文献

J-GLOBAL ID：201702213502413018   整理番号：17A0539159

悪性マクロ付き文書ファイルの解析効率化のための分類手法

Effective Analysis of Macro Malware Based on Clustering

著者 (4件)： 碓井利宣 (NTT セキュアプラットフォーム研) ,  幾世知範 (NTTセキュリティ・ジャパン) ,  岩村誠 (NTT セキュアプラットフォーム研) ,  矢田健 (NTT セキュアプラットフォーム研)
資料名： 電子情報通信学会技術研究報告  (IEICE Technical Report (Institute of Electronics, Information and Communication Engineers))
巻： 116  号： 522(ICSS2016 46-72)  ページ： 91-96  発行年： 2017年03月06日 
JST資料番号： S0532B  ISSN： 0913-5685  資料種別： 会議録 (C)
記事区分： 原著論文  発行国： 日本 (JPN)  言語： 日本語 (JA)

抄録/ポイント： 悪性マクロ付き文書ファイルを用いた攻撃の脅威が拡大している。この脅威への対策として,サンドボックスによる詳細解析が有効である。しかしながら,解析に一定時間を要するため,攻撃キャンペーンにより送付される大量の文書ファイルをすべて解析対象とすることは現実的でなく,解析を効率化する技術が希求される。本研究では,悪性マクロ付き文書ファイルを類似性に基づいてクラスタリングし,詳細解析の対象をクラスタの代表点のみに絞り込むことで,解析を効率化する手法を提案する。提案手法では,エミュレーション実行により,難読化に影響されずにマクロの特徴を捉える。また,ユーザを誘導するソーシャルエンジニアリングのためのテキストにも着目し,テキストマイニングの手法によって,マクロのみによらない特徴抽出を実施する。そして,マクロとテキストの特徴に基づくクラスタリングにより,解析対象の選定を実現する。提案手法を用いたシステムを実装し,既存の悪性マクロ付き文書ファイルの解析を効率化できることを実験的に示した。(著者抄録)

シソーラス用語： *計算機プログラム ,  *文書 ,  *計算機ファイル ,  *解析 ,  *効率化 ,  攻撃行動 ,  記憶割当 ,  類似性 ,  クラスタ化 ,  エミュレーション ,  プログラム変換 ,  社会工学 ,  データマイニング ,  知識獲得 ,  特徴抽出 ,  サイバー攻撃
準シソーラス用語： *マクロ ,  *分類方法 ,  攻撃【情報】 ,  サンドボックス ,  難読化 ,  テキストマイニング

分類 (1件)： データ保護  (JD01020V)

引用文献 (11件)：

• P. Lagadec, ′′ViperMonkey,′′ https://github.com/decalage2/ViperMonkey. (accessed: 2017-01-30).
• D. Pelleg, A.W. Moore, et al., ′′X-means: Extending K-means with Efficient Estimation of the Number of Clus-ters.,′′ Proceedings of the International Conference on Ma-chine Learning (ICML), vol.1, pp.727-734, 2000.
• S. Lloyd, ′′Least squares quantization in pcm,′′ IEEE trans-actions on information theory, vol.28, no.2, pp.129-137, 1982.
• FireEye, ′′Malware Analysis (AX Seriese) Data Sheet,′′ https://www.fireeye.com/content/dam/fireeye-www/global/en/products/pdfs/fireeye-ax-series.pdf. (accessed: 2017-02-13).
• FireEye, ′′FAQ,′′ https://community.fireeye.com/docs/DOC-6169. (accessed: 2017-02-13).

タイトルに関連する用語 (7件)： マクロ ,  文書 ,  ファイル ,  解析 ,  効率化 ,  分類 ,  手法