2017 Fiscal Year Research-status Report
Project/Area Number |
17K00181
|
Research Institution | Tokyo Institute of Technology |
Principal Investigator |
一色 剛 東京工業大学, 学術国際情報センター, 教授 (10281718)
|
Project Period (FY) |
2017-04-01 – 2020-03-31
|
Keywords | マルウェア検知 / プログラム解析 / プロセッサエミュレータ |
Outline of Annual Research Achievements |
H29年度は、下記の3つの項目を実施した。 (1) X86用命令セットシミュレータ(エミュレータ)とプログラム構造解析の連携機構として、書込みメモリ領域への命令実行検知機構と動的関数呼出し検知機構と、前記検知時に、その実行アドレスのPTGが未生成の場合に、PTG生成を行う機構を実装した。このことにより、暗号化されたマルウェアの高精度なプログラム構造解析(PTG生成)を自動的に実行できるようになった。 (2) マルウェア行動系列の自動生成手法として、外部ライブラリ(DLL等)やシステムコールを介したマルウェア攻撃対象資源(ファイル、ネットワーク)のアクセスの出現系列を、解析されたプログラム構造から全列挙する機構を実装した。具体的には、プログラム構造グラフ(PTG)を縮退することで、DLL・システムコールと、命令分岐構造からなる簡易PTGを生成し、この簡易PTGの実行可能経路からDLL・システムコールの出現系列を全列挙した。このことにより、マルウェア類似度計測のためのデータ生成が可能になった。 (3) 標準マイクロプロセッサ命令セットを実行可能な簡易プロセッサの開発の準備として、RISC-V命令セットのプロセッサ開発を行った。RISC-V命令セットは、次世代組込みプロセッサとして、世界中の大学・研究機関・企業が開発に乗り出しており、RISC-V用のソフトウェア開発環境も充実しており、プログラム構造解析処理を高速実行するための専用命令を追加するための命令セット拡張性にも優れている。また、関連して、画像認識処理用の専用プロセッサ開発も行い、SW処理を高速化するための回路設計に関する技法・知見を蓄積した。このことにより、本研究の目的であるIntel-X86命令セットのプログラム構造解析処理を高速実行する専用プロセッサの開発の基盤の整備が整った。
|
Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
当初の計画に挙げたH29年度の3つの研究項目について、予定通りの研究成果が上がっており、今後も計画通りに研究が進むと考えている。
|
Strategy for Future Research Activity |
H30年度以降は、下記の3つの項目の実施を推進する。 (1) 時限的もしくは外部指令に従って解凍処理を実行する機構を含んだマルウェア暗号化手法による暗号解凍処理の検知回避手段への対応方法として、シミュレータ上で実行されなかったコード領域(解凍処理を含む可能性がある)を実行させるために擬似的に条件分岐命令の挙動を変える仕組みをエミュレータに実装する。 (2) マルウェア行動系列の類似度計測手法として、縮退PTGとして表現されたマルウェア行動系列をNFA(非決定性オートマトン)状態遷移図への変換を介して、マルウェア行動系列の正規表現を生成し、この正規表現の類似度計測手法を実装し、多数のマルウェアサンプルに対し、マルウェア行動系列の類似度計測を行いその性能評価を行う。 (3) プログラム構造解析処理用アクセラレータ回路の開発:プログラム構造グラフのデータ構造の高速な生成・改変処理を行うための専用回路(アクセラレータ)を簡易プロセッサに搭載する。
|
Causes of Carryover |
残額69,192円について、本研究に関連した適切な支出項目がなかったため、H30年度の旅費または人件費の一部に充当する計画である。
|
Research Products
(4 results)