収集するようになる。収集されるデータは、コンピュータに保存されているすべての実行ファイルデータ、コンピュータに保存されているすべてのデータ、コンピュータにリアルタイムで入力されるデータのうちのいずれか1つとなる。
ここで、コンピュータにリアルタイムで入力されるデータは、有無線ネットワーク共有を介してダウンロードされたファイル、HTTP/FTPなどを介してダウンロードされたファイル、電子メールを介してダウンロードされたファイル、P2P(peer to peer)を介してダウンロードされたファイル、保存装置からダウンロードされたファイルなどとなる。
また、侵入コード判断部130は、収集されたデータからフィーチャを抽出し、抽出されたフィーチャと免疫データベースのフィーチャとの類似性を演算し、演算された類似性値が臨界値以上であるデータを侵入コードとして判断するようになる。
また、侵入コード判断部130は、グループ特性キーに基づいて収集されたデータから特徴を抽出するようになる。
さらに、侵入コード判断部130は、収集されたデータが圧縮ファイルである場合には、ファイルの圧縮を解除した後にフィーチャを抽出して侵入コードの可否を判断するようになる。
図2は、図1に示した免疫データベース生成部120に対する一実施形態を詳細に示した構成ブロック図である。
免疫データベース生成部120は、フィーチャ抽出部210と、プールフィーチャ生成部240と、類似性演算部220と、免疫データベース生成管理部230とを含む。
ここで、フィーチャ抽出部210は、グループ特性キーを用いて常駐コードリストに構成された常駐コードそれぞれのフィーチャを抽出する。
また、フィーチャ抽出部210は、常駐コードからグループ特性キーに該当するビット数を読み取り、グループ特性キーの条件に該当するフィーチャを抽出するようになる。
プールフィーチャ生成部240は、グループ特性キーおよびランダムプール生成因子に基づいてランダムプールフィーチャを生成する。
ここで、プールフィーチャ生成部240は、グループ特性キーの長さおよびランダムプール生成因子に含まれたランダムプールの大きさに基づいてランダムプールフィーチャを生成するようになる。
例えば、グループ特性キーの長さが48ビットであり、ランダムプールの大きさが1%である場合に、プールフィーチャ生成部240は、248×0.01個のランダムプールフィーチャをランダムに生成する。
類似性演算部220は、常駐コードのフィーチャおよびランダムプールフィーチャの類似性を演算する。
免疫データベース生成管理部230は、ランダムプールフィーチャのうち、演算された類似性値が既決定された臨界値以下である特徴を免疫データベースとして生成する。
ここで、免疫データベース生成管理部230は、プールフィーチャ生成部240によって生成されたランダムプールフィーチャのうち、常駐コードおよび侵入コードを判断できるフィーチャを選択して免疫データベースを生成するようになる。
したがって、免疫データベース生成管理部230によって生成された免疫データベースのフィーチャは、常駐コードから抽出されたフィーチャに対して類似性の演算を行う場合には、演算された類似性値は常に臨界値以下を有するようになる。また、常駐コードではないコードに対して類似性の演算を行う場合には、演算された類似性値は臨界値より大きくなる確率を有するようになる。
図3は、図1に示した侵入コード判断部130に対する一実施形態を詳細に示した構成ブロック図である。
図3を参照すれば、侵入コード判断部130は、データ収集部310と、データフィーチャ抽出部320と、データ類似性演算部330と、侵入コード判断管理部340とを含む。
データ収集部310は、侵入コードの可否を判断するためのデータを収集する。
ここで、データ収集部310は、コンピュータに保存されているすべての実行ファイルデータ、コンピュータに保存されているすべてのデータ、コンピュータにリアルタイムで入力されるデータのうちのいずれか1つを収集するようになる。
また、コンピュータにリアルタイムで入力されるデータは、有無線ネットワーク共有を介してダウンロードされたファイル、HTTP/FTPなどを介してダウンロードされたファイル、電子メールを介してダウンロードされたファイル、P2Pを介してダウンロードされたファイル、保存装置からダウンロードされたファイルなどとなる。
データフィーチャ抽出部320は、グループ特性キーを用いて収集されたデータからフィーチャを抽出する。すなわち、データフィーチャ抽出部320は、グループ特性キーの条件に該当するフィーチャを収集されたデータから抽出する。
データ類似性演算部330は、収集されたデータから抽出されたフィーチャおよび免疫データベースのフィーチャの類似性を演算する。
侵入コード判断管理部340は、演算された類似性値が既決定された臨界値以上であるデータを侵入コードとして判断する。すなわち、演算された類似性値が既決定された臨界値より小さいデータは常駐コードとして判断する。
図1に示した本発明の一実施形態に係る侵入コード探知装置の動作について、図4〜7を参照してさらに詳しく説明する。
図4は、本発明に係るグループ特性キーを相違して設定するためのグループに対する一例示図である。
図4を参照すれば、グループ410〜450それぞれは、互いに異なるグループ特性キーを受ける。すなわち、常駐コードおよび侵入コードを判断するための免疫データベースがグループ間で相違して生成されるように、各グループごとに互いに異なるグループ特性キーが設定される。
グループ450に含まれた第1コンピュータ460〜第4コンピュータ490それぞれは、コンピュータに設置されたプログラムが互いに異なるため、常駐コードリストも第1コンピュータ460〜第4コンピュータ490それぞれに対して互いに異なるようになる。
また、コンピュータそれぞれに対してランダムプール生成因子を相違して設定するようになる。例えば、第1コンピュータ460に対しては、臨界値を2300およびランダムプールの大きさを10%で設定し、第2コンピュータ470に対しては、臨界値を2350およびランダムプールの大きさを1%で設定し、第3コンピュータ480に対しては、臨界値を2400およびランダムプールの大きさを5%で設定し、第4コンピュータ490に対しては、臨界値を2500およびランダムプールの大きさを0.5%で設定するようになる。
すなわち、図4に示したコンピュータグループ別またはコンピュータグループに含まれたコンピュータ別に相違する免疫データベースが生成されるように、設定値を互いに異なるように設定するようになる。
図5は、コンピュータそれぞれに設定された常駐コードリストからフィーチャを抽出する一例示図である。
図5を参照すれば、コンピュータそれぞれに設定された常駐コードリストから常駐コードリストに含まれた常駐コードを収集し、該収集された常駐コードからフィーチャを抽出する。
ここで、コンピュータそれぞれは、コンピュータグループ別に設定されたグループ特性キーを用いて常駐コードからフィーチャを抽出するようになる。
すなわち、常駐コードからグループ特性キービットに該当するビット配列を読み取り、設定されたグループ特性キーの条件に該当するパターンであるかを判断し、グループ特性キーの条件に該当するパターンである場合には、該当のパターンをフィーチャとして抽出する。この反面、グループ特性キーの条件に該当するパターンでない場合には、一定のビットだけ移動した後に、グループ特性キーの条件に該当するパターンであるかを判断する。
このような過程を介して、常駐コードからグループ特性キーの条件に該当するフィーチャを抽出するようになる。
図6は、本発明に係るランダムプールフィーチャを生成する一例示図である。
図6を参照すれば、コンピュータそれぞれに設定されたグループ特性キーの長さおよびランダムプールの大きさを用いてランダムプールフィーチャを生成する。
例えば、第1コンピュータに設定されたグループ特性キーの長さが48ビットであり、ランダムプールの大きさが10%である場合には、248×0.1個のランダムプールフィーチャをランダムに生成し、第2コンピュータに設定されたグループ特性キーの長さが48ビットであり、ランダムプールの大きさが1%である場合には、248×0.01個のランダムプールフィーチャをランダムに生成する。
ここで、生成されたランダムプールフィーチャのうち、一部が免疫データベースのフィーチャとして選択されるようになる。
すなわち、抽出された常駐コードのフィーチャとランダムプールフィーチャとの類似性の演算を行い、ランダムプールフィーチャのうち、演算された類似性値が既設定された臨界値以下であるフィーチャを免疫データベースとして生成する。
これにより、グループ別に設定されたグループ特性キーが互いに異なるため、グループ間で生成された免疫データベースも互いに異なるようになり、グループに構成されたコンピュータ別の常駐コードリストおよびランダムプール生成因子も互いに異なるように設定されるようになるため、同一のグループ内に構成されたコンピュータそれぞれに対して、互いに異なる免疫データベースを生成するようになる。
したがって、コンピュータそれぞれに生成された免疫データベースが相違するため、免疫データベースを介してコンピュータそれぞれで判断される常駐コードおよび侵入コードも互いに異なるようになる。
さらに、コンピュータそれぞれで判断される常駐コードおよび侵入コードが互いに異なるため、悪性コードによってグループを構成するすべてのコンピュータが感染されることなく、一部のコンピュータのみが感染されるようになり、新種または変種の悪性コードによる画一的な被害を防ぐことができる。また、新種または変種の悪性コードに対する耐性が誘導されたコンピュータから、新種または変種の悪性コードに対する診断法を取得することができる。すなわち、被害にあったコンピュータから悪性コードが何であるかを見つけ出し、悪性コードに対する耐性が誘導されたコンピュータから悪性コードに対する免疫パターンを取得することによって、新種または変種の悪性コードに対する診断法を取得できるようになる。
図7は、コンピュータそれぞれに収集された判断対象コードリストからフィーチャを抽出する一例示図である。
コンピュータそれぞれにおいて侵入コードの可否を判断するための判断対象コードリストから、コンピュータに保存されている実行ファイルデータまたはすべてのデータを収集する。
収集されたデータ、すなわち判断対象コードリストに構成された判断対象コードからフィーチャを抽出する。このとき、コンピュータに設定されたグループ特性キーを用いて判断対象コードのフィーチャを抽出するようになる。
判断対象コードの侵入コードの可否を判断するために、免疫データベースのフィーチャとの類似性の演算を行う。
すなわち、判断対象コード、例えば第1実行ファイルから抽出されたフィーチャと免疫データベースのフィーチャとの類似性の演算を行い、演算された類似性値とコンピュータに設定された臨界値を比較する。
演算された類似性値すべてが臨界値より小さければ、判断対象コードを常駐コードとして判断する。すなわち、演算された類似性値のうちのいずれか1つでも臨界値以上である場合には、判断対象コードを侵入コードとして判断する。
判断対象コードからフィーチャを抽出し、該抽出されたフィーチャと免疫データベースのフィーチャとの類似性の演算を行った後、演算された類似性値と臨界値の比較によって侵入コードを判断する過程が、判断対象コードリストに含まれたすべての判断対象コードに対して行われる。
このような過程を介して、判断対象コードの侵入コードの可否を判断するようになる。
図8は、本発明の一実施形態に係る侵入コード探知方法を示したフローチャートである。
図8を参照すると、侵入コード探知方法は、コンピュータグループ別に差別化された設定値をコンピュータそれぞれに入力する(段階S810)。
ここで、入力される設定値は、コンピュータグループ別に相違したグループ特性キー、常駐コードリストおよび免疫データベースのプールを生成するためのランダムプール生成因子となる。
また、グループ特性キーは、免疫データベースを生成するための常駐コードのフィーチャを抽出したり、侵入コードの可否を判断するためのデータのフィーチャを抽出したりするときに用いられる。すなわち、常駐コードからグループ特性キーの条件に該当するフィーチャを抽出したり、侵入コードの可否を判断するためのデータからグループ特性キーの条件に該当するフィーチャを抽出したりする。
また、グループ特性キーは、バイナリファイルまたは原本バイナリ実行ファイルを加工した形態のファイルにおいて、一定の確率で示されるパターンである。
また、常駐コードリストは、ユーザがコンピュータに設置されているプログラムまたは実行コードのうち、安全であると判断されるコードリストである。
これにより、プログラムおよび実行ファイルは、ユーザコンピュータごとに異なるため、常駐コードリストも異なるように設定されるようになる。また、これはコンピュータそれぞれの特性となり得る。
また、ランダムプール生成因子は、臨界値およびランダムプールの大きさを設定する因子を含む。ここで、臨界値は、免疫データベースを生成したり、生成された免疫データベースを用いて侵入コードを判断したりするときに用いられる。
グループ別に差別化された設定値が入力されれば、該入力された設定値に基づいて免疫データベースを生成する(段階S820)。
すなわち、常駐コードリストに構成された常駐コードそれぞれからグループ特性キーの条件に該当するフィーチャを抽出し、グループ特性キーおよびランダムプール生成因子に基づいてランダムプールフィーチャを生成する。
ここで、ランダムプールフィーチャは、グループ特性キーの長さおよびランダムプール生成因子に含まれたランダムプールの大きさに基づいて生成されるようになる。
常駐コードそれぞれのフィーチャおよびランダムプールフィーチャの類似性を演算し、ランダムプールフィーチャのうち、演算された類似性値が既決定された臨界値よりも小さい特徴を免疫データベースとして生成する。
生成された免疫データベースを用いてデータの侵入コードの可否を判断する(段階S830)。
すなわち、収集されたデータ、例えばコンピュータに保存されているすべての実行ファイル、コンピュータに保存されているすべてのデータ、リアルタイムで入力されるデータのうちのいずれか1つに対して、免疫データベースを用いて侵入コードの可否を判断する。
データの侵入コードの可否を判断するために、データからグループ特性キーの条件に該当するフィーチャを抽出し、該抽出されたデータのフィーチャと免疫データベースの特徴との類似性を演算した後に、演算された類似性値と臨界値を比較する。
演算された類似性値が臨界値以上である場合には、データを侵入コードとして判断する。
演算された類似性値すべてが臨界値より小さい場合には、データを安全なコードである常駐コードとして判断する。
図9は、図8に示した段階S820に対する詳細なフローチャートである。
図9を参照すれば、免疫データベースを生成する段階は、入力されたグループ特性キーおよび常駐コードリストを用いて常駐コードのフィーチャを抽出する(段階S910)。
ここで、常駐コードリストに構成された常駐コードそれぞれは、グループ特性キーの条件に該当するフィーチャが抽出されるようになる。
グループ特性キーの長さおよびランダムプール生成因子に含まれたランダムプールの大きさに基づいてランダムプールフィーチャを生成する(段階S920)。
ランダムプールフィーチャは、グループ特性キーの長さに該当する個数の特徴のうち、ランダムプールの大きさに該当する個数のみがランダムに生成される。
免疫データベースを生成するために抽出された常駐コードのフィーチャと生成されたランダムプールフィーチャとの類似性を演算する(段階S930)。
類似性演算は、フィーチャそれぞれに対して1:1で成される。したがって、常駐コードのフィーチャがN個であり、ランダムプールフィーチャがM個である場合には、類似性の演算はN×M回行われる。
類似性を演算した結果、ランダムプールフィーチャのうち、演算された類似性値が既決定された臨界値よりも小さいフィーチャで免疫データベースを生成する(段階940)。
ここで、臨界値は、設定値を入力するときにランダムプール生成因子に含まれた臨界値となる。
図10は、図8に示した段階S830に対する詳細なフローチャートである。
図10を参照すれば、侵入コードを判断する段階は、侵入コードを判断するためのデータを収集する(段階S1010)。
ここで、収集されるデータは、コンピュータに保存されているすべての実行ファイルでも良いし、コンピュータに保存されているすべてのデータでも良いし、コンピュータにリアルタイムで入力されるデータでも良い。
このとき、コンピュータにリアルタイムで入力されるデータの一例としては、有無線ネットワーク共有を介してダウンロードされたファイル、HTTP/FTPなどを介してダウンロードされたファイル、電子メールを介してダウンロードされたファイル、P2Pを介してダウンロードされたファイル、保存装置からダウンロードされたファイルなどとなる。
収集されたデータ、例えば実行ファイルそれぞれからグループ特性キーの条件に該当するフィーチャを抽出する(段階S1020)。
データから抽出されたフィーチャと免疫データベースのフィーチャとの類似性を演算する(段階S1030)。
すなわち、データから抽出されたフィーチャそれぞれと免疫データベースのフィーチャそれぞれに対して類似性を演算する。
免疫データベースのフィーチャに対して演算された類似性値が既決定された臨界値以上であるかを判断する(段階S1040)。
演算された類似性値と臨界値を判断した結果、演算された類似性値が臨界値以上である場合には、データを侵入コードとして判断する(段階S1050)。
この反面、演算された類似性値と臨界値を判断した結果、演算された類似性値が臨界値よりも小さい場合には、データを安全なコードである常駐コードとして判断する。
なお、本発明に係る実施形態は、コンピュータにより具現される多様な動作を実行するためのプログラム命令を含むコンピュータ読み取り可能な媒体を含む。前記媒体は、プログラム命令、データファイル、データ構造などを単独または組み合わせて含むこともできる。前記媒体およびプログラム命令は、本発明の目的のために特別に設計されて構成されたものでもよく、コンピュータソフトウェア分野の技術を有する当業者にとって公知であり使用可能なものであってもよい。コンピュータ読み取り可能な記録媒体の例としては、ハードディスク、フロッピー(登録商標)ディスクおよび磁気テープのような磁気媒体、CD−ROM、DVDのような光記録媒体、フロプティカルディスクのような磁気−光媒体、およびROM、RAM、フラッシュメモリなどのようなプログラム命令を保存して実行するように特別に構成されたハードウェア装置が含まれる。前記媒体は、プログラム命令、データ構造などを保存する信号を送信する搬送波を含む光または金属線、導波管などの送信媒体でもある。プログラム命令の例としては、コンパイラによって生成されるもののような機械語コードだけでなく、インタプリタなどを用いてコンピュータによって実行される高級言語コードを含む。前記したハードウェア要素は、本発明の動作を実行するために1以上のソフトウェアモジュールとして作動するように構成することができ、その逆もできる。
上述したように、本発明を好ましい実施形態に則して説明したが、本発明の技術分野において熟練した当業者にとっては、特許請求の範囲に記載された本発明の技術的思想及びその領域から逸脱しない範囲内で、本発明を多様に修正および変更させることができることを理解することができるであろう。すなわち、本発明の技術的範囲は、特許請求の範囲に基づいて定められ、発明を実施するための最良の形態により制限されるものではない。
本発明の一実施形態に係る侵入コード探知装置を示した構成ブロック図である。 図1に示した免疫データベース生成部を詳細に示した構成ブロック図である。 図1に示した侵入コード判断部を詳細に示した構成ブロック図である。 本発明に係るグループ特性キーを相違するように設定するためのグループを示した一例示図である。 コンピュータそれぞれに設定された常駐コードリストから特徴を抽出することを示した一例示図である。 本発明に係るランダムプールフィーチャを生成することを示した一例示図である。 コンピュータそれぞれに収集された判断対象コードリストから特徴を抽出することを示した一例示図である。 本発明の一実施形態に係る侵入コード探知方法を示したフローチャートである。 図8に示した段階820を詳細に示したフローチャートである。 図8に示した段階830を詳細に示した動作フローチャートである。
符号の説明
110 設定値入力部
120 免疫データベース生成部
130 侵入コード判断部
140 免疫データベース
210 フィーチャ抽出部
220 類似性演算部
230 免疫データベース生成管理部
240 プールフィーチャ生成部
310 データ収集部
320 データフィーチャ抽出部
330 データ類似性演算部
340 侵入コード判断管理部

Claims (22)

  1. 複数のグループのうち、各グループ別に差別化された設定値が入力される設定値入力部と、
    前記設定値に基づいて免疫データベースを生成する免疫データベース生成部と、
    前記生成された免疫データベースに基づいてデータの侵入コードの可否を判断する侵入コード判断部と、
    を含むことを特徴とする侵入コード探知装置。
  2. 前記設定値は、
    グループを区分するためのグループ特性キーと、安全なコードである常駐コードリストと、前記免疫データベースのプールを生成するためのランダムプール生成因子とを含むことを特徴とする請求項1に記載の侵入コード探知装置。
  3. 前記免疫データベース生成部は、
    前記グループ特性キーを用いて前記常駐コードのフィーチャを抽出するフィーチャ抽出部と、
    前記グループ特性キーおよび前記ランダムプール生成因子に基づいてランダムプールフィーチャを生成するプールフィーチャ生成部と、
    前記抽出された常駐コードのフィーチャおよび前記生成されたランダムプールフィーチャの類似性を演算する類似性演算部と、
    前記ランダムプールフィーチャのうち、演算された類似性値が臨界値以下である特徴を前記免疫データベースとして生成する免疫データベース生成管理部と、
    を含むことを特徴とする請求項2に記載の侵入コード探知装置。
  4. 前記プールフィーチャ生成部は、
    前記グループ特性キーの長さおよび前記ランダムプール生成因子に含まれたランダムプールの大きさに基づいて前記ランダムプールフィーチャを生成することを特徴とする請求項3に記載の侵入コード探知装置。
  5. 前記臨界値は、
    前記ランダムプール生成因子に設定された値であることを特徴とする請求項3に記載の侵入コード探知装置。
  6. 前記侵入コード判断部は、
    前記グループ特性キーを用いて前記データのフィーチャを抽出するデータフィーチャ抽出部と、
    前記抽出されたデータのフィーチャと前記免疫データベースのフィーチャとの類似性を演算するデータ類似性演算部と、
    前記演算された類似性値が既決定された臨界値以上であれば、前記データを侵入コードとして判断する侵入コード判断管理部と、
    を含むことを特徴とする請求項2に記載の侵入コード探知装置。
  7. 前記侵入コード判断部は、
    前記侵入コードの可否を判断するためのデータを収集するデータ収集部、
    をさらに含み、
    前記データフィーチャ抽出部は、前記収集されたデータそれぞれのフィーチャを抽出することを特徴とする請求項6に記載の侵入コード探知装置。
  8. 前記侵入コード判断部は、
    前記生成された免疫データベースに基づいて、内部に保存された実行ファイルデータの侵入コードの可否を判断することを特徴とする請求項1に記載の侵入コード探知装置。
  9. 前記侵入コード判断部は、
    前記生成された免疫データベースに基づいて、内部に保存されたデータの侵入コードの可否を判断することを特徴とする請求項1に記載の侵入コード探知装置。
  10. 前記侵入コード判断部は、
    前記生成された免疫データベースに基づいて、リアルタイムで入力されるデータの侵入コードの可否を判断することを特徴とする請求項1に記載の侵入コード探知装置。
  11. 前記グループは、
    少なくとも1つ以上のコンピュータで成されたことを特徴とする請求項1に記載の侵入コード探知装置。
  12. グループ別にそれぞれ差別化された設定値が入力される段階と、
    前記設定値に基づいて免疫データベースを生成する段階と、
    前記生成された免疫データベースに基づいてデータの侵入コードの可否を判断する段階と、
    を含むことを特徴とする侵入コード探知方法。
  13. 前記設定値は、
    グループを区分するためのグループ特性キーと、安全なコードである常駐コードリストと、前記免疫データベースのプールを生成するためのランダムプール生成因子とを含むことを特徴とする請求項12に記載の侵入コード探知方法。
  14. 前記免疫データベースを生成する段階は、
    前記グループ特性キーを用いて前記常駐コードのフィーチャを抽出する段階と、
    前記グループ特性キーおよび前記ランダムプール生成因子に基づいてランダムプールフィーチャを生成する段階と、
    前記抽出された常駐コードのフィーチャおよび前記生成されたランダムプールフィーチャの類似性を演算する段階と、
    前記ランダムプールフィーチャのうち、演算された類似性値が臨界値以下であるフィーチャを前記免疫データベースとして生成する段階と、
    を含むことを特徴とする請求項13に記載の侵入コード探知方法。
  15. 前記ランダムプールフィーチャを生成する段階は、
    前記グループ特性キーの長さおよび前記ランダムプール生成因子に含まれたランダムプールの大きさに基づいて前記ランダムプールフィーチャを生成することを特徴とする請求項14に記載の侵入コード探知方法。
  16. 前記臨界値は、
    前記ランダムプール生成因子に設定された値であることを特徴とする請求項14に記載の侵入コード探知方法。
  17. 前記データの侵入コードの可否を判断する段階は、
    前記グループ特性キーを用いて前記データのフィーチャを抽出する段階と、
    前記抽出されたデータのフィーチャと前記免疫データベースのフィーチャとの類似性を演算する段階と、
    前記演算された類似性値が臨界値以上であれば、前記データを侵入コードとして判断する段階と、
    を含むことを特徴とする請求項13に記載の侵入コード探知方法。
  18. 前記データの侵入コードの可否を判断する段階は、
    前記侵入コードの可否を判断するためのデータを収集する段階、
    をさらに含み、
    前記データのフィーチャを抽出する段階は、前記収集されたデータそれぞれのフィーチャを抽出することを特徴とする請求項17に記載の侵入コード探知方法。
  19. 前記データの侵入コードの可否を判断する段階は、
    前記生成された免疫データベースに基づいて、内部に保存された実行ファイルデータの侵入コードの可否を判断することを特徴とする請求項12に記載の侵入コード探知方法。
  20. 前記データの侵入コードの可否を判断する段階は、
    前記生成された免疫データベースに基づいて、内部に保存されたデータの侵入コードの可否を判断することを特徴とする請求項12に記載の侵入コード探知方法。
  21. 前記データの侵入コードの可否を判断する段階は、
    前記生成された免疫データベースに基づいて、リアルタイムで入力されるデータの侵入コードの可否を判断することを特徴とする請求項12に記載の侵入コード探知方法。
  22. 請求項12〜21のいずれか一項の方法を実行させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体。
JP2007293641A 2007-01-31 2007-11-12 侵入コード探知装置およびその方法 Expired - Fee Related JP4699438B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020070010300A KR101303643B1 (ko) 2007-01-31 2007-01-31 침입 코드 탐지 장치 및 그 방법
KR10-2007-0010300 2007-01-31

Publications (2)

Publication Number Publication Date
JP2008192127A true JP2008192127A (ja) 2008-08-21
JP4699438B2 JP4699438B2 (ja) 2011-06-08

Family

ID=39325666

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007293641A Expired - Fee Related JP4699438B2 (ja) 2007-01-31 2007-11-12 侵入コード探知装置およびその方法

Country Status (5)

Country Link
US (1) US8205256B2 (ja)
EP (1) EP1953664A3 (ja)
JP (1) JP4699438B2 (ja)
KR (1) KR101303643B1 (ja)
CN (1) CN101236584B (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2008214131B2 (en) 2007-02-02 2012-06-14 Websense, Inc. System and method for adding context to prevent data leakage over a computer network
US9015842B2 (en) 2008-03-19 2015-04-21 Websense, Inc. Method and system for protection against information stealing software
US9130986B2 (en) 2008-03-19 2015-09-08 Websense, Inc. Method and system for protection against information stealing software
IL197477A0 (en) * 2009-03-08 2009-12-24 Univ Ben Gurion System and method for detecting new malicious executables, based on discovering and monitoring of characteristic system call sequences
CN102054149B (zh) * 2009-11-06 2013-02-13 中国科学院研究生院 一种恶意代码行为特征提取方法
US9110769B2 (en) * 2010-04-01 2015-08-18 Microsoft Technology Licensing, Llc Code-clone detection and analysis
TWI419003B (zh) * 2010-11-12 2013-12-11 Univ Nat Chiao Tung 自動化分析與分類惡意程式之方法及系統
US9323923B2 (en) * 2012-06-19 2016-04-26 Deja Vu Security, Llc Code repository intrusion detection
TWI461953B (zh) 2012-07-12 2014-11-21 Ind Tech Res Inst 運算環境安全方法和電子運算系統
US10438204B2 (en) * 2014-05-19 2019-10-08 American Express Travel Related Services Copmany, Inc. Authentication via biometric passphrase
CN104331436B (zh) * 2014-10-23 2017-06-06 西安交通大学 基于家族基因码的恶意代码快速归类方法
US10459704B2 (en) * 2015-02-10 2019-10-29 The Trustees Of Columbia University In The City Of New York Code relatives detection
CN104866765B (zh) * 2015-06-03 2017-11-10 康绯 基于行为特征相似性的恶意代码同源性分析方法
CN107172062B (zh) * 2017-06-07 2018-08-03 郑州轻工业学院 一种基于生物免疫t细胞受体机制的入侵检测方法
CN110046501B (zh) * 2019-03-09 2020-09-29 中国人民解放军战略支援部队信息工程大学 一种受生物基因启发的恶意代码检测方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09502550A (ja) * 1993-07-08 1997-03-11 スィー.、ザ サード アレン、ローレンス デジタル信号集合体に対する改変検出方法

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3597686B2 (ja) 1997-12-02 2004-12-08 富士通株式会社 ウィルスチェックネットワークシステム及びウィルスチェック装置
US6721721B1 (en) * 2000-06-15 2004-04-13 International Business Machines Corporation Virus checking and reporting for computer database search results
US20040064737A1 (en) * 2000-06-19 2004-04-01 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of polymorphic network worms and viruses
US7636945B2 (en) * 2000-07-14 2009-12-22 Computer Associates Think, Inc. Detection of polymorphic script language viruses by data driven lexical analysis
US7093239B1 (en) * 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
US7069583B2 (en) * 2000-07-14 2006-06-27 Computer Associates Think, Inc. Detection of polymorphic virus code using dataflow analysis
US20020194489A1 (en) * 2001-06-18 2002-12-19 Gal Almogy System and method of virus containment in computer networks
US20040111632A1 (en) * 2002-05-06 2004-06-10 Avner Halperin System and method of virus containment in computer networks
KR20030087195A (ko) 2002-05-07 2003-11-14 주식회사 세니온 휴대정보단말기와, 이 휴대정보단말기의 바이러스 검출 및치료 서비스 방법
US7409717B1 (en) * 2002-05-23 2008-08-05 Symantec Corporation Metamorphic computer virus detection
KR100509650B1 (ko) 2003-03-14 2005-08-23 주식회사 안철수연구소 코드 삽입 기법을 이용한 악성 스크립트 감지 방법
KR20040090373A (ko) 2003-04-15 2004-10-22 주식회사 안철수연구소 무선 단말기에서 실시간 바이러스 감시/진단/치료 방법
JP2004362491A (ja) 2003-06-09 2004-12-24 Nec Saitama Ltd ウィルス駆除関連データの更新履歴情報管理システム及び更新履歴情報管理方法
JP4662944B2 (ja) * 2003-11-12 2011-03-30 ザ トラスティーズ オブ コロンビア ユニヴァーシティ イン ザ シティ オブ ニューヨーク 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体
US7343624B1 (en) * 2004-07-13 2008-03-11 Sonicwall, Inc. Managing infectious messages as identified by an attachment
US8037535B2 (en) * 2004-08-13 2011-10-11 Georgetown University System and method for detecting malicious executable code
US20060101277A1 (en) * 2004-11-10 2006-05-11 Meenan Patrick A Detecting and remedying unauthorized computer programs
US20060272019A1 (en) * 2005-05-27 2006-11-30 Addepalli Srinivasa R Intelligent database selection for intrusion detection & prevention systems
KR20080066653A (ko) * 2005-06-29 2008-07-16 트러스티스 오브 보스턴 유니버시티 완전한 네트워크 변칙 진단을 위한 방법 및 장치와 트래픽피쳐 분포를 사용하여 네트워크 변칙들을 검출하고분류하기 위한 방법
US7739740B1 (en) * 2005-09-22 2010-06-15 Symantec Corporation Detecting polymorphic threats
US20070094734A1 (en) * 2005-09-29 2007-04-26 Mangione-Smith William H Malware mutation detector
CN100444075C (zh) * 2005-11-08 2008-12-17 北京网秦天下科技有限公司 用于移动/智能终端的病毒特征提取和检测***及方法
US8413245B2 (en) * 2005-12-16 2013-04-02 Cisco Technology, Inc. Methods and apparatus providing computer and network security for polymorphic attacks
US8381299B2 (en) * 2006-02-28 2013-02-19 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for outputting a dataset based upon anomaly detection

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09502550A (ja) * 1993-07-08 1997-03-11 スィー.、ザ サード アレン、ローレンス デジタル信号集合体に対する改変検出方法

Also Published As

Publication number Publication date
JP4699438B2 (ja) 2011-06-08
EP1953664A3 (en) 2016-05-18
KR20080071862A (ko) 2008-08-05
KR101303643B1 (ko) 2013-09-11
CN101236584B (zh) 2010-10-13
CN101236584A (zh) 2008-08-06
EP1953664A2 (en) 2008-08-06
US20080184369A1 (en) 2008-07-31
US8205256B2 (en) 2012-06-19

Similar Documents

Publication Publication Date Title
JP4699438B2 (ja) 侵入コード探知装置およびその方法
Poudyal et al. A framework for analyzing ransomware using machine learning
JP6106340B2 (ja) ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム
Al-Rimy et al. A pseudo feedback-based annotated TF-IDF technique for dynamic crypto-ransomware pre-encryption boundary delineation and features extraction
CN111382434B (zh) 用于检测恶意文件的***和方法
CN107408181B (zh) 恶意软件感染终端的检测装置、恶意软件感染终端的检测***、恶意软件感染终端的检测方法以及记录介质
JP6697123B2 (ja) プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム
KR101851233B1 (ko) 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체
RU2587429C2 (ru) Система и способ оценки надежности правила категоризации
Chowdhury et al. Protecting data from malware threats using machine learning technique
US11080398B2 (en) Identifying signatures for data sets
EP3079091B1 (en) Method and device for virus identification, nonvolatile storage medium, and device
JPWO2018066221A1 (ja) 分類装置、分類方法及び分類プログラム
Nguyen et al. Toward a deep learning approach for detecting php webshell
Alkhateeb Dynamic malware detection using API similarity
CN113726818B (zh) 一种失陷主机检测方法及装置
CN109858249B (zh) 移动恶意软件大数据的快速智能比对和安全检测方法
KR20180133726A (ko) 특징 벡터를 이용하여 데이터를 분류하는 장치 및 방법
RU2747464C2 (ru) Способ обнаружения вредоносных файлов на основании фрагментов файлов
JP6602799B2 (ja) セキュリティ監視サーバ、セキュリティ監視方法、プログラム
JP6096084B2 (ja) トラヒック走査装置及び方法
JP6249505B1 (ja) 特徴抽出装置およびプログラム
Tsuzaki et al. A fuzzy hashing technique for large scale software birthmarks
CN113127865B (zh) 一种恶意文件的修复方法、装置、电子设备及存储介质
Liao et al. Attention-Based BiLSTM For Malware Family Classification

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101012

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110112

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110201

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110302

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees