JP2020115328A - コンピュータシステムのオブジェクト分類のためのシステムおよび方法 - Google Patents
コンピュータシステムのオブジェクト分類のためのシステムおよび方法 Download PDFInfo
- Publication number
- JP2020115328A JP2020115328A JP2019227463A JP2019227463A JP2020115328A JP 2020115328 A JP2020115328 A JP 2020115328A JP 2019227463 A JP2019227463 A JP 2019227463A JP 2019227463 A JP2019227463 A JP 2019227463A JP 2020115328 A JP2020115328 A JP 2020115328A
- Authority
- JP
- Japan
- Prior art keywords
- file
- difference
- malicious
- similarity
- degree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 88
- 239000013598 vector Substances 0.000 claims abstract description 83
- 238000013480 data collection Methods 0.000 claims abstract description 15
- 230000006378 damage Effects 0.000 claims description 169
- 238000004458 analytical method Methods 0.000 claims description 99
- 230000008859 change Effects 0.000 claims description 41
- 230000003068 static effect Effects 0.000 claims description 15
- 238000001514 detection method Methods 0.000 description 165
- 230000006399 behavior Effects 0.000 description 126
- 230000009471 action Effects 0.000 description 94
- 230000006870 function Effects 0.000 description 76
- 230000000694 effects Effects 0.000 description 63
- 230000003542 behavioural effect Effects 0.000 description 43
- 238000010801 machine learning Methods 0.000 description 40
- 238000004364 calculation method Methods 0.000 description 37
- 238000003860 storage Methods 0.000 description 31
- 238000010586 diagram Methods 0.000 description 30
- 230000002155 anti-virotic effect Effects 0.000 description 22
- 230000015572 biosynthetic process Effects 0.000 description 22
- 238000012549 training Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 12
- 238000012360 testing method Methods 0.000 description 11
- 238000013459 approach Methods 0.000 description 10
- 230000000875 corresponding effect Effects 0.000 description 10
- 238000009826 distribution Methods 0.000 description 10
- 238000002360 preparation method Methods 0.000 description 10
- 238000003066 decision tree Methods 0.000 description 8
- 230000007423 decrease Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 6
- 238000013515 script Methods 0.000 description 6
- 238000013528 artificial neural network Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 5
- 239000008186 active pharmaceutical agent Substances 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000012937 correction Methods 0.000 description 4
- 238000007637 random forest analysis Methods 0.000 description 4
- 230000009467 reduction Effects 0.000 description 4
- 230000007261 regionalization Effects 0.000 description 4
- 238000012706 support-vector machine Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000001419 dependent effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 239000003990 capacitor Substances 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000002790 cross-validation Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000003292 diminished effect Effects 0.000 description 1
- 230000001667 episodic effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- RGNPBRKPHBKNKX-UHFFFAOYSA-N hexaflumuron Chemical compound C1=C(Cl)C(OC(F)(F)C(F)F)=C(Cl)C=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F RGNPBRKPHBKNKX-UHFFFAOYSA-N 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 239000000178 monomer Substances 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 238000000059 patterning Methods 0.000 description 1
- 239000002574 poison Substances 0.000 description 1
- 231100000614 poison Toxicity 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000011524 similarity measure Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
- G06F18/2148—Generating training patterns; Bootstrap methods, e.g. bagging or boosting characterised by the process organisation or structure, e.g. boosting cascade
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2413—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2413—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
- G06F18/24133—Distances to prototypes
- G06F18/24137—Distances to cluster centroïds
- G06F18/2414—Smoothing the distance, e.g. radial basis function networks [RBFN]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2413—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
- G06F18/24147—Distances to closest patterns, e.g. nearest neighbour classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2415—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/01—Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Medical Informatics (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Probability & Statistics with Applications (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
a)静的な分析−分析されるプログラムを構成するファイルに含まれるデータに基づいた、分析されるプログラムの実行またはエミュレーションを含む、有害性についてのプログラムの分析であり、それによって、統計的分析の間に以下を使用することが可能である:
b)シグネチャ分析−悪意のあるプログラムのシグネチャのデータベースから既知のコードシグネチャに対する、分析されるプログラムのコードの特定のセグメントの対応関係を探索すること;
c)ホワイトリストおよびブラックリスト−悪意のあるプログラムのチェックサムのデータベース(ブラックリスト)または安全なプログラムのチェックサムのデータベース(ホワイトリスト)における、分析されるプログラム(またはその一部)の算出されたチェックサムについての検索;
d)動的な分析:分析されるプログラムの実行またはエミュレーションの過程で得られるデータに基づく有害性についてのプログラムの分析であって、それによって、動的な分析の間に以下を使用することが可能である:
e)ヒューリスティックな分析−分析されるプログラムのエミュレーション、(API関数の呼び出しに関するデータ、送信されたパラメータ、分析されるプログラムのコードセグメント等を含む)エミュレーションログの作成、および、作成されたログのデータと悪意のあるプログラムの行動シグネチャのデータベースからのデータとの間の対応関係についての探索;
f)プロアクティブ保護−分析される起動されたプログラムのAPI関数の呼び出しのインターセプト、(API関数の呼び出しに関するデータ、送信されたパラメータ、および、分析されるプログラムのコードセグメントなどを含む)分析されるプログラムの行動のログの作成、および、作成されたログのデータと悪意のあるプログラムの呼び出しのデータベースからのデータとの間の対応関係についての検索。
・ファイルの学習用選択群を形成する所定の学習規則に従って、ファイルデータベース113から少なくとも一つのファイルを選択する。その後、検出モデル機械学習モジュール132が、選択されたファイルの分析に基づいて検出モデルのティーチングを実行する;
・選択されたファイルを行動ログ形成モジュール112に送る。
・アンチウィルスウェブクローラによって収集されたファイル;
・ユーザが送信してきたファイル;
・上述のファイルは、当該ファイルの有害性の判定を宣言するため、自動的ファイル分析手段を用いるなどして、アンチウィルス専門家により分析される。
・ファイルデータベース113から選択された安全なファイルと悪意のあるファイルとの間の分布が、平均的なユーザのコンピューティングデバイス上に位置する安全なファイルと悪意のあるファイルとの間の分布に対応すること;
・ファイルデータベース113から選択された安全なファイルと悪意のあるファイルとの間の分布が、アンチウィルスウェブクローラによって収集された安全なファイルと悪意のあるファイルとの間の分布に対応すること;
・ファイルデータベース113から選択されたファイルのパラメータが、平均的なユーザのコンピューティングデバイス上に位置するファイルのパラメータに対応すること;
・選択されたファイルの数が所定の値に対応し、ファイル自体はランダムに選択されること。
・ファイルが安全であるか、悪意があるか、潜在的に危険であるか、を特徴づけるファイルの有害性、または、ファイル実行が決定されていないときのコンピュータシステムの行動など;
・ファイルの実行中にコンピューティングデバイスによって実行されるコマンドの数;
・ファイルのサイズ;
・ファイルを利用するアプリケーション。
・ファイルのテスト用選択群を形成するための所定の規則に従って、ファイルデータベース113から少なくとも一つの他のファイルを選択する。その後、検出モデル機械学習モジュール132が、選択されたファイルの分析に基づいて、訓練済み検出モデルの検証を実行する;
・選択されたファイルを行動ログ形成モジュール112に送る。
・少なくとも以下の間に、少なくとも一つの実行可能コマンドをインターセプトする:
−受信されたファイルの実行、
−受信されたファイルの実行のエミュレーションであって、ファイルの実行のエミュレーションは当該ファイルを開くこと(たとえば、インタプリタによるスクリプトの開放)を含む;
・インターセプトされた各コマンドについて、当該コマンドを記述する少なくとも一つのパラメータを決定する;
・インターセプトされたコマンドと上記のように決定されたパラメータとに基づいて、取得されたファイルの行動ログ115を形成する。行動ログは、ファイルからインターセプトされたコマンドの全体(以下、コマンド)を構成し、各コマンドは、上記のように決定され、そのコマンドを記述する少なくとも一つのパラメータ(以下、パラメータ)に対応する。
・CreateFile、'c:\windows\system32\data.pass'
・ReadFile、0x14ea25f7、0xf000
・connect, http://stealpass.com
・send、0x14ea25f7、0xf000
・システム100の一変形態様では、ファイルからのコマンドのインターセプトは少なくとも以下によって実行される:
・専用ドライバ;
・デバッガ;
・ハイパーバイザ。
・API関数;
・所定のアクション(マクロコマンド)セットを記述するマシン命令のセット。
・たとえば、悪意のあるプログラムは、所定のファイルの検索を実行してその属性を変更することが非常に多く、そのために、悪意のあるプログラムは、次のようなコマンドのシーケンスを使用する:
・FindFirstFile、'c:\windows\system32\*.pass'、0x40afb86a
・SetFileAttributes、'c:\windows\system32\data.pass'
・FindNextFile、0x40afb86a
・CloseHandle、0x40afb86a
・これは、単一のコマンドのみによっても記述することができる。
・_change_attributes、'c:\windows\system32\*.pass'
・行動ログから選択されたコマンドとパラメータとに基づいて、少なくとも一つの行動パターンを形成する。行動ログは、ファイルからの実行可能コマンドの全体(以下、コマンド)を構成し、各コマンドは、そのコマンドを記述する少なくとも一つのパラメータ(以下、パラメータ)に対応し、行動パターンは、少なくとも一つのコマンドとパラメータのセットであり、当該パラメータはそのセットのコマンドすべてを記述する(以下、行動パターンの要素);
・上記のように形成された行動パターンをコンボリューション関数形成モジュール122に送る;
・ {c1,p1,p2,p3}
・ {c2,p1,p4}
・ {c3,p5}
・ {c2,p5}
・ {c1,p5,p6}
・ {c3,p2}
・ {c1,p1},{c1,p2},{c1,p3},{c1,p5},{c1,p6}
・ {c2,p1},{c2,p4},{c2,p5}
・ {c3,p2},{c3,p5}
次に、上述のように形成されたパターンに基づいて、さらに、一つのパラメータと、そのパラメータによって記述することができるすべてのコマンドとを含む行動パターンが形成される:
・ {c1,c2,p1}
・ {c1,c3,p2}
・ {c1,c2,c3,p5}
・ {c1,c2,p1,p5}
・i番目ごとに続くコマンドと、それを記述するパラメータ。増分「i」は事前に指定する;
・前に選択されたコマンドから所定の期間(たとえば、10秒毎)後に実行されるコマンドと、それらを記述するパラメータ;
・ファイルの実行開始から所定の時間間隔で実行されるコマンドと、それらを記述するパラメータ;
・所定のリストのコマンドと、それらを記述するパラメータ;
・所定のリストのパラメータと、それらのパラメータによって記述されるコマンド;
・コマンドパラメータの数が所定の閾値よりも大きい場合、コマンドの最初のパラメータまたはランダムなk個のパラメータ。
・行動パターンの要素を数値として表現できる場合は、「数値範囲」。
・たとえば、connectコマンドのパラメータporthtml=80を構成する行動パターンの要素については、当該行動パターンの当該要素のタイプは、「0x0000から0xFFFFの間の数値」でありうる。
・行動パターンの要素を文字列で表現できる場合は、「文字列」。
・たとえば、connectコマンドを構成する行動パターンの要素については、当該行動パターンの当該要素のタイプは、「長さが32文字未満の文字列」でありうる。
・行動パターンの要素を所定のデータ構造によって記述可能なデータの形で表現できる場合は、当該行動パターンの当該要素のタイプは、「データ構造」でありうる。
・たとえば、find_recordコマンドのパラメータsrc=0x336b9a480d490982cdd93e2e49fdeca7を構成する行動パターンの要素については、当該行動パターンの当該要素のタイプは「データ構造MD5」でありうる。
・語彙素形成のための所定の規則;
・以前に訓練済みの回帰型ニューラルネットワーク。
・文字列にファイルへのパスが含まれている場合は、ファイルが置かれているフォルダを決定する;
・文字列にファイルへのパスが含まれている場合は、ファイル拡張子を決定する;
という語彙素形成の規則に基づき、
・ファイルへのパス;
・ファイルが置かれているフォルダ;
・ファイル名
・ファイルの拡張子;
であり、
・「ファイルへのパス」→
・'c:\'
・「ファイルが置かれているフォルダ」→
・'windows'
・'system32'
・'windows\system32'
・「ファイルの拡張子」→
・'.pass'
という語彙素形成の規則に基づき、
・'81.19.*.*'
・23, 16, 7224, 6125152186, 512, 2662162, 363627632, 737382, 52, 2625, 3732, 812, 3671, 80, 3200
のトークンが形成される:
・0から999まで
→{16, 23, 52, 80, 512, 812}
・1000から9999まで
→{2625、3200、3671、7224}
・10000以上
→{737382, 2662162, 363627632, 6125152186}
・ →
C:\
*.sys
・得られた行動パターンに対して実行されたコンボリューション関数の結果の逆コンボリューション関数が、得られた行動パターンに対して、指定された値を超える類似度を有するように、行動パターンからコンボリューション関数を形成する。すなわち:
riは行動パターンであり、
gはコンボリューション関数であり、
g-1は逆コンボリューション関数である。
・上記のように形成されたコンボリューション関数を検出モデル機械学習モジュール132に送る。
・得られた行動パターンに基づいて行動パターンの特徴ベクトルを算出する。行動パターンの特徴ベクトルは、行動パターンの要素のハッシュ和の和として表されてもよい。および/または、
・行動パターンの特徴ベクトルからコンボリューション関数を形成する。ここで、コンボリューション関数は、算出された特徴ベクトルと、算出された特徴ベクトルのハッシュ関数の結果の逆ハッシュ関数の結果と、の類似度が所定の値よりも大きくなるようにハッシュ関数を構成する。
・最初に、100,000の要素からなる空のビットベクトルが生成される(ここで、情報1ビットは、ベクトルの各要素に対して予約される);
・行動パターンrから1,000の要素を、コマンドに関するデータを格納するために確保し、残りの99,000の要素を、行動パターンrのパラメータciのために確保する。50,000の要素(要素10001から要素51000)は、文字列パラメータのために確保され、25,000の要素(要素51001から要素76000)は、数値パラメータのために確保される;
・行動パターンrの各コマンドciは、0から999までの特定の数値xiと照合され、上記のように作成されたベクトルに対応するビットが設定される。
・ v[xi]=true
・行動パターンrの各パラメータpiについて、次式によりハッシュ和が算出される。
文字列の場合: yi=1001+crc32(pi)(mod50000)
数値の場合: yi=51001+crc32(pi)(mo25000)
それ以外の場合: yi=76001+crc32(pi)(mod24000)
・算出されたハッシュ和に依存して、生成されたベクトルv[yi]=trueに対応するビットが設定される。
・まず、さらに(前の例とは異なる)別の空のビットベクトルが作成される。このビットベクトルは1,000個の要素から構成される(ここで、情報1ビットはベクトルの各要素に対して予約される);
・行動パターンrの各パターン要素riに対するハッシュ和を、次式により算出する:
・まず、さらに、100,000の要素からなる(前述の例とは異なる)空ベクトルを作成する;
・次式により、ハッシュ関数{hj}の集合を用いて、行動パターンrの各パターン要素riについて少なくとも二つのハッシュ和を算出する:
xij=hj(ri)
・ここで、
hj(ri)=crc32(ri)
hj(0)=constj
であり、
・算出されたハッシュ和に応じて、生成されたベクトルv[xij]=trueに対応する要素が設定される。
・{gi}は、行動パターンの要素のハッシュ関数の結果の逆ハッシュ関数の結果の集合であり、
・riは、行動パターンのi番目の要素であり、
・hは、ハッシュ関数であり、
・wは、類似度である。
・少なくとも以下を含む悪意のあるファイルの検出モデルを作成する:
(1)検出モデルの機械学習のための方法の選択;
・ティーチングモデルのパラメータの初期化。検出モデルの機械学習の開始前に初期化されたティーチングモデルのパラメータは、ハイパーパラメータとして知られている;
・訓練選択準備モジュール111によって選択されたファイルのパラメータに依存して;
・上記のようにして作成されたティーチングモデルを検出モデル機械学習モジュール132に送る。
・交差テスト、スライディングチェック、交差検証(CV);
・基準AIC、BIC等の数学的検証;
・A/Bテスト、スプリットテスト;
・スタッキング。
・決定木ベースの勾配ブースティング;
・決定木法;
・K最近傍(kNN)法;
・サポートベクトルマシン(SVM)法。
・テスト選択されたファイルに含まれるファイルの有害性の決定の正確性を判定するため、テスト選択されたファイルに含まれるファイルの分析に基づいて形成され取得された行動ログに対して訓練済み検出モデルのチェック(たとえば検証)をおこなう;
・チェック結果が否定的な場合は、以下のうち一つ以上に要求を送信する:
−訓練選択準備モジュール111。検出モデルのティーチングに使用された現在の選択ファイルとは異なる選択ファイルを準備させる。
−検出モデル作成モジュール131。現在の検出モデルとは異なる新しい検出モデルを作成させる。
・行動ログ形成モジュール112から取得された行動ログと、検出モデル機械学習モジュール132から取得された検出モデルとに基づいて、有害性の程度を算出し、ファイルの有害性の程度は、実行可能なファイルの悪意のある行動を記述する定量的な特徴である(たとえば、0から1の範囲。0のファイルは安全な行動のみし、1のファイルは所定の悪意のある行動をする。)、および/または
・リソース割り当てを決定するため、算出された有害性の程度を送信する。
・フリーRAMの容量;
・ハードディスク上の空き容量、および/または
・(たとえば、より深いエミュレーションで)アンチウィルススキャンに費やすことができる空きプロセッサ時間(プロセッサ時間の割当)。
・有害性の程度の値が増加した場合には、コンピュータシステムの追加リソースを割り当てること、および/または
・有害性の程度の値が減少した場合には、コンピュータシステムの以前に割り当てられたリソースを解放すること。
・少なくとも以下の間、少なくとも一つのコマンドをインターセプトする:
・ステップ211で選択されたファイルの実行中、
・ステップ211で選択されたファイルの作業のエミュレーション中;
・インターセプトされたコマンド各々について、そのコマンドを記述する少なくとも一つのパラメータを決定する;
・インターセプトされたコマンドおよび決定されたパラメータに基づいて、取得されたファイルの行動ログを形成する。行動ログは、ファイルからインターセプトされたコマンド(以下、コマンド)のセットを表し、各コマンドは、そのコマンドを記述する少なくとも一つの定義されたパラメータ(以下、パラメータ)に対応する。
・検出モデルの機械学習の方法の選択;
・ティーチングモデルのパラメータの初期化。検出モデルの機械学習の開始前に初期化されたティーチングモデルのパラメータは、ハイパーパラメータとして知られている;
・ステップ211で選択されたファイルのパラメータへの依存。
・コンピュータシステム内で実行されているファイルによって実行されている少なくとも一つのコマンドをインターセプトする;
・インターセプトされたコマンドに基づいてシステムの行動ログを形成する。
・CreateFile 0x24e0da54 '.dat'
・{c1, p1, p2}
・ReadFile 0x24e0da54 '.dat'
・{c2, p1, p2}
・DeleteFile 0x24e0da54 '.dat' 'c:\'
・{c3, p1, p2, p3}
・CreateFile 0x708a0b32 '.dat' 0x3be06520
・{c1, p2, p3, p5}
・WriteFile 0x708a0b32
・{c4, p3}
・WriteFile 0x708a0b32 0x3be06520 0x9902a18d1718b5124728f9 0
・{c4, p3, p5, p6, p7}
・CopyMemory 0x3be06520 0x9902a18d1718b5124728f9
・{c5, p4, p5, p6}
・ReadFile 0x9902a18d1718b5124728f9 0
・{c2, p6, p7}
・少なくとも1つのコマンドを、少なくとも以下の期間中にインターセプトする:
a) ファイル501の実行中、および/または
b) ファイル501の実行のエミュレーション中;
・インターセプトされた各コマンドについて、そのコマンドを記述する少なくとも1つのパラメータを決定する;
・インターセプトされたコマンドおよび決定されたパラメータに基づいて、そのファイルの行動ログを形成し、インターセプトされたコマンドおよびそれらを記述するパラメータは、最も早いインターセプトされたコマンドから最も最近のインターセプトされたコマンドまでの時系列順に行動ログに記録される(以下、行動ログへの書き込み);
・定式化された行動ログを行動ログ分析モジュール530および検出モデル選択モジュール520に送る。
・次のコマンドがインターセプトされる時点まで、実行中のファイル501の有害性について分析することが可能か否かについての決定(分析行動ログ分析モジュール530、有害性モジュール540、および分析モジュール550の助けを借りて実行される);
・実行中のファイル501の有害性についての分析は、そのコンピューティングデバイスのコンピューティングリソースの所定の閾値未満の低下をもたらすかどうかに関する決定。コンピューティングデバイスのリソースは、少なくとも以下である。
−そのコンピューティングデバイスの性能
−そのコンピューティングデバイスのRAMの空き容量
−そのコンピューティングデバイスの情報記憶媒体上の空き空間のボリューム(ハードディスクなど);
−そのコンピューティングデバイスが接続されているコンピュータネットワークの帯域幅。
・検出モデルデータベース521から、実行中のファイル501の行動ログから選択されたコマンドおよびパラメータに基づき、悪意のあるファイルの検出の少なくとも2つのモデルを選択する。悪意のあるファイルの検出のモデルは、有害性の程度を決定するための決定規則である。
・悪意のあるファイルの検出のモデルのうち選択されたモデルをすべて、有害性モジュール540に送る。
・決定木ベースの勾配ブースティング
・決定木法
・K最近傍(kNN)法
・サポートベクトルマシン(SVM)法
・GUI(グラフィカルユーザインタフェース)を有する
・コンピュータネットワークにおいてデータ交換する
・ファイルを暗号化する(「トロイの木馬暗号」ファミリーの悪意のあるファイルなど)
・ネットワークの脆弱性を利用して伝播する(「Net-Worms」ファミリーの悪意のあるファイルなど)、P2Pネットワーク(「P2P-Worms」ファミリーの悪意のあるファイルなど)等
・ wtotalは有害性の程度の要約であり、
・ wiはモデルiを使用して算出された有害性の程度であり、
・ nは、有害性の程度の要約を算出するために使用された悪意のあるファイルの検出モデルの数である。
・ Idetectは、ファイルが悪意のあるものと認識されるようになるまでに分析される行動ログからのコマンド数であり、
・ Iiは、モデルiを用いた分析によりファイルが悪意あるものと認識されるまでに分析される行動ログからのコマンド数であり、
・ wiは、モデルiを用いて算出された有害性の程度であり、
・ nは、ファイルが悪意あるものと認識されるようになるまでに分析される行動ログからのコマンド数を算出するために使用した、悪意のあるファイルの検出モデルの数である。
・実行中のファイル501の行動ログから選択されたコマンドと同じコマンドの実行
・実行中のファイル501の行動ログから選択されたパラメータと同じパラメータの使用。
・実行中のファイル501の動作ログから選択されたコマンドおよびパラメータに基づいて少なくとも1つの行動パターンを形成し、行動パターンは、少なくとも1つのコマンドおよびそのセットからのすべてのコマンドを記述するパラメータのセットである。
・形成された全ての行動パターンのコンボリューションを算出する。
・形成されたコンボリューションを、実行中のファイルの有害性モジュール540に送る。
・得られた悪意のあるファイルの検出モデル各々を用いた、得られたコンボリューションの分析に基づいて、実行中のファイル501の有害性の程度を算出する。
・算出された有害性の程度を分析モジュール550に送る。
・得られた有害性の程度に基づいて決定テンプレートを作成する。
・形成された決定テンプレートと、悪意のあるファイルの分析に基づいて以前に形成された、決定テンプレートデータベース541中の所定の決定テンプレートのうちの少なくとも1つと、の間の類似度が所定の閾値よりも大きい場合、実行中のファイル501は悪意のあるものと認識する。
・分析中のファイル501を実行する。
・分析中のファイル501の実行をエミュレートする。
・実行されている少なくとも1つのコマンドがインターセプトされる。
・インターセプトされた各コマンドに対して、そのコマンドを記述する少なくとも1つのパラメータが決定される。
・そのファイル501の行動ログは、インターセプトされたコマンドおよびそのように決定されたパラメータに基づいて形成される。
・実行中のファイル501に含まれるコマンド、またはファイル501の実行プロセスで解釈可能なコマンド、それらのコマンドに送信された属性、および返された値;
・ファイル501の実行中に変更することができるRAMの領域上のデータ;
・ファイル501の静的パラメータ。
・(たとえば、ファジーハッシュの使用による)それらのメモリ領域のコンボリューション;
・それらのメモリ領域の語彙分析の結果。この結果に基づいて、そのメモリ領域から語彙素が抽出され、それらの使用時に統計(たとえば、使用頻度、重み付け特性、他の語彙素との関係など)が収集される;
・サイズ、所有者(処理)、使用権などのメモリ領域の静的パラメータ。
・分析中のファイル501によって実行されたコマンドのログ;
・オペレーティングシステムによって実行されるコマンドまたはオペレーティングシステムの制御下で実行されるアプリケーションのログ(分析中のファイル501を除く);
・コンピュータネットワークを介して取得されたデータ。
・所与のチャネルが連続的な情報(たとえば、アンパックされた実行可能ファイルのログまたはシーケンス)の取得に関与する場合、入力シーケンスの特徴を単一のベクトルとして集約するためのシステムが追加的に作成される;
・システムは、所与のチャネルからの特徴を、長さKの新しいベクトルに変換するために作成される。このベクトルの値は、入力シーケンスの新しい要素が処理されるにつれて単調に増加するだけである。
・全てのアクティブチャネルから到着する、長さKのベクトルは、固定長の1つのベクトルに単調に集約され(たとえば、最大値が要素ごとにとられる)、及び/又は
・集約された単調に増加するベクトルは1つの実数に変換され、検査されているプロセスの疑わしさを特徴付ける(たとえば、ベクトルは、そのベクトルの要素の追加によって、又はそのベクトルのノルムの算出のような所定のアルゴリズムによってベクトルの要素に対してアクションを実行することによって変換される)。
・決定木ベースの勾配ブースティング;
・決定木法;
・K最近傍(kNN)法;
・サポートベクトルマシン(SVM)法。
ω=ω0+ω(t)
φ=φ0+φ(t)
・ω,φはそれぞれ、有害性の程度と安全性の限界度であり、
・ω0,φ0は、ファイル501の実行パラメータに依存しないが、外部条件(オペレーティングシステムの作業パラメータなど)に依存する有害性の程度と安全性の限界度の開始値であり、
・ω(t),φ(t)はそれぞれ、有害性の程度と安全性の限界度を算出するために使用される時間則である。
ω(tn)=ω(t,φ(tn-1))
φ(tn)=φ(t,ω(tn-1))
tn=τ(tn-1)
tn=τ(tn-1, ω(tn-1), φ(tn-1))
・有害性の程度と有害性の境界条件との間の距離の所定の閾値からの差分;
・有害性の程度および安全性の限界度を記述する曲線間の所与の時間間隔により境界付けられた領域の所定の閾値からの差分;
・有害性の程度および有害性の境界条件の変化を時間の関数として記述する曲線の相互増加率の所定の閾値からの差分。
・パラメータの算出に訓練されていないモデルを使用する場合よりも、有害性の程度および安全性の限界度の決定精度が高いこと。
・コンピューティングリソースの使用率は、訓練されていないモデルを使用してパラメータを算出する場合よりも低くなること。
・パーソナルコンピュータ、
・ノートパソコン、
・タブレット、
・スマートフォン、
・コントローラ、
・サーバ、
・データ記憶手段。
・ファイル、
・プロセス、
・スレッド、
・同期オブジェクト、
・アプリケーション、
・アーカイブ(他のファイルを含むファイル)、
・データベースレコード。
・オブジェクト1001を特定するデータ(ファイル名またはファイルから算出されたハッシュなど)、
・そのオブジェクト1001と他のオブジェクト1001との間の論理的および機能的関係を記述するデータ(たとえば、どのファイルがアーカイブに含まれているか、どのスレッドがそれに関連して生成されているかなど)、
・そのオブジェクト1001と他のオブジェクト1001との差異を記述するデータ(ファイルサイズ、実行可能ファイルの種類、オブジェクトの使用方法など)、
・オブジェクト1001の種類。
・他のオブジェクトから当該オブジェクト1001を明確に特定する
・同一または類似のパラメータまたは属性を有するオブジェクト1001のグループを明確に特定する
・オブジェクト1001を、所与の類似度を有する他のオブジェクトと区別する。
・オブジェクト1001の異なる状態間の時間間隔が所与の値を満たす。
・オブジェクト1001の状態を記述するパラメータの変化の間隔が、所与の値を満たす。
・オブジェクト1001の状態の変化をもたらすコンピュータシステムのパラメータの変化の間隔が、所与の値を満たす。
・所与のタイプのもの(たとえば、ハッシュ和は、オブジェクト1001に関連するイベントを特徴付けるデータからのみ算出される)。
・所与の値の範囲のもの(たとえば、ハッシュ和は4096kBから10240kBの間のサイズのファイルからのみ算出される)。
・決定木ベースの勾配ブースティング
・決定木法
・K最近傍(kNN)法
・サポートベクトルマシン(SVM)法
・コンピュータシステムのオブジェクトの安全性
・コンピュータシステムの悪意のあるオブジェクト
・コンピュータシステムの疑わしいオブジェクト
・コンピュータシステムの安全なオブジェクト
・コンピュータシステムのオブジェクトの使用優先度(すなわち、コンピュータシステムのどのオブジェクトがより早く使用されるべきか、およびどのくらい早く使用されるべきか、またはメモリなどのどのコンピューティングリソースがコンピュータシステムのどのオブジェクトに割り振られるべきか)
・コンピュータシステムのオブジェクトのパフォーマンス
・コンピュータシステムによってオブジェクト1001に対し実行されているアクション
・コンピュータシステム上のオブジェクト1001によって実行されているアクション
・その変化がオブジェクト1001の状態の変化をもたらすコンピュータシステムのパラメータ
・オブジェクト1001の静的パラメータ(アーカイブに保存されているファイルのサイズや実行ファイルの名前など、オブジェクト1001の状態が変化しても変化しないオブジェクト1001のパラメータ)
・オブジェクト1001を作成する瞬間に
・オブジェクト1001の状態の第1の変化の瞬間に
・オブジェクト1001の静的パラメータの分析に基づいて
・Hirchbergアルゴリズムを使用して
・Damerau-Levenshtein距離によって
・Jensen-Shannon距離によって
・ハミング距離によって
・Jaro-Winkler類似性アルゴリズムを使用して
・類似度と差分の限界度との距離の、所定の閾値との差分
・類似度と差分の限界度との間の所与の時間間隔で境界を定められた領域の、所定の閾値からの差分
・有害性の程度および差分の限界度の変化を記述する曲線の相互成長率の、所定の閾値からの差分
Claims (20)
- コンピュータシステム上の悪意のあるオブジェクトを検出する方法であって、
コンピュータシステムのオブジェクトの状態を記述するデータを収集し、
前記オブジェクトの状態を特徴付ける特徴のベクトルを形成し、
形成された特徴のベクトルに基づいて類似度を算出し、当該類似度は、分類されるオブジェクトが所与のクラスに属し得る確率を特徴付ける数値であり、
当該分類されるオブジェクトが確実に他のクラスに属する確率を特徴付ける数値である差分の限界度を算出し、
前記類似度と前記差分の限界度とに基づいて、当該オブジェクトのクラスを決定するための尺度を形成し、
前記データが前記尺度を満たす場合、当該オブジェクトは決定されたクラスに属すると決定し、前記データはデータ収集規則により定義される時間期間にわたり収集され、
前記オブジェクトが指定されたクラスに属すると決定された場合、当該オブジェクトは悪意のあるものであると宣言する、
ことを含む方法。 - 前記尺度は、前記類似度と前記差分の限界度との間の確立された相関によって前記オブジェクトを分類するための規則である、請求項1に記載の方法。
- 前記類似度と前記差分の限界度との間の相関は、前記類似度と前記差分の限界度との間の距離と所定の閾値との差分、前記類似度と前記差分の限界度との間の所与の時間間隔内に境界付けられた領域と所定の閾値との差分、有害性の程度と前記差分の限界度の変化を記述する曲線の相互成長率と所定値との差分のうち1つまたは複数である、請求項2に記載の方法。
- 前記特徴のベクトルは、一組の数の形でまとめられた、収集されたデータのコンボリューションである、請求項1に記載の方法。
- 前記データ収集規則は、前記オブジェクトの異なる状態間の時間間隔が所定の値を満足することと、前記オブジェクトの状態の変化をもたらす前記コンピュータシステムのパラメータの変化が所定の値を満足することと、のうちの1つである、請求項1に記載の方法。
- 前記算出される前記差分の限界度は前記類似度に依存し、前記差分の限界度は、前記オブジェクトを作成する瞬間において、前記オブジェクトの状態の第1の変化の瞬間において、及び、前記オブジェクトの静的パラメータの分析に基づいて、のうちの1つにおいて算出される、請求項1に記載の方法。
- 前記データ収集規則によって定義される期間中に、少なくとも2つの類似度および差分の限界度が算出されている場合、連続して算出された類似度および差分の限界度の組は、所定の時間則によって記述される、請求項1に記載の方法。
- 前記連続して算出された類似度および前記連続して算出された差分の限界度を記述する前記時間則は、単調である、請求項7に記載の方法。
- コンピュータシステム上の悪意のあるオブジェクトを検出するためのシステムであって
コンピュータシステムのオブジェクトの状態を記述するデータを収集し、
前記オブジェクトの状態を特徴付ける特徴のベクトルを形成し、
形成された特徴のベクトルに基づいて類似度を算出し、当該類似度は、分類されるオブジェクトが所与のクラスに属し得る確率を特徴付ける数値であり、
当該分類されるオブジェクトが確実に他のクラスに属する確率を特徴付ける数値である差分の限界度を算出し、
前記類似度と前記差分の限界度とに基づいて、当該オブジェクトのクラスを決定するための尺度を形成し、
前記データが前記尺度を満たす場合、当該オブジェクトは決定されたクラスに属すると決定し、前記データはデータ収集規則により定義される時間期間にわたって収集され、
前記オブジェクトが指定されたクラスに属すると決定された場合、当該オブジェクトは悪意のあるものであると宣言する、
ように構成されたハードウェアプロセッサを備える、システム。 - 前記尺度は、前記類似度と前記差分の限界度との間の確立された相関によって前記オブジェクトを分類するための規則である、請求項9に記載のシステム。
- 前記類似度と前記差分の限界度との間の相関は、前記類似度と前記差分の限界度との間の距離と所定の閾値との差分、前記類似度と前記差分の限界度との間の所与の時間間隔内に境界付けられた領域と所定の閾値との差分、有害性の程度と前記差分の限界度の変化を記述する曲線の相互成長率と所定値との差分のうちの1つまたは複数である、請求項10に記載のシステム。
- 前記特徴のベクトルは、一組の数の形でまとめられた、収集されたデータのコンボリューションである、請求項9に記載のシステム。
- 前記データ収集規則は、前記オブジェクトの異なる状態間の時間間隔が所定の値を満足することと、前記オブジェクトの状態の変化をもたらす前記コンピュータシステムのパラメータの変化が所定の値を満足することと、のうちの1つである、請求項9に記載のシステム。
- 前記算出される前記差分の限界度は前記類似度に依存し、前記差分の限界度は、前記オブジェクトを作成する瞬間において、前記オブジェクトの状態の第1の変化の瞬間において、及び、前記オブジェクトの静的パラメータの分析に基づいて、のうちの1つにおいて算出される、請求項9に記載のシステム。
- 前記データ収集規則によって定義される期間中に、少なくとも2つの類似度および差分の限界度が算出されている場合、連続して算出された類似度および差分の限界度の組は、所定の時間則によって記述される、請求項9に記載のシステム。
- 前記連続して算出された類似度および前記連続して算出された差分の限界度を記述する前記時間則は、単調である、請求項15に記載のシステム。
- コンピュータシステム上の悪意のあるオブジェクトを検出するための命令を記憶する非一時的なコンピュータ可読媒体であって、前記命令は、
コンピュータシステムのオブジェクトの状態を記述するデータを収集し、
前記オブジェクトの状態を特徴付ける特徴のベクトルを形成し、
形成された特徴のベクトルに基づいて類似度を算出し、当該類似度は、分類されるオブジェクトが所与のクラスに属し得る確率を特徴付ける数値であり、
当該分類されるオブジェクトが確実に他のクラスに属する確率を特徴付ける数値である差分の限界度を算出し、
前記類似度と前記差分の限界度とに基づいて、当該オブジェクトのクラスを決定するための尺度を形成し、
前記データが前記尺度を満たす場合、当該オブジェクトは決定されたクラスに属すると決定し、前記データはデータ収集規則により定義される時間期間にわたり収集され、
前記オブジェクトが指定されたクラスに属すると決定された場合、当該オブジェクトは、悪意のあるものであると宣言する
ことを含むコンピュータ可読媒体。 - 前記尺度は、前記類似度と前記差分の限界度との間の確立された相関によって前記オブジェクトを分類するための規則である、請求項17に記載の媒体。
- 前記類似度と前記差分の限界度との間の相関は、前記類似度と前記差分の限界度との間の距離と所定の閾値との差分、前記類似度と前記差分の限界度との間の所与の時間間隔内に境界付けられた領域と所定の閾値との差分と、有害性の程度と前記差分の限界度の変化を記述する曲線の相互成長率と所定値との差分のうちの1つまたは複数であることを特徴とする、請求項18に記載の媒体。
- 前記特徴のベクトルは、一組の数の形でまとめられた、収集されたデータのコンボリューションである、請求項17に記載の媒体。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2018147230 | 2018-12-28 | ||
RU2018147230A RU2724710C1 (ru) | 2018-12-28 | 2018-12-28 | Система и способ классификации объектов вычислительной системы |
US16/452,734 | 2019-06-26 | ||
US16/452,734 US11188649B2 (en) | 2018-12-28 | 2019-06-26 | System and method for classification of objects of a computer system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020115328A true JP2020115328A (ja) | 2020-07-30 |
JP7405596B2 JP7405596B2 (ja) | 2023-12-26 |
Family
ID=71122200
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019227463A Active JP7405596B2 (ja) | 2018-12-28 | 2019-12-17 | コンピュータシステムのオブジェクト分類のためのシステムおよび方法 |
Country Status (4)
Country | Link |
---|---|
US (2) | US11188649B2 (ja) |
JP (1) | JP7405596B2 (ja) |
CN (1) | CN111382430B (ja) |
RU (1) | RU2724710C1 (ja) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11436537B2 (en) | 2018-03-09 | 2022-09-06 | Raytheon Company | Machine learning technique selection and improvement |
US11340603B2 (en) * | 2019-04-11 | 2022-05-24 | Raytheon Company | Behavior monitoring using convolutional data modeling |
US11321462B2 (en) | 2018-04-10 | 2022-05-03 | Raytheon Company | Device behavior anomaly detection |
US11507847B2 (en) | 2019-07-25 | 2022-11-22 | Raytheon Company | Gene expression programming |
WO2019199769A1 (en) | 2018-04-10 | 2019-10-17 | Raytheon Company | Cyber chaff using spatial voting |
RU2739865C2 (ru) * | 2018-12-28 | 2020-12-29 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносного файла |
US11200318B2 (en) * | 2018-12-28 | 2021-12-14 | Mcafee, Llc | Methods and apparatus to detect adversarial malware |
US11341235B2 (en) | 2019-02-21 | 2022-05-24 | Raytheon Company | Anomaly detection with adaptive auto grouping |
US20210200955A1 (en) * | 2019-12-31 | 2021-07-01 | Paypal, Inc. | Sentiment analysis for fraud detection |
US11886586B1 (en) * | 2020-03-06 | 2024-01-30 | Trend Micro, Inc. | Malware families identification based upon hierarchical clustering |
US20220019673A1 (en) * | 2020-07-16 | 2022-01-20 | Bank Of America Corporation | System and Method for Associating a Common Vulnerability and Exposures (CVE) with a Computing Device and Applying a Security Patch |
CN112052875A (zh) * | 2020-07-30 | 2020-12-08 | 华控清交信息科技(北京)有限公司 | 一种训练树模型的方法、装置和用于训练树模型的装置 |
CN112288025B (zh) * | 2020-11-03 | 2024-04-30 | 中国平安财产保险股份有限公司 | 基于树结构的异常案件识别方法、装置、设备及存储介质 |
CN112560063A (zh) * | 2020-12-21 | 2021-03-26 | 中建安装集团有限公司 | 一种用于bim族库平台的加密方法 |
US11822459B2 (en) * | 2021-05-25 | 2023-11-21 | Oracle International Corporation | Automated function category detection |
WO2023031931A1 (en) * | 2021-09-01 | 2023-03-09 | B. G. Negev Technologies And Applications Ltd., At Ben-Gurion University | Systems and methods for detecting unknown portable executables malware |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017220195A (ja) * | 2016-06-02 | 2017-12-14 | エーオー カスペルスキー ラボAO Kaspersky Lab | 悪意のあるコンピュータシステムを検出するシステム及び方法 |
Family Cites Families (47)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9781148B2 (en) * | 2008-10-21 | 2017-10-03 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
CN101459537A (zh) * | 2008-12-20 | 2009-06-17 | 中国科学技术大学 | 基于多层次多角度分析的网络安全态势感知***及方法 |
CN101604363B (zh) * | 2009-07-10 | 2011-11-16 | 珠海金山软件有限公司 | 基于文件指令频度的计算机恶意程序分类***及分类方法 |
CN101996292B (zh) * | 2010-12-10 | 2012-05-23 | 北京理工大学 | 一种基于序列聚类的软件安全特性分析方法 |
US8799190B2 (en) * | 2011-06-17 | 2014-08-05 | Microsoft Corporation | Graph-based malware classification based on file relationships |
RU114538U1 (ru) * | 2011-10-17 | 2012-03-27 | Константин Сергеевич Артемьев | Система вероятностного антивирусного анализа объектов |
CN102495978B (zh) * | 2011-11-09 | 2015-03-04 | 南京邮电大学 | 开放计算环境下任务执行体与执行点可信指数计算方法 |
US9021589B2 (en) * | 2012-06-05 | 2015-04-28 | Los Alamos National Security, Llc | Integrating multiple data sources for malware classification |
US11126720B2 (en) * | 2012-09-26 | 2021-09-21 | Bluvector, Inc. | System and method for automated machine-learning, zero-day malware detection |
RU2541120C2 (ru) * | 2013-06-06 | 2015-02-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных исполняемых файлов на основании сходства ресурсов исполняемых файлов |
BR112013015346B1 (pt) * | 2013-06-13 | 2021-10-13 | Sicpa Holding Sa | Método e dispositivo para classificar um objeto em dados de imagem em uma dentre um conjunto de classes usando um classificador, meio legível por computador não transitório e sistema |
US9628507B2 (en) * | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
US9288220B2 (en) * | 2013-11-07 | 2016-03-15 | Cyberpoint International Llc | Methods and systems for malware detection |
CN103617393A (zh) * | 2013-11-28 | 2014-03-05 | 北京邮电大学 | 一种基于支持向量机的移动互联网恶意应用软件检测方法 |
WO2015186662A1 (ja) * | 2014-06-06 | 2015-12-10 | 日本電信電話株式会社 | ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム |
US9690933B1 (en) * | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
US20160191550A1 (en) * | 2014-12-29 | 2016-06-30 | Fireeye, Inc. | Microvisor-based malware detection endpoint architecture |
US10708296B2 (en) * | 2015-03-16 | 2020-07-07 | Threattrack Security, Inc. | Malware detection based on training using automatic feature pruning with anomaly detection of execution graphs |
US10104107B2 (en) | 2015-05-11 | 2018-10-16 | Qualcomm Incorporated | Methods and systems for behavior-specific actuation for real-time whitelisting |
EP3113065B1 (en) * | 2015-06-30 | 2017-07-05 | Kaspersky Lab AO | System and method of detecting malicious files on mobile devices |
RU2614557C2 (ru) * | 2015-06-30 | 2017-03-28 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных файлов на мобильных устройствах |
US20170024663A1 (en) * | 2015-07-24 | 2017-01-26 | Ebay Inc. | Category recommendation using statistical language modeling and a gradient boosting machine |
US10176321B2 (en) * | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
US10284575B2 (en) * | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
US10685112B2 (en) * | 2016-05-05 | 2020-06-16 | Cylance Inc. | Machine learning model for malware dynamic analysis |
EP3252645B1 (en) | 2016-06-02 | 2019-06-26 | AO Kaspersky Lab | System and method of detecting malicious computer systems |
US10372910B2 (en) * | 2016-06-20 | 2019-08-06 | Jask Labs Inc. | Method for predicting and characterizing cyber attacks |
WO2017223294A1 (en) * | 2016-06-22 | 2017-12-28 | Invincea, Inc. | Methods and apparatus for detecting whether a string of characters represents malicious activity using machine learning |
US10372909B2 (en) * | 2016-08-19 | 2019-08-06 | Hewlett Packard Enterprise Development Lp | Determining whether process is infected with malware |
US10503901B2 (en) * | 2016-09-01 | 2019-12-10 | Cylance Inc. | Training a machine learning model for container file analysis |
US10565513B2 (en) * | 2016-09-19 | 2020-02-18 | Applied Materials, Inc. | Time-series fault detection, fault classification, and transition analysis using a K-nearest-neighbor and logistic regression approach |
US10652252B2 (en) * | 2016-09-30 | 2020-05-12 | Cylance Inc. | Machine learning classification using Markov modeling |
US10826934B2 (en) * | 2017-01-10 | 2020-11-03 | Crowdstrike, Inc. | Validation-based determination of computational models |
CN108319853B (zh) * | 2017-01-18 | 2021-01-15 | 腾讯科技(深圳)有限公司 | 病毒特征码处理方法及装置 |
US10534909B2 (en) * | 2017-03-02 | 2020-01-14 | Fortinet, Inc. | Multi-tiered sandbox based network threat detection |
CN107153789B (zh) * | 2017-04-24 | 2019-08-13 | 西安电子科技大学 | 利用随机森林分类器实时检测安卓恶意软件的方法 |
US11080596B1 (en) * | 2017-06-14 | 2021-08-03 | Amazon Technologies, Inc. | Prediction filtering using intermediate model representations |
US10726128B2 (en) * | 2017-07-24 | 2020-07-28 | Crowdstrike, Inc. | Malware detection using local computational models |
RU2654151C1 (ru) | 2017-08-10 | 2018-05-16 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных файлов с использованием обученной модели обнаружения вредоносных файлов |
US11108809B2 (en) * | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
US20190156024A1 (en) * | 2017-11-20 | 2019-05-23 | Somansa Co., Ltd. | Method and apparatus for automatically classifying malignant code on basis of malignant behavior information |
US10915631B2 (en) * | 2017-12-28 | 2021-02-09 | Intel Corporation | Deep learning on execution trace data for exploit detection |
US10963566B2 (en) * | 2018-01-25 | 2021-03-30 | Microsoft Technology Licensing, Llc | Malware sequence detection |
CN108304584A (zh) * | 2018-03-06 | 2018-07-20 | 百度在线网络技术(北京)有限公司 | 非法页面检测方法、装置、入侵检测***及存储介质 |
US10956568B2 (en) * | 2018-04-30 | 2021-03-23 | Mcafee, Llc | Model development and application to identify and halt malware |
US11204998B2 (en) * | 2018-08-07 | 2021-12-21 | Mcafee, Llc | Detection and mitigation of fileless security threats |
US11062024B2 (en) * | 2018-11-15 | 2021-07-13 | Crowdstrike, Inc. | Computer-security event security-violation detection |
-
2018
- 2018-12-28 RU RU2018147230A patent/RU2724710C1/ru active
-
2019
- 2019-06-26 US US16/452,734 patent/US11188649B2/en active Active
- 2019-07-02 US US16/459,718 patent/US11036858B2/en active Active
- 2019-11-29 CN CN201911200597.3A patent/CN111382430B/zh active Active
- 2019-12-17 JP JP2019227463A patent/JP7405596B2/ja active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017220195A (ja) * | 2016-06-02 | 2017-12-14 | エーオー カスペルスキー ラボAO Kaspersky Lab | 悪意のあるコンピュータシステムを検出するシステム及び方法 |
Non-Patent Citations (1)
Title |
---|
RU 2659737 C1, JPN7021001721, 3 July 2018 (2018-07-03), pages 1 - 51, ISSN: 0005113173 * |
Also Published As
Publication number | Publication date |
---|---|
US20200210570A1 (en) | 2020-07-02 |
JP7405596B2 (ja) | 2023-12-26 |
CN111382430B (zh) | 2023-06-30 |
CN111382430A (zh) | 2020-07-07 |
RU2724710C1 (ru) | 2020-06-25 |
US11188649B2 (en) | 2021-11-30 |
US20200210573A1 (en) | 2020-07-02 |
US11036858B2 (en) | 2021-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7405596B2 (ja) | コンピュータシステムのオブジェクト分類のためのシステムおよび方法 | |
US11403396B2 (en) | System and method of allocating computer resources for detection of malicious files | |
JP6715292B2 (ja) | 機械学習を用いる悪意のあるファイルを検出するシステムおよび方法 | |
US10922410B2 (en) | System and method for generating a convolution function for training a malware detection model | |
JP7023259B2 (ja) | 悪意あるファイルを検出するためのシステムおよび方法 | |
JP6636096B2 (ja) | マルウェア検出モデルの機械学習のシステムおよび方法 | |
JP6731988B2 (ja) | 訓練された機械学習モデルを使用することで悪意のあるファイルを検出するシステムおよび方法 | |
JP6731981B2 (ja) | 機械学習モデルに基づいた悪意のあるファイルの検出のための計算資源を管理するシステムおよび方法 | |
EP3674948B1 (en) | System and method for classification of objects of a computer system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220719 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230710 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230725 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20231025 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231106 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231121 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231214 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7405596 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |