2008 Fiscal Year Annual Research Report
| Project/Area Number |
19700051
|
|---|
| Research Institution | Iwate University |
|---|
Principal Investigator |
中谷 直司 Iwate University, 工学部, 助教 (20322969)
|
|---|
| Keywords | コンピュータウイルス / 未知コンピュータウイルス / 可視化 / ベクトル間距離 / リソース |
|---|
| Research Abstract |
本研究では過去のコンピュータウイルスの情報を抽出しその情報に基づいたウイル検出を行うことで、現状では未解決な未知ウイルス検出手法の確立を目指す。ただし、情報として与える「コンピュータウイルスの機能」の抽出には研究の余地が多分に存在するため、本研究では情報抽出手法と検出手法の問題を切り分けることを目的に、コンピュータウイルスの機能を的確に表現し、ノンウイルスとウイルスを明確に識別可能なバイナリファイルの可視化を目標とする。
本年度はバイナリファイルの構造にも着目し、昨年度までの可視化手法では利用していなかったプログラムコードやリソースに関する情報を用いた可視化を行った。まず、バイナリファイルの構造からプログラムの動作そのものが書かれたコードセクションを特定し、そこからWirdows APIコールを順に取り出すことでAPIのシーケンスを得た。ここでいうWirdows APIとはプログラムが動作する上で必須となるOS機能を呼び出すためのインターフェースのことであるため、今回取り出したAPIシーケンスはプログラムの動作そのものと密接に関係しており、亜種ウイルスをはじめとするウイルス同士では似通ったものとなる。そこで、既にウイルスとわかっているプログラムから取り出したAPIシーケンスと、未知のプログラムから取り出したそれとをr次元ベクトル空間上に表現し、そのベクトル間距離をとることで未知プログラムがウイルスかどうかを判定する手法を提案した。また、亜種ウイルス同士ではプログラムアイコン等のリソース情報が似通っていることに着目し、リソース情報を格納しているリソースセクションの構造を可視化し、その違いを元にウイルスを検出する手法も提案した。この手法ではリソース情報の内容ではなくあえてその構造を利用することで、亜種ウイルス間のわずかなリソースの差に影響を受けない検出が可能となっている。
|
