2020 Fiscal Year Annual Research Report
Malware detection scheme using behavioral sequence similarity
| Project/Area Number |
17K00181
|
|---|
| Research Institution | Tokyo Institute of Technology |
|---|
Principal Investigator |
一色 剛 東京工業大学, 工学院, 教授 (10281718)
|
|---|
| Project Period (FY) |
2017-04-01 – 2021-03-31
|
| Keywords | マルウェア検知 / プログラム解析 / プロセッサエミュレータ |
|---|
| Outline of Annual Research Achievements |
R2年度は、これまで3年間取り組んできたマルウェア行動系列の類似度計測手法について、より大規模なマルウェアデータベースを使い、追加実験を行うとともに、精度向上のための手法の改良を行なった。
これまでは、機械学習に基づくプログラム構造グラフの類似度計測手法を実装してきたが、採用したディープラーニング手法には、様々なパラメータが存在し、パラメータチューニングによるマルウェアの識別精度のさらなる向上が必要であることが確認できたため、グラフマッチング手法を応用した新たな手法の研究を行なった。具体的には、マルウェアの行動系列として、API呼出系列を生成するためのAPI推移グラフをプログラム構造解析により生成し、API部分パスのマッピング処理を行うことで、API部分パスの類似度を計算することで、マルウェアが生成するAPI呼出系列の類似度を測定する。その結果、比較的小規模のマルウェアデータベースでは、100%の精度でマルウェアの亜種分類ができることが確認できた。一方で、大規模なマルウェアデータベースについては、APIライブラリの不一致等による原因により、亜種分類精度が低下するケースも確認された。今後の課題として、APIライブラリの不一致を解消するために、同一機能を実現する別API関数について、API機能の類似性を考慮したAPIシンボル距離を導入することで、異なるAPIライブラリを使用したマルウェアについても高精度な亜種分類が可能になると考えられる。
|
