2010 Fiscal Year Annual Research Report
Wineのログを利用した未知ウイルス検出手法の研究
| Project/Area Number |
22700062
|
|---|
| Research Institution | Iwate University |
|---|
Principal Investigator |
中谷 直司 岩手大学, 工学部, 助教 (20322969)
|
|---|
| Keywords | コンピュータウイルス / 未知コンピュータウイルス / Wine / ベクトル間距離 / 正規化圧縮距離 |
|---|
| Research Abstract |
コンピュータウイルス(以降、ウイルス)が分刻みで出現する現状では、既知のウイルス特徴点を利用してウイルスを検出する既存のウイルス対策ソフトでは対応することのできない、未知のウイルスに遭遇する確率が高まっている。そこで、Linux上で動作するWindows互換レイヤーであるWineを用いてWindows上で動作するウイルスの挙動ログを抽出し、そのログと既知のウイルスの挙動ログとの類似性に基づく手法を用いて未知ウイルスを検出する手法に関する研究を行った。
検出手法に関する研究を始めるに辺り、予備調査としてWineのログを解析した。その結果、Wineのログには実行したアプリケーションの挙動、すなわちAPIの呼出状況とその返り値を逐一記録することが可能であることがわかった。また、プロセスやスレッドの分岐状況等も環境変数に適当な値を設定することでログに出力することができるため、これによりウイルスの挙動をログから追跡可能なことが確認された。
そこで、WineのログからAPIの呼出をシーケンスとして抽出し、そのシーケンスを多次元ベクトルとしてとらえ、そのベクトル間の距離を利用して未知ウイルスを検出する手法に関して研究を行った。すなわち、既知のウイルスのAPIシーケンスが作るベクトルと、未知のウイルスが作るベクトル間の距離を算出することでウイルスを検出する。実験の結果提案手法は、ウイルスと通常の実行ファイル(以降、ノンウイルス)を明確に識別でき、かつウイルスを亜種ごとに分類することも可能なことが確認された。さらに、コルモゴロフ複雑性に基づく正規化圧縮距離(NCD)をWineのログに対して適用した。NCDにより2つのログが類似していれば距離が短く算出されるため、既知ウイルスと未知ウイルス間の距離を測ることでウイルスを検出できるはずである。実験の結果、NCDによるウイルスの検出は有効であることが確認され、ウイルス亜種の分類にもある程度の成果が見られた。
|
Research Products
(1 results)
