2012 Fiscal Year Research-status Report
配列解析による知能マルウェア対策スキームに関する研究
| Project/Area Number |
24700084
|
|---|
| Research Category |
Grant-in-Aid for Young Scientists (B)
|
| Research Institution | National Institute of Information and Communications Technology |
|---|
Principal Investigator |
班 涛 独立行政法人情報通信研究機構, ネットワークセキュリティ研究所 サイバーセキュリティ研究室, 研究員 (80462878)
|
|---|
| Project Period (FY) |
2012-04-01 – 2015-03-31
|
| Keywords | アメリカ / イスラエル / ニュージーランド |
|---|
| Research Abstract |
本研究は、「効率のよい配列解析新手法の提案」及び「提案手法を基づいた静的と動的要素を同時配慮する信頼性の高いマルウェア分類技術の実現」を目的とする。様々なステルス技術を備えたマルウェアの検出率を高める為、 平成24年度では、 配列解析を基づいたマルウェア解析手法とサイバーセキュリティ関連分野の応用に関する文献調査を行い、当研究分野の現状を把握した。また、 従来のマルウェア対策技術の補充手法として、配列解析に基づいた計算知能技術をマルウェアのバイナリコード配列に適用し、静的な視点からマルウェアの行動を分析して、信頼性の高いマルウェア分類・検出手法について研究開発を行った。
シグネチャ・ベースのスキャナを回避するため、マルウェアはパッカーによる圧縮や暗号化をすることが多い。暗号化されたマルウェアは使用するパッカーにより大きく異なり、 マルウェアの静的解析に大きな支障がある。従って、マルウェアの自動解析システムを構築するため、パッカーによるマルウェアの難読化が一つの課題となっている。24年度の主な研究実績は、未知のパッカーで暗号化されたマルウェアを解析する時、自動的にアンパック・ツールを特定するシステムの実証実験を行った。新たに提案したバイナリ・コードの特徴を解読する配列解析カーネル関数をサポート・ベクトル・マシンという汎化能力が優れるかつ計算速度が早い分類器に適用し、マルウェアに含まれるアンパックコードを解読して、入力されたマルウェアに使用されているパッカーを特定するシステムを実装した。実験では、25種類のパッカーを評価用データセットとして使用し、99%以上の精度でパッカー特定が可能であることを実証した。
上記の研究活動で、配列解析技術の有効性と実用性を実証し た。また、その技術に基づいたパッカー特定システムは自動マルウェア解析技術を確立するための重要な役割を果たしている。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
従来平成25年度で行う予定のパッカー特定の研究に関しては、データの収集や、システムの実証実験に必要な作業量が多いため、24年度にて、優先的に実験環境構築と性能評価に関する研究開発を行った。
一方、上述の計画調整のため、可変長Nグラム文字列カーネル関数に関する研究は、25年度に変更した。
25年度中、従来の研究目標を実現するため、実用システムの構築等の実用性研究と新しいデータ分析手法の提案などの理論性研究の進捗を適切に調整し、研究を進める予定。
|
| Strategy for Future Research Activity |
平成25年度では、「マルウェア解析システム構築の実用性研究」と共に「効率のよいデータ分析手法の提案の理論性研究」を同時に推進する。
理論性研究では、可変長文字列カーネル関数の実装と性能評価を進める。入力された文字列SiとSjの可変長Nグラム文字列カーネル関数K(Si,Sj)を効率的に計算するため、Suffix Trieという最長共通部分列の高速抽出をサポートする先進的なデータ構造を採用し、従来の固定長共通部分列カーネル関数(Nグラム)の記述能力を改善し、学習性能の向上に寄与する。尚、 入力文字列Si(i=1,...,n)のSuffix Trieを集約することで構築されたGeneralized Suffix Trieデータ構造Sでは、新しい文字列TとSに埋め込まれたすべての文字列Siの間の共通部分列を取得するのは、時間計算量はO(min(li,lj))しか掛からない。この特性では、配列カーネル関数に基づいた高速学習法が可能になる。提案手法に基づいたマルウェア解析モデルの性能を評価するため、CDMC 2010コンピテーションで提供されたバイナリクラス分類タスクで、時間計算量及び汎化能力を評価する。
一方、実用性研究では、提案した学習モデルに基づいたマルウェア・パッカー特定システムや、マルウェアの動的解析システム、スパムメール解析システムの実証実験を行う。提案手法の性能評価は、情報通信研究機構で収集されたマルウェア動的解析データベース及び構内メールサーバで収集したスパム・メール・データベースの上で実行する。尚、提案した文字列カーネル関数を他のカーネル学習法に活用して、スパム・メールのフィルタリングやメール検体のクラスタリング等の探索的データ解析を行う。
|
| Expenditure Plans for the Next FY Research Funding |
研究をスムーズに推進するため、24、25年度の研究内容を調整した(「現在までの達成度」を参照)。そのため、24年度に予定した物品購入を25年度に変更した。
25年度では、研究作業を進めるため、下記の支出を予定している(24年度の残高を併せる金額)。
物品費(90万円)、人件費・謝金(55万円)、旅費(60万円)、その他(15万円)、計220万円である。
|
