惡意通信模式提取裝置(10)具備：統(tǒng)計值計算部(132)，其由通信量日志(31)和通信量日志(21)計算對于字段及值的組即每個通信模式的出現(xiàn)頻度的統(tǒng)計值，該通信量日志(31)是惡意軟件所產(chǎn)生的通信量獲得的，該通信量日志(21)是由規(guī)定的通信環(huán)境中的通信量獲得的；惡意列表候選提取部(134)，其根據(jù)通過統(tǒng)計值計算部(132)而計算的統(tǒng)計值，針對每個通信模式，比較通信量日志(21)的出現(xiàn)頻度和通信量日志(31)的出現(xiàn)頻度，在兩者的出現(xiàn)頻度之差為規(guī)定的閾值以上的情況下，將該通信模式作為惡意通信模式而提取；及閾值設(shè)定部(135)，其以如下方式設(shè)定所述閾值：使錯誤地檢測惡意軟件所產(chǎn)生的通信量的概率即誤檢測率為一定值以下且使檢測惡意軟件所產(chǎn)生的通信量的概率即檢測率為一定值以上。

技術(shù)領(lǐng)域

本發(fā)明涉及惡意通信模式提取裝置及其系統(tǒng)和方法、記錄介質(zhì)。

背景技術(shù)

在以往的網(wǎng)絡(luò)攻擊對策中，通過殺毒軟件等而進行了入口對策，但無法完全防止感染，因此用于防止惡意軟件感染后的被害被擴大的出口對策的重要性變高。作為發(fā)現(xiàn)感染終端的手段，分析終端、網(wǎng)絡(luò)裝置的日志成為有力的手段，而在近年來導(dǎo)入SIEM而用作出口對策的企業(yè)也逐步增加。

在出口對策中發(fā)現(xiàn)感染終端，將惡意軟件感染終端從網(wǎng)絡(luò)分離。作為確定惡意軟件感染終端的方法，具有通過分析惡意軟件的舉動而將特定的URL作為黑名單而提取，使黑名單與網(wǎng)絡(luò)日志匹配的方法。例如，具有如下方法：使用與惡意軟件特有的通信目的地的IP地址相關(guān)的黑名單，確定將該黑名單的IP地址作為目的地而進行通信的終端。

現(xiàn)有技術(shù)文獻

專利文獻

專利文獻1：日本專利第5009244號公報

非專利文獻

非專利文獻1：SANS Eighth Annual 2012 Log and Event Management SurveyResults：Sorting Through the Noise，[online]，[平成26年10月31日検索]，互聯(lián)網(wǎng)URL:http://www.sans.org/reading-room/whitepapers/analyst/eighth-annual-2012-log-event-management-survey-results-sorting-noise-35230

非專利文獻2：R.Perdisci以外，「Behavioral Clustering of HTTP-BasedMalware and Signature Generation Using Malicious Network Traces」，NSDI，Apr.2010.

發(fā)明內(nèi)容

發(fā)明要解決的課題

但是，近年的惡意軟件進行各種各樣的通信，因此僅提取通信目的地的URL的情況下，誤檢測的可能性較高，另外不能擴大可檢測的惡意軟件的范圍。實際上，有的惡意軟件為了確認外部通訊而訪問有名網(wǎng)站。該通信與正常通信無法區(qū)分。另外，有的惡意軟件不進行Web訪問，使用正常通信中不使用的端口編號而與外部進行通信。在該情況下，通過與惡意URL的匹配則無法進行檢測。

另外，當發(fā)生誤檢測時，需要由操作者進行手動分析，因此要分析到惡意軟件感染終端為止需要時間，操作的成本也增加，因此優(yōu)選為盡可能降低誤檢測而檢測出惡意軟件感染終端。在此，本發(fā)明的目的在于提取誤檢測少的惡意通信模式。

用于解決課題的手段