講演抄録/キーワード |
講演名 |
2012-06-22 09:50
マルウェアのオペコードに着目した高速な分類手法 ○鐘 揚・八槇博史・山口由紀子・高倉弘喜(名大) IA2012-8 ICSS2012-8 |
抄録 |
(和) |
ワーム,ウイルス,トロイの木馬などのマルウェアはネットワークシステムのセキュリティに大きな脅威を与えている.
マルウェアの感染の被害を最小限に止めるためには迅速な解析を行い,対処することが重要となる.
しかし,近年ではオリジナルのマルウェアの一部を変更してアンチウイルスの検知を逃れる,あるいはアナリストによる解析を難しくする亜種が存在し,被害を拡大させる原因となっている.
そのため,我々はマルウェアを逆アセンブルしてオペコード列を抽出し,関数ごとに切り分けて類似度計算を行なう分類手法を提案する.
本手法では重要な関数のみを抽出して類似度計算を行なうため,より高速な分類が可能である.
評価実験では既知のマルウェアを46検体用いて学習し,178検体を分類した.
実験結果より提案手法は既存の手法に比べ,精度を保ちながらより高速に分類が可能であることが示された. |
(英) |
Malicious software in form of Internet worms, computer viruses, and trojan horses poses a major threat to the security of network systems.
Identification of malware variants provides great benefit in early detection.
However, in recent years, it is hard to analyze the all malware programs by manual because of the explanation of malicious program variants which avoid the detection of anti-virus by changing a part of the original malware program code.
Taking into account that variants of malware families share similar functions reflecting its origin and purpose, we propose a method focusing on opcodes of functions that a malware program consists of.
In our method, the feature database is created based on the analysis of known malware programs, and functions in unknown programs are compared to the opcodes of the database to determine the program belong to what family.
To decrease the cost of the calculation of similarity, we use a filtering algorithm to filter out functions which have small influence in determining the family.
We evaluated the approach using 46 categorized malware samples and 178 malware samples to be classified.
In the experiment, it is shown that our approach effectively reduce the time for calculation while the accuracy is not deteriorated too much. |
キーワード |
(和) |
マルウェア / 静的解析 / 逆アセンブル / 機能推定 / / / / |
(英) |
malware / static analysis / disassembly / function estimate / / / / |
文献情報 |
信学技報, vol. 112, no. 91, ICSS2012-8, pp. 43-48, 2012年6月. |
資料番号 |
ICSS2012-8 |
発行日 |
2012-06-14 (IA, ICSS) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
IA2012-8 ICSS2012-8 |
研究会情報 |
研究会 |
ICSS IA |
開催期間 |
2012-06-21 - 2012-06-22 |
開催地(和) |
東海大学 高輪キャンパス 1号館2階 1206 教室 (1 日目) |
開催地(英) |
Room 1206, 1st bldg, Takanawa Campus, Tokai University |
テーマ(和) |
インターネットセキュリティ、一般 |
テーマ(英) |
Internet Security, etc. |
講演論文情報の詳細 |
申込み研究会 |
ICSS |
会議コード |
2012-06-ICSS-IA |
本文の言語 |
日本語 |
タイトル(和) |
マルウェアのオペコードに着目した高速な分類手法 |
サブタイトル(和) |
|
タイトル(英) |
A High-Speed Classification Method based on Opcode of Malware |
サブタイトル(英) |
|
キーワード(1)(和/英) |
マルウェア / malware |
キーワード(2)(和/英) |
静的解析 / static analysis |
キーワード(3)(和/英) |
逆アセンブル / disassembly |
キーワード(4)(和/英) |
機能推定 / function estimate |
キーワード(5)(和/英) |
/ |
キーワード(6)(和/英) |
/ |
キーワード(7)(和/英) |
/ |
キーワード(8)(和/英) |
/ |
第1著者 氏名(和/英/ヨミ) |
鐘 揚 / Yang Zong / ツォン ヨウ |
第1著者 所属(和/英) |
名古屋大学 (略称: 名大)
Nagoya University (略称: Nagoya Univ.) |
第2著者 氏名(和/英/ヨミ) |
八槇 博史 / Hirofumi Yamaki / ヤマキ ヒロフミ |
第2著者 所属(和/英) |
名古屋大学 (略称: 名大)
Nagoya University (略称: Nagoya Univ.) |
第3著者 氏名(和/英/ヨミ) |
山口 由紀子 / Yukiko Yamaguchi / ヤマグチ ユキコ |
第3著者 所属(和/英) |
名古屋大学 (略称: 名大)
Nagoya University (略称: Nagoya Univ.) |
第4著者 氏名(和/英/ヨミ) |
高倉 弘喜 / Hiroki Takakura / |
第4著者 所属(和/英) |
名古屋大学 (略称: 名大)
Nagoya University (略称: Nagoya Univ.) |
第5著者 氏名(和/英/ヨミ) |
/ / |
第5著者 所属(和/英) |
(略称: )
(略称: ) |
第6著者 氏名(和/英/ヨミ) |
/ / |
第6著者 所属(和/英) |
(略称: )
(略称: ) |
第7著者 氏名(和/英/ヨミ) |
/ / |
第7著者 所属(和/英) |
(略称: )
(略称: ) |
第8著者 氏名(和/英/ヨミ) |
/ / |
第8著者 所属(和/英) |
(略称: )
(略称: ) |
第9著者 氏名(和/英/ヨミ) |
/ / |
第9著者 所属(和/英) |
(略称: )
(略称: ) |
第10著者 氏名(和/英/ヨミ) |
/ / |
第10著者 所属(和/英) |
(略称: )
(略称: ) |
第11著者 氏名(和/英/ヨミ) |
/ / |
第11著者 所属(和/英) |
(略称: )
(略称: ) |
第12著者 氏名(和/英/ヨミ) |
/ / |
第12著者 所属(和/英) |
(略称: )
(略称: ) |
第13著者 氏名(和/英/ヨミ) |
/ / |
第13著者 所属(和/英) |
(略称: )
(略称: ) |
第14著者 氏名(和/英/ヨミ) |
/ / |
第14著者 所属(和/英) |
(略称: )
(略称: ) |
第15著者 氏名(和/英/ヨミ) |
/ / |
第15著者 所属(和/英) |
(略称: )
(略称: ) |
第16著者 氏名(和/英/ヨミ) |
/ / |
第16著者 所属(和/英) |
(略称: )
(略称: ) |
第17著者 氏名(和/英/ヨミ) |
/ / |
第17著者 所属(和/英) |
(略称: )
(略称: ) |
第18著者 氏名(和/英/ヨミ) |
/ / |
第18著者 所属(和/英) |
(略称: )
(略称: ) |
第19著者 氏名(和/英/ヨミ) |
/ / |
第19著者 所属(和/英) |
(略称: )
(略称: ) |
第20著者 氏名(和/英/ヨミ) |
/ / |
第20著者 所属(和/英) |
(略称: )
(略称: ) |
第21著者 氏名(和/英/ヨミ) |
/ / |
第21著者 所属(和/英) |
(略称: )
(略称: ) |
第22著者 氏名(和/英/ヨミ) |
/ / |
第22著者 所属(和/英) |
(略称: )
(略称: ) |
第23著者 氏名(和/英/ヨミ) |
/ / |
第23著者 所属(和/英) |
(略称: )
(略称: ) |
第24著者 氏名(和/英/ヨミ) |
/ / |
第24著者 所属(和/英) |
(略称: )
(略称: ) |
第25著者 氏名(和/英/ヨミ) |
/ / |
第25著者 所属(和/英) |
(略称: )
(略称: ) |
第26著者 氏名(和/英/ヨミ) |
/ / |
第26著者 所属(和/英) |
(略称: )
(略称: ) |
第27著者 氏名(和/英/ヨミ) |
/ / |
第27著者 所属(和/英) |
(略称: )
(略称: ) |
第28著者 氏名(和/英/ヨミ) |
/ / |
第28著者 所属(和/英) |
(略称: )
(略称: ) |
第29著者 氏名(和/英/ヨミ) |
/ / |
第29著者 所属(和/英) |
(略称: )
(略称: ) |
第30著者 氏名(和/英/ヨミ) |
/ / |
第30著者 所属(和/英) |
(略称: )
(略称: ) |
第31著者 氏名(和/英/ヨミ) |
/ / |
第31著者 所属(和/英) |
(略称: )
(略称: ) |
第32著者 氏名(和/英/ヨミ) |
/ / |
第32著者 所属(和/英) |
(略称: )
(略称: ) |
第33著者 氏名(和/英/ヨミ) |
/ / |
第33著者 所属(和/英) |
(略称: )
(略称: ) |
第34著者 氏名(和/英/ヨミ) |
/ / |
第34著者 所属(和/英) |
(略称: )
(略称: ) |
第35著者 氏名(和/英/ヨミ) |
/ / |
第35著者 所属(和/英) |
(略称: )
(略称: ) |
第36著者 氏名(和/英/ヨミ) |
/ / |
第36著者 所属(和/英) |
(略称: )
(略称: ) |
講演者 |
第1著者 |
発表日時 |
2012-06-22 09:50:00 |
発表時間 |
25分 |
申込先研究会 |
ICSS |
資料番号 |
IA2012-8, ICSS2012-8 |
巻番号(vol) |
vol.112 |
号番号(no) |
no.90(IA), no.91(ICSS) |
ページ範囲 |
pp.43-48 |
ページ数 |
6 |
発行日 |
2012-06-14 (IA, ICSS) |
|