TOP > 国内特許検索 > データ類似性検査方法及び装置

データ類似性検査方法及び装置 コモンズ

国内特許コード P140010438
整理番号 06-76
掲載日 2014年4月9日
出願番号 特願2007-012071
公開番号 特開2008-176753
登録番号 特許第4883409号
出願日 平成19年1月22日(2007.1.22)
公開日 平成20年7月31日(2008.7.31)
登録日 平成23年12月16日(2011.12.16)
発明者
  • 吉岡 克成
  • 中尾 康二
  • 衛藤 将史
  • 井上 大介
出願人
  • 国立研究開発法人情報通信研究機構
発明の名称 データ類似性検査方法及び装置 コモンズ
発明の概要 【課題】 他のコンピュータに対して不正な処理を行うマルウェア等のソフトウェアと、検査するソフトウェアとの相関関係を高速、的確に自動算出する技術を提供すること。
【解決手段】 ネットワーク上で他のコンピュータに対して不正処理を行うマルウェアが送信するパケットと、検査対象ソフトウェアが送信するパケットを、所定のパラメータに着目してその相関度を算出することによりデータの類似性を検査する。パラメータの種類をプロファイル情報13aとして備えておき、第1パケット解析手段20が、それを参照してパラメータを取得する。これを第1のプロファイルデータとする。同様に第2パケット解析手段30が、第2のプロファイルデータを作成する。そして、相関度演算手段15が、両プロファイルデータから相関関係式を用いて相関度を算出する。
【選択図】 図1
従来技術、競合技術の概要


インターネットにおけるインシデント対策の研究分野では、広域ネットワークでのパッシブモニタリングを行い、観測されたトラフィックを分析することで、インシデント検知を行うための研究が盛んに行われている。
また、本件発明者らが推進するインシデント対策のためのプロジェクトnicter(非特許文献1を参照。)では、広域観測網において観測されたトラフィックから、実時間でインシデントを検知する技術が研究されている。
広域ネットワークにおいて実際のインシデントを解析する技術をここではマクロ解析と呼ぶこととする。



その一方で、ウィルス(virus)、ワーム(worm)、ボット(bot)といったマルウェア(malware)検体を収集・分析し、個々のマルウェアの特徴を抽出する技術も研究が進められている。このように閉じられたネットワーク空間において、マルウェア検体の分析を行うことを、上記のマクロ解析に対して、ミクロ解析と呼ぶこととする。



マルウェアに起因するインシデントに迅速かつ的確に対処するためには、広域観測網において検出された事象(結果) に対し、その原因となったマルウェアを特定し、提示することが重要である。
このようなインシデント(結果) とマルウェア(原因) との相関関係を得るためには、それぞれの特徴を効果的に抽出した上で相関分析を行う必要がある。



ミクロ解析においてスキャン攻撃の特徴抽出手法としていくつかの先行研究が提案されているが、広域ネットワークでのインシデントとマルウェアとの相関分析を行うことを前提とする、個々のホストのネットワーク的挙動を分析する研究はいまだ少ない。すなわち、マクロ解析結果とミクロ解析結果との相関関係を検査して、マクロ解析において得られた特定のホストについてマルウェアの特定を行う技術はほとんど提供されていない。



マルウェアの自動解析方法としては、特許文献1のような技術が知られている。



【非特許文献1】
中尾康二、吉岡克成、衛藤将史、井上大介、力武健次著「nicter: An Incident Analysis System using Correlation between Network Monitoring and Malware Analysis」Proceedings of The 1st Joint Workshop on Information Security,JWIS2006,Page363-377, 2006年9月
【特許文献1】
特表2006-522395号公報

産業上の利用分野



本発明はソフトウェアが出力するデータの類似性を検査する方法と装置に関し、特にネットワーク上で不正な処理を行うコンピュータから送信されるパケットに基づいてそのデータの類似性あるいは、そのソフトウェアの類似性を検査する方法と装置に係る技術である。

特許請求の範囲 【請求項1】
ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアが送信する第1の送信データと、検査対象の第2のソフトウェアが送信する第2の送信データとを比較してその類似性を検査するコンピュータのデータ類似性検査方法であって、
該送信データに関して、少なくとも送信されるパケットに含まれる情報のいずれかについて予め着目する単数又は複数のパラメータの種類をプロファイル情報として記憶手段に格納しておき、
第1パケット解析手段が、該プロファイル情報を参照し、第1のソフトウェアから送信される第1パケットを受信して、該パラメータの種類に該当するパラメータの一部又は全部を取得して第1のプロファイルデータとして記憶手段に記録する第1パケット解析ステップ、
第2パケット解析手段が、該プロファイル情報を参照し、第2のソフトウェアから送信される第2パケットを受信して、該パラメータの種類に該当するパラメータの一部又は全部を取得して第2のプロファイルデータとして記憶手段に記録する第2パケット解析ステップ、
コンピュータの相関度演算手段が、該第1のプロファイルデータと、該第2のプロファイルデータとから、予め記憶手段に格納されるパラメータの種類に応じた相関関係式を用いて相関度を算出する相関度演算ステップ、
該相関度を出力する出力ステップ
を有することを特徴とするデータ類似性検査方法。

【請求項2】
前記プロファイル情報に、
パケットの送信先ポートのポート番号の一部又は全部をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、送信先ポート番号をパケットから抽出する
ことを特徴とする請求項1に記載のデータ類似性検査方法。

【請求項3】
前記プロファイル情報に、
パケットの送信先ポートのポート番号と各ポート番号に対する送信回数をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、送信先ポート番号をパケットから抽出すると共に、所定時間における若しくはソフトウェアの所定回数の実行処理における各ポート番号に対するパケットの送信回数を計数する
ことを特徴とする請求項1又は2に記載のデータ類似性検査方法。

【請求項4】
前記プロファイル情報に、
パケットの送信先ポートのポート番号間の遷移情報をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、送信先ポート番号の遷移情報をパケットから抽出する
ことを特徴とする請求項1ないし3のいずれかに記載のデータ類似性検査方法。

【請求項5】
前記プロファイル情報に、
パケットの送信先アドレスが複数ある場合における該送信先アドレス間の差分値又は差分値に基づく所定の統計値を導く計算をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、各送信先アドレスをパケットから抽出すると共に、該送信先アドレス間の差分値又は差分値に基づく所定の統計値を算出する
ことを特徴とする請求項1ないし4のいずれかに記載のデータ類似性検査方法。

【請求項6】
前記プロファイル情報に、
パケットの送信先アドレスと送信する送信先アドレスの数をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、所定時間において若しくはソフトウェアの所定回数の実行処理においてパケットを送信する送信先アドレスの数を計数する
ことを特徴とする請求項1ないし5のいずれかに記載のデータ類似性検査方法。

【請求項7】
前記プロファイル情報に、
パケットの送信元ポートのポート番号の数をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、所定時間において若しくはソフトウェアの所定回数の実行処理においてパケットを送信する送信元ポート番号の数を計数する
ことを特徴とする請求項1ないし6のいずれかに記載のデータ類似性検査方法。

【請求項8】
前記プロファイル情報に、
パケットの送信元ポートのポート番号が複数ある場合における該送信元ポート番号間の差分値又は差分値に基づく所定の統計値を導く計算をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、各送信元ポート番号をパケットから抽出すると共に、該送信元ポート番号間の差分値又は差分値に基づく所定の統計値を算出する
ことを特徴とする請求項1ないし7のいずれかに記載のデータ類似性検査方法。

【請求項9】
前記プロファイル情報に、
パケットが準拠するプロトコル、又は、TCPプロトコルにおけるフラグの少なくともいずれかの種類又はその数をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、該プロトコル又はフラグを該パケットから取得すると共に、数がパラメータの種類である場合にはその数を計数する
ことを特徴とする請求項1ないし8のいずれかに記載のデータ類似性検査方法。

【請求項10】
前記プロファイル情報に、
パケットに含まれるペイロード(Payload)成分のダイジェスト(Digest)値又はその数又はそのいずれかに基づく所定の統計値を導く計算をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、各ペイロードのダイジェスト値をパケットから抽出すると共に、数がパラメータの種類である場合にはダイジェスト値の数を計数し、該ダイジェスト値若しくはその数に基づく所定の統計値がパラメータの種類である場合にはそれを算出する
ことを特徴とする請求項1ないし9のいずれかに記載のデータ類似性検査方法。

【請求項11】
前記プロファイル情報に、
パケットに含まれるペイロード(Payload)成分のデータ量又は該データ量に基づく所定の統計値を導く計算をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、該ペイロード成分をパケットから抽出すると共に、該データ量を測定する、又は測定した該データ量に基づく所定の統計値を算出する
ことを特徴とする請求項1ないし10のいずれかに記載のデータ類似性検査方法。

【請求項12】
前記コンピュータのデータ類似性検査方法において、
該送信データに関して、少なくとも送信されるパケットが所定時間に送信先ポートに到達する数をパラメータの種類に含めてプロファイル情報として記憶手段に格納しておき、
前記相関度演算ステップの前のいずれかの時点で
前記第1パケット解析手段が、該プロファイル情報を参照し、第1のソフトウェアから送信される第1パケットを所定時間に受信する数を計数して第1のプロファイルデータとして記憶手段に記録する第1パケット受信回数計数ステップ、
前記第2パケット解析手段が、該プロファイル情報を参照し、第2のソフトウェアから送信される第2パケットを所定時間に受信する数を計数して第2のプロファイルデータとして記憶手段に記録する第2パケット受信回数計数ステップ
の各ステップを行う
ことを特徴とする請求項1ないし11のいずれかに記載のデータ類似性検査方法。

【請求項13】
前記第1のソフトウェアが、閉じられたネットワークにおいて検査のために実行される既知のマルウェアであり、前記第2のソフトウェアが、広域ネットワークにおいて実際に実行される検査対象のソフトウェアであって、
前記請求項1ないし12に記載のデータ類似性検査方法における前記第1パケット解析ステップを単数又は複数の第1のソフトウェアについて実行処理した後、
コンピュータの検査開始指示信号送出手段が、該第2のソフトウェアからの送信データ内容又は送信データのパケットに基づいて検査開始指示信号を送出する検査開始指示ステップ、
該検査開始指示信号を契機として実行処理される前記第2パケット解析ステップ、
コンピュータの相関度演算手段が、該単数又は複数の第1のプロファイルデータと、該第2のプロファイルデータとから、予め記憶手段に格納されるパラメータの種類に応じた相関関係式を用いて相関度を算出する相関度演算ステップ、
該第1のソフトウェアとの各相関度の少なくとも一部を出力するマルウェア相関度出力ステップ
を有することを特徴とするマルウェアの検査方法。

【請求項14】
ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアが送信する第1の送信データと、検査対象の第2のソフトウェアが送信する第2の送信データとを比較してその類似性を検査するデータ類似性検査装置であって、
該送信データに関して、少なくとも送信されるパケットに含まれる情報のいずれかについて予め着目する単数又は複数のパラメータの種類をプロファイル情報として格納する記憶手段と、
該プロファイル情報を参照し、第1のソフトウェアから送信される第1パケットを受信して、該パラメータの種類に該当するパラメータの一部又は全部を取得して第1のプロファイルデータとして記憶手段に記録する第1パケット解析手段と、
該プロファイル情報を参照し、第2のソフトウェアから送信される第2パケットを受信して、該パラメータの種類に該当するパラメータの一部又は全部を取得して第2のプロファイルデータとして記憶手段に記録する第2パケット解析手段と、
該第1のプロファイルデータと、該第2のプロファイルデータとから、予め記憶手段に格納されるパラメータの種類に応じた相関関係式を用いて相関度を算出するコンピュータの相関度演算手段と、
該相関度を出力する出力手段と
を備えたことを特徴とするデータ類似性検査装置。

【請求項15】
前記プロファイル情報に、
パケットの送信先ポートのポート番号の一部又は全部をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、送信先ポート番号をパケットから抽出する
ことを特徴とする請求項14に記載のデータ類似性検査装置。

【請求項16】
前記プロファイル情報に、
パケットの送信先ポートのポート番号と各ポート番号に対する送信回数をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、送信先ポート番号をパケットから抽出すると共に、所定時間における若しくはソフトウェアの所定回数の実行処理における各ポート番号に対するパケットの送信回数を計数する
ことを特徴とする請求項14又は15に記載のデータ類似性検査装置。

【請求項17】
前記プロファイル情報に、
パケットの送信先ポートのポート番号間の遷移情報をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、送信先ポート番号の遷移情報をパケットから抽出する
ことを特徴とする請求項14ないし16のいずれかに記載のデータ類似性検査装置。

【請求項18】
前記プロファイル情報に、
パケットの送信先アドレスが複数ある場合における該送信先アドレス間の差分値又は差分値に基づく所定の統計値を導く計算をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、各送信先アドレスをパケットから抽出すると共に、該送信先アドレス間の差分値又は差分値に基づく所定の統計値を算出する
ことを特徴とする請求項14ないし17のいずれかに記載のデータ類似性検査装置。

【請求項19】
前記プロファイル情報に、
パケットの送信先アドレスと送信する送信先アドレスの数をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、所定時間において若しくはソフトウェアの所定回数の実行処理においてパケットを送信する送信先アドレスの数を計数する
ことを特徴とする請求項14ないし18のいずれかに記載のデータ類似性検査装置。

【請求項20】
前記プロファイル情報に、
パケットの送信元ポートのポート番号の数をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、所定時間において若しくはソフトウェアの所定回数の実行処理においてパケットを送信する送信元ポート番号の数を計数する
ことを特徴とする請求項14ないし19のいずれかに記載のデータ類似性検査装置。

【請求項21】
前記プロファイル情報に、
パケットの送信元ポートのポート番号が複数ある場合における該送信元ポート番号間の差分値又は差分値に基づく所定の統計値を導く計算をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、各送信元ポート番号をパケットから抽出すると共に、該送信元ポート番号間の差分値又は差分値に基づく所定の統計値を算出する
ことを特徴とする請求項14ないし20のいずれかに記載のデータ類似性検査装置。

【請求項22】
前記プロファイル情報に、
パケットが準拠するプロトコル、又は、TCPプロトコルにおけるフラグの少なくともいずれかの種類又はその数をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、該プロトコル又はフラグを該パケットから取得すると共に、数がパラメータの種類である場合にはその数を計数する
ことを特徴とする請求項14ないし21のいずれかに記載のデータ類似性検査装置。

【請求項23】
前記プロファイル情報に、
パケットに含まれるペイロード(Payload)成分のダイジェスト(Digest)値又はその数又はそのいずれかに基づく所定の統計値を導く計算をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、各ペイロードのダイジェスト値をパケットから抽出すると共に、数がパラメータの種類である場合にはダイジェスト値の数を計数し、該ダイジェスト値若しくはその数に基づく所定の統計値がパラメータの種類である場合にはそれを算出する
ことを特徴とする請求項14ないし22のいずれかに記載のデータ類似性検査装置。

【請求項24】
前記プロファイル情報に、
パケットに含まれるペイロード(Payload)成分のデータ量又は該データ量に基づく所定の統計値を導く計算をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、該ペイロード成分をパケットから抽出すると共に、該データ量を測定する、又は測定した該データ量に基づく所定の統計値を算出する
ことを特徴とする請求項14ないし23のいずれかに記載のデータ類似性検査装置。

【請求項25】
前記コンピュータのデータ類似性検査装置において、
記憶手段が、該送信データに関して、少なくとも送信されるパケットが所定時間に送信先ポートに到達する数をパラメータの種類に含めてプロファイル情報として備えると共に、
前記第1パケット解析手段が、該プロファイル情報を参照し、第1のソフトウェアから送信される第1パケットを所定時間に受信する数を計数して第1のプロファイルデータとして記憶手段に記録し、
前記第2パケット解析手段が、該プロファイル情報を参照し、第2のソフトウェアから送信される第2パケットを所定時間に受信する数を計数して第2のプロファイルデータとして記憶手段に記録する
ことを特徴とする請求項14ないし24のいずれかに記載のデータ類似性検査装置。

【請求項26】
マルウェアを検査するマルウェア検査システムであって、
前記請求項14ないし25のいずれかに記載のデータ類似性検査装置を備え、
前記第1のソフトウェアが、閉じられたネットワークにおいて検査のために実行される既知のマルウェアであり、前記第2のソフトウェアが、広域ネットワークにおいて実際に実行される検査対象のソフトウェアである構成において、
前記第1パケット解析手段が、単数又は複数の第1のソフトウェアについて各第1のプロファイルデータを記録すると共に、
該第2のソフトウェアからの送信データ内容又は送信データのパケットに基づいて検査開始指示信号を送出するコンピュータの検査開始指示信号送出手段を備え、
前記第2パケット解析手段が、該検査開始指示信号を受信すると作動し、
前記相関度演算手段が、該単数又は複数の第1のプロファイルデータと、該第2のプロファイルデータとから、予め記憶手段に格納されるパラメータの種類に応じた相関関係式を用いて相関度を算出し、
前記出力手段が、該第1のソフトウェアとの各相関度の少なくとも一部を出力する
を有することを特徴とするマルウェア検査システム。
国際特許分類(IPC)
Fターム
画像

※ 画像をクリックすると拡大します。

JP2007012071thum.jpg
出願権利状態 登録
参考情報 (研究プロジェクト等) サイバー攻撃観測・分析・対策システム NICTER(http://www.nict.go.jp/nsri/cyber/index.html)
※ 詳細内容の開示にあたっては、別途、JSTと秘密保持契約を締結していただくことが必要となります。


PAGE TOP

close
close
close
close
close
close
close