文献

J-GLOBAL ID：201302210663245430   整理番号：13A0529643

不正ソフトウェア検出のための複数実行間の挙動相違捕捉

Catching the Behavioral Differences between Multiple Executions for Malware Detection

著者 (5件)： KASAMA Takahiro (National Inst. of Information and Communications Technol.) ,  KASAMA Takahiro (Yokohama National Univ.) ,  YOSHIOKA Katsunari (Yokohama National Univ.) ,  INOUE Daisuke (National Inst. of Information and Communications Technol.) ,  MATSUMOTO Tsutomu (Yokohama National Univ.)
資料名： IEICE Transactions on Fundamentals of Electronics, Communications and Computer Sciences (Institute of Electronics, Information and Communication Engineers)  (IEICE Transactions on Fundamentals of Electronics, Communications and Computer Sciences (Institute of Electronics, Information and Communication Engineers))
巻： E96-A  号： 1  ページ： 225-232 (J-STAGE)  発行年： 2013年 
JST資料番号： F0699C  ISSN： 0916-8508  資料種別： 逐次刊行物 (A)
記事区分： 原著論文  発行国： 日本 (JPN)  言語： 英語 (EN)

抄録/ポイント： 新しい不正ソフトウェア数は爆発的に増加しており,パターンマッチングに基づく従来型不正ソフトウェア検出法の有効性は低下している。そのため,署名だけでなく不正ソフトウェアの特性挙動に依存する検出法の開発が重要となっている。近年,不正ソフトウェア制作者は不正ソフトウェア解析および不正ソフト検出対策のための関数埋め込みを講じ始めている。これに応じ,最新不正ソフトウェアは不正ソフト解析および検出に対抗するため各プログラム実行における実行時間挙動をしばしば変更している。例えば不正ソフトウェアがファイルシステム上にそれ自身をコピーする場合,検出回避のためそのファイル名称をランダムに決定する。もう一つの事例は,不正ソフトウェアがそのコマンドと制御サーバを接続しようとする場合,不正ソフトドメイン名の静的ブラックリストによりブロックされることを避けるためハード符号化ドメイン名リストからドメイン名をランダムに選択する。このような回避的挙動は良性ソフトウェアでは不必要であると仮定した。そしてこの挙動は良性ソフトウェアと不正ソフトウェアを識別するための手がかりであるとした。本論文では,このような特性への注目に重点化した新しい挙動ベース不正ソフトウェア検出法を提案した。本提案法ではAPIコール配列および複数トラヒック記録の複数リストを得るため同一サンドボックス環境における実行可能ファイル多重時間に対する動的解析を行い,次に多重実行間の相違を発見するためリストおよび記録を比較した。5697件の不正ソフトウェアサンプルおよび819件の良性ソフトウェアサンプルを用いた実験において,約70%の不正ソフトウェアサンプルを検出することができ,偽陽性率は約1%であった。これに加え,各アンチウイルスソフトウェアエンジンにより検出されなかった約50%の不正ソフトウェアサンプルを検出することができた。こうして提案の手法が他の現行法との組み合わせにより不正ソフトウェア検出の精度を改善できる見通しを得た。(翻訳著者抄録)

シソーラス用語： *ソフトウェア ,  *検出 ,  命令制御 ,  *挙動 ,  信号点配置 ,  計算機プログラム ,  検出効率 ,  誤り率
準シソーラス用語： アンチウイルスソフトウェア ,  偽陽性率 ,  信号配列 ,  *不正ソフトウェア ,  *不正検出 ,  命令実行

分類 (2件)： データ保護  (JD01020V) ,  計算機システム開発  (JD02010R)

引用文献 (19件)：

• [1] D. Balzarotti, M. Cova, C. Karlberger, C. Kruegel, E. Kirda, and G. Vigna, “Efficient detection of split personalities in malware,” Proc. 17th Annual Network and Distributed System Security Symposium (NDSS 2010), 2010.
• [2] U. Bayer, C. Kruegel, and E. Kirda, “TTAnalyze: A tool for analyzing malware,” Proc. 15th Annual Conference of the European Institute for Computer Antivirus Research (EICAR), 2006.
• [3] D. Inoue, K. Yoshioka, M. Eto, Y. Hoshizawa, and K. Nakao, “Automated malware analysis system and its sandbox for revealing malware's internal and external activities,” IEICE Trans. Inf. & Syst., vol.E92-D, no.5, pp.945-954, May 2009.
• [4] T. Kasama, K. Yoshioka, D. Inoue, M. Eto, K. Nakao, and T. Matsumoto, “Consideration on malware execution time for malware sandbox analysis,” 2009 Symposium on Cryptography and Information Security (SCIS2009), 2009.
• [5] N. Kawaguchi, T. Yoda, T. Kawaguchi, M. Terada, T. Kasagi, Y. Hoshizawa, M. Eto, D. Inoue, and K. Nakao, “Analyzing CCC DATASet 2010 using user support system against malware,” IPSJ anti Malware engineering WorkShop 2010 (MWS2010), Session 2A1-2, 2010.

タイトルに関連する用語 (4件)： 不正ソフトウェア ,  挙動 ,  相違 ,  捕捉