| 講演名 | 2012-06-22 マルウェアのオペコードに着目した高速な分類手法(インターネットセキュリティ,一般) 鐘 揚, 八槇 博史, 山口 由紀子, 高倉 弘喜, |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | ワーム,ウイルス,トロイの木馬などのマルウェアはネットワークシステムのセキュリティに大きな脅威を与えている.マルウェアの感染の被害を最小限に止めるためには迅速な解析を行い,対処することが重要となる.しかし,近年ではオリジナルのマルウェアの一部を変更してアンチウイルスの検知を逃れる,あるいはアナリストによる解析を難しくする亜種が存在し,被害を拡大させる原因となっている.そのため,我々はマルウェアを逆アセンブルしてオペコード列を抽出し,関数ごとに切り分けて類似度計算を行なう分類手法を提案する.本手法では重要な関数のみを抽出して類似度計算を行なうため,より高速な分類が可能である.評価実験では既知のマルウェアを46検体用いて学習し,178検体を分類した.実験結果より提案手法は既存の手法に比べ,精度を保ちながらより高速に分類が可能であることが示された. |
| 抄録(英) | Malicious software in form of Internet worms, computer viruses, and trojan horses poses a major threat to the security of network systems. Identification of malware variants provides great benefit in early detection. However, in recent years, it is hard to analyze the all malware programs by manual because of the explanation of malicious program variants which avoid the detection of anti-virus by changing a part of the original malware program code. Taking into account that variants of malware families share similar functions reflecting its origin and purpose, we propose a method focusing on opcodes of functions that a malware program consists of. In our method, the feature database is created based on the analysis of known malware programs, and functions in unknown programs are compared to the opcodes of the database to determine the program belong to what family. To decrease the cost of the calculation of similarity, we use a filtering algorithm to filter out functions which have small influence in determining the family. We evaluated the approach using 46 categorized malware samples and 178 malware samples to be classified. In the experiment, it is shown that our approach effectively reduce the time for calculation while the accuracy is not deteriorated too much. |
| キーワード(和) | マルウェア / 静的解析 / 逆アセンブル / 機能推定 |
| キーワード(英) | malware / static analysis / disassembly / function estimate |
| 資料番号 | IA2012-8,ICSS2012-8 |
| 発行日 |
| 研究会情報 | |
| 研究会 | IA |
|---|---|
| 開催期間 | 2012/6/14(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Internet Architecture(IA) |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | マルウェアのオペコードに着目した高速な分類手法(インターネットセキュリティ,一般) |
| サブタイトル(和) | |
| タイトル(英) | A High-Speed Classification Method based on Opcode of Malware |
| サブタイトル(和) | |
| キーワード(1)(和/英) | マルウェア / malware |
| キーワード(2)(和/英) | 静的解析 / static analysis |
| キーワード(3)(和/英) | 逆アセンブル / disassembly |
| キーワード(4)(和/英) | 機能推定 / function estimate |
| 第 1 著者 氏名(和/英) | 鐘 揚 / Yang ZHONG |
| 第 1 著者 所属(和/英) | 名古屋大学情報科学研究科 Graduate School of Information Science, Nagoya University |
| 第 2 著者 氏名(和/英) | 八槇 博史 / Hirofumi YAMAKI |
| 第 2 著者 所属(和/英) | 名古屋大学情報基盤センター Information Technology Center, Nagoya University |
| 第 3 著者 氏名(和/英) | 山口 由紀子 / Yukiko YAMAGUCHI |
| 第 3 著者 所属(和/英) | 名古屋大学情報基盤センター Information Technology Center, Nagoya University |
| 第 4 著者 氏名(和/英) | 高倉 弘喜 / Hiroki TAKAKURA |
| 第 4 著者 所属(和/英) | 名古屋大学情報基盤センター Information Technology Center, Nagoya University |
| 発表年月日 | 2012-06-22 |
| 資料番号 | IA2012-8,ICSS2012-8 |
| 巻番号(vol) | vol.112 |
| 号番号(no) | 90 |
| ページ範囲 | pp.- |
| ページ数 | 6 |
| 発行日 | |