[发明专利]黑名单生成装置、黑名单生成系统、黑名单生成方法和记录介质

权利要求书

1.一种黑名单生成装置，其特征在于，具有：

日志取得功能，其取得第一通信日志和第二通信日志，该第一通信日志从恶意软件的通信中得到，该第二通信日志从规定的网络的通信中得到；

第一提取功能，其针对所述第一通信日志中包含的每个作为字段和值的组的通信模式，计算产生了该通信模式的所述恶意软件的检体数在所述第一通信日志中所包含的所述恶意软件的总检体数中所占的比例来作为第一统计值，提取该第一统计值满足规定的条件的通信模式，将该通信模式作为黑名单的候选进行输出，其中，在产生了该通信模式的所述恶意软件的检体数中，恶意软件不能发生重复；

第二提取功能，其针对所述第二通信日志中包含的每个通信模式，计算产生了该通信模式的终端数在所述第二通信日志所包含的终端总数中所占的比例来作为第二统计值，提取该第二统计值为针对每个所述字段而规定的阈值以上的通信模式，将该通信模式作为白名单进行输出，其中，在产生了该通信模式的终端数中，终端不能发生重复；以及

黑名单制作功能，其通过所述白名单的对应的字段的值检索所述黑名单的候选的值，将与所述白名单一致的通信模式从所述黑名单的候选中除去，从而制作黑名单。

2.根据权利要求1所述的黑名单生成装置，其特征在于，

所述第一提取功能从所述第一统计值高的通信模式起依次排列所述第一通信日志，将该第一通信日志中的所述第一统计值高的规定数的通信模式作为所述黑名单的候选进行输出，

所述第二提取功能从所述第二统计值高的通信模式起依次排列所述第二通信日志，将该第二通信日志中的所述第二统计值高的规定数的通信模式作为所述白名单进行输出。

3.根据权利要求1所述的黑名单生成装置，其特征在于，

该黑名单生成装置还具有前处理功能，该前处理功能从所述第二通信日志中提取出在所述规定的网络内进行访问的终端数在规定的阈值以上的通信目的地，并从所述第一通信日志中将针对所述通信目的地的通信日志除外。

4.根据权利要求1所述的黑名单生成装置，其特征在于，

该黑名单生成装置还具有单词列表生成功能，该单词列表生成功能提取出在所述第一通信日志中以一定以上的频度出现的字符串，生成单词列表，

所述第二提取功能对所述白名单的值中的与所述单词列表中包含的字符串一致的部分以外的部分进行正则表达。

5.根据权利要求1所述的黑名单生成装置，其特征在于，

所述黑名单制作功能对所述黑名单的值进行正则表达而输出。

6.一种黑名单生成系统，其具有：

第一日志收集蓄积装置，其从恶意软件的通信中收集通信日志而作为第一通信日志进行蓄积；

第二日志收集蓄积装置，其从规定的网络的通信中收集通信日志而作为第二通信日志进行蓄积；以及

黑名单生成装置，

该黑名单生成系统的特征在于，所述黑名单生成装置具有：

日志取得功能，其取得被蓄积在所述第一日志收集蓄积装置中的第一通信日志和被蓄积在所述第二日志收集蓄积装置中的第二通信日志；

第一提取功能，其针对所述第一通信日志中包含的每个作为字段和值的组的通信模式，计算产生了该通信模式的所述恶意软件的检体数在所述第一通信日志中所包含的所述恶意软件的总检体数中所占的比例来作为第一统计值，提取该第一统计值满足规定的条件的通信模式，将该通信模式作为黑名单的候选进行输出，其中，在产生了该通信模式的所述恶意软件的检体数中，恶意软件不能发生重复；

第二提取功能，其针对所述第二通信日志中包含的每个通信模式，计算产生了该通信模式的终端数在所述第二通信日志所包含的终端总数中所占的比例来作为第二统计值，提取该第二统计值为针对每个所述字段而规定的阈值以上的通信模式，将该通信模式作为白名单进行输出，其中，在产生了该通信模式的终端数中，终端不能发生重复；以及

黑名单制作功能，其通过所述白名单的对应的字段的值来检索所述黑名单的候选的值，将与所述白名单一致的通信模式从所述黑名单的候选除去，从而制作黑名单。