特許ウォッチ

公開番号2025111038
公報種別公開特許公報(A)
公開日2025-07-30
出願番号2024005180
出願日2024-01-17
発明の名称分類装置、および分類方法
出願人NTT株式会社
代理人弁理士法人酒井国際特許事務所
主分類G06F 16/906 20190101AFI20250723BHJP(計算;計数)
要約【課題】難読化されたアプリケーションについての分類精度を向上させることを可能とする。
【解決手段】分類装置100は、アプリケーションから、アプリケーションの特徴が表現される特徴量である第1の特徴量を抽出する。分類装置100は、抽出された第1の特徴量を、入力される特徴量の難読化状態を変換するように学習されたモデルに入力し、難読化されていないアプリケーションから抽出される特徴量と同一または類似の第2の特徴量へと変換する。そして、分類装置100は、変換された第2の特徴量を用いて、アプリケーションを分類する。
【選択図】図4
特許請求の範囲【請求項１】
アプリケーションから、該アプリケーションの特徴が表現される特徴量である第１の特徴量を抽出する抽出部と、
前記抽出部により抽出された前記第１の特徴量を、入力される特徴量の難読化状態を変換するように学習されたモデルに入力し、難読化されていないアプリケーションから抽出される特徴量と同一または類似の第２の特徴量へと変換する変換部と、
前記変換部により変換された前記第２の特徴量を用いて、前記アプリケーションを分類する分類部と、
を有することを特徴とする分類装置。
続きを表示（約 850 文字）【請求項２】
難読化されていない非難読化アプリケーションから抽出される学習用の非難読化特徴量と、前記非難読化アプリケーションを難読化させた難読化アプリケーションから抽出される学習用の難読化特徴量とを対応付けた所定の学習用データセットを用いて、
前記第１の特徴量として、難読化されていない特徴量および難読化された特徴量のうち少なくともいずれか一方が入力された場合に、前記第２の特徴量を出力するように前記モデルを学習する学習部を更に有する、
ことを特徴とする請求項１に記載の分類装置。
【請求項３】
入力されたアプリケーションが難読化されているか否かを判定する判定部を更に有し、
前記変換部は、
前記判定部により難読化されていると判定された場合には、難読化されている前記第１の特徴量を前記第２の特徴量へと変換し、
前記分類部は、
前記判定部により難読化されていると判定された場合に、難読化されている前記第１の特徴量を用いて前記変換部により変換された前記第２の特徴量を用いて、分類処理を行い、
前記判定部により難読化されていないと判定された場合には、難読化されていない前記第１の特徴量を用いて、分類処理を行う、
ことを特徴とする請求項１に記載の分類装置。
【請求項４】
分類装置に実行させる分類方法であって、
アプリケーションから、該アプリケーションの特徴が表現される特徴量である第１の特徴量を抽出する抽出工程と、
前記抽出工程により抽出された前記第１の特徴量を、入力される特徴量の難読化状態を変換するように学習されたモデルに入力し、難読化されていないアプリケーションから抽出される特徴量と同一または類似の第２の特徴量へと変換する変換工程と、
前記変換工程により変換された前記第２の特徴量を用いて、前記アプリケーションを分類する分類工程と、
を含むことを特徴とする分類方法。

発明の詳細な説明【技術分野】
【０００１】
本発明は、分類装置、および分類方法に関する。
続きを表示（約 2,100 文字）【背景技術】
【０００２】
マルウェア分類では、マルウェアに含まれる特定の情報をもとにしたシグネチャによる分類や、機械学習を用いた分類等が用いられる。例えば、パラメータに従いデータの特徴からスコアを計算するスコア関数を用いて、負例または正例であることが既知の１つ以上のデータのそれぞれについてスコアを算出し、算出されたスコアを基に分類を行った場合の分類結果に基づいて、算出された指標が最適化されるように、パラメータを更新する技術が知られている（例えば、特許文献１を参照）。
【０００３】
上述したように、近年では、とりわけ機械学習による分類が盛んに研究・開発され、高い検出精度での分類方法が知られている。
【先行技術文献】
【特許文献】
【０００４】
特許第７２７６４８３号公報
【発明の概要】
【発明が解決しようとする課題】
【０００５】
しかしながら、上述の従来技術では、難読化されたアプリケーションについての分類精度の向上について課題がある。例えば、従来技術は、難読化されていないマルウェアに対しては高い識別精度を示すが、難読化されたマルウェアについて識別精度が低下する場合や検証が不十分な場合が多いという問題がある。
【課題を解決するための手段】
【０００６】
そこで、上述した課題を解決し、目的を達成するために、本発明の分類装置は、アプリケーションから、該アプリケーションの特徴が表現される特徴量である第１の特徴量を抽出する抽出部と、前記抽出部により抽出された前記第１の特徴量を、入力される特徴量の難読化状態を変換するように学習されたモデルに入力し、難読化されていないアプリケーションから抽出される特徴量と同一または類似の第２の特徴量へと変換する変換部と、前記変換部により変換された前記第２の特徴量を用いて、前記アプリケーションを分類する分類部と、を有することを特徴とする。
【発明の効果】
【０００７】
本発明によれば、難読化されたアプリケーションについての分類精度を向上させることを可能とする、という効果を奏する。
【図面の簡単な説明】
【０００８】
図１は、本実施形態に係る分類装置による処理の全体像を説明する図である。
図２は、参考技術の課題の一例を説明する図である。
図３は、第１の実施形態に係る分類装置による処理の一例を説明する図である。
図４は、第１の実施形態に係る分類装置の構成の一例を示す図である。
図５は、第１の実施形態に係る変換モデルの一例を示す図である。
図６は、第１の実施形態に係る難読化前後の学習用の特徴量の一例を示すテーブル図である。
図７は、第１の実施形態に係る変換処理前後の分類用の特徴量の一例を示すテーブル図である。
図８は、第１の実施形態に係る学習用アプリケーションからの特徴量の抽出処理の一例を示す図である。
図９は、第１の実施形態に係る変換モデルの学習処理の一例を示す図である。
図１０は、第１の実施形態に係る変換モデルに基づく変換処理の一例を示す図である。
図１１は、第１の実施形態に係る分類処理の一例を示す図である。
図１２は、第１の実施形態に係る学習処理の手順の一例を示すフローチャートである。
図１３は、第１の実施形態に係る分類処理の手順の一例を示すフローチャートである。
図１４は、第２の実施形態に係る難読化状態および非難読化状態が混在するアプリケーションについての分類処理の一例を示す図である。
図１５は、第３の実施形態に係る難読化状態および非難読化状態が混在するアプリケーションについての分類処理の一例を示す図である。
図１６は、第３の実施形態に係る分類装置の構成の一例を示す図である。
図１７は、第３の実施形態に係る分類処理の手順の一例を示すフローチャートである。
図１８は、本実施形態に係る分類装置を実現するコンピュータの一例を示す図である。
【発明を実施するための形態】
【０００９】
以下、図面を参照しながら、本発明を実施するための形態（以降、「実施形態」）について説明する。なお、各実施形態は、以下に記載する内容に限定されない。
【００１０】
＜序説＞
まず、本実施形態についての序説を述べる。図１は、本実施形態に係る分類装置１００による処理の全体像を説明する図である。図１に示す分類装置１００は、アプリケーションから抽出される難読化された特徴量（以降、「難読化特徴量」と表記する場合がある）を難読化されていない特徴量（以降、「非難読化特徴量」と表記する場合がある）と同一または類似の特徴量（以降、「非難読化様特徴量」と表記する場合がある）へと変換して、当該非難読化様特徴量を用いて分類処理を行う技術を提供するコンピュータの一例である。
（【００１１】以降は省略されています）

関連特許