2011 Fiscal Year Annual Research Report
Wineのログを利用した未知ウイルス検出手法の研究
| Project/Area Number |
22700062
|
|---|
| Research Institution | Iwate University |
|---|
Principal Investigator |
中谷 直司 岩手大学, 工学部, 助教 (20322969)
|
|---|
| Keywords | コンピュータウイルス / 未知コンピュータウイルス / Wine / 正規化圧縮距離 |
|---|
| Research Abstract |
コンピュータウイルス(以降、ウイルス)が分刻みで出現する現状では、既知のウイルス特徴点を利用してウイルスを検出する既存のウイルス対策ソフトでは対応することのできない、未知のウイルスに遭遇する確率が高まっている。そこで、Linux上で動作するWindows互換レイヤーであるWineを用いてWindows上で動作するウイルスの挙動ログを抽出し、そのログと既知のウイルスの挙動ログとの類似性に基づく手法を用いて未知ウイルスを検出する手法に関する研究を行った。
昨年度の研究において、コルモゴロフ複雑性に基づく正規化圧縮距離(NCD)をWineのログに対して適用することで、ウイルスを検出することが可能であるという成果を得た。しかし、NCDが類似度を算出するものである割には、ウイルス亜種の分類にあまり効果がないという欠点もあった。そこで、本年度はNCDを算出する前にWineのログから実行するたびに変動する要素を予め取り除き、さらにログのサイズを同サイズに揃えることで類似性に対する精度を向上させる手法を提案した。提案手法は実験により、ウイルス亜種の分類にも有効に機能することが確認された。
また、ウイルスの挙動はWindowsというOSをターゲットとしている以上、既知のものも未知のものも本質的には違いはない。そこで、WineのログからAPIの呼出をシーケンスとして抽出し、そのシーケンスに対して既知ウイルスの挙動から作成した検出ルールを適用するルールベースの発見的手法に関する研究を行った。検出ルールに「ファイルの作成」や「外部との通信」などの基本的なルールを設定しただけで、実験ではウイルス検出率が99.2%と極めて高く、またウイルスではない通常の実行ファイルをウイルスとしてしまう誤検出率も2.7%と十分に低い値が得られた。
以上のことから、Wineのログを未知ウイルス検出に利用することは有用であると言える。
|
