JP2013174959A - アプリケーション検査システム - Google Patents
アプリケーション検査システム Download PDFInfo
- Publication number
- JP2013174959A JP2013174959A JP2012037805A JP2012037805A JP2013174959A JP 2013174959 A JP2013174959 A JP 2013174959A JP 2012037805 A JP2012037805 A JP 2012037805A JP 2012037805 A JP2012037805 A JP 2012037805A JP 2013174959 A JP2013174959 A JP 2013174959A
- Authority
- JP
- Japan
- Prior art keywords
- cluster
- application
- clusters
- evaluation
- lowest
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【課題】グレーウェアのようなアプリケーションであってもセキュリティリスクを利用者に示せるようにする。
【解決手段】複数のアプリケーションを実行した通信ログから抽出した通信パケットに対して送信先の類似度にて階層的クラスタリングにより作成された解析済クラスタを記憶しているクラスタ分類結果217を用い、クラスタ抽出手段225は、検査対象アプリケーションの通信パケットが割り当てられた最下位クラスタを抽出し、解析済クラスタの最上位と最下位の間の任意の階層のクラスタの中から抽出した最下位クラスタを1以上含んでいるクラスタの数を共通クラスタ数として計数し評価値として出力する。評価手段226は、クラスタ抽出手段225が出力した評価値が多いほど検査対象アプリケーションの影響度合いが高いと評価する。結果出力手段227は、評価手段226の評価結果を検査対象アプリケーションの評価結果として出力する。
【選択図】図1
【解決手段】複数のアプリケーションを実行した通信ログから抽出した通信パケットに対して送信先の類似度にて階層的クラスタリングにより作成された解析済クラスタを記憶しているクラスタ分類結果217を用い、クラスタ抽出手段225は、検査対象アプリケーションの通信パケットが割り当てられた最下位クラスタを抽出し、解析済クラスタの最上位と最下位の間の任意の階層のクラスタの中から抽出した最下位クラスタを1以上含んでいるクラスタの数を共通クラスタ数として計数し評価値として出力する。評価手段226は、クラスタ抽出手段225が出力した評価値が多いほど検査対象アプリケーションの影響度合いが高いと評価する。結果出力手段227は、評価手段226の評価結果を検査対象アプリケーションの評価結果として出力する。
【選択図】図1
Description
本発明は、携帯端末上で動作する端末アプリケーションを検査するアプリケーション検査システムに関する。
スマートフォンや携帯情報端末、携帯電話等の携帯端末には、利用者の電話番号やメールアドレス等の情報をはじめ、位置情報やアドレス帳やスケジュールなど、さまざまな個人情報が記憶されている。一方、これらの携帯端末には、さまざまなベンダーが開発したメールソフト、ゲームソフト、便利ツール等の携帯端末用の端末アプリケーションプログラム(以下、単にアプリケーションと称する)が利用者によって自由にインストールされ、使用される。
ところで、このようなアプリケーションは、さまざまなベンダーによって任意に開発されるため、例えば利用者がそのアプリケーションを利用しているときに、利用者の許可を求めることなく、その携帯端末に記憶された個人情報を外部に送信してしまうおそれがある。また、利用者が携帯端末を操作していないときも外部に送信するおそれがある。このように、利用者の意図しない状況で個人情報が送信されてしまう潜在的なおそれが存在する可能性があっても、アプリケーションが主目的として提供する機能・サービスの利便性を求めて、利用者は携帯端末上にアプリケーションをインストールし、利用している。
一方、多種多様なアプリケーションを提供するサービスプロバイダーは、提供予定のアプリケーションが既知のマルウェアやスパイウェアではないかを検査した上で提供するようにしており、アプリケーションを検査する技術が知られている(例えば、特許文献1)。
特許文献1では、多くのプログラムのプロファイルを簡単かつ短時間で行うために、仮想オペレーティングシステムでプログラムを実行し、プログラムの動作履歴から動作の特徴を見つけ、プログラムの種類を例えば、「マクロウィルス」「ボット」「P2Pワーム」「スパイウェア」「トロイの木馬」「非悪性プログラム」のように分類するプログラム分析方法が提案されている。
しかしながら、従来の方法ではグレーウェアに対応することは困難であった。ここで、グレーウェアとは、利用者が了承した範囲(すなわち、アプリケーションが主目的として提供する機能・サービス)で正常に動作しつつ、更に利用者の意図と無関係に端末内の個人情報を外部へ送信するというもので、情報収集を主目的とするスパイウェアとの区別があいまいなアプリケーションである。このようなグレーウェアは、利用者が了承した正規のサービスを受けるための外部への送信と利用者が意図しない端末内の個人情報を送信するための外部への送信とから複数の異なる送信先へ外部の送信が行われるため、一概に悪いと判断することはできなくても、利用者によっては不利益をもたらす場合があるアプリケーションとして扱いたい。
そこで、本発明は、このようなグレーウェアについても、利用者が端末でアプリケーションを動作させるとセキュリティの観点でどのような影響を受ける可能性があるかを示せるように評価することを目的とする。
かかる課題を解決するために、本発明は、複数のアプリケーションを実行した通信ログから抽出した通信パケットに対して送信先の類似度にて階層的クラスタリングにより作成された解析済クラスタを記憶している記憶部と、検査対象アプリケーションを実行した通信ログから抽出した通信パケットそれぞれが割り当てられる前記解析済クラスタにおける最下位クラスタを抽出し、前記解析済クラスタの最上位と最下位の間の任意の階層のクラスタに前記最下位クラスタを1以上含んでいるクラスタの数を共通クラスタ数として計数し、当該共通クラスタ数を評価値とするクラスタ抽出手段と、前記評価値が多いほど、当該アプリケーションの影響度合いが高いと評価する評価手段と、前記評価結果を検査対象アプリケーションの評価結果として出力する結果出力部と、を有するアプリケーション検査システムを提供する。これにより、統計的に複数のアプリケーションを送信先に基づいて類似するアプリケーション群に分類した結果を用い、検査対象のある一つのアプリケーションに着目したときには、異なるアプリケーション群をまたがって属するアプリケーションほど、影響度合いを高く算出することができる。
かかるアプリケーション検査システムにおいて、前記クラスタ抽出手段は、前記検査対象アプリケーションについて抽出した前記最下位クラスタの数を最下位クラスタ数として計数し前記評価値に加えることが好ましい。これにより、所属するアプリケーション群に多数出現するアプリケーションほど、影響度合いを高く算出することができる。
また、かかるアプリケーション検査システムにおいて、前記解析済クラスタは、更に通信パケットの送信内容の類似度を用いて階層的クラスタリングを行なって作成されることが好ましい。これにより、検査対象のアプリケーションを送信先だけでなく送信内容にも基づいて類似するアプリケーション群に分類した結果を用いて評価することができる。
本発明によれば、グレーウェアについても、ユーザが端末でアプリケーションを動作させるとセキュリティの観点でどのような影響を受ける可能性があるかのセキュリティリスクを示せるように評価するアプリケーション検査システムを提供することができる。
以下、本発明に係るアプリケーション検査システムについて、図を参照しつつ説明する。図1は、本発明によるアプリケーション検査システムの構成図である。図1に示すアプリケーション検査システム1は、アプリケーション検査サーバ装置2と外部サーバ4と携帯端末5がネットワーク3を介して接続されて構成される。
アプリケーション検査サーバ装置2は、検査対象のアプリケーションを検査する装置であって、記憶部21と、制御部22と、通信部23と、表示操作部24と、を有する。アプリケーション検査サーバ装置2は、アプリケーションをインストールして実行する携帯端末をエミュレートしてアプリケーションを実行するパーソナルコンピュータやサーバであってもよい。
記憶部21は、ROM、RAM、磁気ハードディスク等の記憶装置であり、各種プログラムや各種データを記憶し、アプリケーションプログラム211と固有情報212と通信ログ213と動作ログ214とクラスタ215と解析済みクラスタ216とクラスタ分類結果217の記憶領域を持つ。
アプリケーションプログラム211は、検査対象の複数のアプリケーションを記憶する領域である。例えば、N個のアプリケーションを検査する場合は、アプリケーション1〜NのN個のアプリケーションがアプリケーションプログラム211に記憶される。
固有情報212は、携帯端末に記憶される携帯端末特有の複数の固有情報を記憶する領域である。固有情報は、例えば、携帯端末を識別するために付与される端末固有番号や各種端末識別情報、緯度経度による現在位置を示す位置情報、アドレス帳、メール情報、スケジュール情報等を含む。
通信ログ213は、検査対象のアプリケーションを実行したときに生成される通信ログを記憶する領域である。
動作ログ214は、検査対象のアプリケーションを実行したときに生成される動作ログを記憶する領域である。動作ログには、ユーザがアプリケーションの入力受付に対して行った入力を記憶した操作ログを含む。
クラスタ215は、後述する分類評価のためのクラスタリング処理に用いるクラスタを記憶する領域である。通信ログ216から通信ログを取り出し、クラスタとして割り当て、クラスタ215に保存する。
解析済みクラスタ216は、後述する分類評価のためのクラスタリング処理中にクラスタ215から取り出され解析を済ませたクラスタ、他のクラスタと最もクラスタ間の距離が近くまとめて新しく作成されるクラスタを階層的に記憶する領域である。
クラスタ分類結果217は、分類評価のためのクラスタリング処理が完了したときの解析済みクラスタ216のクラスタの階層的な構成をクラスタ分類結果として記憶する領域である。図2にクラスタ分類結果217の出力イメージを示す。外側の末端クラスタが、通信ログから割り当ててクラスタ215に最初の保存されたクラスタである。そして、クラスタリング処理の結果、中央で1つのクラスタにまとめられている。
制御部22は、CPUやMPU等から構成され、アプリケーション検査サーバ装置2の制御全般についてプログラムに従って処理を行い、通信ログ取得手段221、動作ログ取得手段222、クラスタ作成手段223、クラスタ間距離計算手段224、クラスタ抽出手段225、評価手段226、結果出力手段227を有する。
通信ログ取得手段221は、アプリケーションプログラム211に記憶された各アプリケーションの実行中に外部サーバ4にデータを送信するとき、また、外部サーバ4からデータを受信するとき、通信部23を介して行われる送受信の通信ログを取得し、通信ログ213に記憶する。
動作ログ取得手段222は、アプリケーションプログラム211に記憶された各アプリケーションの実行中に利用者が行った操作のログを動作ログ214に記憶する。また、動作ログ取得手段222は、アプリケーションプログラム211に記憶された各アプリケーションの実行中にアプリケーションが固有情報212から読み出すと、いつどの情報を取得したか等を動作ログ214に記憶する。
クラスタ作成手段223は、クラスタを作成する際に、通信ログ記憶部から外部送信の通信ログを取り出し、取り出した通信ログをクラスタとして記憶部21のクラスタ215に保存する。また、クラスタ作成手段223は、クラスタリング処理において主体的に動き、クラスタ215に保存されたクラスタに階層的クラスタリングを適用し、アプリケーションの分類を行い、分類中に作成する新しいクラスタを改めてクラスタ215に保存すると共にクラスタは解析済みクラスタ216に保存する。具体的には、クラスタ作成手段223は、クラスタ間距離計算手段224に処理対象として着目してクラスタ215から取り出した1つのクラスタとクラスタ215に記憶されている他のクラスタとのクラスタ間距離を算出させ、処理対象のクラスタと最もクラスタ間の距離が近いクラスタとをまとめて新しいクラスタを作成し、まとめる前のクラスタはクラスタ215から削除し、新しいクラスタをクラスタ215に保存すると共に、まとめる前のクラスタと新しいクラスタを解析済みクラスタ216に階層的に記憶させる。また、クラスタリングが終了すると、そのときの解析済みクラスタ216の内容を複数のアプリケーションの分類結果としてクラスタ分類結果217に記憶する。
クラスタ間距離計算手段224は、クラスタ作成手段223の要求により、指定されたクラスタとクラスタ215に保存されたクラスタとのクラスタ間の距離を計算する。そして、指定されたクラスタと最もクラスタ間距離が近いクラスタを出力する。
クラスタ抽出手段225は、クラスタ分類結果217に保存された複数のアプリケーションの分類結果について、検査対象として指定された特定のアプリケーションに属する最下位クラスタを抽出し、抽出した最下位クラスタの数を最下位クラスタ数として計数する。また、抽出した最下位クラスタを含む任意の上位階層でのクラスタの数を共通クラスタ数として計数する。共通クラスタ数は、指定された任意の上位階層において異なるアプリケーション群にまたがって最下位クラスタが出現しているかを評価できる評価値となる。共通クラスタ数を求める上位階層には最上位と最下位は含まれず、上位階層は、最上位と最下位の間の任意の階層で指定されるものとする。なお、最上位はクラスタが1つにまとまって作成され、すなわち、すべての最下位クラスタが含まれるため、任意の上位階層の対象としない。
評価手段226は、検査対象のアプリケーションの影響度合いを評価する。このため、評価手段226は、クラスタ抽出手段225が出力する最下位クラスタ数を評価値として、評価値が多いほど、検査対象のアプリケーションの影響度合いが高いと評価する。また、評価手段226は、クラスタ抽出手段225が出力する共通クラスタ数を評価値として、評価値が多いほど、検査対象のアプリケーションの影響度合いが高いと評価する。また、評価手段226は、最下位クラスタ数と共通クラスタ数の合計を評価値としてもよい。
結果出力手段227は、評価手段226が出力した検査対象アプリケーションの影響度合いを表示操作部24に表示させるほか、ネットワーク3を介して外部から要求を受けたときは外部に送信をして出力する。また、クラスタ分類結果217に保存された複数のアプリケーションの分類結果を用いて、指定されたある特定のアプリケーションに対する分類結果を、クラスタ分類結果217にクラスタ抽出手段225が抽出した最下位クラスタを識別可能に重ねて出現頻度の状態として出力してもよい。
通信部23は、ネットワーク3を介して外部サーバ4との通信を行なうインタフェースであり、接続するネットワークに対応している。
表示操作部24は、タッチパネル付き液晶ディスプレイなどで構成された入出力インタフェースであり、アプリケーション実行時の画面表示や確認操作の受付を行う。なお、表示操作部24は、表示機能だけもつ表示用デバイスと、操作ボタン等の入力デバイスとで構成してもよい。
ネットワーク3は、アプリケーション検査サーバ装置2及び外部サーバ4に接続され、インターネット等の広域通信網あるいは閉域通信網などのネットワークである。一般電話回線網であってもよい。
外部サーバ4は、ネットワーク3を介してアプリケーションが主目的として提供する機能・サービスを提供する際のサーバやアプリケーションが端末内の個人情報を勝手に外部へ送信する際の情報収集を行うサーバである。
携帯端末5は、利用者が所持し、評価結果をふまえてアプリケーションがインストールされる装置で、スマートフォンや携帯情報端末、携帯電話等である。
ここで、通信ログに対するクラスタ間の距離の計算方法を説明する。通信ログに含まれるHTTPパケットの類似度を求め、このHTTPパケットの類似度を利用してクラスタ間の距離とし、クラスタリングを行う。このとき、通信ログに含まれるHTTPパケットの類似度は、HTTPパケット送信先類似度とHTTPパケット送信内容類似度とから求める。
まず、HTTPパケット送信先類似度について説明する。HTTPパケット送信先類似度は、送信先IPアドレスの類似度、Port番号の類似度、及び、HTTPヘッダフィールドのHostヘッダ(以降、単にHostヘッダという)の類似度を用いて算出する。送信先IPアドレスの類似度はIPアドレスの上位ビットの最長一致を適用し、Port番号の類似度は値が同一か否かを適用し、Hostヘッダの類似度は文字列の距離を表す編集距離を適用する。
例えば、2つのHTTPパケットPxとPyのHTTPパケット送信先類似度を求める場合を説明する。ここで、任意のHTTPパケットPnの送信先は、送信先IPアドレスipnとPort番号portnとHostヘッダhostnを用いて、Pn={ipn;portn;hostn}で構成されるとする。
まず、送信先IPアドレス類似度について説明する。送信先IPアドレスをIPv4とすると、IPアドレスは、232のアドレス空間であり、上位から8ビット毎に、IPアドレスの範囲となる。IPアドレスは一定の範囲ごとに利用者に割り当てられることから、同一組織あるいはネットワークの場合は、上位ビットが共通となる可能性が高い。そこで、HTTPパケットPxとPyにおいて、IPアドレスの類似度は、2つのIPアドレスipxとipyの先頭から最長一致ビット数を求めることで得られる。
次に、Port番号類似度について説明する。Port番号は、216の空間であり、一部のPort番号は、特定のサービスに対し登録され使用されることがほとんどである。そこで、HTTPパケットPxとPyにおいて、Port番号の類似度は、2つのPort番号portxとportyが一致するかしないかを求めることで得られる。
次に、Hostヘッダ類似度について説明する。Hostヘッダは、FQDNとしてホスト名とドメイン名から構成される文字列となる。そこで、任意の文字列の距離として編集距離を用いると、HTTPパケットPxとPyにおいて、Hostヘッダの類似度は、2つのHostヘッダhostxとhostyの編集距離を求めることで得られる。
従って、HTTPパケットPxとPyについて求めた送信先IPアドレス類似度、Port番号類似度、Hostヘッダ類似度を用いて、例えば単純加算すると、2つのHTTPパケットPxとPyのHTTPパケット送信先類似度とすることができる。
次に、HTTPパケット送信内容類似度について説明する。HTTPパケット送信内容類似度は、HTTPヘッダフィールドのRequest-Line、Cookie、Message-Bodyの類似度を用いて算出する。各要素の類似度は、コルモゴルフ複雑性を利用したnormalized compression distance (NCD) により求める。
例えば、2つのHTTPパケットPxとPyのHTTPパケット送信内容類似度を求める場合を説明する。ここで、任意のHTTPパケットPnの送信内容は、HTTPパケットに含まれるRequest-Lineをrlinen、Cookieをcookien、Message-Bodyをbodynとして、Pn={rlinen;cookien;bodyn}で構成されるとする。
Request-Line、Cookie、Message-Bodyはいずれも文字列で構成され、その値はアプリケーションやサービス毎に異なるため、コルモゴルフ複雑性を利用し,文字列の文脈に依存することなく情報量としての距離を求めることが可能なNCDを用いることで、類似度を求められる。HTTPパケットPxとPyにおけるRequest-Line類似度は、rlinexとrlineyのNCDを求めることで得られる。また、HTTPパケットPxとPyにおけるCookie類似度は、cookiexとcookieyのNCDを求めることで得られる。また、HTTPパケットPxとPyにおけるMessage-Body類似度は、bodyxとbodyyのNCDを求めることで得られる。
従って、HTTPパケットPxとPyについて求めたRequest-Line類似度、Cookie類似度、Message-Bodyの類似度を用いて、例えば単純加算すると、2つのHTTPパケットPxとPyのHTTPパケット送信内容類似度とすることができる。
次に、クラスタリングの方法に説明する。クラスタは、アプリケーション単位又はHTTPパケット単位で構成する。なお、アプリケーション単位にするときのアプリケーションは、HTTPパケットの集合となるため、HTTPパケットの階層的クラスタリングを行う。HTTPパケットの階層的クラスタリングは、クラスタ間の距離は上述の通り、HTTP パケット送信先類似度及びHTTP パケット送信内容類似度に基づいたHTTP パケット類似度の距離を用い、距離の近いクラスタ毎にまとめていき、クラスタリングは群平均法を用いる。
図3を参照し、アプリケーションプログラム211に記憶されたアプリケーション1〜Nのすべてに対する、アプリケーション検査サーバ装置2の分類評価の処理フローを説明する。なお、以下に説明する処理フローは、制御部22で実行されるプログラムによって制御される。
複数のアプリケーションの分類評価を開始するように指示を受けると処理が開始し、検査対象のすべてのアプリケーションを実行する(ステップS1)。このとき、通信ログ取得手段221は、アプリケーションの通信ログを取得し、取得した通信ログを通信ログ213に保存する。また、動作ログ取得手段222は、アプリケーションの動作ログを取得し、取得した動作ログを動作ログ214に保存する。
次に、クラスタ作成手段223は、通信ログ213からHTTPパケットなどの通信パケットを抽出する(ステップS2)。そして、クラスタ作成手段223は、抽出した通信パケット毎にクラスタを割り当て、割り当てたクラスタをクラスタ215に保存する(ステップS3)。
クラスタ作成手段223は、クラスタ215に保存されているクラスタ数を確認し(ステップS4)、クラスタ215内のクラスタ数が1ならば(ステップS4−Yes)、ステップS8に進む。クラスタ215内のクラスタ数が1でなければ(ステップS4−No)、処理対象としてクラスタ215より任意のクラスタを1つ取り出す(ステップS5)。このとき、クラスタを取り出したことによりクラスタが1つ減るため、クラスタ数は−1されることになる。
次に、クラスタ作成手段223は、取り出した処理対象のクラスタと他のクラスタのクラスタ間距離を計算するようにクラスタ間距離計算手段224を呼び出す。クラスタ間距離計算手段224は、取り出した処理対象のクラスタとクラスタ215に保存されている他の全てのクラスタとの間でクラスタ間距離を計算する(ステップS6)。クラスタ間距離を得ると、クラスタ作成手段223は、取り出した処理対象のクラスタと最もクラスタ間の距離が近いクラスタを新しいクラスタとして1つのクラスタにまとめ、この新しいクラスタをクラスタ215および解析済みクラスタ216に格納し、ステップS4へ戻る(ステップS7)。このとき、ステップS5でクラスタ215から取り出した処理対象のクラスタと最もクラスタ間の距離が近いクラスタもクラスタ215から取り出されるため、1つにまとめられて作成された新しいクラスタをクラスタ215に格納しても、クラスタ215のクラスタ数は増減することはない。また、解析済みクラスタ216には、クラスタ216から取り出された2つのクラスタ(すなわち、処理対象としてステップS5で取り出されたクラスタと、処理対象のクラスタと最もクラスタ間の距離が近いクラスタとしてステップS7で取り出されたクラスタ)がまとめられてどのように新しい1つのクラスタとなったかが、階層的に記憶されることになる。
ステップS8では、解析済みクラスタ216に保存されたクラスタを複数アプリケーションの分類結果としてクラスタ分類結果217に保存して、処理を終了する。
これにより、複数のアプリケーションに対し、通信ログに基づいて送信先及び送信内容の類似度による分類を新たに行うことができる。
次に、図4を参照し、アプリケーションプログラム211に記憶された複数アプリケーションに更に新たにアプリケーションプログラムを加えて、分類評価を行う処理フローを説明する。新規アプリケーションの追加は、図3の処理において、クラスタリングを適用し分類済みのクラスタに対して、新規アプリケーションの通信ログのクラスタとの距離を計算し、新たな分類結果とすることを目的としている。そのため、分類済みのクラスタとして、解析済みクラスタ216に格納されているクラスタを利用して処理を行う。このとき、どの階層に追加したいかを予め指定して処理を開始する。
まず、新規アプリケーションを実行し、通信ログ取得手段221は、新規アプリケーションの通信ログを取得し通信ログ213に保存する(ステップS11)。そして、クラスタ作成手段223において、通信ログ213から通信パケットのうちHTTPパケットを取り出し(ステップS12)、取り出したHTTPパケット毎にクラスタを割り当て、クラスタ215に保存する(ステップS13)。
クラスタ作成手段223は、クラスタ215に保存されているクラスタ数を確認し(ステップS14)、クラスタ215内のクラスタ数が0ならば(ステップS14−Yes)、ステップS18へ進む。クラスタ215内のクラスタ数が0でなければ(ステップS14−No)、クラスタ215よりステップS13で追加した新規クラスタの中からまだ未処理クラスタとして残る任意のクラスタを1つ取り出す(ステップS15)。このとき、クラスタが1つ減り、クラスタ数は−1となる。
クラスタ間距離計算手段224は、ステップS15で取り出した処理対象のクラスタと解析済みクラスタ216に保存されている追加したいとして指定した階層の全てのクラスタとの間でクラスタ間距離を計算する(ステップS16)。
次に、クラスタ作成手段223は、処理対象のクラスタと最もクラスタ間の距離が近いクラスタを新しいクラスタとして1つのクラスタにまとめ、この新しいクラスタを解析済みクラスタ216に格納し、ステップS14へ戻る(ステップS17)。このとき、解析済みクラスタ216には、ステップS15で取り出されたクラスタがどこに追加されて1つのクラスタにまとめられたかが、階層的に記憶されることになる。
ステップS18では、解析済みクラスタ216に保存されている各層のクラスタから新しい分類結果を生成し、新たにクラスタ分類結果217に保存して、処理を終了する。このクラスタ分類結果217に保存された結果が、新規アプリケーションを追加した複数アプリケーションの分類結果となる。
これにより、既存の分類済みのクラスタに対し、新規のアプリケーションを追加しても分類結果を得ることができる。なお、図4の処理フローでは、追加したい階層のクラスタとのクラスタ間の距離からクラスタリングを行うことになるため、増えたアプリケーションも含めて図3の処理フローのように再度新しくクラスタリングし直す場合に比べ、分類結果の精度は劣ってしまう一方処理量は少なくて済むため、分類結果を早く得たいという場合に有効である。
次に、図5を参照し、分類結果から検査対象のアプリケーションに対する分類のみを抽出して結果出力する処理フローについて説明する。本処理は、図3及び図4において複数アプリケーションの分類結果が得られた後に、個々のアプリケーション評価も続いて行う場合、及び携帯端末5から利用予定のアプリケーションに対する個別の評価結果の問い合わせに応える場合等に実行される。
階層的クラスタリングの最下位のクラスタは、アプリケーション毎に区別することができる。従って、クラスタ抽出手段225が、クラスタ分類結果217に格納された分類結果において、アプリケーション毎に最下位のクラスタを抽出すると、当該アプリケーションにおける出現状況を把握できる。このとき、クラスタ分類結果では送信先が類似するアプリケーション群、送信内容が類似するアプリケーション群として分類結果が得られているので、異なるアプリケーション群に同じアプリケーションが出現する頻度を得られる。すべてのアプリケーションに対し、異なるアプリケーション群に属する頻度を求め、頻度の値でソートを行い、相対的に頻度が大きい、すなわち、異なるアプリケーション群を複数にまたがって属しているアプリケーションほど、グレーウェアらしく影響度が大きいといえる。
図5では、検査対象のアプリケーション及び評価値に使用する階層を指定して、検査の処理を開始する。まず、クラスタ抽出手段225は、最下位クラスタ数の値を0に初期化し、クラスタ分類結果217から複数アプリケーションの分類結果を読み出す(ステップS21)。次に、クラスタ抽出手段225は、読み出した分類結果の最下位クラスタの1つを処理対象として選択する(ステップS22)。
処理対象として選択した最下位クラスタが検査対象のアプリケーションのクラスタかを判定する(ステップS23)。検査対象のアプリケーションのクラスタであれば(ステップS23−Yes)、処理対象のクラスタを抽出し、最下位クラスタ数を+1としてカウントアップして計数し(ステップS24)、ステップS25へ進む。検査対象のアプリケーションのクラスタでなければ(ステップS23−No)、ステップS25へ進む。
ステップS25において、すべての最下位クラスタについて確認が終了したか否かを判定する。すべての最下位クラスタについて確認が終了していれば(ステップS25−Yes)、クラスタ抽出手段225は、検査対象アプリケーションの最下位クラスタの抽出と最下位クラスタ数の計数を完了する。そして、指定された上位階層でのクラスタの中から抽出した最下位クラスタが1つ以上含まれている上位階層のクラスタを抽出し、そのクラスタ数を共通クラスタ数として計数する(ステップS26)。一方、すべての最下位クラスタについて確認が終了していなければ(ステップS25−No)、ステップS22に戻り、検査対象アプリケーションの最下位クラスタの抽出と最下位クラスタ数の計数を継続する。
次に、評価手段226は、クラスタ抽出手段225が出力した最下位クラスタ数と共通クラスタ数を評価値として用いて、影響度合いの評価を行う(ステップS27)。このとき、最下位クラスタ数が多いほど、影響度合いを高く評価する。また、共通クラスタ数が多いほど、影響度合いを高く評価する。そして、結果出力手段227は、評価手段226が出力した影響度合いを検査対象のアプリケーションの評価結果として出力し(ステップS28)、処理を終了する。
グレーウェアなアプリケーションで、例えば、広告配信、利用統計を目的として端末情報の取得を行う場合は、携帯端末内の複数のアプリケーションが同一サーバと通信していることがあることから、他のアプリケーションとの類似性からアプリケーション群に分類し、その結果を用いてグレーウェアらしさを判断することができる。このように、複数のアプリケーションから得られる統計的な傾向を把握することで、これまで知られていなかった送信意図や用途を抽出し、改めてアプリケーション単体の評価に反映することが可能になる。
本発明は、上記実施の形態に限定されるものではなく、幾多の変更及び変形が可能である。例えば、ステップS2及びステップS12において通信ログ213から通信パケットのうちHTTPパケットを取り出す際に、動作ログ取得手段222が取得した動作ログ214もあわせて参照し、通信パケットにユーザの意図によるものか否かの情報を付加するようにしてもよい。このとき、付加されたユーザの意図によるものか否かの情報を用い、ユーザの意図による通信パケットと明らかであるHTTPパケットについては、ステップS3及びステップS13においてクラスタの割り当てをせず、分類評価の対象からはずしてもよい。また、目的が明らかでユーザの操作がなくてもユーザの意図による通信パケットの送信先となる送信先について予めホワイトリストとして情報を記憶しておき、ステップS2及びステップS12において、抽出する通信パケットの対象外としてもよい。これにより、処理対象のクラスタ数を減らすことができ、クラスタリング処理を効率よく行うことができると共に、評価値を構成する最下位クラスタ数も少なくすることができる。
1・・・アプリケーション検査システム
2・・・アプリケーション検査サーバ装置
21・・・記憶部
211・・・アプリケーションプログラム
212・・・固有情報
213・・・通信ログ
214・・・動作ログ
215・・・クラスタ
216・・・解析済みクラスタ
217・・・クラスタ分類結果
22・・・制御部
221・・・通信ログ取得手段
222・・・動作ログ取得手段
223・・・クラスタ作成手段
224・・・クラスタ間距離計算手段
225・・・クラスタ抽出手段
226・・・評価手段
227・・・結果出力手段
23・・・通信部
24・・・表示操作部
3・・・ネットワーク
4・・・外部サーバ
5・・・携帯端末
2・・・アプリケーション検査サーバ装置
21・・・記憶部
211・・・アプリケーションプログラム
212・・・固有情報
213・・・通信ログ
214・・・動作ログ
215・・・クラスタ
216・・・解析済みクラスタ
217・・・クラスタ分類結果
22・・・制御部
221・・・通信ログ取得手段
222・・・動作ログ取得手段
223・・・クラスタ作成手段
224・・・クラスタ間距離計算手段
225・・・クラスタ抽出手段
226・・・評価手段
227・・・結果出力手段
23・・・通信部
24・・・表示操作部
3・・・ネットワーク
4・・・外部サーバ
5・・・携帯端末
Claims (3)
- 複数のアプリケーションを実行した通信ログから抽出した通信パケットに対して送信先の類似度にて階層的クラスタリングにより作成された解析済クラスタを記憶している記憶部と、
検査対象アプリケーションを実行した通信ログから抽出した通信パケットそれぞれが割り当てられる前記解析済クラスタにおける最下位クラスタを抽出し、前記解析済クラスタの最上位と最下位の間の任意の階層のクラスタに前記最下位クラスタを1以上含んでいるクラスタの数を共通クラスタ数として計数し、当該共通クラスタ数を評価値とするクラスタ抽出手段と、
前記評価値が多いほど、当該アプリケーションの影響度合いが高いと評価する評価手段と、
前記評価結果を検査対象アプリケーションの評価結果として出力する結果出力部と、
を有することを特徴とするアプリケーション検査システム。
- 前記クラスタ抽出手段は、前記検査対象アプリケーションについて抽出した前記最下位クラスタの数を最下位クラスタ数として計数し前記評価値に加えることを特徴とする請求項1に記載のアプリケーション検査システム。
- 前記解析済クラスタは、更に通信パケットの送信内容の類似度を用いて階層的クラスタリングを行なって作成されたことを特徴とする請求項1又は請求項2に記載のアプリケーション検査システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012037805A JP5806630B2 (ja) | 2012-02-23 | 2012-02-23 | アプリケーション検査システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012037805A JP5806630B2 (ja) | 2012-02-23 | 2012-02-23 | アプリケーション検査システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013174959A true JP2013174959A (ja) | 2013-09-05 |
| JP5806630B2 JP5806630B2 (ja) | 2015-11-10 |
Family
ID=49267824
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012037805A Active JP5806630B2 (ja) | 2012-02-23 | 2012-02-23 | アプリケーション検査システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5806630B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017094377A1 (ja) * | 2015-11-30 | 2017-06-08 | 日本電信電話株式会社 | 分類方法、分類装置および分類プログラム |
| JP2019213183A (ja) * | 2018-05-30 | 2019-12-12 | パナソニック インテレクチュアル プロパティ コーポレーション オブアメリカPanasonic Intellectual Property Corporation of America | クラスタリング方法、分類方法、クラスタリング装置、及び、分類装置 |
-
2012
- 2012-02-23 JP JP2012037805A patent/JP5806630B2/ja active Active
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017094377A1 (ja) * | 2015-11-30 | 2017-06-08 | 日本電信電話株式会社 | 分類方法、分類装置および分類プログラム |
| JPWO2017094377A1 (ja) * | 2015-11-30 | 2018-03-29 | 日本電信電話株式会社 | 分類方法、分類装置および分類プログラム |
| US10970391B2 (en) | 2015-11-30 | 2021-04-06 | Nippon Telegraph And Telephone Corporation | Classification method, classification device, and classification program |
| JP2019213183A (ja) * | 2018-05-30 | 2019-12-12 | パナソニック インテレクチュアル プロパティ コーポレーション オブアメリカPanasonic Intellectual Property Corporation of America | クラスタリング方法、分類方法、クラスタリング装置、及び、分類装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5806630B2 (ja) | 2015-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6261665B2 (ja) | コミュニティ内の接続の決定 | |
| WO2020037918A1 (zh) | 基于预测模型的风险控制策略的确定方法及相关装置 | |
| US10033659B2 (en) | Reputation-based mediation of virtual control planes | |
| US9613341B2 (en) | Calculating trust score on web based platform | |
| CN105786993B (zh) | 应用程序的功能插件推荐方法及装置 | |
| CN104091276B (zh) | 在线分析点击流数据的方法和相关装置及*** | |
| US9894580B1 (en) | Access point selection | |
| US9882773B2 (en) | Virtual resource provider with virtual control planes | |
| WO2013097026A1 (en) | Systems and methods for visualizing social graphs | |
| US11153337B2 (en) | Methods and systems for improving beaconing detection algorithms | |
| US9553774B2 (en) | Cost tracking for virtual control planes | |
| US10313219B1 (en) | Predictive intelligent processor balancing in streaming mobile communication device data processing | |
| WO2020087758A1 (zh) | 异常流量数据识别方法、装置、计算机设备和存储介质 | |
| CN108985048B (zh) | 模拟器识别方法及相关装置 | |
| WO2020258102A1 (zh) | 内容推送方法、装置、移动终端及存储介质 | |
| JP2019191975A (ja) | 人材選定装置、人材選定システム、人材選定方法及びプログラム | |
| US11595265B2 (en) | Systems and methods for creating priority-based regulated network interlinks between electronic devices | |
| US10853130B1 (en) | Load balancing and conflict processing in workflow with task dependencies | |
| US10938783B2 (en) | Cluster-based determination of signatures for detection of anomalous data traffic | |
| US20150355927A1 (en) | Automatic virtual machine resizing to optimize resource availability | |
| JP5806630B2 (ja) | アプリケーション検査システム | |
| CN110460593B (zh) | 一种移动流量网关的网络地址识别方法、装置及介质 | |
| WO2017028744A1 (zh) | 一种用于确定待部署资源的方法和装置 | |
| US10484868B2 (en) | Configuring privacy policies by formulating questions and evaluating responses | |
| US20240098108A1 (en) | Evaluating network flow risks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150105 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150812 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150901 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150904 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5806630 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |