本發(fā)明涉及黑名單生成裝置、黑名單生成系統(tǒng)、黑名單生成方法和黑名單生成程序。

背景技術(shù)：

通過(guò)網(wǎng)絡(luò)而進(jìn)行的攻擊復(fù)雜程度逐日遞增，僅憑入口對(duì)策難以完全防止惡意軟件對(duì)通信終端的感染。近些年來(lái)，在攻擊成功后如何早期發(fā)現(xiàn)，由此阻止受害的擴(kuò)大這樣的事后對(duì)策的重要性增加。

作為這種技術(shù)之一，已知制作黑名單的方法。作為黑名單制作方法，已知如下技術(shù)，對(duì)存在某種程度的惡性嫌疑的url實(shí)際進(jìn)行訪問(wèn)，根據(jù)此后的通信的舉動(dòng)來(lái)判斷是否為惡性，在此基礎(chǔ)上將其追加到黑名單中。

此外，還已知圖12所示的使用包含蜜罐技術(shù)的系統(tǒng)的方法。圖12是表示現(xiàn)有的黑名單生成系統(tǒng)的圖。在圖12所示的黑名單生成系統(tǒng)中，根據(jù)通過(guò)蜜罐技術(shù)取得的信息生成惡性u(píng)rl的黑名單，對(duì)此時(shí)還可取得的顯示出與惡性u(píng)rl的類(lèi)似性的url也提升警戒等級(jí)，嘗試信息收集并擴(kuò)充黑名單(例如，參照專(zhuān)利文獻(xiàn)1)。

在先技術(shù)文獻(xiàn)

專(zhuān)利文獻(xiàn)

專(zhuān)利文獻(xiàn)1：日本特開(kāi)2012-118713號(hào)公報(bào)

技術(shù)實(shí)現(xiàn)要素：

發(fā)明欲解決的課題

然而，在現(xiàn)有的實(shí)際訪問(wèn)存在惡性嫌疑的url的方法中，可制作高精度的黑名單，然而在可確認(rèn)到的惡性u(píng)rl的種類(lèi)中存在制約，因此存在無(wú)法效率良好地制作黑名單的問(wèn)題。此外，最近的惡意軟件進(jìn)行各種各樣的通信，若簡(jiǎn)單地將惡意軟件的通信目的地全都視為惡性u(píng)rl，并將與該惡性u(píng)rl存在類(lèi)似性的url一并用作黑名單則產(chǎn)生誤檢測(cè)的可能性較高，而且可檢測(cè)的惡意軟件的覆蓋范圍也不會(huì)變大。

于是，本發(fā)明的目的在于，效率良好地生成誤檢測(cè)較少且惡意軟件的覆蓋范圍較大的黑名單。

用于解決課題的手段

本發(fā)明的黑名單生成裝置的特征在于，具有：日志取得功能，其取得第一通信日志和第二通信日志，該第一通信日志從惡意軟件的通信中得到，該第二通信日志從規(guī)定的網(wǎng)絡(luò)的通信中得到；第一提取功能，其計(jì)算針對(duì)所述第一通信日志中包含的每個(gè)通信模式的出現(xiàn)頻度的第一統(tǒng)計(jì)值，提取該第一統(tǒng)計(jì)值滿足規(guī)定的條件的通信模式，將該通信模式作為黑名單的候選進(jìn)行輸出，其中，該通信模式是字段和值的組；第二提取功能，其計(jì)算針對(duì)所述第二通信日志中包含的每個(gè)通信模式的出現(xiàn)頻度的第二統(tǒng)計(jì)值，提取該第二統(tǒng)計(jì)值滿足規(guī)定的條件的通信模式，將該通信模式作為白名單進(jìn)行輸出；以及黑名單制作功能，其通過(guò)所述白名單的對(duì)應(yīng)的字段的值檢索所述黑名單的候選的值，將一致的通信模式從所述黑名單的候選中除去，從而制作黑名單。

此外，本發(fā)明的黑名單生成系統(tǒng)，具有：第一日志收集蓄積裝置，其從惡意軟件的通信中收集通信日志而作為第一通信日志進(jìn)行蓄積；第二日志收集蓄積裝置，其從規(guī)定的網(wǎng)絡(luò)的通信中收集通信日志而作為第二通信日志進(jìn)行蓄積；以及黑名單生成裝置，該黑名單生成系統(tǒng)的特征在于，所述黑名單生成裝置具有：日志取得功能，其取得被蓄積在所述第一日志收集蓄積裝置中的第一通信日志和被蓄積在所述第二日志收集蓄積裝置中的第二通信日志；第一提取功能，其計(jì)算針對(duì)所述第一通信日志中包含的每個(gè)通信模式的出現(xiàn)頻度的第一統(tǒng)計(jì)值，提取該第一統(tǒng)計(jì)值滿足規(guī)定的條件的通信模式，將該通信模式作為黑名單的候選進(jìn)行輸出，其中，該通信模式是字段和值的組；第二提取功能，其計(jì)算針對(duì)所述第二通信日志中包含的每個(gè)通信模式的出現(xiàn)頻度的第二統(tǒng)計(jì)值，提取該第二統(tǒng)計(jì)值滿足規(guī)定的條件的通信模式，將該通信模式作為白名單進(jìn)行輸出；以及黑名單制作功能，其通過(guò)所述白名單的對(duì)應(yīng)的字段的值來(lái)檢索所述黑名單的候選的值，將一致的通信模式從所述黑名單的候選除去，從而制作黑名單。

此外，本發(fā)明的黑名單生成方法的特征在于，包括：第一日志收集蓄積工序，從惡意軟件的通信中收集通信日志而作為第一通信日志進(jìn)行蓄積；第二日志收集蓄積工序，從規(guī)定的網(wǎng)絡(luò)的通信中收集通信日志而作為第二通信日志進(jìn)行蓄積；日志取得工序，取得在所述第一日志收集蓄積工序中蓄積的第一通信日志和在所述第二日志收集蓄積工序中蓄積的第二通信日志；第一提取工序，計(jì)算針對(duì)所述第一通信日志中包含的每個(gè)通信模式的出現(xiàn)頻度的第一統(tǒng)計(jì)值，提取該第一統(tǒng)計(jì)值滿足規(guī)定的條件的通信模式，將該通信模式作為黑名單的候選進(jìn)行輸出，該通信模式是字段和值的組；第二提取工序，計(jì)算針對(duì)所述第二通信日志中包含的每個(gè)通信模式的出現(xiàn)頻度的第二統(tǒng)計(jì)值，提取該第二統(tǒng)計(jì)值滿足規(guī)定的條件的通信模式，將該通信模式作為白名單進(jìn)行輸出；以及黑名單制作工序，通過(guò)所述白名單的對(duì)應(yīng)的字段的值來(lái)檢索所述黑名單的候選的值，將一致的通信模式從所述黑名單的候選中除去，從而制作黑名單。

此外，本發(fā)明的黑名單生成程序的特征在于，該黑名單生成程序使計(jì)算機(jī)執(zhí)行如下步驟：日志取得步驟，取得第一通信日志和第二通信日志，該第一通信日志從惡意軟件的通信中得到，該第二通信日志從規(guī)定的網(wǎng)絡(luò)的通信中得到；第一提取步驟，計(jì)算針對(duì)所述第一通信日志中包含的每個(gè)通信模式的出現(xiàn)頻度的第一統(tǒng)計(jì)值，提取該第一統(tǒng)計(jì)值中的滿足規(guī)定的條件的通信模式，將該通信模式作為黑名單的候選進(jìn)行輸出，該通信模式是字段和值的組；第二提取步驟，計(jì)算針對(duì)所述第二通信日志中包含的每個(gè)通信模式的出現(xiàn)頻度的第二統(tǒng)計(jì)值，提取該第二統(tǒng)計(jì)值滿足規(guī)定的條件的通信模式，將該通信模式作為白名單輸出；以及黑名單制作步驟，通過(guò)所述白名單的對(duì)應(yīng)的字段的值來(lái)檢索所述黑名單的候選的值，將一致的通信模式從所述黑名單的候選中除去，從而制作黑名單。

發(fā)明效果

根據(jù)本發(fā)明，能夠效率良好地生成誤檢測(cè)較少且惡意軟件的覆蓋范圍較大的黑名單。

附圖說(shuō)明

圖1是表示第一實(shí)施方式的黑名單生成系統(tǒng)的結(jié)構(gòu)的一例的圖。

圖2是表示第一實(shí)施方式的黑名單生成裝置的通信日志的字段的示例的圖。

圖3是表示第一實(shí)施方式的黑名單生成裝置的惡意通信日志的規(guī)范信息的示例的圖。

圖4是表示第一實(shí)施方式的黑名單生成裝置的黑名單候選的一例的圖。

圖5是表示第一實(shí)施方式的黑名單生成裝置的正常通信日志的規(guī)范信息的示例的圖。

圖6是表示第一實(shí)施方式的黑名單生成裝置的白名單的一例的圖。

圖7是表示第一實(shí)施方式的黑名單生成裝置的黑名單的一例的圖。

圖8是表示第一實(shí)施方式的黑名單生成裝置的黑名單的一例的圖。

圖9是表示第一實(shí)施方式的黑名單生成裝置的規(guī)范信息的示例的圖。

圖10是表示第一實(shí)施方式的黑名單生成系統(tǒng)的處理的一例的圖。

圖11是表示執(zhí)行黑名單生成程序的計(jì)算機(jī)的一例的圖。

圖12是表示現(xiàn)有的黑名單生成系統(tǒng)的圖。

具體實(shí)施方式

[第一實(shí)施方式的黑名單生成系統(tǒng)的結(jié)構(gòu)]

參照附圖對(duì)本發(fā)明的第一實(shí)施方式的結(jié)構(gòu)進(jìn)行說(shuō)明。首先，使用圖1說(shuō)明本實(shí)施方式的黑名單生成系統(tǒng)1的結(jié)構(gòu)。圖1是表示第一實(shí)施方式的黑名單生成系統(tǒng)的結(jié)構(gòu)的一例的圖。另外，本發(fā)明不限于本實(shí)施方式。

黑名單生成系統(tǒng)1包括日志收集/蓄積裝置100和200、黑名單生成裝置300。日志收集/蓄積裝置100進(jìn)行惡意軟件的通信日志的收集和蓄積。日志收集/蓄積裝置200進(jìn)行防御對(duì)象網(wǎng)絡(luò)中的通信日志的收集和蓄積。在本實(shí)施方式中，構(gòu)成為通過(guò)各自獨(dú)立的裝置來(lái)進(jìn)行惡意軟件的通信日志和防御對(duì)象網(wǎng)絡(luò)中的通信日志的收集和蓄積，也可以通過(guò)1個(gè)裝置進(jìn)行雙方的通信日志的收集和蓄積。

另外，在以下的說(shuō)明中，將惡意軟件的通信日志稱作“惡意通信日志”，將防御對(duì)象網(wǎng)絡(luò)中的通信日志稱作“正常通信日志”。此外，惡意軟件的通信日志是在被沙箱化后的惡意軟件的通信環(huán)境中執(zhí)行惡意軟件時(shí)被輸出的通信日志。

日志收集/蓄積裝置100和200例如將防火墻、web代理服務(wù)器、dns服務(wù)器的日志作為通信日志進(jìn)行收集。此外，還可以收集ids(intrusiondetectionsystem：入侵檢測(cè)系統(tǒng))、ips(intrusionpreventionsystem：入侵防御系統(tǒng))等的監(jiān)視通信的安全應(yīng)用的日志。

如圖1所示，日志收集/蓄積裝置100具有收集功能101、歸一化功能102和日志管理存儲(chǔ)器103。收集功能101從惡意軟件的通信環(huán)境中的前述的收集對(duì)象的設(shè)備和系統(tǒng)等收集通信日志。歸一化功能102按照?qǐng)D2所示的字段對(duì)所收集的通信日志進(jìn)行歸一化。圖2是表示第一實(shí)施方式的黑名單生成裝置的通信日志的字段的示例的圖。歸一化后的通信日志被存儲(chǔ)在日志管理存儲(chǔ)器103中。

如圖1所示，日志收集/蓄積裝置200具有與日志收集/蓄積裝置100同樣的結(jié)構(gòu)。日志收集/蓄積裝置200具有收集功能201、歸一化功能202和日志管理存儲(chǔ)器203。收集功能201從防御對(duì)象網(wǎng)絡(luò)中的前述的收集對(duì)象的設(shè)備和系統(tǒng)等收集通信日志。歸一化功能202按照?qǐng)D2所示的字段對(duì)所收集的通信日志進(jìn)行歸一化。歸一化后的通信日志被存儲(chǔ)在日志管理存儲(chǔ)器203中。

另外，圖2所示的字段僅為一例，由日志收集/蓄積裝置100和200進(jìn)行收集并進(jìn)行歸一化的通信日志的字段不限于圖2所示的內(nèi)容。此外，日志收集/蓄積裝置100和200無(wú)須對(duì)圖2所示的字段中的所有的字段都取得值，可以取得針對(duì)一部分字段的值。

如圖1所示，黑名單生成裝置300具有日志取得功能301、惡意通信日志前處理功能302、正常通信日志前處理功能303、單詞列表生成功能304、惡意通信規(guī)范提取功能305、正常通信規(guī)范提取功能306和黑名單制作功能307。

日志取得功能301取得從惡意軟件的通信中得到的惡意通信日志301a、以及從作為規(guī)定的網(wǎng)絡(luò)的防御對(duì)象網(wǎng)絡(luò)的通信中得到的正常通信日志301b。

作為第一提取功能的惡意通信規(guī)范提取功能305計(jì)算針對(duì)惡意通信日志302a中包含的作為字段和值的組的每個(gè)通信模式的出現(xiàn)頻度的統(tǒng)計(jì)值，提取統(tǒng)計(jì)值滿足規(guī)定的條件的通信模式，將該通信模式作為黑名單候選305a輸出。此外，惡意通信規(guī)范提取功能305還可以按照統(tǒng)計(jì)值的從大到小的順序排列惡意通信日志302a，將在規(guī)定的順位以上的通信模式作為黑名單候選305a輸出。

作為第二提取功能的正常通信規(guī)范提取功能306計(jì)算針對(duì)正常通信日志303a中包含的每個(gè)通信模式的出現(xiàn)頻度的統(tǒng)計(jì)值，提取統(tǒng)計(jì)值滿足規(guī)定的條件的通信模式，將該通信模式作為白名單306a輸出。此外，正常通信規(guī)范提取功能306還可以按照所述統(tǒng)計(jì)值的從大到小的順序排列正常通信日志303a，將在規(guī)定的順位以上的通信模式作為白名單306a輸出。

黑名單制作功能307通過(guò)白名單306a的對(duì)應(yīng)的字段的值來(lái)檢索黑名單候選305a的值，將從黑名單候選305a中除去了一致的通信模式后的內(nèi)容作為黑名單307a輸出。此外，所述黑名單制作功能307還可以對(duì)黑名單307a的值進(jìn)行正則表達(dá)后輸出。

正常通信日志前處理功能303從正常通信日志301b中提取出在規(guī)定的網(wǎng)絡(luò)內(nèi)進(jìn)行了一定次數(shù)以上的訪問(wèn)的通信目的地。此外，惡意通信日志前處理功能302從惡意通信日志301a中將針對(duì)所提取出的通信目的地的通信日志除外。

單詞列表生成功能304提取出在惡意通信日志302a中以一定以上的頻度出現(xiàn)的字符串，并生成單詞列表304a。此外，正常通信規(guī)范提取功能306對(duì)白名單306a的值中的與單詞列表304a中包含的字符串一致的部分以外的部分進(jìn)行正則表達(dá)。

另外，上述的功能中的惡意通信日志前處理功能302、正常通信日志前處理功能303、單詞列表生成功能304并非必須的結(jié)構(gòu)，然而可獲得進(jìn)一步提高由黑名單生成裝置300生成的黑名單307a的精度的效果。此后，對(duì)各功能的具體處理進(jìn)行說(shuō)明。

日志取得功能301對(duì)日志收集/蓄積裝置100和200進(jìn)行用于通信日志取得的詢問(wèn)。日志取得功能301還可以對(duì)日志收集/蓄積裝置100和200要求以特定的期間、字段和字段的值等作為檢索條件檢索通信日志，并響應(yīng)檢索結(jié)果。若進(jìn)行了來(lái)自日志取得功能301的詢問(wèn)，則日志收集/蓄積裝置100和200進(jìn)行通信日志的檢索，將檢索結(jié)果響應(yīng)給日志取得功能301。

日志取得功能301在從日志收集/蓄積裝置100和200取得了通信日志時(shí)，將惡意通信日志301a轉(zhuǎn)發(fā)給惡意通信日志前處理功能302，并將正常通信日志301b轉(zhuǎn)發(fā)給正常通信日志前處理功能303。

正常通信日志前處理功能303將作為正常通信日志301b的對(duì)象的終端中的規(guī)定的閾值以上的終端所訪問(wèn)的域作為防御對(duì)象網(wǎng)絡(luò)中的大眾的通信目的地。并且，正常通信日志前處理功能303將大眾的通信目的地列表化后作為除外列表303b輸出。除外列表303b被發(fā)送給惡意通信日志前處理功能302，正常通信日志303a被轉(zhuǎn)發(fā)給正常通信規(guī)范提取功能306。另外，作為除外列表303b，除了前述的域之外，還可以根據(jù)fqdn(fullyqualifieddomainname：完全合格域名)來(lái)制作。另外，作為大眾的通信目的地的例子，可舉出在用戶數(shù)較多的知名檢索網(wǎng)站(yahoo！(注冊(cè)商標(biāo))、google(注冊(cè)商標(biāo))等)使用的域。

惡意通信日志前處理功能302從日志取得功能301收取惡意通信日志301a，并從正常通信日志前處理功能303收取除外列表303b。惡意通信日志前處理功能302根據(jù)除外列表303b進(jìn)行惡意通信日志301a的過(guò)濾。即，從惡意通信日志301a中將通信目的地被包含在除外列表303b中的通信日志除外，并作為惡意通信日志302a輸出。并且，惡意通信日志前處理功能302將惡意通信日志302a轉(zhuǎn)發(fā)給單詞列表生成功能304和惡意通信規(guī)范提取功能305。此時(shí)，惡意通信日志前處理功能302還可以在除外列表303b中包含的通信目的地以外，將以作為廣告網(wǎng)站而著名的域或平時(shí)通常被訪問(wèn)的域作為通信目的地的通信日志也除外。

單詞列表生成功能304從惡意通信日志前處理功能302收取惡意通信日志302a。單詞列表生成功能304從惡意通信日志302a中提取出滿足規(guī)定的條件的字符串，生成單詞列表304a。作為規(guī)定的條件，例如可舉出字符串的長(zhǎng)度或出現(xiàn)次數(shù)超過(guò)一定的基準(zhǔn)，或者上述情況被組合起來(lái)的條件等。單詞列表304a被轉(zhuǎn)發(fā)給正常通信規(guī)范提取功能306。

惡意通信規(guī)范提取功能305從惡意通信日志前處理功能302收取惡意通信日志302a。并且，惡意通信規(guī)范提取功能305從惡意通信日志302a中按照?qǐng)D2所示的每個(gè)字段將各值的發(fā)生次數(shù)、惡意軟件數(shù)、發(fā)生率等作為圖3所示的規(guī)范信息提取出來(lái)。圖3是表示第一實(shí)施方式的黑名單生成裝置的惡意通信日志的規(guī)范信息的示例的圖。

并且，如圖4所示，惡意通信規(guī)范提取功能305將所提取的信息列表化后作為各字段的黑名單候選305a。圖4是表示第一實(shí)施方式的黑名單生成裝置的黑名單候選的一例的圖。此時(shí)，惡意通信規(guī)范提取功能305可以按照每個(gè)字段以排名形式表示各值，并將作為規(guī)定的順位以上的值作為黑名單候選305a。

例如，在圖3的例子中，從發(fā)生次數(shù)的值高的通信模式起依次排列惡意通信日志302a，將惡意通信日志302a中的發(fā)生次數(shù)的值高的3個(gè)通信模式作為黑名單候選305a輸出。這里，若將發(fā)生次數(shù)的值高的2個(gè)通信模式作為黑名單候選305a輸出，則字段為“發(fā)送目的地ip地址”且值為“10.0.0.3”的通信模式不會(huì)包含于黑名單候選305a。

另外，發(fā)生次數(shù)指的是惡意通信日志302a中的該值的出現(xiàn)次數(shù)，惡意軟件數(shù)指的是發(fā)生該值的惡意軟件的檢體數(shù)，發(fā)生率指的是在惡意通信日志302a中包含的惡意軟件的總檢體數(shù)中所占的所述惡意軟件數(shù)的比例。即，還可以如下所述表示。

發(fā)生次數(shù)＝該通信模式的出現(xiàn)次數(shù)(惡意軟件可發(fā)生重復(fù))

惡意軟件數(shù)＝發(fā)生該通信模式的惡意軟件數(shù)(惡意軟件不可發(fā)生重復(fù))

發(fā)生率＝發(fā)生該通信模式的惡意軟件數(shù)(惡意軟件不可發(fā)生重復(fù))/在惡意通信日志302a中包含的惡意軟件的總檢體數(shù)

另外，在圖3的例子中，排除了重復(fù)后的惡意軟件數(shù)為100。這種情況下，例如“發(fā)送目的地ip地址”是“192.168.10.30”的通信模式中的惡意軟件數(shù)是80，因此圖3所示，發(fā)生率為80/100＝0.8。

正常通信規(guī)范提取功能306從正常通信日志前處理功能303收取正常通信日志303a，并從單詞列表生成功能304收取單詞列表304a。并且，惡意通信規(guī)范提取功能305提取與惡意軟件有關(guān)的規(guī)范信息，而正常通信規(guī)范提取功能306提取與終端有關(guān)的規(guī)范信息。即，正常通信規(guī)范提取功能306從正常通信日志303a中按照?qǐng)D2所示的每個(gè)字段將各值的發(fā)生次數(shù)、終端數(shù)、發(fā)生率等作為圖5所示的規(guī)范信息提取出來(lái)。圖5是表示第一實(shí)施方式的黑名單生成裝置的正常通信日志的規(guī)范信息的示例的圖。

另外，發(fā)生次數(shù)指的是正常通信日志303a中的該值的出現(xiàn)次數(shù)，終端數(shù)指的是發(fā)生該值的終端數(shù)，發(fā)生率指的是在正常通信日志303a中包含的終端的總數(shù)中所占的所述終端數(shù)的比例。即，還可以如下所述表示。

發(fā)生次數(shù)＝該通信模式的出現(xiàn)次數(shù)(終端可發(fā)生重復(fù))

終端數(shù)＝發(fā)生該通信模式的終端數(shù)(終端不可發(fā)生重復(fù))

發(fā)生率＝發(fā)生該通信模式的終端數(shù)(終端不可發(fā)生重復(fù))/在正常通信日志303a中包含的終端的總數(shù)

另外，在圖5的例子中，排除了重復(fù)后的終端數(shù)為100。這種情況下，例如“發(fā)送目的地ip地址”為“10.0.0.3”的通信模式的終端數(shù)是40，因此如圖5所示，發(fā)生率為40/100＝0.4。

并且，如圖6所示，正常通信規(guī)范提取功能306將所提取出的信息列表化后作為各字段的白名單306a。圖6是表示第一實(shí)施方式的黑名單生成裝置的白名單的一例的圖。正常通信規(guī)范提取功能306考慮到在提取白名單306a時(shí)引起圖5所示的規(guī)范信息中的誤檢測(cè)的可能性，例如確定將發(fā)生率在0.2以上的白名單作為白名單306a提取出來(lái)等的條件。進(jìn)而，還可以確定查詢關(guān)鍵字始終不包含在白名單306a內(nèi)等針對(duì)各個(gè)字段的條件。

作為具體例，說(shuō)明正常通信規(guī)范提取功能306以發(fā)生率在0.2以上、其中字段是“查詢關(guān)鍵字”的情況下發(fā)生率在0.6以上作為條件來(lái)制作白名單306a的情況的例子。在圖5的例子中，例如在字段是“發(fā)送目的地ip地址”、值是“10.0.0.3”的通信模式中，發(fā)生率在0.2以上，字段并非“查詢關(guān)鍵字”，因此滿足條件，從而包含于白名單306a。與此相對(duì)，在字段是“查詢關(guān)鍵字”、值是“adv、b、c、code1、code2、id、p”的通信模式中，發(fā)生率是0.5，而字段是“查詢關(guān)鍵字”，因此不滿足發(fā)生率在0.6以上的條件，不包含于白名單306a。

此外，正常通信規(guī)范提取功能306可以與惡意通信規(guī)范提取功能305同樣地，按照各個(gè)字段通過(guò)排名形式表示各值，將作為規(guī)定的順位以上的值作為白名單306a。

例如，在圖5的例子中，可以從發(fā)生次數(shù)的值高的通信模式起依次排列正常通信日志303a，將正常通信日志303a中的發(fā)生次數(shù)的值高的2個(gè)通信模式作為白名單306a輸出。這種情況下，例如，字段為“發(fā)送目的地ip地址”且值為“192.168.10.30”的通信模式包含于白名單306a。

這里，例如在對(duì)某個(gè)值進(jìn)行正則表達(dá)并輸出給白名單306a的情況下，即便是與該值不同的值，只要與該證則表達(dá)則匹配，就作為相同的通信模式而對(duì)發(fā)生次數(shù)進(jìn)行計(jì)數(shù)。另一方面，在對(duì)某個(gè)值不進(jìn)行正則表達(dá)就輸出給白名單306a的情況下，對(duì)于與該值不同的值作為其他的通信模式對(duì)發(fā)生次數(shù)進(jìn)行計(jì)數(shù)。因此，即使是相同的值，進(jìn)行了正則表達(dá)的值相比未經(jīng)正則表達(dá)的值而言，在前述的排名中容易進(jìn)入上位。

于是，關(guān)于在單詞列表304a中包含的由字符串表現(xiàn)的值，可以不進(jìn)行正則表達(dá)就輸出給白名單306a。由此，在單詞列表304a中包含的由字符串表現(xiàn)的值在前述的排名中不易進(jìn)入上位，因此能夠更為正確地獲取惡意軟件的通信的特征，可防止原本包含在黑名單307a中較為適當(dāng)?shù)闹当话酌麊?06a從黑名單307a中除外。

黑名單制作功能307從惡意通信規(guī)范提取功能305收取黑名單候選305a，并從正常通信規(guī)范提取功能306收取白名單306a。并且，黑名單制作功能307從黑名單候選305a中將在白名單306a中記載的值除外，從而制作黑名單307a。

舉出具體的示例進(jìn)行說(shuō)明，例如在圖6所示的白名單306a的字段“發(fā)送目的地ip”內(nèi)記載有“10.0.0.3”的值。若使用該“10.0.0.3”的值檢索圖4所示的黑名單候選305a的字段“發(fā)送目的地ip”的值，則會(huì)存在與“10.0.0.3”一致的值，因此發(fā)送目的地ip為“10.0.0.3”的通信模式會(huì)被除外。對(duì)于字段“useragent”、“url”、“url路徑”也進(jìn)行同樣的處理。

其結(jié)果是，黑名單制作功能307制作圖7和圖8所示的黑名單307a。圖7和圖8是表示第一實(shí)施方式的黑名單生成裝置的黑名單的一例的圖。圖7表示通過(guò)實(shí)際值形式制作黑名單307a，圖8表示通過(guò)進(jìn)行了正則表達(dá)的模式形式制作黑名單307a。

在上述的說(shuō)明中，對(duì)分別輸出黑名單候選305a和白名單306a并將它們合并起來(lái)，從而制作黑名單307a的方法進(jìn)行了說(shuō)明，然而黑名單307a的制作方法不限于這種方法。例如圖9所示，還可以將惡意通信的規(guī)范信息與正常通信的規(guī)范信息直接合并起來(lái)比較，將應(yīng)從黑名單候選305a中除外的值除外，從而制作黑名單307a。

具體而言，在將包含于白名單306a的條件作為發(fā)生率在0.2以上、其中字段為“查詢關(guān)鍵字”的情況下發(fā)生率在0.6以上的情況下，字段是“發(fā)送目的地ip地址”而值是“10.0.0.3”的通信模式也包含于白名單306a，因此從黑名單候選305a中被除外，不再包含于黑名單307a。此外，字段為“查詢關(guān)鍵字”而值是“adv、b、c、code1、code2、id、p”的通信模式的發(fā)生率是0.5，而由于字段是“查詢關(guān)鍵字”，因此不滿足發(fā)生率在0.6以上的條件，不包含于白名單306a，因此不從黑名單候選305a中被除外，而包含于黑名單307a。

[第一實(shí)施方式的黑名單生成系統(tǒng)的處理]

使用圖10對(duì)本發(fā)明的第一實(shí)施方式的處理進(jìn)行說(shuō)明。圖10是表示第一實(shí)施方式的黑名單生成系統(tǒng)的處理的一例的圖。

如圖10所示，首先，日志收集/蓄積裝置100預(yù)先收集通信日志，在進(jìn)行了歸一化后將其蓄積(步驟s11)。日志收集/蓄積裝置200也同樣地預(yù)先收集通信日志，在進(jìn)行了歸一化后將其蓄積(步驟s12)。

日志取得功能301對(duì)日志收集/蓄積裝置100進(jìn)行用于取得日志的詢問(wèn)(步驟s13)，日志收集/蓄積裝置100進(jìn)行所蓄積的通信日志的檢索，將檢索結(jié)果響應(yīng)給日志取得功能301(步驟s14)。此外，日志取得功能301對(duì)日志收集/蓄積裝置200也進(jìn)行用于取得日志的詢問(wèn)(步驟s15)，日志收集/蓄積裝置200進(jìn)行所蓄積的通信日志的檢索，將檢索結(jié)果響應(yīng)給日志取得功能301(步驟s16)。

日志取得功能301將從日志收集/蓄積裝置100收取的通信日志作為惡意通信日志而轉(zhuǎn)發(fā)給惡意通信日志前處理功能302(步驟s17)。此外，日志取得功能301將從日志收集/蓄積裝置200收取的通信日志作為正常通信日志轉(zhuǎn)發(fā)給正常通信日志前處理功能303(步驟s18)。

正常通信日志前處理功能303根據(jù)正常通信日志制作除外列表(步驟s19)。正常通信日志前處理功能303將制作的除外列表轉(zhuǎn)發(fā)給惡意通信日志前處理功能302(步驟s20)。

惡意通信日志前處理功能302使用從正常通信日志前處理功能303收取的除外列表，對(duì)惡意通信日志進(jìn)行過(guò)濾(步驟s21)。惡意通信日志前處理功能302將進(jìn)行了過(guò)濾的前處理后的惡意通信日志轉(zhuǎn)發(fā)給惡意通信規(guī)范提取功能305(步驟s22)。此外，惡意通信日志前處理功能302將進(jìn)行了過(guò)濾的前處理后的惡意通信日志也轉(zhuǎn)發(fā)給單詞列表生成功能304(步驟s23)。正常通信日志前處理功能303將前處理后的正常通信日志轉(zhuǎn)發(fā)給正常通信規(guī)范提取功能306(步驟s24)。

單詞列表生成功能304根據(jù)惡意通信日志生成單詞列表(步驟s25)。單詞列表生成功能304將所生成的單詞列表轉(zhuǎn)發(fā)給正常通信規(guī)范提取功能306(步驟s26)。

惡意通信規(guī)范提取功能305根據(jù)惡意通信日志制作惡意通信的規(guī)范信息(步驟s27)。并且，惡意通信規(guī)范提取功能305根據(jù)制作的規(guī)范信息制作黑名單候選(步驟s28)。惡意通信規(guī)范提取功能305將制作的黑名單候選轉(zhuǎn)發(fā)給黑名單制作功能307(步驟s29)。

正常通信規(guī)范提取功能306根據(jù)正常通信日志而制作正常通信的規(guī)范信息(步驟s30)。并且，正常通信規(guī)范提取功能306根據(jù)制作的規(guī)范信息和單詞列表制作白名單(步驟s31)。正常通信規(guī)范提取功能306將制作的白名單轉(zhuǎn)發(fā)給黑名單制作功能307(步驟s32)。

黑名單制作功能307根據(jù)黑名單候選和白名單制作黑名單(步驟s33)。

[第一實(shí)施方式的效果]

在本實(shí)施方式的黑名單生成裝置300中，通過(guò)日志取得功能301取得從惡意軟件的通信中得到的惡意通信日志301a和從防御對(duì)象網(wǎng)絡(luò)的通信中得到的正常通信日志301b。并且，惡意通信規(guī)范提取功能305計(jì)算惡意通信日志301a中包含的作為字段和值的組的每個(gè)通信模式的出現(xiàn)頻度的統(tǒng)計(jì)值，將統(tǒng)計(jì)值滿足規(guī)定的條件的通信模式作為黑名單候選305a輸出。此外，正常通信規(guī)范提取功能306計(jì)算針對(duì)正常通信日志301b中包含的每個(gè)通信模式的出現(xiàn)頻度的統(tǒng)計(jì)值，將統(tǒng)計(jì)值滿足規(guī)定的條件的通信模式作為白名單306a輸出。進(jìn)而，黑名單制作功能307通過(guò)白名單306a的對(duì)應(yīng)的字段的值來(lái)檢索黑名單候選305a的值，將一致的通信模式從黑名單候選305a中除去，從而制作黑名單307a。

根據(jù)對(duì)由日志收集/蓄積裝置100得到的惡意通信日志進(jìn)行歸一化后的數(shù)據(jù)，可制作圖2所示的每個(gè)字段的黑名單。然而，這樣所制作的黑名單的誤檢測(cè)率非常高。于是，在本實(shí)施方式中，根據(jù)正常通信日志制作白名單，并通過(guò)將其與黑名單的候選合并而制作黑名單。

由此，能夠效率良好地生成誤檢測(cè)較少且惡意軟件的覆蓋范圍較大的黑名單。此外，通過(guò)將由本實(shí)施方式的黑名單生成裝置300生成的黑名單307a用于惡意軟件的檢測(cè)，能夠?qū)崿F(xiàn)高精度的感染終端或非法通信的早期發(fā)現(xiàn)。

此外，在本實(shí)施方式的黑名單生成裝置300中，惡意通信規(guī)范提取功能305按照統(tǒng)計(jì)值從高到低的順序排列惡意通信日志302a，將作為規(guī)定的順位以上的通信模式作為黑名單候選305a輸出。由此，能夠?qū)⑻岣哒`檢測(cè)率的通信模式從處理中除外。此外，正常通信規(guī)范提取功能306按照統(tǒng)計(jì)值從高到低的順序排列正常通信日志303a，將作為規(guī)定的順位以上的通信模式作為白名單306a輸出。由此，能夠?qū)⒔档蜋z測(cè)率的通信模式從處理中除外。

此外，在本實(shí)施方式的黑名單生成裝置300中，正常通信日志前處理功能303從正常通信日志301b中提取在防御對(duì)象網(wǎng)絡(luò)內(nèi)所訪問(wèn)的終端數(shù)在規(guī)定的閾值以上的通信目的地而作為除外列表303b輸出。并且，惡意通信日志前處理功能302從惡意通信日志301a中將針對(duì)在除外列表303b中記載的通信目的地的通信日志除外。由此，能夠降低將正常通信日志作為惡意通信日志檢測(cè)的誤檢測(cè)率，進(jìn)而能夠高效地進(jìn)行黑名單生成處理。

在本實(shí)施方式的黑名單生成裝置300中，單詞列表生成功能304提取在惡意通信日志302a中以一定以上的頻度出現(xiàn)的字符串，作為單詞列表304a輸出。并且，正常通信規(guī)范提取功能306對(duì)白名單306a的值中的與在單詞列表304a中包含的字符串一致的部分以外的部分進(jìn)行正則表達(dá)。由此，黑名單制作功能307使用白名單306a而能夠進(jìn)行廣泛的檢索。

此外，通過(guò)對(duì)單詞列表304a中包含的字符串不進(jìn)行正則表達(dá)，由此使得基于白名單306a的檢索成為限定的檢索，可減少在黑名單制作功能307中將原本為惡性的通信模式作為包含于白名單306a中的通信模式而除外的情況的發(fā)生。

[程序]

此外，還可以制作通過(guò)計(jì)算機(jī)可執(zhí)行的語(yǔ)言來(lái)記述由上述實(shí)施方式的黑名單生成裝置300執(zhí)行的處理的程序并執(zhí)行。這種情況下，由計(jì)算機(jī)執(zhí)行程序，由此可獲得與上述實(shí)施方式同樣的效果。進(jìn)而，還可以將該程序記錄在可由計(jì)算機(jī)讀取的記錄介質(zhì)中，并使計(jì)算機(jī)讀入在該記錄介質(zhì)中記錄的程序并執(zhí)行，由此實(shí)現(xiàn)與上述實(shí)施方式同樣的處理。以下，對(duì)執(zhí)行實(shí)現(xiàn)與黑名單生成裝置300同樣的功能的控制程序的計(jì)算機(jī)的一例進(jìn)行說(shuō)明。

圖11是表示執(zhí)行黑名單生成程序的計(jì)算機(jī)的一例的圖。如圖11所示，計(jì)算機(jī)1000例如具有存儲(chǔ)器1010、cpu(centralprocessingunit：中央處理單元)1020、硬盤(pán)驅(qū)動(dòng)器接口1030、磁盤(pán)驅(qū)動(dòng)器接口1040、串行接口1050、視頻適配器1060、網(wǎng)絡(luò)接口1070。這些各部通過(guò)總線1080而連接起來(lái)。

存儲(chǔ)器1010包括rom(readonlymemory：只讀存儲(chǔ)器)1011和ram(randomaccessmemory：隨機(jī)訪問(wèn)存儲(chǔ)器)1012。rom1011例如存儲(chǔ)bios(basicinputoutputsystem：基本輸入輸出系統(tǒng))等的boot程序。硬盤(pán)驅(qū)動(dòng)器接口1030與硬盤(pán)驅(qū)動(dòng)器1090連接。磁盤(pán)驅(qū)動(dòng)器接口1040與磁盤(pán)驅(qū)動(dòng)器1100連接。磁盤(pán)驅(qū)動(dòng)器1100例如供磁盤(pán)或光盤(pán)等的可裝卸的存儲(chǔ)介質(zhì)插入。串行接口1050例如連接有鼠標(biāo)1110和鍵盤(pán)1120。視頻適配器1060例如連接有顯示器1130。

這里，如圖11所示，硬盤(pán)驅(qū)動(dòng)器1090例如存儲(chǔ)os1091、應(yīng)用程序1092、程序模塊1093和程序數(shù)據(jù)1094。在上述實(shí)施方式中說(shuō)明的各信息例如被存儲(chǔ)于硬盤(pán)驅(qū)動(dòng)器1090或存儲(chǔ)器1010中。

此外，黑名單生成程序例如作為記述有由計(jì)算機(jī)1000執(zhí)行的指令的程序模塊而被存儲(chǔ)于硬盤(pán)驅(qū)動(dòng)器1090。具體而言，記述有由在上述實(shí)施方式中說(shuō)明的黑名單生成裝置300執(zhí)行的各處理的程序模塊被存儲(chǔ)于硬盤(pán)驅(qū)動(dòng)器1090。

此外，用于黑名單生成程序的信息處理的數(shù)據(jù)作為程序數(shù)據(jù)而例如被存儲(chǔ)于硬盤(pán)驅(qū)動(dòng)器1090。并且，cpu1020根據(jù)需要將存儲(chǔ)于硬盤(pán)驅(qū)動(dòng)器1090中的程序模塊1093或程序數(shù)據(jù)1094讀出到ram1012，執(zhí)行上述的各步驟。

另外，黑名單生成程序的程序模塊1093或程序數(shù)據(jù)1094不限于被存儲(chǔ)于硬盤(pán)驅(qū)動(dòng)器1090中的情況，例如還可以被存儲(chǔ)于可裝卸的存儲(chǔ)介質(zhì)中，通過(guò)磁盤(pán)驅(qū)動(dòng)器1100等而由cpu1020讀出?；蛘?，控制程序的程序模塊1093或程序數(shù)據(jù)1094還可以被存儲(chǔ)于通過(guò)lan(localareanetwork：局域網(wǎng))或wan(wideareanetwork：廣域網(wǎng))等的網(wǎng)絡(luò)而連接的其他計(jì)算機(jī)中，通過(guò)網(wǎng)絡(luò)接口1070而由cpu1020讀出。此外，還可以通過(guò)網(wǎng)絡(luò)接口1070等實(shí)時(shí)收集分組，從而收集數(shù)據(jù)。

標(biāo)號(hào)說(shuō)明

1黑名單生成系統(tǒng)

100，200日志收集/蓄積裝置

101，201收集功能

102，202歸一化功能

103，203日志管理存儲(chǔ)器

300黑名單生成裝置

301日志取得功能

301a，302a惡意通信日志

301b，303a正常通信日志

302惡意通信日志前處理功能

303正常通信日志前處理功能

303b除外列表

304單詞列表生成功能

304a單詞列表

305惡意通信規(guī)范提取功能

305a黑名單候選

306正常通信規(guī)范提取功能

306a白名單

307黑名單制作功能

307a黑名單