| 講演名 | 2011-07-26 自己組織化マップを用いたWindows OS malware挙動の可視化(知的システム,一般) 安藤 類央, |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | 近年のCommodity OSの複雑化は、マルウェアの挙動を一層洗練化させており、セキュリティインシデント解析の際には、複雑なデータから構造やパラメータを抽出し、解析を行う必要がある。自己組織化マップは、教師なし学習アルゴリズムの中でも処理時にクラスタ数を与件とせず、学習時にトポロジーが変化しないことから、セキュリティインシデントに関するデータの構造や識別可能性が不明な初期段階で適用することが有効である。本論文では仮想環境でのマルウェアのデータを取得し、マルウェアの分類可視化を試みる。XEN上で稼動する仮想マシン上で起こるセキュリティインシデントを、ドメインUのEMIT命令発行とハイパーバイザーの修正によりドメインOに通知することで可観測化し、コンソールロケを定量化、可視化する手法を提案する。ログの通知時には仮想CPUのコンテキストを用いて、EMIT命令によりドメインUからHYPERCALLを発行することによりVMENTERとVMEXITを任意に切り替えることでドメインOからドメインUヘイベントログ文字列を送信する。評価実験では、ドメインUのWindows OSの動的ロケと静的ロケをドメインOへ通知し、自己組織化マップによってイベントの可視化を行う。この結果、マルウェアの静的なログは分類可視化が困難であり、振る舞いを記録した動的ログに関しては適切な識別が可能であることが明らかになった。 |
| 抄録(英) | As commodity OS has compound funcions and utilities, malware's behavisor has become complicated. In security incident analysis, we need to specify the malware without detailed information about structre and parameter. SOM (self organization map) is an algorithm of nonsupervised and makes it possible to analyze the malware without expensive preprocessing. In this paper we propose an interdomain communication protocol of XEN virtual machine by involing emit instruction. DomainU can convey information to hypervisor using virtual CPU context in an arbitrary point of Windows kernel by generating hypercall. In experiment, a security incident log of virtualized Windows OS is transferred to hypervisor of which log is visualized by self organization map. We show the result of classification of both dynamic and static log of malware. |
| キーワード(和) | 自己組織化マップ / マルウェア挙動 / 仮想化 / 静的ログ / 動的ログ |
| キーワード(英) | Self organization map / analyzing malware / virtualization / static log / behavior log |
| 資料番号 | NC2011-40 |
| 発行日 |
| 研究会情報 | |
| 研究会 | NC |
|---|---|
| 開催期間 | 2011/7/18(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Neurocomputing (NC) |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | 自己組織化マップを用いたWindows OS malware挙動の可視化(知的システム,一般) |
| サブタイトル(和) | |
| タイトル(英) | A visualization method of Windows OS malware using SOM |
| サブタイトル(和) | |
| キーワード(1)(和/英) | 自己組織化マップ / Self organization map |
| キーワード(2)(和/英) | マルウェア挙動 / analyzing malware |
| キーワード(3)(和/英) | 仮想化 / virtualization |
| キーワード(4)(和/英) | 静的ログ / static log |
| キーワード(5)(和/英) | 動的ログ / behavior log |
| 第 1 著者 氏名(和/英) | 安藤 類央 / Ruo ANDO |
| 第 1 著者 所属(和/英) | 情報通信研究機構 National Institute of Information and Communications Technology, Information Security Research Center |
| 発表年月日 | 2011-07-26 |
| 資料番号 | NC2011-40 |
| 巻番号(vol) | vol.111 |
| 号番号(no) | 157 |
| ページ範囲 | pp.- |
| ページ数 | 6 |
| 発行日 | |