Robustness and efficiency metrics of the name obfuscation methods

2017 Fiscal Year Research-status Report

• Project/Area Number: 17K00196
• Research Institution: Kyoto Sangyo University
• Principal Investigator: 玉田 春昭 京都産業大学, コンピュータ理工学部, 准教授 (30457139)
• Project Period (FY): 2017-04-01 – 2020-03-31
• Keywords: 逆変換 / 名前難読化 / メソッド名

Outline of Annual Research Achievements

本研究の目的は，世の中で広く使われている名前難読化手法の耐性を評価することである．そのために本年度は，名前難読化の逆変換についての研究を行った．
名前難読化の逆変換は，機械学習を用いて，メソッド名の動詞の復元を試みた．学習データには，既存のソフトウェアリポジトリを利用した．既存のソフトウェアリポジトリには，今までにリリースされた大量のソフトウェアが保存されている．そこからメソッド名とそれに対応する命令列を抽出し，ランダムフォレストを用いて，学習モデルを作成した．そして，復元したいプログラムから命令列を抽出し，学習モデルからメソッド名を推薦している．この手法を用いて，類似した意味の動詞を54.80%の割合で推薦できた．
一方で，ビッグデータを扱うことになるため，如何に大量のソフトウェアの中から目的のものを見つけ出すかの研究も必要である．特に，本研究で対象にするソフトウェアは盗まれたソフトウェアである．盗まれたソフトウェアのソースコードが公開されることは考えにくいため，バイナリ単位での比較が必要となる．そのため，ソフトウェアバースマークが利用できる．特に，大量のソフトウェアバースマークを扱うための研究にも取り組み，検索エンジンを用いた高速検索を実現できた．この研究では，事前に抽出しておいたバースマーク情報を検索エンジンに登録しておき，検索する．このように，従来のバースマークの比較の前に，ラフに絞り込んでおくことで，全体の比較時間を短くすることが可能となる．また，従来は，事前抽出や保存が不可能と考えられていた動的情報を元にしたバースマーク（動的バースマーク）についても，単体テストを利用することで，plaintiffプログラムの動的バースマークを事前抽出を可能にした．

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

本研究では4つの研究課題を挙げている．(A)攻撃方法の整理・手順化，(B)プログラムの理解容易性測定，(C)堅牢性の評価，(D)有効性の評価である．当初の予定では，初年度となる平成２９年度では，(A)攻撃方法の整理・手順化，(B)プログラムの理解容易性測定に取り組む予定であった．(A)攻撃方法の整理・手順化では，研究実績の概要にも示したように十分に成果を出せたと言える．一方で，(B)プログラムの理解容易性測定では，(A)に取り組む過程で，メソッド名の良し悪しを測定する方法を提案した．しかし，当初の予定であった実際の測定までは行えていない．その一方で，次年度以降に取り組む予定であった（C）堅牢性の評価についても(A)に取り組む過程で，実際にどの程度のプログラム量があれば，復元が可能であるかを実験的に求められたため，一手法として達成できたと言える．また，当初の予定には組み込まれていなかった動的バースマークの事前抽出が可能となったことで，従来は対象にできなかった情報も，本研究で扱えるようになった．
このように，個々の研究課題を見ると進展が芳しくない課題もある．しかし，全体として見ると，予定以上に進められている課題や，当初予定していなかったものの，進展が見られた研究もある．そのため，本研究の目的達成のために，4つの研究課題を筆頭に研究を進められており，概ね順調に進展していると言える．

Strategy for Future Research Activity

次年度は，本年度までに行った内容をより深く，広く発展させる．具体的には，研究課題(A)で提案した手法をより発展させ，復元率の向上を目指す．本年度は進捗が芳しくなかった(B)についても取り組み，実際のプログラムを対象に名前から理解容易性を測定する．また，(C)，(D)にも引き続き取り組み，名前難読化の堅牢性と有効性を明らかにする．
また，新たな研究課題として，(E) バイナリプログラムでのプログラム検索を挙げ，バースマークを用いたプログラム検索の研究も推し進める．この研究課題を推進することで，名前難読化への攻撃の一手法が確立されるものと期待できる．すなわち，(A)の成果にも繋がっていく．一方で，研究課題(E)の推進によりより多くデータを集めることとなり，MSR（Mining Software Repository）の研究にも繋がっていく．MSRは大きなデータリポジトリが必要であるが，バースマークのリポジトリは現在のところ存在しない．そのために，バースマークのリポジトリを構築することも今後の重要な研究課題となる．

Causes of Carryover

当初国際会議に投稿予定であったが，研究遂行上，時間が確保できなかったため次年度に回すこととした．

Research Products

• [Journal Article] Scaling Up Software Birthmarks Using Fuzzy Hashing (2017)
  • Author(s): Takehiro Tsuzaki, Teruaki Yamamoto, Haruaki Tamada, and Akito Monden
  • Journal Title: International Journal of Software Innovation (IJSI) Volume: 5 Pages: 89-102
  • DOI: 10.4018/IJSI.2017070107
  • Peer Reviewed
• [Presentation] mituba: Scaling up Software Theft Detection with the Search Engine (2018)
  • Author(s): Jun Nakamura, Haruaki Tamada
  • Organizer: International Conference on Software Engineering and Information Management (ICSIM 2018)
  • Int'l Joint Research
• [Presentation] 単体テストコードを利用した動的バースマークの抽出 (2017)
  • Author(s): 横井 昂典，玉田 春昭
  • Organizer: コンピュータセキュリティシンポジウム2017（CSS 2017）
• [Presentation] ランダムフォレストによる名前難読化の逆変換 (2017)
  • Author(s): 磯部 陽介，玉田 春昭
  • Organizer: 第24回ソフトウェア工学の基礎ワークショップ（FOSE2017）
• [Presentation] 検索エンジンを用いたソフトウェアバースマークによる検査対象の絞り込み手法 (2017)
  • Author(s): 中村 潤，玉田 春昭
  • Organizer: 第24回ソフトウェア工学の基礎ワークショップ（FOSE2017）