特許ウォッチ

公開番号2025024604
公報種別公開特許公報(A)
公開日2025-02-20
出願番号2023128824
出願日2023-08-07
発明の名称生成装置、生成方法、及び、生成プログラム
出願人日本電信電話株式会社
代理人弁理士法人酒井国際特許事務所
主分類G06F 21/56 20130101AFI20250213BHJP(計算;計数)
要約【課題】痕跡のバリエーションを考慮したシグネチャグラフを自動で生成することができる。
【解決手段】生成装置10は、マルウェアの実行ログを用いて、マルウェアの一連の実行プロセスにおける操作の主体及び対象をノードとし、操作の主体が当該操作の対象へ実行する操作を、ノード間を接続するエッジで表した第1の挙動グラフを作成するグラフ変換部11と、第1の挙動グラフを、第1の挙動グラフのノードラベルを、アルファベット及び数字の文字クラスの粒度で正規表現化した第2の挙動グラフに変換する正規表現化部12と、第2の挙動グラフに対し、グラフマイニングを行ってシグネチャグラフを生成する抽出部13と、を有する。
【選択図】図1
特許請求の範囲【請求項１】
マルウェアの実行ログを用いて、前記マルウェアの一連の実行プロセスにおける操作の主体及び対象をノードとし、前記操作の主体が当該操作の対象へ実行する操作を、前記ノード間を接続するエッジで表した第１の挙動グラフを作成するグラフ変換部と、
前記第１の挙動グラフを、前記第１の挙動グラフのノードラベルを、アルファベット及び数字の文字クラスの粒度で正規表現化した第２の挙動グラフに変換する正規表現化部と、
前記第２の挙動グラフに対し、グラフマイニングを行ってシグネチャグラフを生成する抽出部と、
を有することを特徴とする生成装置。
続きを表示（約 1,500 文字）【請求項２】
前記正規表現化部は、前記ノードラベルの文字列間の編集距離を基に前記ノードラベルをクラスタリングしたクラスタ集合を求め、各クラスタについて、前記ノードラベルの２つの文字列を基に、前記２つの文字列の両方を表す１つの文字列を生成する生成処理を行い、前記生成処理において生成した文字列を、所定のルールにしたがって、同等の正規表現に変換し、
前記生成処理の出力、及び、正規表現化の変換対象には、アルファベット及び数字を含むワイルドカードが含まれうる
ことを特徴とする請求項１に記載の生成装置。
【請求項３】
前記生成処理の際に、入力される２つの文字に応じて出力される値または文字が予め定められたルールを使用し、
前記２つの文字は、アルファベット及び数字を含むワイルドカード、及び、非ワイルドカードのいずれかである
ことを特徴とする請求項２に記載の生成装置。
【請求項４】
前記正規表現化部は、前記生成処理において、文字列のその文字までに至るまでの全文字を含めた部分文字列の近さを示す第１のテーブルと、その文字に至るまでの最適な文字の対応付けを表す第２のテーブルと、を作成し、
前記正規表現化部は、前記第１のテーブルを作成する際に、比較する文字の組み合わせに応じて近さを示す値が対応付けられた第１のルールを使用し、
前記正規表現化部は、前記第２のテーブルを基に前記１つの文字列を作成する際に、入力された２つの文字の組み合わせに応じて、出力する文字が対応付けられた第２のルールを使用し、
前記比較する文字及び前記２つの文字は、アルファベット及び数字を含むワイルドカード、及び、非ワイルドカードのいずれかである
ことを特徴とする請求項３に記載の生成装置。
【請求項５】
前記抽出部は、前記第２の挙動グラフの集合について、グラフマイニングを行い、良性プログラムであるnegative検体に相当する挙動グラフよりもマルウェアであるpositive検体に相当する挙動グラフに多く現れる部分グラフを抽出し、抽出した結果の部分グラフ集合を、前記シグネチャグラフとして出力することを特徴とする請求項１に記載の生成装置。
【請求項６】
生成装置が実施する生成方法であって、
マルウェアの実行ログを用いて、前記マルウェアの一連の実行プロセスにおける操作の主体及び対象をノードとし、前記操作の主体が当該操作の対象へ実行する操作を、前記ノード間を接続するエッジで表した第１の挙動グラフを作成する工程と、
前記第１の挙動グラフを、前記第１の挙動グラフのノードラベルを、アルファベット及び数字の文字クラスの粒度で正規表現化した第２の挙動グラフに変換する工程と、
前記第２の挙動グラフに対し、グラフマイニングを行ってシグネチャグラフを生成する工程と、
を含んだことを特徴とする生成方法。
【請求項７】
マルウェアの実行ログを用いて、前記マルウェアの一連の実行プロセスにおける操作の主体及び対象をノードとし、前記操作の主体が当該操作の対象へ実行する操作を、前記ノード間を接続するエッジで表した第１の挙動グラフを作成するステップと、
前記第１の挙動グラフを、前記第１の挙動グラフのノードラベルを、アルファベット及び数字の文字クラスの粒度で正規表現化した第２の挙動グラフに変換するステップと、
前記第２の挙動グラフに対し、グラフマイニングを行ってシグネチャグラフを生成するステップと、
をコンピュータに実行させるための生成プログラム。

発明の詳細な説明【技術分野】
【０００１】
本発明は、生成装置、生成方法、及び、生成プログラムに関する。
続きを表示（約 1,200 文字）【背景技術】
【０００２】
［IOC（Indicator Of Compromise）］
企業ネットワーク上のPC端末をサイバー攻撃から保護するために広く使われている手段の１つが、Endpoint Detection & Response（EDR）である。EDRでは、端末にインストールされたエージェントが常時監視を行い、検知にはマルウェアが残す痕跡を表すIOCを使う。痕跡は、プロセス名や作成するファイルの名前など、マルウェアが活動したことによってシステム上に現れる特定の識別子である。
【０００３】
エージェントは検知を行うと、アラートを通知する。それを受けて、通常セキュリティオペレーションセンター（SOC）の分析官が人手で確認・対応を行う。
【０００４】
現状のIOCは、単一の痕跡についてのルール（例：ファイル“C:＼Temp＼mal.exe”を作成）、あるいは複数のルールの論理的結合（ANDまたはOR）で表される。個々のルールでは、単純な文字列の一致比較だけでなく、正規表現によるマッチングも可能である。
【０００５】
［検知ルール］
検知ルールは、良性なプログラムを誤検知せず、かつマルウェアを見逃さないことが望ましい。なぜなら、誤検知が多ければ人的対応コストが増加し、見逃しは攻撃の被害拡大につながるからである。しかしながら、現状IOCは誤検知が多く、精度の改善が求められる。
【０００６】
［痕跡のバリエーション］
同様の特徴を持ったマルウェアは同一のファミリ名で呼称される。検知ルールを作成するうえでの課題の１つは、同じファミリに属する検体であっても、類似した痕跡が、検体ごと、あるいは実行ごとに異なる場合が存在することである。これを痕跡のバリエーションと呼ぶ。
【０００７】
マルウェア開発者は、検知を逃れるために、例えば、マルウェアが生成するファイル名をソースコード上で変更する。あるいは、マルウェア開発者は、実行時に動的にファイル名を決定するように実装する。
【０００８】
このような痕跡は、そのまま検知ルールに使用すると、非常に限られた検体の範囲のみ検知するようになってしまい、検知力が低くなる。また、そのような痕跡を省いて検知ルールを作ったとしても、それ以外の痕跡が十分に特徴的でなければ、誤検知を生んでしまう。
【０００９】
このようなマルウェアを高精度に検知するには、バリエーションのある痕跡の不変な部分を捉えることが必要である。
【００１０】
EIGER（非特許文献１）は、同一ファミリに属する多数のマルウェア検体と良性検体の実行ログから、そのファミリを表すようなIOCを自動的に生成する技術である。この手法は類似の痕跡をまとめて正規表現化したうえでIOCを生成する。
（【００１１】以降は省略されています）

関連特許