本發(fā)明涉及惡意通信模式提取裝置、惡意通信模式提取系統(tǒng)、惡意通信模式提取方法及惡意通信模式提取程序。

背景技術：

在以往的網(wǎng)絡攻擊對策中，通過殺毒軟件等而進行了入口對策，但無法完全防止感染，因此用于防止惡意軟件感染后的被害被擴大的出口對策的重要性變高。作為發(fā)現(xiàn)感染終端的手段，分析終端、網(wǎng)絡裝置的日志成為有力的手段，而在近年來導入siem而用作出口對策的企業(yè)也逐步增加。

在出口對策中發(fā)現(xiàn)感染終端，將惡意軟件感染終端從網(wǎng)絡分離。作為確定惡意軟件感染終端的方法，具有通過分析惡意軟件的舉動而將特定的url作為黑名單而提取，使黑名單與網(wǎng)絡日志匹配的方法。例如，具有如下方法：使用與惡意軟件特有的通信目的地的ip地址相關的黑名單，確定將該黑名單的ip地址作為目的地而進行通信的終端。

現(xiàn)有技術文獻

專利文獻

專利文獻1：日本專利第5009244號公報

非專利文獻

非專利文獻1：sanseighthannual2012logandeventmanagementsurveyresults：sortingthroughthenoise，[online]，[平成26年10月31日検索]，互聯(lián)網(wǎng)<url:http://www.sans.org/reading-room/whitepapers/analyst/eighth-annual-2012-log-event-management-survey-results-sorting-noise-35230>

非專利文獻2：r.perdisci以外，「behavioralclusteringofhttp-basedmalwareandsignaturegenerationusingmaliciousnetworktraces」，nsdi，apr.2010.

技術實現(xiàn)要素：

發(fā)明要解決的課題

但是，近年的惡意軟件進行各種各樣的通信，因此僅提取通信目的地的url的情況下，誤檢測的可能性較高，另外不能擴大可檢測的惡意軟件的范圍。實際上，有的惡意軟件為了確認外部通訊而訪問有名網(wǎng)站。該通信與正常通信無法區(qū)分。另外，有的惡意軟件不進行web訪問，使用正常通信中不使用的端口編號而與外部進行通信。在該情況下，通過與惡意url的匹配則無法進行檢測。

另外，當發(fā)生誤檢測時，需要由操作者進行手動分析，因此要分析到惡意軟件感染終端為止需要時間，操作的成本也增加，因此優(yōu)選為盡可能降低誤檢測而檢測出惡意軟件感染終端。在此，本發(fā)明的目的在于提取誤檢測少的惡意通信模式。

用于解決課題的手段

為了解決上述課題，本發(fā)明的惡意通信模式提取裝置，其提取惡意通信模式，該惡意通信模式用于檢測惡意軟件所產(chǎn)生的通信量，該惡意通信模式提取裝置的特征在于，其具備：統(tǒng)計值計算部，其由第一通信量日志和第二通信量日志計算對于每個通信模式的出現(xiàn)頻度的統(tǒng)計值，其中，該第一通信量日志是由所述惡意軟件所產(chǎn)生的通信量獲得的，該第二通信量日志是由規(guī)定的通信環(huán)境中的通信量獲得的，該通信模式是字段及值的組；提取部，其根據(jù)所述統(tǒng)計值計算部計算出的統(tǒng)計值，針對每個所述通信模式，比較所述第一通信量日志的出現(xiàn)頻度和所述第二通信量日志的出現(xiàn)頻度，在兩者的出現(xiàn)頻度之差為規(guī)定的閾值以上的情況下，將該通信模式作為所述惡意通信模式而進行提?。患伴撝翟O定部，其在適用了所述提取部提取出的所述惡意通信模式的情況下，為了檢測是否為所述惡意軟件所產(chǎn)生的通信量，作為與至少一種該惡意通信模式一致的次數(shù)或與該惡意通信模式一致時的該惡意通信模式的種類數(shù)的閾值，以使得誤檢測率為一定值以下且使檢測率為一定值以上的方式設定所述閾值，其中，該誤檢測率是錯誤地檢測所述惡意軟件所產(chǎn)生的通信量的概率，該檢測率是檢測所述惡意軟件所產(chǎn)生的通信量的概率。

另外，本發(fā)明的惡意通信模式提取系統(tǒng)，其具備：惡意通信模式提取裝置，其提取惡意通信模式，該惡意通信模式用于檢測惡意軟件所產(chǎn)生的通信量；第一網(wǎng)絡，其產(chǎn)生第一通信量日志，該第一通信量日志是由所述惡意軟件所產(chǎn)生的通信量獲得的；及第二網(wǎng)絡，其產(chǎn)生第二通信量日志，該第二通信量日志是由規(guī)定的通信環(huán)境中的通信量獲得的，所述惡意通信模式提取系統(tǒng)的特征在于，所述惡意通信模式提取裝置具備：統(tǒng)計值計算部，其由所述第一通信量日志和所述第二通信量日志計算對于每個通信模式的出現(xiàn)頻度的統(tǒng)計值，該通信模式是字段及值的組；提取部，其根據(jù)所述統(tǒng)計值計算部計算出的統(tǒng)計值，針對每個所述通信模式，比較所述第一通信量日志的出現(xiàn)頻度和所述第二通信量日志的出現(xiàn)頻度，在兩者的出現(xiàn)頻度之差為規(guī)定的閾值以上的情況下，將該通信模式作為所述惡意通信模式而進行提??；及閾值設定部，其在適用了所述提取部提取出的所述惡意通信模式的情況下，為了檢測是否為所述惡意軟件所產(chǎn)生的通信量，作為與至少一種該惡意通信模式一致的次數(shù)或與該惡意通信模式一致時的該惡意通信模式的種類數(shù)的閾值，以使得誤檢測率為一定值以下且檢測率為一定值以上的方式設定所述閾值，其中，該誤檢測率是錯誤地檢測所述惡意軟件所產(chǎn)生的通信量的概率，該檢測率是檢測所述惡意軟件所產(chǎn)生的通信量的概率。

另外，本發(fā)明的惡意通信模式提取方法，提取惡意通信模式，該惡意通信模式用于檢測惡意軟件所產(chǎn)生的通信量，該惡意通信模式提取方法的特征在于，包括：第一通信量日志發(fā)生工序，產(chǎn)生第一通信量日志，該第一通信量日志是由所述惡意軟件所產(chǎn)生的通信量獲得的；第二通信量日志發(fā)生工序，產(chǎn)生第二通信量日志，該第二通信量日志是由規(guī)定的通信環(huán)境中的通信量獲得的；統(tǒng)計值計算工序，由所述第一通信量日志和所述第二通信量日志計算對于每個通信模式的出現(xiàn)頻度的統(tǒng)計值，該通信模式是字段及值的組；提取工序，根據(jù)通過所述統(tǒng)計值計算工序計算出的統(tǒng)計值，針對每個所述通信模式，比較所述第一通信量日志的出現(xiàn)頻度和所述第二通信量日志的出現(xiàn)頻度，在兩者的出現(xiàn)頻度之差為規(guī)定的閾值以上的情況下，將該通信模式作為所述惡意通信模式而進行提??；及閾值設定工序，在適用了通過所述提取工序提取出的所述惡意通信模式的情況下，為了檢測是否為所述惡意軟件所產(chǎn)生的通信量，作為與至少一種該惡意通信模式一致的次數(shù)或與該惡意通信模式一致時的該惡意通信模式的種類數(shù)的閾值，以使得誤檢測率為一定值以下且檢測率為一定值以上的方式設定所述閾值，其中，該誤檢測率是錯誤地檢測所述惡意軟件所產(chǎn)生的通信量的概率，該檢測率是檢測所述惡意軟件所產(chǎn)生的通信量的概率。

另外，本發(fā)明的惡意通信模式提取程序，其用于提取惡意通信模式，該惡意通信模式用于檢測惡意軟件所產(chǎn)生的通信量，該惡意通信模式提取程序的特征在于，其使計算機執(zhí)行如下步驟：統(tǒng)計值計算步驟，由第一通信量日志和第二通信量日志計算對于每個通信模式的出現(xiàn)頻度的統(tǒng)計值，其中，該第一通信量日志是由所述惡意軟件所產(chǎn)生的通信量獲得的，該第二通信量日志是由規(guī)定的通信環(huán)境中的通信量獲得的，該通信模式是字段及值的組；提取步驟，根據(jù)通過所述統(tǒng)計值計算步驟計算出的統(tǒng)計值，針對每個所述通信模式，比較所述第一通信量日志的出現(xiàn)頻度和所述第二通信量日志的出現(xiàn)頻度，在兩者的出現(xiàn)頻度之差為規(guī)定的閾值以上的情況下，將該通信模式作為所述惡意通信模式而進行提?。患伴撝翟O定步驟，在適用了通過所述提取步驟提取出的所述惡意通信模式的情況下，為了檢測是否為所述惡意軟件所產(chǎn)生的通信量，作為與至少一種該惡意通信模式一致的次數(shù)或與該惡意通信模式一致時的該惡意通信模式的種類數(shù)的閾值，以使得誤檢測率為一定值以下且檢測率為一定值以上的方式設定所述閾值，其中，誤檢測率是錯誤地檢測所述惡意軟件所產(chǎn)生的通信量的概率，該檢測率是檢測所述惡意軟件所產(chǎn)生的通信量的概率。

發(fā)明效果

根據(jù)本發(fā)明，能夠提取誤檢測少的惡意通信模式。

附圖說明

圖1是表示惡意通信模式提取裝置的結構的圖。

圖2是表示異常通信量檢測系統(tǒng)的結構的圖。

圖3是表示由惡意通信模式提取裝置進行處理的通信量日志的字段的一例的圖。

圖4是表示可附加至通信量日志的字段的一例的圖。

圖5是表示惡意軟件所產(chǎn)生的通信量的一例的圖。

圖6是表示在防御對象網(wǎng)絡發(fā)生的通信量的一例的圖。

圖7是表示通信量的各個字段的統(tǒng)計值的一例的圖。

圖8是表示通信量的各個字段的合并后的統(tǒng)計值的一例的圖。

圖9是表示惡意列表候選的一例的圖。

圖10是表示惡意列表候選的閾值的設定的一例的圖。

圖11是表示設定惡意列表候選的惡意軟件識別符的一例的圖。

圖12是表示惡意列表的一例的圖。

圖13是表示統(tǒng)計值計算處理的流程圖。

圖14是表示合并處理的流程圖。

圖15是表示惡意列表候選提取處理的流程圖。

圖16是表示閾值設定處理的流程圖。

圖17是表示識別符設定處理的流程圖。

圖18是表示惡意列表提取處理的流程圖。

圖19是表示執(zhí)行惡意通信模式提取程序的計算機的圖。

具體實施方式

下面，參照附圖，對實施本發(fā)明的具體形態(tài)(實施方式)進行說明。首先，使用圖1而對本實施方式的惡意通信模式提取裝置10的結構進行說明。圖1是表示惡意通信模式提取裝置的結構的圖。此外，本發(fā)明不限于本實施方式。

惡意通信模式提取裝置10具備輸入輸出部11、存儲部12、控制部13。輸入輸出部11例如輸入防御對象網(wǎng)絡20的通信量日志21、惡意軟件執(zhí)行環(huán)境30的通信量日志31等。此外，下面，以輸入到惡意通信模式提取裝置10的通信量日志為過去的通信量的日志的情況為例進行說明，但不限于此。

另外，作為由惡意軟件所產(chǎn)生的通信量獲得的第一通信量日志而產(chǎn)生通信量日志31的第一網(wǎng)絡即惡意軟件執(zhí)行環(huán)境30、作為由規(guī)定的通信環(huán)境中的通信量獲得的第二通信量日志而產(chǎn)生通信量日志21的第二網(wǎng)絡即防御對象網(wǎng)絡、提取用于進行惡意軟件所產(chǎn)生的通信量的檢測的惡意通信模式的惡意通信模式提取裝置10構成惡意通信模式提取系統(tǒng)。

對輸入到輸入輸出部11的通信量日志的字段進行說明。圖3是表示用惡意通信模式提取裝置進行處理的通信量日志的字段的一例的圖。如圖3所示，輸入到輸入輸出部11且由惡意通信模式提取裝置10進行處理的通信量日志中包括發(fā)送源ip地址、目的地ip地址、協(xié)議編號、發(fā)送源端口編號、發(fā)送字節(jié)數(shù)、url等。

實際能夠取得的通信量日志的字段根據(jù)取得日志的機器、軟件而不同。例如，在路由器、開關等網(wǎng)絡機器中，大多限定于ip地址、端口編號等tcp/ip層的信息。另外，在無法直接保存pcap的情況下，能夠取得http的頭信息、應用信息等更豐富的信息。

另外，對于通信量日志，可附加通信量日志的信息的統(tǒng)計信息、通過與外部信息的協(xié)作而追加的信息。例如，雖然在圖3的字段中未包括目的地的組織名稱，但可通過目的地ip地址和maxmind公司的geoip(注冊商標)而確定目的地的組織名稱。圖4是表示可附加至通信量日志的字段的一例的圖。如圖4所示，作為可附加的字段，可例舉通信量的目的地的組織名稱、as(autonomoussystem：自主系統(tǒng))編號、ipprefix、國名、應用名、通信量中所包括的流量的數(shù)等。作為外部信息，可例舉maxmind公司的geoip的ip地址和國家及組織名稱的映射數(shù)據(jù)庫、由bgp路徑信息實現(xiàn)的ip地址和as編號、ipprefix的映射數(shù)據(jù)庫或獨自地定義的數(shù)據(jù)庫等。

存儲部12存儲字段信息121、惡意通信模式122。字段信息121是表示在控制部13中作為如圖3所示的通信模式的提取對象的通信量的字段(例如，協(xié)議編號、目的地端口編號、目的地ip地址、發(fā)送源端口編號、發(fā)送字節(jié)數(shù)等)的信息。例如，控制部13參照該字段信息，從輸入的通信量日志，作為通信模式而提取協(xié)議編號、目的地端口編號、目的地ip地址、發(fā)送源端口編號、發(fā)送字節(jié)數(shù)的字段的值。

惡意通信模式122是在異常通信量的檢測中使用的通信模式，通過控制部13中的處理而提取。關于處理的詳細情況將后述。此外，被提取的惡意通信模式122在圖2所示的異常通信量檢測系統(tǒng)中使用。圖2是表示異常通信量檢測系統(tǒng)的結構的圖。如圖2所示，向異常通信量檢測裝置60輸入與互聯(lián)網(wǎng)50連接的網(wǎng)絡40的通信量日志41。另外，異常通信量檢測裝置60參照通過惡意通信模式提取裝置10提取的惡意通信模式122，從通信量日志41檢測異常通信量。

圖1所示的控制部13對惡意通信模式提取裝置10進行整體控制，包括通信量輸入受理部131、統(tǒng)計值計算部132、合并部133、惡意列表候選提取部134、閾值設定部135、識別符設定部136、惡意列表提取部137。

通信量輸入受理部131從輸入輸出部11受理通信量日志的輸入。在此，在受理的通信量日志中包括防御對象網(wǎng)絡20的通信量日志21及惡意軟件執(zhí)行環(huán)境30的通信量日志31。

惡意軟件執(zhí)行環(huán)境30是故意地通過已知的惡意軟件而執(zhí)行通信的環(huán)境。從惡意軟件執(zhí)行環(huán)境30可獲得惡意軟件所產(chǎn)生的通信量日志31。圖5是表示由惡意軟件發(fā)生的通信量的一例圖。

作為能夠唯一地指定惡意軟件的惡意軟件識別符，多數(shù)情況下使用取得惡意軟件文件的sha1哈希值的識別符等。圖5的惡意軟件識別符的“m1”表示sha1哈希值。此外，假設圖5所示的通信量日志中包括圖4所示的追加的字段的信息。

另外，防御對象網(wǎng)絡20是構成異常通信量檢測的對象的網(wǎng)絡。防御對象網(wǎng)絡20在正常的狀態(tài)下不發(fā)生通過惡意軟件進行的通信量。如圖6所示，在防御對象網(wǎng)絡20中，作為能夠唯一地識別終端的地址，多數(shù)情況下使用發(fā)送源ip地址。此外，與圖5的情況相同地，在圖6所示的通信量日志中也包括圖4所示的追加的字段的信息。

統(tǒng)計值計算部132由通過通信量輸入受理部131受理并附加了追加的字段的信息等的通信量日志計算圖7所示的統(tǒng)計值信息。圖7是表示通信量的各個字段的統(tǒng)計值的一例的圖。統(tǒng)計值計算部132由通信量日志31和通信量日志21計算對于字段及值的組即每個通信模式的出現(xiàn)頻度的統(tǒng)計值，該通信量日志31是由惡意軟件所產(chǎn)生的通信量獲得的，該通信量日志21是由規(guī)定的通信環(huán)境中的通信量獲得的。

具體地，如圖7所示，針對每個通信量日志的字段的值而計算統(tǒng)計值。另外，作為計算的統(tǒng)計值的例，可例舉發(fā)生率、惡意軟件數(shù)或終端數(shù)、發(fā)生次數(shù)等。成為統(tǒng)計值的計算對象的輸入通信量日志為圖1所示的防御對象網(wǎng)絡20的通信量日志21及惡意軟件執(zhí)行環(huán)境30的通信量日志31這兩者。但是，作為發(fā)送源的數(shù)，在通信量日志21中基于發(fā)送源ip地址而計算終端數(shù)，在通信量日志31中基于惡意軟件識別符而計算惡意軟件數(shù)。

在統(tǒng)計值的計算中，首先指定構成計算對象的字段。在圖7的例子中，在此指定多個從通信量可收集的任意的字段。另外，還可指定任意的字段的組合。在圖7所示的例子中，指定協(xié)議、協(xié)議+目的地端口、目的地ip地址、目的地組織、發(fā)送源端口、發(fā)送字節(jié)、url、dnsqueryname。

當指定字段時，對所指定的字段計算統(tǒng)計值。在此，對發(fā)生率、終端數(shù)或惡意軟件數(shù)、發(fā)生次數(shù)的計算方法進行說明。此外，在說明中，將終端數(shù)或惡意軟件數(shù)作為發(fā)生數(shù)而進行說明。

首先，發(fā)生數(shù)是指，在不允許終端或惡意軟件的重復的情況下從通信量日志中統(tǒng)計某個字段與值的組合的出現(xiàn)次數(shù)的數(shù)。接著，發(fā)生次數(shù)是指，在允許終端或惡意軟件的重復的情況下從通信量日志中統(tǒng)計某個字段與值的組合的出現(xiàn)次數(shù)的數(shù)。例如，在一個終端發(fā)生多次字段與值的組合相同的通信量的情況下，發(fā)生數(shù)為1，發(fā)生次數(shù)為多次。并且，發(fā)生率是指，將發(fā)生數(shù)除以全部終端數(shù)或全部惡意軟件數(shù)而獲得的值。在圖7的例子中，將全部終端數(shù)或全部惡意軟件數(shù)設為100。

從而，可將各個統(tǒng)計值的計算方法表示為如下。

發(fā)生數(shù)＝某個字段與值的組合的出現(xiàn)次數(shù)(終端或惡意軟件不可重復)

發(fā)生次數(shù)＝某個字段與值的組合的出現(xiàn)次數(shù)(終端或惡意軟件可重復)

發(fā)生率＝發(fā)生數(shù)/全部終端數(shù)或惡意軟件數(shù)

例如，在圖7的例子中，通信量日志中的目的地ip地址這樣的字段和“192.0.2.0”這樣的值的組合的出現(xiàn)次數(shù)為160，其中除了終端或惡意軟件的重復之外的發(fā)生數(shù)為80，將80除以全部終端數(shù)或惡意軟件數(shù)即100，其結果獲得的發(fā)生率為0.8。

合并部133在由防御對象網(wǎng)絡20的通信量日志21及惡意軟件執(zhí)行環(huán)境30的通信量日志31這兩者而計算統(tǒng)計值之后，如圖8所示，進行計算結果的合并。圖8是表示通信量的各個字段的合并后的統(tǒng)計值的一例的圖。圖8中，左側的發(fā)生率、惡意軟件數(shù)及發(fā)生次數(shù)的列是基于惡意軟件執(zhí)行環(huán)境30的通信量日志31計算的統(tǒng)計值，右側的發(fā)生率、終端數(shù)及發(fā)生次數(shù)的列是基于防御對象網(wǎng)絡20的通信量日志21計算的統(tǒng)計值。

如圖8所示，如果以左側的發(fā)生率、惡意軟件數(shù)及發(fā)生次數(shù)的列為基準，在防御對象網(wǎng)絡的各個通信量字段的值存在與惡意軟件的各個通信量字段的值相同的值，則合并部133將其值追加記載到右側的發(fā)生率、終端數(shù)及發(fā)生次數(shù)的列。另外，在防御對象網(wǎng)絡的各個通信量字段的值不存在與惡意軟件的各個通信量字段的值相同的值的情況下，合并部133追加記載連字符號。合并部133通過對各個字段及值反復進行以上的處理而進行合并。

接著，惡意列表候選提取部134基于進行了合并的統(tǒng)計值而提取惡意列表候選。圖9是表示惡意列表候選的一例的圖。惡意列表候選提取部134基于通過統(tǒng)計值計算部132而計算的統(tǒng)計值，針對每個通信模式，比較通信量日志21的出現(xiàn)頻度和通信量日志31的出現(xiàn)頻度，在兩者的出現(xiàn)頻度之差在規(guī)定的閾值以上的情況下，將該通信模式作為惡意通信模式而提取。例如，惡意列表候選提取部134在圖8所示的合并后的統(tǒng)計值之中參照發(fā)生率，在左側的惡意軟件執(zhí)行環(huán)境中的值足夠大，且右側的防御對象網(wǎng)絡中的值足夠小的情況下，提取其值。在上述的“足夠大”“足夠小”的判斷中，預先設定對統(tǒng)計值的閾值而進行判斷。并且，在惡意列表候選提取部134對各隔通信量字段提取到哪怕一個值的情況下，將“惡意列表采用可否”為ok。另外，在惡意列表候選提取部134對各個通信量字段一個值也未能提取到的情況下，將“惡意列表采用可否”為ng。惡意列表候選提取部134通過對各個字段及值反復進行以上的處理，從而提取惡意列表候選。

并且，閾值設定部135對所提取的惡意列表候選設定閾值。圖10是表示設定惡意列表候選的閾值的一例的圖。在適用了通過惡意列表候選提取部134而提取的惡意通信模式的情況下，閾值設定部135為了檢測是否為通過惡意軟件而發(fā)生的通信量，作為與至少一種該惡意通信模式一致的次數(shù)或與該惡意通信模式一致時的該惡意通信模式的種類數(shù)的閾值，以使得錯誤地檢測惡意軟件所產(chǎn)生的通信量的概率即誤檢測率為一定值以下且檢測惡意軟件所產(chǎn)生的通信量的概率即檢測率為一定值以上的方式設定閾值。

具體地，閾值設定部135在惡意列表采用可否為ok的惡意列表候選之中使用預先指定的多個閾值，提取對惡意軟件的通信量的檢測率為一定值以上且對防御對象網(wǎng)絡的通信量的誤檢測率為一定值以下的閾值。在此，以如下方式計算檢測率、誤檢測率。

檢測率＝使用惡意列表候選及閾值而檢測的惡意軟件數(shù)/全部惡意軟件數(shù)

誤檢測率＝使用惡意列表候選及閾值而檢測的終端數(shù)/全部終端數(shù)

閾值設定部135通過對各個惡意列表候選反復進行以上的處理而對惡意列表候選設定閾值。在圖10的例子中表示如下情況：例如由于將目的地組織為“c”的通信量的發(fā)生次數(shù)閾值設定為5，因此在目的地組織為“c”的通信量的發(fā)生次數(shù)為5次以上的情況下檢測為惡意軟件。根據(jù)圖8，在惡意軟件的通信量中目的地組織為“c”的發(fā)生次數(shù)為20，在防御對象網(wǎng)絡的通信量中目的地組織為“c”的發(fā)生次數(shù)為10。因此，目的地組織為“c”的通信量日志在惡意軟件的網(wǎng)絡中容易發(fā)生，在防御對象網(wǎng)絡中不太容易發(fā)生。

另外，閾值設定部135可設定種類數(shù)閾值。在圖10的例子中表示如下情況：例如由于將目的地組織為“c”的通信量的種類數(shù)閾值設定為1，因此在發(fā)生了哪怕一種目的地組織為“c”的通信模式的通信量的情況下，檢測為惡意軟件。根據(jù)圖8，在惡意軟件的通信量中目的地組織為“c”的惡意軟件數(shù)為20，防御對象網(wǎng)絡的通信量中的終端數(shù)為1。因此，從惡意軟件數(shù)及終端數(shù)也可知在目的地組織為“c”的通信量日志在惡意軟件的網(wǎng)絡中容易發(fā)生，在防御對象網(wǎng)絡中不太容易發(fā)生。

在設定閾值之后，如圖11所示，識別符設定部136設定通過各個惡意列表候選及閾值而可檢測的惡意軟件的識別符。圖11是表示設定惡意列表候選的惡意軟件識別符的一例的圖。識別符設定部136附加作為惡意通信模式而提取的情況下可檢測的用于識別惡意軟件的惡意軟件識別符。

例如，圖11表示在將目的地組織為“c”的通信量的發(fā)生次數(shù)的閾值檢測為5，或?qū)⒎N類數(shù)的閾值檢測為1的情況下，可檢測惡意軟件m6及m7的情況。另外，在將目的地ip地址為“192.0.2.2”的通信量的發(fā)生次數(shù)的閾值檢測為5，或?qū)⒎N類數(shù)的閾值檢測為1的情況下，可檢測惡意軟件m6。識別符設定部136通過對閾值設定完的各個惡意列表候選反復進行以上的處理來設定可檢測的惡意軟件的識別符。

如圖12所示，惡意列表提取部137在通過識別符設定部136而附加了惡意軟件識別符的通信模式之中，將被附加的惡意軟件識別符不包括在對其他的通信模式附加的惡意軟件識別符中的通信模式作為惡意通信模式而提取。圖12是表示惡意列表的一例的圖。

例如，通過對目的地組織的檢測而能夠檢測的惡意軟件m6及m7包括通過目的地ip地址而能夠檢測的惡意軟件m6，因此無需進行基于目的地ip地址的檢測，因此作為無需的檢測圖案而去除。通過對附加了可檢測的識別符的惡意列表進行以上的處理，從而可獲得最終的惡意列表。

此外，無需必須要進行通過識別符設定部136而進行的識別符的設定，惡意列表提取部137可以在通過閾值設定部135設定了閾值的時間點，將通過閾值設定部135而設定了閾值的通信模式作為惡意通信模式而提取。

(處理過程)

下面，對惡意通信模式提取裝置10的處理過程進行說明。首先，利用圖13而對通信量輸入受理部131及統(tǒng)計值計算部132中的處理進行說明。當向通信量輸入受理部131輸入通信量日志時(步驟s11)，通信量輸入受理部131指定通信量字段(步驟s12)。并且，統(tǒng)計值計算部132對所指定的各個通信量字段計算統(tǒng)計值(步驟s13)。作為統(tǒng)計值，具有發(fā)生率、終端數(shù)或惡意軟件數(shù)、發(fā)生次數(shù)等。

利用圖14而對合并部133中的處理進行說明。圖14是表示合并處理的流程圖。首先，將由統(tǒng)計值計算部132處理的惡意軟件執(zhí)行環(huán)境中的通信量字段的值和防御對象網(wǎng)絡中的通信量字段的值輸入到合并部133(步驟s21)。并且，對各個通信量字段反復進行合并處理(步驟s22)。

作為合并處理，首先，在與惡意軟件執(zhí)行環(huán)境中的通信量字段對應的值還存在于防御對象網(wǎng)絡中的通信量字段的情況下，在惡意軟件執(zhí)行環(huán)境中的通信量字段的值中追加記載防御對象網(wǎng)絡中的通信量字段的值。在與惡意軟件執(zhí)行環(huán)境中的通信量字段對應的值不存在于防御對象網(wǎng)絡中的通信量字段的情況下，在惡意軟件執(zhí)行環(huán)境中的通信量字段的值中追加記載連字符號(步驟s23)。

利用圖15，對惡意列表候選提取部134中的處理進行說明。圖15是表示惡意列表候選提取處理的流程圖。首先，向惡意列表候選提取部134輸入與通過合并部133而進行合并處理的各個通信量字段的值的發(fā)生相關的統(tǒng)計值(步驟s31)。并且，針對各個通信量字段，反復進行惡意列表候選提取處理(步驟s32)。

作為惡意列表候選提取處理，首先，指定對通信量字段的值的參數(shù)即統(tǒng)計值，在對于防御對象網(wǎng)絡中的統(tǒng)計值，惡意軟件執(zhí)行環(huán)境中的統(tǒng)計值足夠大的情況下，將其通信量字段及值作為惡意列表候選而提取。提取到哪怕1件與條件符合的值的通信量字段將“惡意列表采用可否”為ok(步驟s33)。

利用圖16，對閾值設定部135中的處理進行說明。圖16是表示閾值設定處理的流程圖。首先，將由惡意列表候選提取部134提取的各個通信量字段的惡意列表候選輸入到閾值設定部135(步驟s41)。并且，對于“惡意列表采用可否”為ok的通信量字段，反復進行閾值設定處理(步驟s42)。

作為閾值設定處理，首先，使用預先指定的多個閾值，提取惡意軟件的檢測率為一定值以上且對防御對象網(wǎng)絡的通信量的誤檢測率為一定值以下的閾值(步驟s43)。在從多個閾值中未提取任何閾值的情況下，將其通信量字段的“惡意列表采用可否”為ng(步驟s44)。

利用圖17，對識別符設定部136中的處理進行說明。圖17是表示識別符設定處理的流程圖。首先，將由閾值設定部135設定閾值的各個通信量字段的惡意列表候選輸入到識別符設定部136(步驟s51)。并且，對于“惡意列表采用可否”為ok的通信量字段，反復進行識別符設定處理(步驟s52)。

作為識別符設定處理，使用惡意列表候選的通信量字段及閾值而提取可識別的惡意軟件的識別符(步驟s53)。

利用圖18，對惡意列表提取部137中的處理進行說明。圖18是表示惡意列表提取處理的流程圖。首先，將由識別符設定部136附加了惡意軟件識別符的各個通信量字段的惡意列表候選輸入到惡意列表提取部137(步驟s61)。并且，對各個通信量字段，反復進行惡意列表提取處理(步驟s62)。

作為惡意列表提取處理，在包括不包含于其他的通信量字段的惡意軟件識別符的情況下采用該惡意列表提取處理，在所附加的識別符被全部包括在包含于其他的通信量字段的惡意軟件識別符的情況下，不采用該惡意列表提取處理(步驟s63)。通過以上的處理，獲得最終的惡意列表。

(程序)

另外，可將上述實施方式的惡意通信模式提取裝置10所執(zhí)行的處理制作成用計算機可執(zhí)行的語言來記述的程序而執(zhí)行。在該情況下，通過由計算機執(zhí)行程序，從而能夠獲得與上述實施方式相同的効果。進而，將相關的程序記錄到計算機可讀取的記錄介質(zhì)，并使計算機讀入記錄在該記錄介質(zhì)的程序而執(zhí)行，從而實現(xiàn)與上述實施方式相同的處理。下面，對執(zhí)行與惡意通信模式提取裝置10實現(xiàn)相同的功能的控制程序的計算機的一例進行說明。

圖19是表示執(zhí)行惡意通信模式提取程序的計算機的圖。如圖19所示，計算機1000例如具有存儲器1010、cpu(centralprocessingunit：中央處理單元)1020、硬盤驅(qū)動器接口1030、盤驅(qū)動器接口1040、串行端口接口1050、視頻適配器1060、網(wǎng)絡接口1070。通過總線1080而將各個部連接。

存儲器1010包括rom(readonlymemory：只讀存儲器)1011及ram(randomaccessmemory：隨機存取存儲器)1012。rom1011例如存儲bios(basicinputoutputsystem：基本輸入輸出系統(tǒng))等引導程序。硬盤驅(qū)動器接口1030與硬盤驅(qū)動器1090連接。盤驅(qū)動器接口1040與盤驅(qū)動器1100連接。例如將磁盤、光盤等可拆裝的存儲介質(zhì)插入到盤驅(qū)動器1100。串行端口接口1050例如與鼠標1110及鍵盤1120連接。視頻適配器1060例如與顯示器1130連接。

在此，如圖19所示，硬盤驅(qū)動器1090例如存儲os1091、應用程序1092、程序模塊1093及程序數(shù)據(jù)1094。在上述實施方式中說明的各個信息例如被存儲于硬盤驅(qū)動器1090、存儲器1010。

另外，惡意通信模式提取程序例如作為記錄有通過計算機1000而執(zhí)行的指令的程序模塊而存儲于硬盤驅(qū)動器1090。具體地，記述有在上述實施方式中說明的惡意通信模式提取裝置10所執(zhí)行的各個處理的程序模塊存儲于硬盤驅(qū)動器1090。

另外，通過惡意通信模式提取程序而進行的信息處理中所使用的數(shù)據(jù)作為程序數(shù)據(jù)例如存儲于硬盤驅(qū)動器1090。并且，cpu1020根據(jù)需要而在ram1012中讀出存儲于硬盤驅(qū)動器1090的程序模塊1093、程序數(shù)據(jù)1094，由此執(zhí)行上述的各個過程。

此外，涉及惡意通信模式提取程序的程序模塊1093、程序數(shù)據(jù)1094不限于存儲于硬盤驅(qū)動器1090，例如可存儲于可拆裝的存儲介質(zhì)并介由盤驅(qū)動器1100等而通過cpu1020來讀出。或者，涉及控制程序的程序模塊1093、程序數(shù)據(jù)1094也可存儲于介由lan(localareanetwork：局域網(wǎng))、wan(wideareanetwork：廣域網(wǎng))等網(wǎng)絡而連接的其他的計算機，并介由網(wǎng)絡接口1070而通過cpu1020來讀出。另外，也可以通過網(wǎng)絡接口1070等而實時地收集分組，從而收集數(shù)據(jù)。

符號的說明

10惡意通信模式提取裝置

11輸入輸出部

12存儲部

13控制部

131通信量輸入受理部

132統(tǒng)計值計算部

133合并部

134惡意列表候選提取部

135閾值設定部

136識別符設定部

137惡意列表提取部