恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序

摘要

恶意通信模式提取装置(10)具备：统计值计算部(132)，其由通信量日志(31)和通信量日志(21)计算对于字段及值的组即每个通信模式的出现频度的统计值，该通信量日志(31)是恶意软件所产生的通信量获得的，该通信量日志(21)是由规定的通信环境中的通信量获得的；恶意列表候选提取部(134)，其根据通过统计值计算部(132)而计算的统计值，针对每个通信模式，比较通信量日志(21)的出现频度和通信量日志(31)的出现频度，在两者的出现频度之差为规定的阈值以上的情况下，将该通信模式作为恶意通信模式而提取；及阈值设定部(135)，其以如下方式设定所述阈值：使错误地检测恶意软件所产生的通信量的概率即误检测率为一定值以下且使检测恶意软件所产生的通信量的概率即检测率为一定值以上。

说明书

技术领域

本发明涉及恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序。

背景技术

在以往的网络攻击对策中，通过杀毒软件等而进行了入口对策，但无法完全防止感染，因此用于防止恶意软件感染后的被害被扩大的出口对策的重要性变高。作为发现感染终端的手段，分析终端、网络装置的日志成为有力的手段，而在近年来导入SIEM而用作出口对策的企业也逐步增加。

在出口对策中发现感染终端，将恶意软件感染终端从网络分离。作为确定恶意软件感染终端的方法，具有通过分析恶意软件的举动而将特定的URL作为黑名单而提取，使黑名单与网络日志匹配的方法。例如，具有如下方法：使用与恶意软件特有的通信目的地的IP地址相关的黑名单，确定将该黑名单的IP地址作为目的地而进行通信的终端。

现有技术文献

专利文献

专利文献1：日本专利第5009244号公报

非专利文献

非专利文献1：SANS Eighth Annual 2012 Log and Event Management SurveyResults：Sorting Through the Noise，[online]，[平成26年10月31日検索]，互联网<URL:http://www.sans.org/reading-room/whitepapers/analyst/eighth-annual-2012-log-event-management-survey-results-sorting-noise-35230>

非专利文献2：R.Perdisci以外，「Behavioral Clustering of HTTP-BasedMalware and Signature Generation Using Malicious Network Traces」，NSDI，Apr.2010.

发明内容

发明要解决的课题

但是，近年的恶意软件进行各种各样的通信，因此仅提取通信目的地的URL的情况下，误检测的可能性较高，另外不能扩大可检测的恶意软件的范围。实际上，有的恶意软件为了确认外部通讯而访问有名网站。该通信与正常通信无法区分。另外，有的恶意软件不进行Web访问，使用正常通信中不使用的端口编号而与外部进行通信。在该情况下，通过与恶意URL的匹配则无法进行检测。

另外，当发生误检测时，需要由操作者进行手动分析，因此要分析到恶意软件感染终端为止需要时间，操作的成本也增加，因此优选为尽可能降低误检测而检测出恶意软件感染终端。在此，本发明的目的在于提取误检测少的恶意通信模式。

用于解决课题的手段

为了解决上述课题，本发明的恶意通信模式提取装置，其提取恶意通信模式，该恶意通信模式用于检测恶意软件所产生的通信量，该恶意通信模式提取装置的特征在于，其具备：统计值计算部，其由第一通信量日志和第二通信量日志计算对于每个通信模式的出现频度的统计值，其中，该第一通信量日志是由所述恶意软件所产生的通信量获得的，该第二通信量日志是由规定的通信环境中的通信量获得的，该通信模式是字段及值的组；提取部，其根据所述统计值计算部计算出的统计值，针对每个所述通信模式，比较所述第一通信量日志的出现频度和所述第二通信量日志的出现频度，在两者的出现频度之差为规定的阈值以上的情况下，将该通信模式作为所述恶意通信模式而进行提取；及阈值设定部，其在适用了所述提取部提取出的所述恶意通信模式的情况下，为了检测是否为所述恶意软件所产生的通信量，作为与至少一种该恶意通信模式一致的次数或与该恶意通信模式一致时的该恶意通信模式的种类数的阈值，以使得误检测率为一定值以下且使检测率为一定值以上的方式设定所述阈值，其中，该误检测率是错误地检测所述恶意软件所产生的通信量的概率，该检测率是检测所述恶意软件所产生的通信量的概率。

另外，本发明的恶意通信模式提取系统，其具备：恶意通信模式提取装置，其提取恶意通信模式，该恶意通信模式用于检测恶意软件所产生的通信量；第一网络，其产生第一通信量日志，该第一通信量日志是由所述恶意软件所产生的通信量获得的；及第二网络，其产生第二通信量日志，该第二通信量日志是由规定的通信环境中的通信量获得的，所述恶意通信模式提取系统的特征在于，所述恶意通信模式提取装置具备：统计值计算部，其由所述第一通信量日志和所述第二通信量日志计算对于每个通信模式的出现频度的统计值，该通信模式是字段及值的组；提取部，其根据所述统计值计算部计算出的统计值，针对每个所述通信模式，比较所述第一通信量日志的出现频度和所述第二通信量日志的出现频度，在两者的出现频度之差为规定的阈值以上的情况下，将该通信模式作为所述恶意通信模式而进行提取；及阈值设定部，其在适用了所述提取部提取出的所述恶意通信模式的情况下，为了检测是否为所述恶意软件所产生的通信量，作为与至少一种该恶意通信模式一致的次数或与该恶意通信模式一致时的该恶意通信模式的种类数的阈值，以使得误检测率为一定值以下且检测率为一定值以上的方式设定所述阈值，其中，该误检测率是错误地检测所述恶意软件所产生的通信量的概率，该检测率是检测所述恶意软件所产生的通信量的概率。

另外，本发明的恶意通信模式提取方法，提取恶意通信模式，该恶意通信模式用于检测恶意软件所产生的通信量，该恶意通信模式提取方法的特征在于，包括：第一通信量日志发生工序，产生第一通信量日志，该第一通信量日志是由所述恶意软件所产生的通信量获得的；第二通信量日志发生工序，产生第二通信量日志，该第二通信量日志是由规定的通信环境中的通信量获得的；统计值计算工序，由所述第一通信量日志和所述第二通信量日志计算对于每个通信模式的出现频度的统计值，该通信模式是字段及值的组；提取工序，根据通过所述统计值计算工序计算出的统计值，针对每个所述通信模式，比较所述第一通信量日志的出现频度和所述第二通信量日志的出现频度，在两者的出现频度之差为规定的阈值以上的情况下，将该通信模式作为所述恶意通信模式而进行提取；及阈值设定工序，在适用了通过所述提取工序提取出的所述恶意通信模式的情况下，为了检测是否为所述恶意软件所产生的通信量，作为与至少一种该恶意通信模式一致的次数或与该恶意通信模式一致时的该恶意通信模式的种类数的阈值，以使得误检测率为一定值以下且检测率为一定值以上的方式设定所述阈值，其中，该误检测率是错误地检测所述恶意软件所产生的通信量的概率，该检测率是检测所述恶意软件所产生的通信量的概率。

另外，本发明的恶意通信模式提取程序，其用于提取恶意通信模式，该恶意通信模式用于检测恶意软件所产生的通信量，该恶意通信模式提取程序的特征在于，其使计算机执行如下步骤：统计值计算步骤，由第一通信量日志和第二通信量日志计算对于每个通信模式的出现频度的统计值，其中，该第一通信量日志是由所述恶意软件所产生的通信量获得的，该第二通信量日志是由规定的通信环境中的通信量获得的，该通信模式是字段及值的组；提取步骤，根据通过所述统计值计算步骤计算出的统计值，针对每个所述通信模式，比较所述第一通信量日志的出现频度和所述第二通信量日志的出现频度，在两者的出现频度之差为规定的阈值以上的情况下，将该通信模式作为所述恶意通信模式而进行提取；及阈值设定步骤，在适用了通过所述提取步骤提取出的所述恶意通信模式的情况下，为了检测是否为所述恶意软件所产生的通信量，作为与至少一种该恶意通信模式一致的次数或与该恶意通信模式一致时的该恶意通信模式的种类数的阈值，以使得误检测率为一定值以下且检测率为一定值以上的方式设定所述阈值，其中，误检测率是错误地检测所述恶意软件所产生的通信量的概率，该检测率是检测所述恶意软件所产生的通信量的概率。

发明效果

根据本发明，能够提取误检测少的恶意通信模式。

附图说明

图1是表示恶意通信模式提取装置的结构的图。

图2是表示異常通信量检测系统的结构的图。

图3是表示由恶意通信模式提取装置进行处理的通信量日志的字段的一例的图。

图4是表示可附加至通信量日志的字段的一例的图。

图5是表示恶意软件所产生的通信量的一例的图。

图6是表示在防御对象网络发生的通信量的一例的图。

图7是表示通信量的各个字段的统计值的一例的图。

图8是表示通信量的各个字段的合并后的统计值的一例的图。

图9是表示恶意列表候选的一例的图。

图10是表示恶意列表候选的阈值的设定的一例的图。

图11是表示设定恶意列表候选的恶意软件识别符的一例的图。

图12是表示恶意列表的一例的图。

图13是表示统计值计算处理的流程图。

图14是表示合并处理的流程图。

图15是表示恶意列表候选提取处理的流程图。

图16是表示阈值设定处理的流程图。

图17是表示识别符设定处理的流程图。

图18是表示恶意列表提取处理的流程图。

图19是表示执行恶意通信模式提取程序的计算机的图。

具体实施方式

下面，参照附图，对实施本发明的具体形态(实施方式)进行说明。首先，使用图1而对本实施方式的恶意通信模式提取装置10的结构进行说明。图1是表示恶意通信模式提取装置的结构的图。此外，本发明不限于本实施方式。

恶意通信模式提取装置10具备输入输出部11、存储部12、控制部13。输入输出部11例如输入防御对象网络20的通信量日志21、恶意软件执行环境30的通信量日志31等。此外，下面，以输入到恶意通信模式提取装置10的通信量日志为过去的通信量的日志的情况为例进行说明，但不限于此。

另外，作为由恶意软件所产生的通信量获得的第一通信量日志而产生通信量日志31的第一网络即恶意软件执行环境30、作为由规定的通信环境中的通信量获得的第二通信量日志而产生通信量日志21的第二网络即防御对象网络、提取用于进行恶意软件所产生的通信量的检测的恶意通信模式的恶意通信模式提取装置10构成恶意通信模式提取系统。

对输入到输入输出部11的通信量日志的字段进行说明。图3是表示用恶意通信模式提取装置进行处理的通信量日志的字段的一例的图。如图3所示，输入到输入输出部11且由恶意通信模式提取装置10进行处理的通信量日志中包括发送源IP地址、目的地IP地址、协议编号、发送源端口编号、发送字节数、URL等。

实际能够取得的通信量日志的字段根据取得日志的机器、软件而不同。例如，在路由器、开关等网络机器中，大多限定于IP地址、端口编号等TCP/IP层的信息。另外，在无法直接保存PCAP的情况下，能够取得HTTP的头信息、应用信息等更丰富的信息。

另外，对于通信量日志，可附加通信量日志的信息的统计信息、通过与外部信息的协作而追加的信息。例如，虽然在图3的字段中未包括目的地的组织名称，但可通过目的地IP地址和MaxMind公司的GeoIP(注册商标)而确定目的地的组织名称。图4是表示可附加至通信量日志的字段的一例的图。如图4所示，作为可附加的字段，可例举通信量的目的地的组织名称、AS(Autonomous System：自主系统)编号、IP Prefix、国名、应用名、通信量中所包括的流量的数等。作为外部信息，可例举MaxMind公司的GeoIP的IP地址和国家及组织名称的映射数据库、由BGP路径信息实现的IP地址和AS编号、IP Prefix的映射数据库或独自地定义的数据库等。

存储部12存储字段信息121、恶意通信模式122。字段信息121是表示在控制部13中作为如图3所示的通信模式的提取对象的通信量的字段(例如，协议编号、目的地端口编号、目的地IP地址、发送源端口编号、发送字节数等)的信息。例如，控制部13参照该字段信息，从输入的通信量日志，作为通信模式而提取协议编号、目的地端口编号、目的地IP地址、发送源端口编号、发送字节数的字段的值。

恶意通信模式122是在異常通信量的检测中使用的通信模式，通过控制部13中的处理而提取。关于处理的详细情况将后述。此外，被提取的恶意通信模式122在图2所示的異常通信量检测系统中使用。图2是表示異常通信量检测系统的结构的图。如图2所示，向異常通信量检测装置60输入与互联网50连接的网络40的通信量日志41。另外，異常通信量检测装置60参照通过恶意通信模式提取装置10提取的恶意通信模式122，从通信量日志41检测異常通信量。

图1所示的控制部13对恶意通信模式提取装置10进行整体控制，包括通信量输入受理部131、统计值计算部132、合并部133、恶意列表候选提取部134、阈值设定部135、识别符设定部136、恶意列表提取部137。

通信量输入受理部131从输入输出部11受理通信量日志的输入。在此，在受理的通信量日志中包括防御对象网络20的通信量日志21及恶意软件执行环境30的通信量日志31。

恶意软件执行环境30是故意地通过已知的恶意软件而执行通信的环境。从恶意软件执行环境30可获得恶意软件所产生的通信量日志31。图5是表示由恶意软件发生的通信量的一例图。

作为能够唯一地指定恶意软件的恶意软件识别符，多数情况下使用取得恶意软件文件的Sha1哈希值的识别符等。图5的恶意软件识别符的“M1”表示Sha1哈希值。此外，假设图5所示的通信量日志中包括图4所示的追加的字段的信息。

另外，防御对象网络20是构成異常通信量检测的对象的网络。防御对象网络20在正常的状态下不发生通过恶意软件进行的通信量。如图6所示，在防御对象网络20中，作为能够唯一地识别终端的地址，多数情况下使用发送源IP地址。此外，与图5的情况相同地，在图6所示的通信量日志中也包括图4所示的追加的字段的信息。

统计值计算部132由通过通信量输入受理部131受理并附加了追加的字段的信息等的通信量日志计算图7所示的统计值信息。图7是表示通信量的各个字段的统计值的一例的图。统计值计算部132由通信量日志31和通信量日志21计算对于字段及值的组即每个通信模式的出现频度的统计值，该通信量日志31是由恶意软件所产生的通信量获得的，该通信量日志21是由规定的通信环境中的通信量获得的。

具体地，如图7所示，针对每个通信量日志的字段的值而计算统计值。另外，作为计算的统计值的例，可例举发生率、恶意软件数或终端数、发生次数等。成为统计值的计算对象的输入通信量日志为图1所示的防御对象网络20的通信量日志21及恶意软件执行环境30的通信量日志31这两者。但是，作为发送源的数，在通信量日志21中基于发送源IP地址而计算终端数，在通信量日志31中基于恶意软件识别符而计算恶意软件数。

在统计值的计算中，首先指定构成计算对象的字段。在图7的例子中，在此指定多个从通信量可收集的任意的字段。另外，还可指定任意的字段的组合。在图7所示的例子中，指定协议、协议+目的地端口、目的地IP地址、目的地组织、发送源端口、发送字节、URL、DNSQuery Name。

当指定字段时，对所指定的字段计算统计值。在此，对发生率、终端数或恶意软件数、发生次数的计算方法进行说明。此外，在说明中，将终端数或恶意软件数作为发生数而进行说明。

首先，发生数是指，在不允许终端或恶意软件的重复的情况下从通信量日志中统计某个字段与值的组合的出现次数的数。接着，发生次数是指，在允许终端或恶意软件的重复的情况下从通信量日志中统计某个字段与值的组合的出现次数的数。例如，在一个终端发生多次字段与值的组合相同的通信量的情况下，发生数为1，发生次数为多次。并且，发生率是指，将发生数除以全部终端数或全部恶意软件数而获得的值。在图7的例子中，将全部终端数或全部恶意软件数设为100。

从而，可将各个统计值的计算方法表示为如下。

发生数＝某个字段与值的组合的出现次数(终端或恶意软件不可重复)

发生次数＝某个字段与值的组合的出现次数(终端或恶意软件可重复)

发生率＝发生数/全部终端数或恶意软件数

例如，在图7的例子中，通信量日志中的目的地IP地址这样的字段和“192.0.2.0”这样的值的组合的出现次数为160，其中除了终端或恶意软件的重复之外的发生数为80，将80除以全部终端数或恶意软件数即100，其结果获得的发生率为0.8。

合并部133在由防御对象网络20的通信量日志21及恶意软件执行环境30的通信量日志31这两者而计算统计值之后，如图8所示，进行计算结果的合并。图8是表示通信量的各个字段的合并后的统计值的一例的图。图8中，左侧的发生率、恶意软件数及发生次数的列是基于恶意软件执行环境30的通信量日志31计算的统计值，右侧的发生率、终端数及发生次数的列是基于防御对象网络20的通信量日志21计算的统计值。

如图8所示，如果以左侧的发生率、恶意软件数及发生次数的列为基準，在防御对象网络的各个通信量字段的值存在与恶意软件的各个通信量字段的值相同的值，则合并部133将其值追加记载到右侧的发生率、终端数及发生次数的列。另外，在防御对象网络的各个通信量字段的值不存在与恶意软件的各个通信量字段的值相同的值的情况下，合并部133追加记载连字符号。合并部133通过对各个字段及值反复进行以上的处理而进行合并。

接着，恶意列表候选提取部134基于进行了合并的统计值而提取恶意列表候选。图9是表示恶意列表候选的一例的图。恶意列表候选提取部134基于通过统计值计算部132而计算的统计值，针对每个通信模式，比较通信量日志21的出现频度和通信量日志31的出现频度，在两者的出现频度之差在规定的阈值以上的情况下，将该通信模式作为恶意通信模式而提取。例如，恶意列表候选提取部134在图8所示的合并后的统计值之中参照发生率，在左侧的恶意软件执行环境中的值足够大，且右侧的防御对象网络中的值足够小的情况下，提取其值。在上述的“足够大”“足够小”的判断中，预先设定对统计值的阈值而进行判断。并且，在恶意列表候选提取部134对各隔通信量字段提取到哪怕一个值的情况下，将“恶意列表采用可否”为OK。另外，在恶意列表候选提取部134对各个通信量字段一个值也未能提取到的情况下，将“恶意列表采用可否”为NG。恶意列表候选提取部134通过对各个字段及值反复进行以上的处理，从而提取恶意列表候选。

并且，阈值设定部135对所提取的恶意列表候选设定阈值。图10是表示设定恶意列表候选的阈值的一例的图。在适用了通过恶意列表候选提取部134而提取的恶意通信模式的情况下，阈值设定部135为了检测是否为通过恶意软件而发生的通信量，作为与至少一种该恶意通信模式一致的次数或与该恶意通信模式一致时的该恶意通信模式的种类数的阈值，以使得错误地检测恶意软件所产生的通信量的概率即误检测率为一定值以下且检测恶意软件所产生的通信量的概率即检测率为一定值以上的方式设定阈值。

具体地，阈值设定部135在恶意列表采用可否为OK的恶意列表候选之中使用预先指定的多个阈值，提取对恶意软件的通信量的检测率为一定值以上且对防御对象网络的通信量的误检测率为一定值以下的阈值。在此，以如下方式计算检测率、误检测率。

检测率＝使用恶意列表候选及阈值而检测的恶意软件数/全部恶意软件数

误检测率＝使用恶意列表候选及阈值而检测的终端数/全部终端数

阈值设定部135通过对各个恶意列表候选反复进行以上的处理而对恶意列表候选设定阈值。在图10的例子中表示如下情况：例如由于将目的地组织为“C”的通信量的发生次数阈值设定为5，因此在目的地组织为“C”的通信量的发生次数为5次以上的情况下检测为恶意软件。根据图8，在恶意软件的通信量中目的地组织为“C”的发生次数为20，在防御对象网络的通信量中目的地组织为“C”的发生次数为10。因此，目的地组织为“C”的通信量日志在恶意软件的网络中容易发生，在防御对象网络中不太容易发生。

另外，阈值设定部135可设定种类数阈值。在图10的例子中表示如下情况：例如由于将目的地组织为“C”的通信量的种类数阈值设定为1，因此在发生了哪怕一种目的地组织为“C”的通信模式的通信量的情况下，检测为恶意软件。根据图8，在恶意软件的通信量中目的地组织为“C”的恶意软件数为20，防御对象网络的通信量中的终端数为1。因此，从恶意软件数及终端数也可知在目的地组织为“C”的通信量日志在恶意软件的网络中容易发生，在防御对象网络中不太容易发生。

在设定阈值之后，如图11所示，识别符设定部136设定通过各个恶意列表候选及阈值而可检测的恶意软件的识别符。图11是表示设定恶意列表候选的恶意软件识别符的一例的图。识别符设定部136附加作为恶意通信模式而提取的情况下可检测的用于识别恶意软件的恶意软件识别符。

例如，图11表示在将目的地组织为“C”的通信量的发生次数的阈值检测为5，或将种类数的阈值检测为1的情况下，可检测恶意软件M6及M7的情况。另外，在将目的地IP地址为“192.0.2.2”的通信量的发生次数的阈值检测为5，或将种类数的阈值检测为1的情况下，可检测恶意软件M6。识别符设定部136通过对阈值设定完的各个恶意列表候选反复进行以上的处理来设定可检测的恶意软件的识别符。

如图12所示，恶意列表提取部137在通过识别符设定部136而附加了恶意软件识别符的通信模式之中，将被附加的恶意软件识别符不包括在对其他的通信模式附加的恶意软件识别符中的通信模式作为恶意通信模式而提取。图12是表示恶意列表的一例的图。

例如，通过对目的地组织的检测而能够检测的恶意软件M6及M7包括通过目的地IP地址而能够检测的恶意软件M6，因此无需进行基于目的地IP地址的检测，因此作为无需的检测图案而去除。通过对附加了可检测的识别符的恶意列表进行以上的处理，从而可获得最终的恶意列表。

此外，无需必须要进行通过识别符设定部136而进行的识别符的设定，恶意列表提取部137可以在通过阈值设定部135设定了阈值的时间点，将通过阈值设定部135而设定了阈值的通信模式作为恶意通信模式而提取。

(处理过程)

下面，对恶意通信模式提取装置10的处理过程进行说明。首先，利用图13而对通信量输入受理部131及统计值计算部132中的处理进行说明。当向通信量输入受理部131输入通信量日志时(步骤S11)，通信量输入受理部131指定通信量字段(步骤S12)。并且，统计值计算部132对所指定的各个通信量字段计算统计值(步骤S13)。作为统计值，具有发生率、终端数或恶意软件数、发生次数等。

利用图14而对合并部133中的处理进行说明。图14是表示合并处理的流程图。首先，将由统计值计算部132处理的恶意软件执行环境中的通信量字段的值和防御对象网络中的通信量字段的值输入到合并部133(步骤S21)。并且，对各个通信量字段反复进行合并处理(步骤S22)。

作为合并处理，首先，在与恶意软件执行环境中的通信量字段对应的值还存在于防御对象网络中的通信量字段的情况下，在恶意软件执行环境中的通信量字段的值中追加记载防御对象网络中的通信量字段的值。在与恶意软件执行环境中的通信量字段对应的值不存在于防御对象网络中的通信量字段的情况下，在恶意软件执行环境中的通信量字段的值中追加记载连字符号(步骤S23)。

利用图15，对恶意列表候选提取部134中的处理进行说明。图15是表示恶意列表候选提取处理的流程图。首先，向恶意列表候选提取部134输入与通过合并部133而进行合并处理的各个通信量字段的值的发生相关的统计值(步骤S31)。并且，针对各个通信量字段，反复进行恶意列表候选提取处理(步骤S32)。

作为恶意列表候选提取处理，首先，指定对通信量字段的值的参数即统计值，在对于防御对象网络中的统计值，恶意软件执行环境中的统计值足够大的情况下，将其通信量字段及值作为恶意列表候选而提取。提取到哪怕1件与条件符合的值的通信量字段将“恶意列表采用可否”为OK(步骤S33)。

利用图16，对阈值设定部135中的处理进行说明。图16是表示阈值设定处理的流程图。首先，将由恶意列表候选提取部134提取的各个通信量字段的恶意列表候选输入到阈值设定部135(步骤S41)。并且，对于“恶意列表采用可否”为OK的通信量字段，反复进行阈值设定处理(步骤S42)。

作为阈值设定处理，首先，使用预先指定的多个阈值，提取恶意软件的检测率为一定值以上且对防御对象网络的通信量的误检测率为一定值以下的阈值(步骤S43)。在从多个阈值中未提取任何阈值的情况下，将其通信量字段的“恶意列表采用可否”为NG(步骤S44)。

利用图17，对识别符设定部136中的处理进行说明。图17是表示识别符设定处理的流程图。首先，将由阈值设定部135设定阈值的各个通信量字段的恶意列表候选输入到识别符设定部136(步骤S51)。并且，对于“恶意列表采用可否”为OK的通信量字段，反复进行识别符设定处理(步骤S52)。

作为识别符设定处理，使用恶意列表候选的通信量字段及阈值而提取可识别的恶意软件的识别符(步骤S53)。

利用图18，对恶意列表提取部137中的处理进行说明。图18是表示恶意列表提取处理的流程图。首先，将由识别符设定部136附加了恶意软件识别符的各个通信量字段的恶意列表候选输入到恶意列表提取部137(步骤S61)。并且，对各个通信量字段，反复进行恶意列表提取处理(步骤S62)。

作为恶意列表提取处理，在包括不包含于其他的通信量字段的恶意软件识别符的情况下采用该恶意列表提取处理，在所附加的识别符被全部包括在包含于其他的通信量字段的恶意软件识别符的情况下，不采用该恶意列表提取处理(步骤S63)。通过以上的处理，获得最终的恶意列表。

(程序)

另外，可将上述实施方式的恶意通信模式提取装置10所执行的处理制作成用计算机可执行的语言来记述的程序而执行。在该情况下，通过由计算机执行程序，从而能够获得与上述实施方式相同的効果。进而，将相关的程序记录到计算机可读取的记录介质，并使计算机读入记录在该记录介质的程序而执行，从而实现与上述实施方式相同的处理。下面，对执行与恶意通信模式提取装置10实现相同的功能的控制程序的计算机的一例进行说明。

图19是表示执行恶意通信模式提取程序的计算机的图。如图19所示，计算机1000例如具有存储器1010、CPU(Central Processing Unit：中央处理单元)1020、硬盘驱动器接口1030、盘驱动器接口1040、串行端口接口1050、视频适配器1060、网络接口1070。通过总线1080而将各个部连接。

存储器1010包括ROM(Read Only Memory：只读存储器)1011及RAM(Random AccessMemory：随机存取存储器)1012。ROM1011例如存储BIOS(Basic Input Output System：基本输入输出系统)等引导程序。硬盘驱动器接口1030与硬盘驱动器1090连接。盘驱动器接口1040与盘驱动器1100连接。例如将磁盘、光盘等可拆装的存储介质插入到盘驱动器1100。串行端口接口1050例如与鼠标1110及键盘1120连接。视频适配器1060例如与显示器1130连接。

在此，如图19所示，硬盘驱动器1090例如存储OS1091、应用程序1092、程序模块1093及程序数据1094。在上述实施方式中说明的各个信息例如被存储于硬盘驱动器1090、存储器1010。

另外，恶意通信模式提取程序例如作为记录有通过计算机1000而执行的指令的程序模块而存储于硬盘驱动器1090。具体地，记述有在上述实施方式中说明的恶意通信模式提取装置10所执行的各个处理的程序模块存储于硬盘驱动器1090。

另外，通过恶意通信模式提取程序而进行的信息处理中所使用的数据作为程序数据例如存储于硬盘驱动器1090。并且，CPU1020根据需要而在RAM1012中读出存储于硬盘驱动器1090的程序模块1093、程序数据1094，由此执行上述的各个过程。

此外，涉及恶意通信模式提取程序的程序模块1093、程序数据1094不限于存储于硬盘驱动器1090，例如可存储于可拆装的存储介质并介由盘驱动器1100等而通过CPU1020来读出。或者，涉及控制程序的程序模块1093、程序数据1094也可存储于介由LAN(LocalArea Network：局域网)、WAN(Wide Area Network：广域网)等网络而连接的其他的计算机，并介由网络接口1070而通过CPU1020来读出。另外，也可以通过网络接口1070等而实时地收集分组，从而收集数据。

符号的说明

10 恶意通信模式提取装置

11 输入输出部

12 存储部

13 控制部

131 通信量输入受理部

132 统计值计算部

133 合并部

134 恶意列表候选提取部

135 阈值设定部

136 识别符设定部

137 恶意列表提取部