講演抄録/キーワード |
講演名 |
2018-11-22 14:20
第二報: CPUアーキテクチャを越えたIoTマルウェアの類似度計算法 ○伊沢亮一・班 涛(NICT)・吉岡克成(横浜国大/NICT)・井上大介(NICT) ICSS2018-66 |
抄録 |
(和) |
我々は2018年6月のICSS研究会にて,異なるCPUアーキテクチャで動作するIoTマルウェア間の類似度を計算する手法を提案した.提案手法の特徴は各検体のバイナリをもとに類似度を計算する点にある.単純な方法ではCPUアーキテクチャごとにバイナリを構成する命令が異なるため,検体間の類似度を計算できないが,提案手法ではバイナリを中間表現に変換することで命令を共通化し,類似度の計算を可能とした.しかしながら,提案手法の評価を12検体のみでしか行っていなかった.そこで本稿ではBashlite(ARM/MIPS)とMirai(ARM/MIPS),Tsunami(ARM/MIPS)のいずれかに属する合計945検体を用いて提案手法を評価する.提案手法で求めた類似度を入力とし,k近傍法で検体を分類した結果,0.70のAccuracyが得られた.この値は仮に検体を無作為に分類したときのAccuracyよりも高い.このことから提案手法により,同じマルウェア名をもつ,異なるCPUアーキテクチャの検体に共通する特徴を捉えた上で類似度が計算できたと考えられる. |
(英) |
At the ICSS workshop held in June, 2018, we proposed a method for calculating
similarity between IoT malware samples over CPU architectures, based on their
binaries. The binaries whose CPU architectures differ from each other consist of different types of instructions, which means it is difficult to calculate their similarity scores based on their binaries. To tackle this problem, our method first converts the binaries into instructions of IR (Intermediate Representation), and then it calculates the similarity based on those converted instructions of binaries. Our method can be effective; however, we evaluated effectiveness of our method with just 12 malware samples. In this paper, we show experiments using 945 IoT malware samples, which were categorized into three malware families. The experiments confirmed that our method produced an accuracy of 0.70 against 945 IoT malware samples, and we sense our method captures some features shared between IoT malware samples for good classification of malware. |
キーワード |
(和) |
Internet of Things / マルウェア解析 / 中間表現 / N-gram / Jaccard係数 / / / |
(英) |
Internet of Things / Malware analysis / Intermediate representation / N-gram / Jaccard similarity / / / |
文献情報 |
信学技報, vol. 118, no. 315, ICSS2018-66, pp. 73-78, 2018年11月. |
資料番号 |
ICSS2018-66 |
発行日 |
2018-11-14 (ICSS) |
ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2018-66 |