| 電子情報通信学会 研究会発表申込システム 講演論文 詳細 |
技報閲覧サービス [ログイン] 技報アーカイブ |
| トップに戻る | 前のページに戻る | [Japanese] / [English] |
| 講演抄録/キーワード | ||
| 講演名 | 2009-11-13 11:05 パッキングされたマルウェアの類似度算出手法とその評価 ○織井達憲・吉岡克成・四方順司・松本 勉(横浜国大)・金 亨燦・井上大介・中尾康二(NICT)  ICSS2009-55 |
|
| 抄録 | (和) | 近年,ソースコードや自動生成ツールの流通により,高い技術を有さない攻撃者であっても容易にマルウェアを作成できる状況となっており,インターネット上を大量のマルウェアが流通している.また,ソースコードの改変,コンパイラの設定,パッカーの適用により,マルウェアの実際の流通形態であるバイナリコードは大きく変わり得るため,同様の特徴をもつマルウェアであってもその類似度を算出することは容易ではない.特にパッカーには多くの種類とバージョンが存在すると共に,パッキング時のオプション等の指定により,同一のバイナリコードから多様なバリエーションを容易に生成できることから,効果的な解析の障害となっている.そこで,本研究では同一のバイナリコードからパッカーにより生成されたバリエーションの識別を目的とした,編集距離によるマルウェアの類似度算出法を提案する.実際に19種類のパッカーを用いてバリエーションを生成し,提案手法の評価を行った結果,実験に用いた検体とパッカー群について高い識別精度を示した.また,低対話型ハニーポットNepenthesにより収集した検体群に提案方式を適用した結果,アンチウィルスソフトによって定義されるマルウェア科名との一定の整合性が確認できた. |
| (英) | A great number of malware have been generated and released over the Internet because of the underground distribution of source codes and automated malware generation tools . Moreover, malware authors tend to generate variants of the same or similar malicious codes to evade detection by altering source codes, recompiling them with different options, and packing them using different versions of runtime packers. Among them, runtime packers are troublesome as malware authors can easily generate a number of variants with them, which slows down an effective in-depth analysis . In this paper, we propose a similarity scoring method that aims particularly at an identification of malware variants multiplied by runtime packers. For evaluation, we actually generated variants of several sample binaries by utilizing 19 packers and confirmed that the proposed method can identify variants generated by most of the packers. Moreover, using the proposed method, we found out that there were a considerable number of variants generated by packers among malware samples in the wild. |
|
| キーワード | (和) | マルウェア / クラスタリング / パッキング / / / / / |
| (英) | Malware / Clustering / Packing / / / / / | |
| 文献情報 | 信学技報, vol. 109, no. 285, ICSS2009-55, pp. 7-12, 2009年11月. | |
| 資料番号 | ICSS2009-55 | |
| 発行日 | 2009-11-06 (ICSS) | |
| ISSN | Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 | |
| 著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) | |
| PDFダウンロード | ICSS2009-55 |
|
| 研究会情報 | |
| 研究会 | ICSS |
| 開催期間 | 2009-11-13 - 2009-11-13 |
| 開催地(和) | 宮崎大学 |
| 開催地(英) | University of Miyazaki |
| テーマ(和) | 一般 |
| テーマ(英) | General |
| 講演論文情報の詳細 | |
| 申込み研究会 | ICSS |
| 会議コード | 2009-11-ICSS |
| 本文の言語 | 日本語 |
| タイトル(和) | パッキングされたマルウェアの類似度算出手法とその評価 |
| サブタイトル(和) | |
| タイトル(英) | Similarity Scoring Method of Runtime Packed Malware and its Evaluation |
| サブタイトル(英) | |
| キーワード(1)(和/英) | マルウェア / Malware |
| キーワード(2)(和/英) | クラスタリング / Clustering |
| キーワード(3)(和/英) | パッキング / Packing |
| キーワード(4)(和/英) | / |
| キーワード(5)(和/英) | / |
| キーワード(6)(和/英) | / |
| キーワード(7)(和/英) | / |
| キーワード(8)(和/英) | / |
| 第1著者 氏名(和/英/ヨミ) | 織井 達憲 / Tatsunori Orii / オリイ タツノリ |
| 第1著者 所属(和/英) | 横浜国立大学 (略称: 横浜国大) Yokohama National University (略称: Yokohama Nat Univ.) |
| 第2著者 氏名(和/英/ヨミ) | 吉岡 克成 / Katsunari Yoshioka / ヨシオカ カツナリ |
| 第2著者 所属(和/英) | 横浜国立大学 (略称: 横浜国大) Yokohama National University (略称: Yokohama Nat Univ.) |
| 第3著者 氏名(和/英/ヨミ) | 四方 順司 / Junji Shikata / シカタ ジュンジ |
| 第3著者 所属(和/英) | 横浜国立大学 (略称: 横浜国大) Yokohama National University (略称: Yokohama Nat Univ.) |
| 第4著者 氏名(和/英/ヨミ) | 松本 勉 / Tsutomu Matsumoto / マツモト ツトム |
| 第4著者 所属(和/英) | 横浜国立大学 (略称: 横浜国大) Yokohama National University (略称: Yokohama Nat Univ.) |
| 第5著者 氏名(和/英/ヨミ) | 金 亨燦 / Hyung Chan Kim / Hyung Chan Kim |
| 第5著者 所属(和/英) | 独立行政法人情報通信研究機構 (略称: NICT) National Institute of Information and Communications Technology (略称: NICT) |
| 第6著者 氏名(和/英/ヨミ) | 井上 大介 / Daisuke Inoue / イノウエ ダイスケ |
| 第6著者 所属(和/英) | 独立行政法人情報通信研究機構 (略称: NICT) National Institute of Information and Communications Technology (略称: NICT) |
| 第7著者 氏名(和/英/ヨミ) | 中尾 康二 / Koji Nakao / ナカオ コウジ |
| 第7著者 所属(和/英) | 独立行政法人情報通信研究機構 (略称: NICT) National Institute of Information and Communications Technology (略称: NICT) |
| 第8著者 氏名(和/英/ヨミ) | / / |
| 第8著者 所属(和/英) | (略称: ) (略称: ) |
| 第9著者 氏名(和/英/ヨミ) | / / |
| 第9著者 所属(和/英) | (略称: ) (略称: ) |
| 第10著者 氏名(和/英/ヨミ) | / / |
| 第10著者 所属(和/英) | (略称: ) (略称: ) |
| 第11著者 氏名(和/英/ヨミ) | / / |
| 第11著者 所属(和/英) | (略称: ) (略称: ) |
| 第12著者 氏名(和/英/ヨミ) | / / |
| 第12著者 所属(和/英) | (略称: ) (略称: ) |
| 第13著者 氏名(和/英/ヨミ) | / / |
| 第13著者 所属(和/英) | (略称: ) (略称: ) |
| 第14著者 氏名(和/英/ヨミ) | / / |
| 第14著者 所属(和/英) | (略称: ) (略称: ) |
| 第15著者 氏名(和/英/ヨミ) | / / |
| 第15著者 所属(和/英) | (略称: ) (略称: ) |
| 第16著者 氏名(和/英/ヨミ) | / / |
| 第16著者 所属(和/英) | (略称: ) (略称: ) |
| 第17著者 氏名(和/英/ヨミ) | / / |
| 第17著者 所属(和/英) | (略称: ) (略称: ) |
| 第18著者 氏名(和/英/ヨミ) | / / |
| 第18著者 所属(和/英) | (略称: ) (略称: ) |
| 講演者 | 第1著者 |
| 発表日時 | 2009-11-13 11:05:00 |
| 発表時間 | 25分 |
| 申込先研究会 | ICSS |
| 資料番号 | ICSS2009-55 |
| 巻番号(vol) | vol.109 |
| 号番号(no) | no.285 |
| ページ範囲 | pp.7-12 |
| ページ数 | 6 |
| 発行日 | 2009-11-06 (ICSS) |
[研究会発表申込システムのトップページに戻る]