| 講演名 | 2015-03-04 トラフィックデータとバイナリのFuzzy Hash値に基づくマルウェア分類手法と評価(マルウェア等分析・検知(2),通信セキュリティ,一般) 蛭田 将平, 山口 由紀子, 嶋田 創, 高倉 弘喜, |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | 近年急増しているサイバー攻撃では,既存マルウェアから派生した亜種が使用される場合が多く,その機能も急激に多様化している.マルウェアは本体が難読化や暗号化されているだけでなく,実行環境によりその挙動を変化させるため,静的解析だけでは適切に分類できなくなりつつある.一方,解析コストの高い手動解析を減らすために,急増する亜種に対抗する高速なマルウェア分類手法が求められている.本稿では,マルウェアのトラフィックデータから生成した特徴ベクトルへのクラスタリングとFuzzy Hashの適用,および,マルウェア本体に対するFuzzy Hashの適用による多段マルウェア分類手法を提案する.共同研究先から提供されたマルウェア340検体とそのトラフィックデータを用いた評価実験の結果,正解率は58.4%であった. |
| 抄録(英) | Recent cyber attacks frequently use variants of malware programs where existing functions are drastically improved and new functions are developed. In addition to obfuscation and encryption, many malware programs change their behavior by examining their execution environment. They cannot be classified to appropriate families only by static analysis. Efficient methods are required in order to fight against huge amounts of malware programs with reducing expensive cost of manual analysis. In this paper, we propose unified approach of dynamic traffic analysis and static program analysis. Similar to other conventional methods, the former performs feature extraction, clustering and labeling to represent traffic data as sequence of characters. Then Fuzzy Hash adjusts the length of the sequence for similarity calculation. The latter applies Fuzzy Hash to malware programs. From the experimental results by using 340 malware samples and their traffic data, our method can correctly identify 58.4% of malware. |
| キーワード(和) | マルウェア分類 / 動的解析 / 静的解析 / 類似度計算 |
| キーワード(英) | Malware classification / Static analysis / Dynamic analysis / Similarity Measure |
| 資料番号 | ICSS2014-96 |
| 発行日 |
| 研究会情報 | |
| 研究会 | ICSS |
|---|---|
| 開催期間 | 2015/2/24(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Information and Communication System Security (ICSS) |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | トラフィックデータとバイナリのFuzzy Hash値に基づくマルウェア分類手法と評価(マルウェア等分析・検知(2),通信セキュリティ,一般) |
| サブタイトル(和) | |
| タイトル(英) | Evaluation on Malware Classification by Combining Traffic Analysis and Fuzzy Hashing of Malware Binary |
| サブタイトル(和) | |
| キーワード(1)(和/英) | マルウェア分類 / Malware classification |
| キーワード(2)(和/英) | 動的解析 / Static analysis |
| キーワード(3)(和/英) | 静的解析 / Dynamic analysis |
| キーワード(4)(和/英) | 類似度計算 / Similarity Measure |
| 第 1 著者 氏名(和/英) | 蛭田 将平 / Shohei HIRUTA |
| 第 1 著者 所属(和/英) | 名古屋大学工学部電気電子情報工学科 Department of Electrical and Electronic Engineering and Information Engineering School of Engineering, Nagoya University |
| 第 2 著者 氏名(和/英) | 山口 由紀子 / Yukiko YAMAGUCHI |
| 第 2 著者 所属(和/英) | 名古屋大学情報基盤センター Information Technology Center, Nagoya University |
| 第 3 著者 氏名(和/英) | 嶋田 創 / Hajime SHIMADA |
| 第 3 著者 所属(和/英) | 名古屋大学情報基盤センター Information Technology Center, Nagoya University |
| 第 4 著者 氏名(和/英) | 高倉 弘喜 / Hiroki TAKAKURA |
| 第 4 著者 所属(和/英) | 名古屋大学情報基盤センター Information Technology Center, Nagoya University |
| 発表年月日 | 2015-03-04 |
| 資料番号 | ICSS2014-96 |
| 巻番号(vol) | vol.114 |
| 号番号(no) | 489 |
| ページ範囲 | pp.- |
| ページ数 | 6 |
| 発行日 | |