文献

J-GLOBAL ID：201002206119920221   整理番号：10A0995046

機械語命令列の類似性に基づく自動マルウェア分類システム

Automatic Malware Classification System Based on Similarity of Machine Code Instructions

著者 (4件)： 岩村誠 (NTT 情報流通プラットフォーム研) ,  岩村誠 (早稲田大) ,  伊藤光恭 (NTT 情報流通プラットフォーム研) ,  村岡洋一 (早稲田大)
資料名： 情報処理学会論文誌ジャーナル(CD-ROM)  (情報処理学会論文誌 論文誌ジャーナル(CD-ROM))
巻： 51  号： 9  ページ： 1622-1632  発行年： 2010年09月15日 
JST資料番号： Z0778B  ISSN： 1882-7837  資料種別： 逐次刊行物 (A)
記事区分： 原著論文  発行国： 日本 (JPN)  言語： 日本語 (JA)

抄録/ポイント： 本論文では,機械語命令列の類似度算出手法および自動マルウェア分類システムを提案する。機械語命令列の類似度算出に関する提案手法では,新たなマルウェアが出現した際に,過去に収集されたマルウェアとの近さを算出するとともに,過去のマルウェアと共通の命令列および実際に変更のあった箇所を推定可能にする。一方,昨今の多くのマルウェアはパッカによりそのプログラムコードが隠蔽されている。こうした課題に対しこれまで我々は,マルウェアのアンパッキング手法および逆アセンブル手法を開発してきた。本論文では,これらの手法に機械語命令列の類似度算出に関する提案手法を組み合わせ,マルウェア分類システムを構築した。実験では本システムを利用し,3グループのマルウェア検体を分類した。その結果,ハニーポットで収集した約3,000種類のマルウェアであっても,わずか数種類のマルウェアを解析することで,全体の75%程度のマルウェアの機能を把握できることが分かった。さらに,類似度の高いマルウェアに関しては,それらの差分を推定でき,変更箇所にのみ着目した解析が可能なことも分かった。また,本システムの分類結果とアンチウィルスソフトによる検出名の比較では,本システムが同一と判断したマルウェアに関して,アンチウィルスソフトでは異なる複数の検出名が確認される状況もあり,マルウェアに対する命名の難しさが明らかになった。(著者抄録)

シソーラス用語： *コンピュータセキュリティ ,  *ソフトウェア ,  機械語 ,  度 ,  類似性 ,  *自動分類 ,  評価試験 ,  セキュリティシステム ,  データ収集 ,  *マルウェア
準シソーラス用語： アンチウイルスソフトウェア ,  ハニーポット ,  類似度

分類 (3件)： データ保護  (JD01020V) ,  計算機システム開発  (JD02010R) ,  人工知能  (JE08000Z)

引用文献 (21件)：

• Flake, H.: マルウェアの分類とアンパッキングの自動化, Black Hat Japan (2007).
• サイバークリーンセンター.https://www.ccc.go.jp/report/h20cccreport.pdf
• Computer Security Research: McAfee Avert Labs Blog.http://www.avertlabs.com/research/blog/index.php/2009/07/22/
• Bailey, M., Oberheide, J., Andersen, J., Mao, Z. M., Jahanian, F. and Nazario, J.: Automated Classification and Analysis of Internet Malware, RAID (2007).
• Md. Karim, E., Walenstein, A., Lakhotia, A. and Parida, L.: Malware phylogeny generation using permutations of code, European Research Journal of ComputerVirology, Vol.1, No.1-2, pp. 13-23 (Nov.2005).

タイトルに関連する用語 (5件)： 機械語 ,  命令列 ,  類似性 ,  マルウェア ,  分類