系列データ間の類似性検査方法及び装置

開放特許情報番号
L2008004722
開放特許情報登録日
2008/8/29
最新更新日
2015/8/20

基本情報

出願番号 特願2007-012070
出願日 2007/1/22
出願人 独立行政法人情報通信研究機構
公開番号 特開2008-176752
公開日 2008/7/31
登録番号 特許第4883408号
特許権者 国立研究開発法人情報通信研究機構
発明の名称 系列データ間の類似性検査方法及び装置
技術分野 情報・通信
機能 制御・ソフトウェア
適用製品 系列データ間の類似性検査装置
目的 系列データ間の類似性を高精度に検査する手法を創出し、それによって広域ネットワークにおけるインシデントの解析結果と、各マルウェアの特性とを効率よく比較し、両者の相関を得ることを可能にする。同時に、同様の特徴を有する系列データの汎用的な類似性検査方法を提供する。
効果 複数の数値の列からなる系列データにおいて、その類似性を高精度に検査する検査方法及び装置を提供できる。特に、系列データの遷移に着目するものであり、各系列データ間の値が異なる値域にあったり、系列データの要素の数が異なったり、系列中で多少の入れ違いが生じていても、正規化処理、整形処理によって良好に類似性を検査できる。
技術概要
ネットワーク上で他のコンピュータに対して不正処理を行うマルウェアが送信する系列データと、検査対象のソフトウェアが送信する系列データとを比較してその類似性を検査する類似性検査方法である。不正処理結果検知手段20が、マルウェアの系列データを得るとともに、検査対象処理結果検知手段21が、検査対象の系列データを得る。系列データ変換処理手段22が、両系列データをフーリエ変換して正規化した後に、相関係数算出手段24が両者の相関係数を算出する。この装置1のCPU10には、順に不正処理結果検知部20、検査対象処理結果検知部21、系列データ変換処理部22、データ整形部23、相関関数算出部24、出力部25を備えている。まず系列データ変換処理部22において入力された系列データを離散フーリエ変換する。単にフーリエ変換するのみならず、これを最適な方法によって正規化処理し、相関係数算出部23で相関関数を得る。このために、図2に示すように、系列データ変換処理部22にはさらに、離散フーリエ変換処理部220、高周波数成分除去処理部221、出現位置系列取得部222、出現位置値正規化処理部223、調波構造正規化処理部224を備えている。
イメージ図
実施実績 【無】   
許諾実績 【無】   
特許権譲渡 【否】
特許権実施許諾 【可】

アピール情報

導入メリット 【 】
改善効果1 マルウェアの挙動のうち、IPアドレスなどのネットワークアドレスを連続してスキャンする構成が知られているが、この系列データとしてスキャンされたIPアドレスを用いることで、2つのマルウェアの類似性検査にも用いることができる。特に、ハニーポッドなど閉じられたネットワーク空間におけるマルウェアの検体における挙動と、広域ネットワークで生じているインシデントにおける挙動とを比較することで、マルウェアの特定のための検査方法として用いることもできる。

登録者情報

その他の情報

関連特許
国内 【無】
国外 【無】   
Copyright © 2018 INPIT