• Search Research Projects
  • Search Researchers
  • How to Use
  1. Back to project page

2011 Fiscal Year Annual Research Report

Wineのログを利用した未知ウイルス検出手法の研究

Research Project

Project/Area Number 22700062
Research InstitutionIwate University

Principal Investigator

中谷 直司  岩手大学, 工学部, 助教 (20322969)

Keywordsコンピュータウイルス / 未知コンピュータウイルス / Wine / 正規化圧縮距離
Research Abstract

コンピュータウイルス(以降、ウイルス)が分刻みで出現する現状では、既知のウイルス特徴点を利用してウイルスを検出する既存のウイルス対策ソフトでは対応することのできない、未知のウイルスに遭遇する確率が高まっている。そこで、Linux上で動作するWindows互換レイヤーであるWineを用いてWindows上で動作するウイルスの挙動ログを抽出し、そのログと既知のウイルスの挙動ログとの類似性に基づく手法を用いて未知ウイルスを検出する手法に関する研究を行った。
昨年度の研究において、コルモゴロフ複雑性に基づく正規化圧縮距離(NCD)をWineのログに対して適用することで、ウイルスを検出することが可能であるという成果を得た。しかし、NCDが類似度を算出するものである割には、ウイルス亜種の分類にあまり効果がないという欠点もあった。そこで、本年度はNCDを算出する前にWineのログから実行するたびに変動する要素を予め取り除き、さらにログのサイズを同サイズに揃えることで類似性に対する精度を向上させる手法を提案した。提案手法は実験により、ウイルス亜種の分類にも有効に機能することが確認された。
また、ウイルスの挙動はWindowsというOSをターゲットとしている以上、既知のものも未知のものも本質的には違いはない。そこで、WineのログからAPIの呼出をシーケンスとして抽出し、そのシーケンスに対して既知ウイルスの挙動から作成した検出ルールを適用するルールベースの発見的手法に関する研究を行った。検出ルールに「ファイルの作成」や「外部との通信」などの基本的なルールを設定しただけで、実験ではウイルス検出率が99.2%と極めて高く、またウイルスではない通常の実行ファイルをウイルスとしてしまう誤検出率も2.7%と十分に低い値が得られた。
以上のことから、Wineのログを未知ウイルス検出に利用することは有用であると言える。

  • Research Products

    (1 results)

All 2012

All Presentation (1 results)

  • [Presentation] Wineを用いたAPIログによるコンピュータウイルスの検出2012

    • Author(s)
      村上智裕、中谷直司、厚井裕司
    • Organizer
      平成23年度第4回情報処理学会東北支部研究会
    • Place of Presentation
      岩手大学(岩手県)
    • Year and Date
      2012-01-21

URL: 

Published: 2013-06-26  

Information User Guide FAQ News Terms of Use Attribution of KAKENHI

Powered by NII kakenhi