Top > Search of Japanese Patents > DATA SIMILARITY INSPECTION METHOD AND DEVICE

DATA SIMILARITY INSPECTION METHOD AND DEVICE commons

Patent code P140010438
File No. 06-76
Posted date Apr 9, 2014
Application number P2007-012071
Publication number P2008-176753A
Patent number P4883409
Date of filing Jan 22, 2007
Date of publication of application Jul 31, 2008
Date of registration Dec 16, 2011
Inventor
  • (In Japanese)吉岡 克成
  • (In Japanese)中尾 康二
  • (In Japanese)衛藤 将史
  • (In Japanese)井上 大介
Applicant
  • (In Japanese)国立研究開発法人情報通信研究機構
Title DATA SIMILARITY INSPECTION METHOD AND DEVICE commons
Abstract PROBLEM TO BE SOLVED: To provide technology for properly automatically calculating correlation between software such as malware performing fraudulent processing to the other computer and software to be inspected at high speed.
SOLUTION: By calculating a correlation degree between a packet transmitted by the malware performing the fraudulent processing to the other computer on a network and a packet transmitted by the inspection target software by paying attention to a prescribed parameter, similarity of data is inspected. The kind of the parameter is equipped as profile information 13a, and a first packet analysis means 20 acquires the parameter in reference thereto. That is set as first profile data. Similarly, a second packet analysis means 30 produces second profile data. A correlation degree calculation means 15 calculates the correlation degree from both the profile data by use of a correlation expression.
Outline of related art and contending technology (In Japanese)

インターネットにおけるインシデント対策の研究分野では、広域ネットワークでのパッシブモニタリングを行い、観測されたトラフィックを分析することで、インシデント検知を行うための研究が盛んに行われている。
また、本件発明者らが推進するインシデント対策のためのプロジェクトnicter(非特許文献1を参照。)では、広域観測網において観測されたトラフィックから、実時間でインシデントを検知する技術が研究されている。
広域ネットワークにおいて実際のインシデントを解析する技術をここではマクロ解析と呼ぶこととする。

その一方で、ウィルス(virus)、ワーム(worm)、ボット(bot)といったマルウェア(malware)検体を収集・分析し、個々のマルウェアの特徴を抽出する技術も研究が進められている。このように閉じられたネットワーク空間において、マルウェア検体の分析を行うことを、上記のマクロ解析に対して、ミクロ解析と呼ぶこととする。

マルウェアに起因するインシデントに迅速かつ的確に対処するためには、広域観測網において検出された事象(結果) に対し、その原因となったマルウェアを特定し、提示することが重要である。
このようなインシデント(結果) とマルウェア(原因) との相関関係を得るためには、それぞれの特徴を効果的に抽出した上で相関分析を行う必要がある。

ミクロ解析においてスキャン攻撃の特徴抽出手法としていくつかの先行研究が提案されているが、広域ネットワークでのインシデントとマルウェアとの相関分析を行うことを前提とする、個々のホストのネットワーク的挙動を分析する研究はいまだ少ない。すなわち、マクロ解析結果とミクロ解析結果との相関関係を検査して、マクロ解析において得られた特定のホストについてマルウェアの特定を行う技術はほとんど提供されていない。

マルウェアの自動解析方法としては、特許文献1のような技術が知られている。

【非特許文献1】
中尾康二、吉岡克成、衛藤将史、井上大介、力武健次著「nicter: An Incident Analysis System using Correlation between Network Monitoring and Malware Analysis」Proceedings of The 1st Joint Workshop on Information Security,JWIS2006,Page363-377, 2006年9月
【特許文献1】
特表2006-522395号公報

Field of industrial application (In Japanese)

本発明はソフトウェアが出力するデータの類似性を検査する方法と装置に関し、特にネットワーク上で不正な処理を行うコンピュータから送信されるパケットに基づいてそのデータの類似性あるいは、そのソフトウェアの類似性を検査する方法と装置に係る技術である。

Scope of claims (In Japanese)
【請求項1】
 
ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアが送信する第1の送信データと、検査対象の第2のソフトウェアが送信する第2の送信データとを比較してその類似性を検査するコンピュータのデータ類似性検査方法であって、
該送信データに関して、少なくとも送信されるパケットに含まれる情報のいずれかについて予め着目する単数又は複数のパラメータの種類をプロファイル情報として記憶手段に格納しておき、
第1パケット解析手段が、該プロファイル情報を参照し、第1のソフトウェアから送信される第1パケットを受信して、該パラメータの種類に該当するパラメータの一部又は全部を取得して第1のプロファイルデータとして記憶手段に記録する第1パケット解析ステップ、
第2パケット解析手段が、該プロファイル情報を参照し、第2のソフトウェアから送信される第2パケットを受信して、該パラメータの種類に該当するパラメータの一部又は全部を取得して第2のプロファイルデータとして記憶手段に記録する第2パケット解析ステップ、
コンピュータの相関度演算手段が、該第1のプロファイルデータと、該第2のプロファイルデータとから、予め記憶手段に格納されるパラメータの種類に応じた相関関係式を用いて相関度を算出する相関度演算ステップ、
該相関度を出力する出力ステップ
を有することを特徴とするデータ類似性検査方法。

【請求項2】
 
前記プロファイル情報に、
パケットの送信先ポートのポート番号の一部又は全部をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、送信先ポート番号をパケットから抽出する
ことを特徴とする請求項1に記載のデータ類似性検査方法。

【請求項3】
 
前記プロファイル情報に、
パケットの送信先ポートのポート番号と各ポート番号に対する送信回数をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、送信先ポート番号をパケットから抽出すると共に、所定時間における若しくはソフトウェアの所定回数の実行処理における各ポート番号に対するパケットの送信回数を計数する
ことを特徴とする請求項1又は2に記載のデータ類似性検査方法。

【請求項4】
 
前記プロファイル情報に、
パケットの送信先ポートのポート番号間の遷移情報をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、送信先ポート番号の遷移情報をパケットから抽出する
ことを特徴とする請求項1ないし3のいずれかに記載のデータ類似性検査方法。

【請求項5】
 
前記プロファイル情報に、
パケットの送信先アドレスが複数ある場合における該送信先アドレス間の差分値又は差分値に基づく所定の統計値を導く計算をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、各送信先アドレスをパケットから抽出すると共に、該送信先アドレス間の差分値又は差分値に基づく所定の統計値を算出する
ことを特徴とする請求項1ないし4のいずれかに記載のデータ類似性検査方法。

【請求項6】
 
前記プロファイル情報に、
パケットの送信先アドレスと送信する送信先アドレスの数をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、所定時間において若しくはソフトウェアの所定回数の実行処理においてパケットを送信する送信先アドレスの数を計数する
ことを特徴とする請求項1ないし5のいずれかに記載のデータ類似性検査方法。

【請求項7】
 
前記プロファイル情報に、
パケットの送信元ポートのポート番号の数をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、所定時間において若しくはソフトウェアの所定回数の実行処理においてパケットを送信する送信元ポート番号の数を計数する
ことを特徴とする請求項1ないし6のいずれかに記載のデータ類似性検査方法。

【請求項8】
 
前記プロファイル情報に、
パケットの送信元ポートのポート番号が複数ある場合における該送信元ポート番号間の差分値又は差分値に基づく所定の統計値を導く計算をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、各送信元ポート番号をパケットから抽出すると共に、該送信元ポート番号間の差分値又は差分値に基づく所定の統計値を算出する
ことを特徴とする請求項1ないし7のいずれかに記載のデータ類似性検査方法。

【請求項9】
 
前記プロファイル情報に、
パケットが準拠するプロトコル、又は、TCPプロトコルにおけるフラグの少なくともいずれかの種類又はその数をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、該プロトコル又はフラグを該パケットから取得すると共に、数がパラメータの種類である場合にはその数を計数する
ことを特徴とする請求項1ないし8のいずれかに記載のデータ類似性検査方法。

【請求項10】
 
前記プロファイル情報に、
パケットに含まれるペイロード(Payload)成分のダイジェスト(Digest)値又はその数又はそのいずれかに基づく所定の統計値を導く計算をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、各ペイロードのダイジェスト値をパケットから抽出すると共に、数がパラメータの種類である場合にはダイジェスト値の数を計数し、該ダイジェスト値若しくはその数に基づく所定の統計値がパラメータの種類である場合にはそれを算出する
ことを特徴とする請求項1ないし9のいずれかに記載のデータ類似性検査方法。

【請求項11】
 
前記プロファイル情報に、
パケットに含まれるペイロード(Payload)成分のデータ量又は該データ量に基づく所定の統計値を導く計算をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、該ペイロード成分をパケットから抽出すると共に、該データ量を測定する、又は測定した該データ量に基づく所定の統計値を算出する
ことを特徴とする請求項1ないし10のいずれかに記載のデータ類似性検査方法。

【請求項12】
 
前記コンピュータのデータ類似性検査方法において、
該送信データに関して、少なくとも送信されるパケットが所定時間に送信先ポートに到達する数をパラメータの種類に含めてプロファイル情報として記憶手段に格納しておき、
前記相関度演算ステップの前のいずれかの時点で
前記第1パケット解析手段が、該プロファイル情報を参照し、第1のソフトウェアから送信される第1パケットを所定時間に受信する数を計数して第1のプロファイルデータとして記憶手段に記録する第1パケット受信回数計数ステップ、
前記第2パケット解析手段が、該プロファイル情報を参照し、第2のソフトウェアから送信される第2パケットを所定時間に受信する数を計数して第2のプロファイルデータとして記憶手段に記録する第2パケット受信回数計数ステップ
の各ステップを行う
ことを特徴とする請求項1ないし11のいずれかに記載のデータ類似性検査方法。

【請求項13】
 
前記第1のソフトウェアが、閉じられたネットワークにおいて検査のために実行される既知のマルウェアであり、前記第2のソフトウェアが、広域ネットワークにおいて実際に実行される検査対象のソフトウェアであって、
前記請求項1ないし12に記載のデータ類似性検査方法における前記第1パケット解析ステップを単数又は複数の第1のソフトウェアについて実行処理した後、
コンピュータの検査開始指示信号送出手段が、該第2のソフトウェアからの送信データ内容又は送信データのパケットに基づいて検査開始指示信号を送出する検査開始指示ステップ、
該検査開始指示信号を契機として実行処理される前記第2パケット解析ステップ、
コンピュータの相関度演算手段が、該単数又は複数の第1のプロファイルデータと、該第2のプロファイルデータとから、予め記憶手段に格納されるパラメータの種類に応じた相関関係式を用いて相関度を算出する相関度演算ステップ、
該第1のソフトウェアとの各相関度の少なくとも一部を出力するマルウェア相関度出力ステップ
を有することを特徴とするマルウェアの検査方法。

【請求項14】
 
ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアが送信する第1の送信データと、検査対象の第2のソフトウェアが送信する第2の送信データとを比較してその類似性を検査するデータ類似性検査装置であって、
該送信データに関して、少なくとも送信されるパケットに含まれる情報のいずれかについて予め着目する単数又は複数のパラメータの種類をプロファイル情報として格納する記憶手段と、
該プロファイル情報を参照し、第1のソフトウェアから送信される第1パケットを受信して、該パラメータの種類に該当するパラメータの一部又は全部を取得して第1のプロファイルデータとして記憶手段に記録する第1パケット解析手段と、
該プロファイル情報を参照し、第2のソフトウェアから送信される第2パケットを受信して、該パラメータの種類に該当するパラメータの一部又は全部を取得して第2のプロファイルデータとして記憶手段に記録する第2パケット解析手段と、
該第1のプロファイルデータと、該第2のプロファイルデータとから、予め記憶手段に格納されるパラメータの種類に応じた相関関係式を用いて相関度を算出するコンピュータの相関度演算手段と、
該相関度を出力する出力手段と
を備えたことを特徴とするデータ類似性検査装置。

【請求項15】
 
前記プロファイル情報に、
パケットの送信先ポートのポート番号の一部又は全部をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、送信先ポート番号をパケットから抽出する
ことを特徴とする請求項14に記載のデータ類似性検査装置。

【請求項16】
 
前記プロファイル情報に、
パケットの送信先ポートのポート番号と各ポート番号に対する送信回数をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、送信先ポート番号をパケットから抽出すると共に、所定時間における若しくはソフトウェアの所定回数の実行処理における各ポート番号に対するパケットの送信回数を計数する
ことを特徴とする請求項14又は15に記載のデータ類似性検査装置。

【請求項17】
 
前記プロファイル情報に、
パケットの送信先ポートのポート番号間の遷移情報をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、送信先ポート番号の遷移情報をパケットから抽出する
ことを特徴とする請求項14ないし16のいずれかに記載のデータ類似性検査装置。

【請求項18】
 
前記プロファイル情報に、
パケットの送信先アドレスが複数ある場合における該送信先アドレス間の差分値又は差分値に基づく所定の統計値を導く計算をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、各送信先アドレスをパケットから抽出すると共に、該送信先アドレス間の差分値又は差分値に基づく所定の統計値を算出する
ことを特徴とする請求項14ないし17のいずれかに記載のデータ類似性検査装置。

【請求項19】
 
前記プロファイル情報に、
パケットの送信先アドレスと送信する送信先アドレスの数をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、所定時間において若しくはソフトウェアの所定回数の実行処理においてパケットを送信する送信先アドレスの数を計数する
ことを特徴とする請求項14ないし18のいずれかに記載のデータ類似性検査装置。

【請求項20】
 
前記プロファイル情報に、
パケットの送信元ポートのポート番号の数をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、所定時間において若しくはソフトウェアの所定回数の実行処理においてパケットを送信する送信元ポート番号の数を計数する
ことを特徴とする請求項14ないし19のいずれかに記載のデータ類似性検査装置。

【請求項21】
 
前記プロファイル情報に、
パケットの送信元ポートのポート番号が複数ある場合における該送信元ポート番号間の差分値又は差分値に基づく所定の統計値を導く計算をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、各送信元ポート番号をパケットから抽出すると共に、該送信元ポート番号間の差分値又は差分値に基づく所定の統計値を算出する
ことを特徴とする請求項14ないし20のいずれかに記載のデータ類似性検査装置。

【請求項22】
 
前記プロファイル情報に、
パケットが準拠するプロトコル、又は、TCPプロトコルにおけるフラグの少なくともいずれかの種類又はその数をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、該プロトコル又はフラグを該パケットから取得すると共に、数がパラメータの種類である場合にはその数を計数する
ことを特徴とする請求項14ないし21のいずれかに記載のデータ類似性検査装置。

【請求項23】
 
前記プロファイル情報に、
パケットに含まれるペイロード(Payload)成分のダイジェスト(Digest)値又はその数又はそのいずれかに基づく所定の統計値を導く計算をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、各ペイロードのダイジェスト値をパケットから抽出すると共に、数がパラメータの種類である場合にはダイジェスト値の数を計数し、該ダイジェスト値若しくはその数に基づく所定の統計値がパラメータの種類である場合にはそれを算出する
ことを特徴とする請求項14ないし22のいずれかに記載のデータ類似性検査装置。

【請求項24】
 
前記プロファイル情報に、
パケットに含まれるペイロード(Payload)成分のデータ量又は該データ量に基づく所定の統計値を導く計算をパラメータの種類として格納しておき、
前記第1及び第2パケット解析手段がそれぞれ、該ペイロード成分をパケットから抽出すると共に、該データ量を測定する、又は測定した該データ量に基づく所定の統計値を算出する
ことを特徴とする請求項14ないし23のいずれかに記載のデータ類似性検査装置。

【請求項25】
 
前記コンピュータのデータ類似性検査装置において、
記憶手段が、該送信データに関して、少なくとも送信されるパケットが所定時間に送信先ポートに到達する数をパラメータの種類に含めてプロファイル情報として備えると共に、
前記第1パケット解析手段が、該プロファイル情報を参照し、第1のソフトウェアから送信される第1パケットを所定時間に受信する数を計数して第1のプロファイルデータとして記憶手段に記録し、
前記第2パケット解析手段が、該プロファイル情報を参照し、第2のソフトウェアから送信される第2パケットを所定時間に受信する数を計数して第2のプロファイルデータとして記憶手段に記録する
ことを特徴とする請求項14ないし24のいずれかに記載のデータ類似性検査装置。

【請求項26】
 
マルウェアを検査するマルウェア検査システムであって、
前記請求項14ないし25のいずれかに記載のデータ類似性検査装置を備え、
前記第1のソフトウェアが、閉じられたネットワークにおいて検査のために実行される既知のマルウェアであり、前記第2のソフトウェアが、広域ネットワークにおいて実際に実行される検査対象のソフトウェアである構成において、
前記第1パケット解析手段が、単数又は複数の第1のソフトウェアについて各第1のプロファイルデータを記録すると共に、
該第2のソフトウェアからの送信データ内容又は送信データのパケットに基づいて検査開始指示信号を送出するコンピュータの検査開始指示信号送出手段を備え、
前記第2パケット解析手段が、該検査開始指示信号を受信すると作動し、
前記相関度演算手段が、該単数又は複数の第1のプロファイルデータと、該第2のプロファイルデータとから、予め記憶手段に格納されるパラメータの種類に応じた相関関係式を用いて相関度を算出し、
前記出力手段が、該第1のソフトウェアとの各相関度の少なくとも一部を出力する
を有することを特徴とするマルウェア検査システム。
IPC(International Patent Classification)
F-term
Drawing

※Click image to enlarge.

JP2007012071thum.jpg
State of application right Registered
Reference ( R and D project ) Cybersecurity Research Institute
Please contact us by E-mail if you have any interests on this patent


PAGE TOP

close
close
close
close
close
close
close