特許

J-GLOBAL ID：201303061819744715

クラスタリングを使用した行動シグネチャの生成

発明者： サティッシュ・ソーラブ ,  ペレイラ・シェーン
出願人/特許権者： シマンテック コーポレーション
代理人 (3件)： 池田 成人 ,  山口 和弘 ,  野田 雅一
公報種別：公表公報
出願番号（国際出願番号）：特願2013-508131
公開番号（公開出願番号）：特表2013-529335
出願日： 2011年04月25日
公開日（公表日）： 2013年07月18日
要約：

マルウェアを検出するための行動シグネチャを生成する。コンピュータを使用して、マルウェアデータセットにマルウェアの挙動トレースを収集する。挙動トレースは、マルウェアによって実行された連続挙動について説明する。挙動トレースを正規化してマルウェア挙動シーケンスを生成する。同様のマルウェア挙動シーケンスをまとめてクラスタリングする。クラスタ内のマルウェア挙動シーケンスは、マルウェアファミリの挙動について説明する。クラスタを分析してクラスタのマルウェアファミリに共通の挙動サブシーケンスを特定する。マルウェアファミリに対する挙動シグネチャは、挙動サブシーケンスを使用して生成する。可能であれば、新しいマルウェアのトレースを正規化して既存のクラスタと整合させる。そのクラスタに対する行動シグネチャは、クラスタ内の新しいマルウェアの挙動シーケンスおよび他のシーケンスに基づいて生成する。

請求項（抜粋）：

悪意のあるソフトウェア(マルウェア)を検出するために行動シグネチャを生成するコンピュータ実装方法であって、 コンピュータを使用して、マルウェアデータセットにマルウェアの挙動トレースを収集する工程であり、前記挙動トレースは、前記マルウェアによって実行された連続挙動について説明する、工程と、 前記マルウェアに対する前記挙動トレースを正規化してマルウェア挙動シーケンスを生成する工程と、 同様のマルウェア挙動シーケンスをクラスタにまとめてクラスタリングする工程であり、前記クラスタ内の前記マルウェア挙動シーケンスは、マルウェアファミリの挙動について説明する、工程と、 前記クラスタを分析して前記マルウェアファミリに共通の挙動サブシーケンスを特定する工程と、 前記挙動サブシーケンスを使用して前記マルウェアファミリに対する行動シグネチャを作成する工程と を含む、方法。

IPC (1件)：

G06F 21/56

FI (1件)：

G06F21/00 156G