| 講演名 | 2018-06-25 CPUアーキテクチャを越えたIoTマルウェアの類似度計算法の提案 伊沢 亮一(NICT), 班 涛(NICT), 鉄 穎(横浜国大), 吉岡 克成(横浜国大/NICT), 井上 大介(NICT), |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | WebカメラやホームルータなどのIoT機器に感染するマルウェアが世界中で猛威をふるっている.これらのマルウェアは異なるCPUアーキテクチャ上で動作するように同じもしくは一部を改変したソースコードから複数のマルウェア検体が作成されることが多い.そのため,類似した検体が多いにもかかわらず,CPUアーキテクチャごとに命令セット(x86であればmovやpushなど)が異なるため,単純に検体のバイナリを比較するだけでは検体間の類似度を計算することができない.これを解決するため,本稿の提案手法では,各検体のバイナリを中間表現に変換し,命令を共通化することで,CPUアーキテクチャに依存せずに検体間の類似度を計算する.提案手法の検証にはMirai(ARM/MIPS)とBashlite(ARM/MIPS)を計12検体用いて,ある一定の有効性を確認した.検証に用いた検体数は十分ではないが,CPUアーキテクチャを越えた類似度計算の指針を示した点に本稿の貢献がある. |
| 抄録(英) | Malware samples infecting IoT (Internet of Things) devices such as Web cameras andhome routers have spread over the Internet. Those samples are often generated byreusing source code to run on various CPU architectures (e.g., ARM and MIPS) of IoTdevices, and they behave similar, but their binaries vary because of different ISAs(Instruction Set Architecture). Even if analysts simply compare the malware binaries, they cannot find out similar samples from their malware repository. In thispaper, we propose a method for calculating similaritybetween malware samples running on different CPU architectures. A key idea behind our method is to convert each malware binary into an intermediate representationto fill the gap between different ISAs. It then calculates their similarity based onthe intermediate representation. With experiments using twelve in-the-wild malwaresamples (Mirai-ARM/MIPS and Bashlite-ARM/MIPS samples), we evaluated effectivenessof our method. Although the number of samples was not sufficient, thispaper shows a future direction for calculating the similarity. |
| キーワード(和) | Internet of Things / マルウェア解析 / 中間表現 / N-gram / Jaccard係数 |
| キーワード(英) | Internet of Things / Malware analysis / Intermediate representation / N-gram / Jaccard similarity |
| 資料番号 | IA2018-2,ICSS2018-2 |
| 発行日 | 2018-06-18 (IA, ICSS) |
| 研究会情報 | |
| 研究会 | ICSS / IA |
|---|---|
| 開催期間 | 2018/6/25(から2日開催) |
| 開催地(和) | 愛媛大学 南加記念ホール |
| 開催地(英) | Ehime University |
| テーマ(和) | インターネットセキュリティ、一般 |
| テーマ(英) | Internet Security, etc. |
| 委員長氏名(和) | 白石 善明(神戸大) / 飯田 勝吉(北大) |
| 委員長氏名(英) | Yoshiaki Shiraishi(Kobe Univ.) / Katsuyoshi Iida(Hokkaido Univ.) |
| 副委員長氏名(和) | 高倉 弘喜(NII) / 吉岡 克成(横浜国大) / 新 麗(IIJ) / 大崎 博之(関西学院大) / 近堂 徹(広島大) |
| 副委員長氏名(英) | Hiroki Takakura(NII) / Katsunari Yoshioka(Yokohama National Univ.) / Rei Atarashi(IIJ) / Hiroyuki Osaki(Kwansei Gakuin Univ.) / Toru Kondo(Hiroshima Univ.) |
| 幹事氏名(和) | 神谷 和憲(NTT) / 笠間 貴弘(NICT) / 作元 雄輔(首都大東京) / 屏 雄一郎(トヨタIT) / 渡辺 俊貴(NEC) |
| 幹事氏名(英) | Kazunori Kamiya(NTT) / Takahiro Kasama(NICT) / Yusuke Sakumoto(Tokyo Metropolitan Univ.) / Yuichiro Hei(TOYOTA-IT) / Toshiki Watanabe(NEC) |
| 幹事補佐氏名(和) | 山田 明(KDDI labs.) / 木藤 圭亮(三菱電機) / 大平 健司(徳島大) / 坂野 遼平(東工大) |
| 幹事補佐氏名(英) | Akira Yamada(KDDI labs.) / Keisuke Kito(Mitsubishi Electric) / Kenji Ohira(Tokushima Univ.) / Ryohei Banno(Tokyo Inst. of Tech.) |
| 講演論文情報詳細 | |
| 申込み研究会 | Technical Committee on Information and Communication System Security / Technical Committee on Internet Architecture |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | CPUアーキテクチャを越えたIoTマルウェアの類似度計算法の提案 |
| サブタイトル(和) | |
| タイトル(英) | Calculating Similarity between IoT Malware Samples over CPU Architectures |
| サブタイトル(和) | |
| キーワード(1)(和/英) | Internet of Things / Internet of Things |
| キーワード(2)(和/英) | マルウェア解析 / Malware analysis |
| キーワード(3)(和/英) | 中間表現 / Intermediate representation |
| キーワード(4)(和/英) | N-gram / N-gram |
| キーワード(5)(和/英) | Jaccard係数 / Jaccard similarity |
| 第 1 著者 氏名(和/英) | 伊沢 亮一 / Ryoichi Isawa |
| 第 1 著者 所属(和/英) | 情報通信研究機構(略称:NICT) NICT(略称:NICT) |
| 第 2 著者 氏名(和/英) | 班 涛 / Tao Ban |
| 第 2 著者 所属(和/英) | 情報通信研究機構(略称:NICT) NICT(略称:NICT) |
| 第 3 著者 氏名(和/英) | 鉄 穎 / Ying Tie |
| 第 3 著者 所属(和/英) | 横浜国立大学(略称:横浜国大) Yokohama National University(略称:YNU) |
| 第 4 著者 氏名(和/英) | 吉岡 克成 / Katsunari Yoshioka |
| 第 4 著者 所属(和/英) | 横浜国立大学/情報通信研究機構(略称:横浜国大/NICT) Yokohama National University/NICT(略称:YNU/NICT) |
| 第 5 著者 氏名(和/英) | 井上 大介 / Daisuke Inoue |
| 第 5 著者 所属(和/英) | 情報通信研究機構(略称:NICT) NICT(略称:NICT) |
| 発表年月日 | 2018-06-25 |
| 資料番号 | IA2018-2,ICSS2018-2 |
| 巻番号(vol) | vol.118 |
| 号番号(no) | IA-108,ICSS-109 |
| ページ範囲 | pp.7-12(IA), pp.7-12(ICSS), |
| ページ数 | 6 |
| 発行日 | 2018-06-18 (IA, ICSS) |