Top > Search of Japanese Patents > METHOD AND DEVICE FOR TESTING SIMILARITY BETWEEN SEQUENCE DATA

METHOD AND DEVICE FOR TESTING SIMILARITY BETWEEN SEQUENCE DATA commons

Patent code P140010439
File No. 06-77
Posted date Apr 9, 2014
Application number P2007-012070
Publication number P2008-176752A
Patent number P4883408
Date of filing Jan 22, 2007
Date of publication of application Jul 31, 2008
Date of registration Dec 16, 2011
Inventor
  • (In Japanese)衛藤 将史
  • (In Japanese)薗田 光太郎
  • (In Japanese)吉岡 克成
  • (In Japanese)井上 大介
  • (In Japanese)中尾 康二
Applicant
  • (In Japanese)国立研究開発法人情報通信研究機構
Title METHOD AND DEVICE FOR TESTING SIMILARITY BETWEEN SEQUENCE DATA commons
Abstract PROBLEM TO BE SOLVED: To efficiently compare analysis results of incidents in a wide area network and characteristics of respective malwares to obtain correlations between them, by creating a method for precisely testing similarity between sequence data.
SOLUTION: A similarity testing method is provided which compares sequence data transmitted from a malware performing wrong processing on other computers on the network and sequence data transmitted from software being a test object, with each other to test the similarity between them. A wrong processing result detection means 20 obtains sequence data of the malware, and a test object processing result detection means 21 obtains sequence data being the test object. A sequence data conversion processing means 22 normalizes both of sequence data by Fourier transform and then a correlation coefficient calculation means 24 calculates a correlation coefficient between them.
Outline of related art and contending technology (In Japanese)

インターネットにおけるインシデント対策の研究分野では、広域ネットワークでのパッシブモニタリングを行い、観測されたトラフィックを分析することで、インシデント検知を行うための研究が盛んに行われている。
また、本件発明者らが推進するインシデント対策のためのプロジェクトnicter(非特許文献1を参照。)では、広域観測網において観測されたトラフィックから、実時間でインシデントを検知する技術が研究されている。
広域ネットワークにおいて実際のインシデントを解析する技術をここではマクロ解析と呼ぶこととする。

その一方で、ウィルス(virus)、ワーム(worm)、ボット(bot)といったマルウェア(malware)検体を収集・分析し、個々のマルウェアの特徴を抽出する技術も研究が進められている。このように閉じられたネットワーク空間において、マルウェア検体の分析を行うことを、上記のマクロ解析に対して、ミクロ解析と呼ぶこととする。

マルウェアに起因するインシデントに迅速かつ的確に対処するためには、広域観測網において検出された事象(結果) に対し、その原因となったマルウェアを特定し、提示することが重要である。
このようなインシデント(結果) とマルウェア(原因) との相関関係を得るためには、それぞれの特徴を効果的に抽出した上で相関分析を行う必要がある。

ミクロ解析においてスキャン攻撃の特徴抽出手法としていくつかの先行研究が提案されているが、広域ネットワークでのインシデントとマルウェアとの相関分析を行うことを前提とする、個々のホストのネットワーク的挙動を分析する研究はいまだ少ない。すなわち、マクロ解析結果とミクロ解析結果との相関関係を検査して、マクロ解析において得られた特定のホストについてマルウェアの特定を行う技術はほとんど提供されていない。

ところで、ネットワークインシデントの研究分野では、スペクトラム解析アルゴリズムや時系列解析アルゴリズムといったアルゴリズムを用いた、さまざまなトラフィック解析手法が提案されている。
非特許文献2に開示される研究では定点観測網から得られるパケット数の変動に着目した解析を行っている。これは、送信元および送信先のIPアドレスとポート番号といったパラメータ毎のパケット数の変動データに対してウェーブレット解析を施し、そこで得られる時間周波数成分の変化に基づいて脅威を検知する手法である。

また、非特許文献3に開示される研究では、非特許文献2の技術と同様、パケット数の変動に着目した解析を行っている。ここでは系列データ(単位時間あたりのパケット数) に対してSDAR (Sequencial Discounting AR estimating) と呼ばれる時系列解析アルゴリズムを用いることで軽快な処理を実現し、リアルタイムでの異常検知を可能としている。

以上の2つの提案手法はその目的がインシデント検知であるため、上述したようなマルウェアの特徴抽出に適しているとは言えない。
これらに対して、非特許文献4に開示される研究はフーリエ変換を用いたマルウェアの特徴抽出である。該文献では、フーリエ変換によって得られたスペクトラムの調波構造に着目し、マルウェアの識別を行っている。
しかし、解析対象となるデータは、上の二例と同じくパケット数の変動データを前提としているため、宛先IPアドレス等のパラメータの遷移情報を検査対象とすることができない。

【非特許文献1】
中尾康二、吉岡克成、衛藤将史、井上大介、力武健次著「nicter: An Incident Analysis System using Correlation between Network Monitoring and Malware Analysis」Proceedings of The 1st Joint Workshop on Information Security,JWIS2006,Page363-377, 2006年9月
【非特許文献2】
石黒正揮、鈴木裕信、村瀬一郎著「ウェーブレット解析を用いた周波数成分変化に基づくインターネット脅威検出法」電子情報通信学会(2006年暗号と情報セキュリティシンポジウム(SCIS2006)) 2006年1月
【非特許文献3】
竹内純一、佐藤靖士、力武健次、中尾康二著「変化点検出エンジンを利用したインシデント検知システムの構築」電子情報通信学会(2006年暗号と情報セキュリティシンポジウム(SCIS2006)) 2006年1月
【非特許文献4】
John Heidemann,Urbashi,Mitra,Antonio Ortega,Christos Papadopoulos著「Detecting and identifying malware: A new signal processing goal」IEEE Signal Processing Magazine, Volume 23, Issue 5, pp.107-111 2006年9月

Field of industrial application (In Japanese)

本発明は複数の数値の列からなる系列データについて、2つ以上の系列データ間の類似性を検査する方法とその装置に関し、特に該方法によりネットワーク上のスキャン特性の類似性を検査する技術に係るものである。

Scope of claims (In Japanese)
【請求項1】
 
ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の系列データと、検査対象の第2のソフトウェアの処理結果から得られる第2の系列データとを比較してその類似性を検査する類似性検査方法であって、
不正処理結果検知手段が、該第1のソフトウェアの不正処理の結果を検出しその結果を第1の系列データとして得る不正処理結果検知ステップ、
検査対象処理結果検知手段が、該第2のソフトウェアの処理結果を検出しその結果を第2の系列データとして得る検査対象処理結果検知ステップ、
コンピュータの系列データ変換処理手段が、該第1の系列データ及び該第2の系列データを次の各工程:
コンピュータの演算手段が、入力された系列データについて、離散フーリエ変換して横軸に周波数、縦軸に周波数成分の強度を表すスペクトラムを得る離散フーリエ変換処理工程、
コンピュータのデータ抽出手段が、該スペクトラムについて、該縦軸において所定の閾値を超える周波数強度を持つ要素を抽出し、その出現位置の値の系列を得る出現位置系列取得工程、
コンピュータの出現位置値正規化処理手段が、該スペクトラムにおける最も強度の強いスペクトルの出現位置の値で、該出現位置の値の系列の値を全て除算し、正規化された出現位置の値の系列を得る出現位置値正規化処理工程、
コンピュータの調波構造正規化処理手段が、該正規化された出現位置値の系列について、標準偏差を用いた正規化処理を行う調波構造正規化処理工程
により変換する系列データ変換処理ステップ、
コンピュータの相関係数算出手段が、変換後の第1の系列データと変換後の第2の系列データとから所定の相関関係式を用いて相関係数を算出する相関係数算出ステップ
を有する
ことを特徴とする系列データ間の類似性検査方法。

【請求項2】
 
前記系列データ変換処理ステップにおいて、
前記離散フーリエ変換処理工程の後に、
コンピュータのデータ抽出手段が、所定の閾値以上の高周波数成分を除去する高周波数成分除去処理工程を含む
ことを特徴とする請求項1に記載の系列データ間の類似性検査方法。

【請求項3】
 
前記系列データ変換処理ステップの後に、
コンピュータのデータ整形手段が、変換後の第1及び第2の系列データについて、基本周波数における出現位置において両系列データを同期すると共に、該基本周波数間で出現位置値がない場合には所定の値を補完するデータ整形ステップを有する
ことを特徴とする請求項1又は2に記載の系列データ間の類似性検査方法。

【請求項4】
 
前記不正処理結果検知手段及び検査対象処理結果検知手段が、それぞれ第1及び第2のソフトウェアによる、他のコンピュータのネットワークアドレスに対する連続的なスキャンを検知する構成であって、前記第1及び第2の系列データとして、スキャンしたネットワークアドレスの値の列を用いる
ことを特徴とする請求項1ないし3のいずれかに記載の系列データ間の類似性検査方法。

【請求項5】
 
前記第1のソフトウェアが、閉じられたネットワークにおいて検査のために実行されるマルウェアであり、前記第2のソフトウェアが、広域ネットワークにおいて実際に実行され、マルウェアと疑われる挙動を示すソフトウェアであり、
前記請求項1ないし4のいずれかに記載の系列データ間の類似性検査方法を用いて、該第2のソフトウェアの種類を、該第1のソフトウェアとの類似性を検査することにより特定する
ことを特徴とするマルウェアの検査方法。

【請求項6】
 
2つ以上の系列データを比較して系列データ間の類似性を検査する類似性検査方法であって、
コンピュータの系列データ変換処理手段が、該各系列データを次の各工程:
コンピュータの演算手段が、入力された系列データについて、離散フーリエ変換して横軸に周波数、縦軸に周波数成分の強度を表すスペクトラムを得る離散フーリエ変換処理工程、
コンピュータのデータ抽出手段が、該スペクトラムについて、該縦軸において所定の閾値を超える周波数強度を持つ要素を抽出し、その出現位置の値の系列を得る出現位置系列取得工程、
コンピュータの出現位置値正規化処理手段が、該スペクトラムにおける最も強度の強いスペクトルの出現位置の値で、該出現位置の値の系列の値を全て除算し、正規化された出現位置の値の系列を得る出現位置値正規化処理工程、
コンピュータの調波構造正規化処理手段が、該正規化された出現位置値の系列について、標準偏差を用いた正規化処理を行う調波構造正規化処理工程
により変換する系列データ変換処理ステップ、
コンピュータの相関係数算出手段が、変換後の各系列データから所定の相関関係式を用いて相関係数を算出する相関係数算出ステップ
を有する
ことを特徴とする系列データ間の類似性検査方法。

【請求項7】
 
前記系列データ変換処理ステップにおいて、
前記離散フーリエ変換処理工程の後に、
コンピュータのデータ抽出手段が、所定の閾値以上の高周波数成分を除去する高周波数成分除去処理工程を含む
ことを特徴とする請求項6に記載の系列データ間の類似性検査方法。

【請求項8】
 
前記系列データ変換処理ステップの後に、
コンピュータのデータ整形手段が、変換後の各系列データについて、基本周波数における出現位置において各系列データを同期すると共に、該基本周波数間で出現位置値がない場合には所定の値を補完するデータ整形ステップを有する
ことを特徴とする請求項6又は7に記載の系列データ間の類似性検査方法。

【請求項9】
 
ネットワーク上で他のコンピュータに対して不正処理を行う第1のソフトウェアの処理結果から得られる第1の系列データと、検査対象の第2のソフトウェアの処理結果から得られる第2の系列データとを比較してその類似性を検査する類似性検査装置であって、
該第1のソフトウェアの不正処理の結果を検出しその結果を第1の系列データとして得る不正処理結果検知手段と、
該第2のソフトウェアの処理結果を検出しその結果を第2の系列データとして得る検査対象処理結果検知手段と、
該第1の系列データ及び該第2の系列データを変換処理する系列データ変換処理手段であって、
入力された系列データについて、離散フーリエ変換して横軸に周波数、縦軸に周波数成分の強度を表すスペクトラムを得る離散フーリエ変換処理部と、
該スペクトラムについて、該縦軸において所定の閾値を超える周波数強度を持つ要素を抽出し、その出現位置の値の系列を得る出現位置系列取得部と、
該スペクトラムにおける最も強度の強いスペクトルの出現位置の値で、該出現位置の値の系列の値を全て除算し、正規化された出現位置の値の系列を得る出現位置値正規化処理部と
該正規化された出現位置値の系列について、標準偏差を用いた正規化処理を行う調波構造正規化処理部と
を少なくとも含むコンピュータの系列データ変換処理手段と、
変換後の第1の系列データと変換後の第2の系列データとから所定の相関関係式を用いて相関係数を算出するコンピュータの相関係数算出手段と
を少なくとも備える
ことを特徴とする系列データ間の類似性検査装置。

【請求項10】
 
前記系列データ変換処理手段が、
離散フーリエ変換処理部から出力されたスペクトラムにおいて、所定の閾値以上の高周波数成分を除去する高周波数成分除去処理部を含む
ことを特徴とする請求項9に記載の系列データ間の類似性検査装置。

【請求項11】
 
前記系列データ間の類似性検査装置が、
調波構造正規化処理部において正規化された第1及び第2の系列データについて、基本周波数における出現位置において両系列データを同期すると共に、該基本周波数間で出現位置値がない場合には所定の値を補完するデータ整形手段を備えた
ことを特徴とする請求項9又は10に記載の系列データ間の類似性検査装置。

【請求項12】
 
前記不正処理結果検知手段及び検査対象処理結果検知手段が、それぞれ第1及び第2のソフトウェアによる、他のコンピュータのネットワークアドレスに対する連続的なスキャンを検知する構成であって、前記第1及び第2の系列データとして、スキャンしたネットワークアドレスの値の列を用いる
ことを特徴とする請求項9ないし11のいずれかに記載の系列データ間の類似性検査装置。

【請求項13】
 
前記第1のソフトウェアが、閉じられたネットワークにおいて検査のために実行されるマルウェアであり、前記第2のソフトウェアが、広域ネットワークにおいて実際に実行され、マルウェアと疑われる挙動を示すソフトウェアであり、
前記請求項1ないし4に記載の系列データ間の類似性検査方法を用いて、該第2のソフトウェアの種類を、該第1のソフトウェアとの類似性を検査することにより特定する
ことを特徴とするマルウェアの検査装置。

【請求項14】
 
2つ以上の系列データを比較して系列データ間の類似性を検査する類似性検査装置であって、
該各系列データを変換処理する系列データ変換処理手段であって、
入力された系列データについて、離散フーリエ変換して横軸に周波数、縦軸に周波数成分の強度を表すスペクトラムを得る離散フーリエ変換処理部と、
該スペクトラムについて、該縦軸において所定の閾値を超える周波数強度を持つ要素を抽出し、その出現位置の値の系列を得る出現位置系列取得部と、
該スペクトラムにおける最も強度の強いスペクトルの出現位置の値で、該出現位置の値の系列の値を全て除算し、正規化された出現位置の値の系列を得る出現位置値正規化処理部と
該正規化された出現位置値の系列について、標準偏差を用いた正規化処理を行う調波構造正規化処理部と
を少なくとも含むコンピュータの系列データ変換処理手段と、
変換後の各系列データから所定の相関関係式を用いて相関係数を算出する相関係数算出手段
とを備える
ことを特徴とする系列データ間の類似性検査装置。

【請求項15】
 
前記系列データ変換処理手段が、
離散フーリエ変換処理部から出力されたスペクトラムにおいて、所定の閾値以上の高周波数成分を除去する高周波数成分除去処理部を含む
ことを特徴とする請求項14に記載の系列データ間の類似性検査装置。

【請求項16】
 
前記系列データ間の類似性検査装置が、
調波構造正規化処理部において正規化された第1及び第2の系列データについて、基本周波数における出現位置において両系列データを同期すると共に、該基本周波数間で出現位置値がない場合には所定の値を補完するデータ整形手段を備えた
ことを特徴とする請求項14又は15に記載の系列データ間の類似性検査装置。
IPC(International Patent Classification)
F-term
Drawing

※Click image to enlarge.

JP2007012070thum.jpg
State of application right Registered
Reference ( R and D project ) Cybersecurity Research Institute
Please contact us by E-mail if you have any interests on this patent


PAGE TOP

close
close
close
close
close
close
close