2023 Fiscal Year Research-status Report
マルウェア検知に向けた親プロセスと子プロセスの挙動の差異分析
| Project/Area Number |
23K11101
|
|---|
| Research Institution | Tottori University |
|---|
Principal Investigator |
高橋 健一 鳥取大学, 工学研究科, 准教授 (30399670)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
川村 尚生 鳥取大学, 工学研究科, 教授 (10263485)
東野 正幸 鳥取大学, 工学研究科, 准教授 (70736090)
|
|---|
| Project Period (FY) |
2023-04-01 – 2027-03-31
|
| Keywords | マルウェア / 親子プロセス / APIコール |
|---|
| Outline of Annual Research Achievements |
近年、我々の生活にとってコンピュータやインターネットの利用は必須のものとなっている。一方でサイバー攻撃によるマルウェア被害が深刻化している。このような攻撃では、攻撃の起点となるプロセス(マルウェア)が、様々なプロセスを起動し攻撃活動を行う。そこで本研究課題ではプロセスとそのプロセスが起動するプロセスとの関係に着目し、マルウェア以外(正規プロセス)とマルウェアで違いがあるかを検証する。また、その正規プロセスとマルウェアの差異が正規プロセスとマルウェアの判定に利用可能かを検証する。
このことの検証のために、本研究では、a. プロセスの起動タイミングや持続時間、呼び出されたAPIコール数の違いなどの統計的情報による差異の検証、b. 呼び出されたWindows APIコール列の特徴を利用した機械学習手法適用による差異の検証、c. これらの差異を利用したマルウェア判定方法の検討、さらに、d. 通信情報の差異の利用やマルウェアファミリー推定への応用を実施することを計画している。
そこで、R5年度は、ランサムウェアやランサムウェア以外のマルウェア、クリーンウェアによる、a. プロセスの起動タイミングや持続時間、呼び出されたAPIコール数の違いなどの統計的情報による差異があるかの基礎的検証を行った。結果、これらのプロセスによるプロセス作成やAPIの呼び出し傾向の違いが確認できた。これらの差異により、ランサムウェアやランサムウェア以外のマルウェア、クリーンウェアの判定に利用できる感触をつかめた。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
ランサムウェアやランサムウェア以外のマルウェア、クリーンウェアによる、a. プロセスの起動タイミングや持続時間、呼び出されたAPIコール数の違いなどの統計的情報による差異があるかの基礎的検証を行った。結果、それぞれの起点となるプロセスによる子プロセスの作成数の違いや、起点プロセスやそれ以外のプロセスによるAPIの呼び出し傾向の違いが確認できた。これらの差異により、ランサムウェアやランサムウェア以外のマルウェア、クリーンウェアの判定に利用できる感触をつかめており、おおむね順調に進展している。
|
| Strategy for Future Research Activity |
本年度の成果により、それぞれの起点となるプロセスによる子プロセスの作成数の違いや、起点プロセスやそれ以外のプロセスによるAPIの呼び出し傾向の違いが確認できた。これらの差異により、ランサムウェアやランサムウェア以外のマルウェア、クリーンウェアの判定に利用できる感触をつかめている。R6年度の方針として、より詳細な分析を行うことでマルウェア判定に使える特徴を検討すること、統計的差異を利用したマルウェア判定を試すことが挙げられる。
|
| Causes of Carryover |
情報収集用実験PCの購入を1台に抑えたため。必要に応じて、情報収集用実験PCの購入のもしくは国際会議発表旅費や論文誌掲載費として利用する予定としている。
|
