第二報: CPUアーキテクチャを越えたIoTマルウェアの類似度計算法

伊沢 亮一; 班 涛; 吉岡 克成; 井上 大介

講演名	2018-11-22 第二報: CPUアーキテクチャを越えたIoTマルウェアの類似度計算法伊沢亮一(NICT), 班涛(NICT), 吉岡克成(横浜国大/NICT), 井上大介(NICT),
PDFダウンロードページ	PDFダウンロードページへ
抄録(和)	我々は2018年6月のICSS研究会にて，異なるCPUアーキテクチャで動作するIoTマルウェア間の類似度を計算する手法を提案した．提案手法の特徴は各検体のバイナリをもとに類似度を計算する点にある．単純な方法ではCPUアーキテクチャごとにバイナリを構成する命令が異なるため，検体間の類似度を計算できないが，提案手法ではバイナリを中間表現に変換することで命令を共通化し，類似度の計算を可能とした．しかしながら，提案手法の評価を12検体のみでしか行っていなかった．そこで本稿ではBashlite（ARM/MIPS）とMirai（ARM/MIPS），Tsunami（ARM/MIPS）のいずれかに属する合計945検体を用いて提案手法を評価する．提案手法で求めた類似度を入力とし，k近傍法で検体を分類した結果，0.70のAccuracyが得られた．この値は仮に検体を無作為に分類したときのAccuracyよりも高い．このことから提案手法により，同じマルウェア名をもつ，異なるCPUアーキテクチャの検体に共通する特徴を捉えた上で類似度が計算できたと考えられる．
抄録(英)	At the ICSS workshop held in June, 2018, we proposed a method for calculatingsimilarity between IoT malware samples over CPU architectures, based on theirbinaries. The binaries whose CPU architectures differ from each other consist of different types of instructions, which means it is difficult to calculate their similarity scores based on their binaries. To tackle this problem, our method first converts the binaries into instructions of IR (Intermediate Representation), and then it calculates the similarity based on those converted instructions of binaries. Our method can be effective; however, we evaluated effectiveness of our method with just 12 malware samples. In this paper, we show experiments using 945 IoT malware samples, which were categorized into three malware families. The experiments confirmed that our method produced an accuracy of 0.70 against 945 IoT malware samples, and we sense our method captures some features shared between IoT malware samples for good classification of malware.
キーワード(和)	Internet of Things / マルウェア解析 / 中間表現 / N-gram / Jaccard係数
キーワード(英)	Internet of Things / Malware analysis / Intermediate representation / N-gram / Jaccard similarity
資料番号	ICSS2018-66
発行日	2018-11-14 (ICSS)

研究会情報
研究会	ICSS
開催期間	2018/11/21(から2日開催)
開催地（和）	宝山ホール(鹿児島)
開催地（英）
テーマ（和）	情報システム・セキュリティ、一般
テーマ（英）
委員長氏名（和）	白石善明(神戸大)
委員長氏名（英）	Yoshiaki Shiraishi(Kobe Univ.)
副委員長氏名（和）	高倉弘喜(NII) / 吉岡克成(横浜国大)
副委員長氏名（英）	Hiroki Takakura(NII) / Katsunari Yoshioka(Yokohama National Univ.)
幹事氏名（和）	神谷和憲(NTT) / 笠間貴弘(NICT)
幹事氏名（英）	Kazunori Kamiya(NTT) / Takahiro Kasama(NICT)
幹事補佐氏名（和）	山田明(KDDI labs.) / 木藤圭亮(三菱電機)
幹事補佐氏名（英）	Akira Yamada(KDDI labs.) / Keisuke Kito(Mitsubishi Electric)

講演論文情報詳細
申込み研究会	Technical Committee on Information and Communication System Security
本文の言語	JPN
タイトル（和）	第二報: CPUアーキテクチャを越えたIoTマルウェアの類似度計算法
サブタイトル（和）
タイトル（英）	Part II: Calculating Similarity between IoT Malware over CPU Architectures
サブタイトル（和）
キーワード(1)（和/英）	Internet of Things / Internet of Things
キーワード(2)（和/英）	マルウェア解析 / Malware analysis
キーワード(3)（和/英）	中間表現 / Intermediate representation
キーワード(4)（和/英）	N-gram / N-gram
キーワード(5)（和/英）	Jaccard係数 / Jaccard similarity
第 1 著者氏名（和/英）	伊沢亮一 / Ryoichi Isawa
第 1 著者所属（和/英）	国立研究開発法人情報通信研究機構(略称：NICT) National Institute of Information and Communications Technology(略称：NICT)
第 2 著者氏名（和/英）	班涛 / Tao Ban
第 2 著者所属（和/英）	国立研究開発法人情報通信研究機構(略称：NICT) National Institute of Information and Communications Technology(略称：NICT)
第 3 著者氏名（和/英）	吉岡克成 / Katsunari Yoshioka
第 3 著者所属（和/英）	横浜国立大学/国立研究開発法人情報通信研究機構(略称：横浜国大/NICT) Yokohama National University/National Institute of Information and Communications Technology(略称：YNU/NICT)
第 4 著者氏名（和/英）	井上大介 / Daisuke Inoue
第 4 著者所属（和/英）	国立研究開発法人情報通信研究機構(略称：NICT) National Institute of Information and Communications Technology(略称：NICT)
発表年月日	2018-11-22
資料番号	ICSS2018-66
巻番号（vol）	vol.118
号番号（no）	ICSS-315
ページ範囲	pp.73-78(ICSS),
ページ数	6
発行日	2018-11-14 (ICSS)