2021 Fiscal Year Research-status Report
| Project/Area Number |
20K11741
|
|---|
| Research Institution | University of Tsukuba |
|---|
Principal Investigator |
大山 恵弘 筑波大学, システム情報系, 准教授 (10361536)
|
|---|
| Project Period (FY) |
2020-04-01 – 2023-03-31
|
| Keywords | マルウェア解析 / ソフトウェア工学 / 解析回避 / セキュリティ / 例外処理 |
|---|
| Outline of Annual Research Achievements |
ソフトウェア工学技術によるマルウェアの安定的実行について引き続き研究を実施し,多くの実験結果と知見を得た.解析妨害対策の技術と既存技術の組み合わせによる未知マルウェアの特徴の解明を目指す作業を引き続き実施した.さらに,ソフトウェア工学技術による破損マルウェアの理解と復元について引き続き研究を実施し,多くの実験結果と知見を得た.現在開発中の破損マルウェア分類技術と既存技術を組み合わせて,破損などの異常に強い解析技術を構築する作業を実施した.機械学習,自然言語処理,マルウェアファイル中のドキュメント化されていないヘッダなどを利用して,高い精度でマルウェアを分類する技術を実装し,実験を通じて実際にそれらが有効であることを確認した.機械学習やそれらの研究成果は学会での研究発表や学術雑誌への論文掲載を通じて世に広く示した.具体的には,例外を発生させるマルウェアの実行を強制的に継続させる技術,最新のマルウェアデータセットを用いた解析妨害技術の動向把握,スリープを悪用して解析を妨害するマルウェアに対する対策技術の開発と評価,破損したマルウェアからも挙動,意図,マルウェア名などの情報を得られるようにする技術,破損したマルウェアを機械学習によって高い精度で分類する技術,シンボル情報が除去されたマルウェアに対して機械学習によって高い精度で内部構造を推定する技術などについて研究成果を得た.これらの研究成果は発表会場の聴衆や論文の読者からは大変好評であった.本質的な学術的問いである,ソフトウェア工学の技術をマルウェア解析に適用するにはどんな手法が必要かという問題や,それらのうち解析の精度と効率を特に向上させるものはどれで向上幅はどの程度かという問題についても,引き続き継続的に気づきを得ているとともに,実験などを通じてさらに解明が進みつつある.
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
ソフトウェア工学技術によるマルウェアの安定的実行や,高精度での意図や挙動の推定などについて,研究は引き続き順調に推移した.まず,マルウェアによる解析妨害技術の解明と対策技術の開発について豊富な知見が収集でき,学会発表や論文掲載を通じてそれを広く伝えた.同様に,破損したマルウェアの理解や高精度での分類についても多くの知見を収集でき,学会発表や論文掲載を通じてそれを広く伝えた.具体的には,前者の研究については,例外を発生させるマルウェアの実行を強制的に継続させる技術をさらに洗練させるとともに,マルウェアに適用する実験により有効性の評価を行った.また,最新のマルウェアデータセットを用いた解析妨害技術の動向の把握や,スリープを悪用して解析を妨害するマルウェアに対する対策技術の開発と評価も実施した.スリープを悪用するマルウェアへの対策技術については学会で複数回,賞を受賞している.後者の研究については,破損したマルウェアからも挙動,意図,マルウェア名などの情報を得られるようにする技術の開発に引き続き取り組んだ.まず,破損したマルウェアを機械学習によって高い精度で分類する技術の開発と評価をさらに進めた.また,正確には破損してはいないが情報欠損という意味では共通しているシンボル情報が除去されたマルウェアを対象に,機械学習によって高い精度で内部構造を推定する技術の開発と評価を行った.それは近年進歩が著しい自然言語解析技術を取り入れた高度なものである.並行して,サンドボックスを用いた動的解析でソフトウェアの挙動をより多く引き出すための技術を開発した.その技術ではGUIソフトウェアの自動テストを応用した手法やソフトウェアの複数回実行により実行環境への作用を明示的に扱う手法が取り入れられている.
|
| Strategy for Future Research Activity |
今後は,現在進行中の研究を引き続き進展させるとともに,調査やシステム実装にほとんど着手できていない研究項目についても作業を進める.高い優先度で取り組む項目としてはやはり,シンボリック実行やfuzzingなどの定評の高い既存技術の適用が挙げられる.例えば,シンボリック実行を利用すれば,攻撃活動を開始させるためにどのような実行環境と入力データを与えればよいかをある程度自動的に求められる可能性がある.この技術をうまく実現できれば,マルウェアの挙動をできるだけ変えないようにしながらも無駄な処理を効率的にスキップすることなどができるようになり,マルウェアによるスリープなどの無駄な処理を用いた解析回避処理を,かなりの割合で無効化や緩和できることになる.また,ソフトウェア工学の技術による破損マルウェアの理解と復元についても,プログラムファイルの自動修復,クラッシュデータ解析,fuzzy hashingなどの定評ある既存技術の適用を引き続き検討していく.ドキュメントされていないヘッダや,IoTマルウェア,シンボル情報除去などの,マルウェアの理解や分類における新たな側面も見えてきたので,それらについても,挑戦的なテーマではあるが方法論を考えていく.萌芽的な成果が出ている他の研究項目についても,これまでの成果を発展させ,国際会議での発表や論文誌への論文掲載を目指す.
|
| Causes of Carryover |
出張が制限される期間が大半であり,参加を予定していた学会に参加できないケースが多発した.加えて,研究に必要な開発や実験の作業についても,学生や教員に課された制限などにより,当初計画から変更された.研究作業やそれに伴う物品購入の一部を次年度以降に移動させた結果,次年度使用額も生じることとなった.
|
