講演抄録/キーワード |
講演名 |
2022-03-08 13:40
IoTマルウェアの動的解析におけるC&C通信の機械学習を用いた検出 ○遠藤祐輝・鮫嶋海地・田辺瑠偉・吉岡克成・松本 勉(横浜国大) ICSS2021-75 |
抄録 |
(和) |
マルウェアの挙動やそれを操作する攻撃者の動向を分析するため,動的解析が広く行われている.動的解析により観測されるマルウェアの通信の中でも,C&Cサーバとの通信は攻撃者の動向や振る舞いを知る上で重要である.本研究では,マルウェアにとってC&Cサーバとの通信の重要性が高いことから,複数回独立に実行した場合に毎回の実行においてC&Cサーバとの通信を試みる可能性が高く,また,C&Cサーバとの接続が確立できない場合には繰り返し接続を試みる可能性が高いことに着目し,マルウェア動的解析で観測される通信の中からC&Cサーバとの通信を識別する方法を提案する.具体的には,ネットワーク環境の異なる実行環境を用いて複数回の動的解析を行い,前述の着目点から導出した通信の特徴を用いて機械学習により C&Cサーバの特定を行う手法を提案する.ハニーポットで収集したマルウェア検体363体を用いた評価実験の結果,適合率100%, 再現率98.6%でC&CサーバのIPアドレスを正しく判定することができた. |
(英) |
In order to analyze the behavior of malware, dynamic analysis has been widely utilized. Among various communication of malware, those with C&C servers are important for understanding the trends and behavior of attackers. In this study, we propose a method to identify C&C servers from communication observed by dynamic analysis of IoT malware. Our key observation is that connecting C&C server is so essential for malware that it would try to connect to the servers for every execution and would keep its attempt if the connection is not established. We propose an ML-based method to identify the C&C server from the communication of malware observed by multiple dynamic analyses using different network environments to highlight its tenacity for the C&C server. In the experiment with 363 malware samples captured by IoT honeypot, C&C servers were identified with the precision of 100% and the recall of 98.6%. |
キーワード |
(和) |
IoT / マルウェア / 動的解析 / 機械学習 / / / / |
(英) |
IoT / Malware / Dynamic Analysis / Machine Learning / / / / |
文献情報 |
信学技報, vol. 121, no. 410, ICSS2021-75, pp. 99-104, 2022年3月. |
資料番号 |
ICSS2021-75 |
発行日 |
2022-02-28 (ICSS) |
ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2021-75 |