Research on Automation of Malware Response

• Project/Area Number: 22700065
• Research Category: Grant-in-Aid for Young Scientists (B)
• Allocation Type: Single-year Grants
• Research Field: Computer system/Network
• Research Institution: Yokohama National University
• Principal Investigator: YOSHIOKA Katsunari 横浜国立大学, 環境情報研究院, 准教授 (60415841)
• Project Period (FY): 2010 – 2011
• Project Status: Completed (Fiscal Year 2011)
• Budget Amount: ¥2,080,000 (Direct Cost: ¥1,600,000、Indirect Cost: ¥480,000); Fiscal Year 2011: ¥780,000 (Direct Cost: ¥600,000、Indirect Cost: ¥180,000); Fiscal Year 2010: ¥1,300,000 (Direct Cost: ¥1,000,000、Indirect Cost: ¥300,000)
• Keywords: マルウェア対策技術 / マルウェア対策

Research Abstract

In this study, we address automated derivation of malware response in three approaches : namely, network-based and host-based detection, remote testing, and removal. We have proposed new methods of network-based detection, host-based detection and remote testing. Also, we have obtained basis for automated generation of removal tool.

Research Products

• [Journal Article] 公開型マルウェア動的解析システムに対するデコイ挿入攻撃の脅威 (2011)
  • Author(s): 笠間貴弘, 織井達憲, 吉岡克成, 松本勉
  • Journal Title: Journal of Information Processing Volume: Vol.52, No.9 Pages: 2761-2774
  • NAID: 110008608838
• [Journal Article] Your Sandbox is Blinded : Impact of Decoy Injection to Public Malware Analysis Systems (2011)
  • Author(s): K. Yoshioka, Y. Hosobuchi, T. Orii, and T. Matsumoto
  • Journal Title: Journal of Information Processing Volume: Vol.52, No.3 Pages: 1144-1159
  • NAID: 130000770598
• [Journal Article] An Empirical Evaluation of an Unpacking Method Implemented with Dynamic Binary Instrumentation (2011)
  • Author(s): H. C. Kim, T. Orii, K. Yoshioka, D. Inoue, J. Song, M. Eto, J. Shikata, T. Matsumoto, and K. Nakao
  • Journal Title: IEICE Trans Volume: Vol.E94D, No.9 Pages: 1778-1791
  • NAID: 10030192897
• [Journal Article] 公開型マルウェア動的解析システムに対するデコイ挿入攻撃の脅威 (2011)
  • Author(s): 笠間貴弘, 織井達憲, 吉岡克成, 松本勉
  • Journal Title: 情報処理学会論文誌 Volume: Vol.52, No.9 Pages: 2761-2774
  • NAID: 110008608838
  • Peer Reviewed
• [Journal Article] An Empirical Evaluation of an Unpacking Method Implemented with Dynamic Binary Instrumentation (2011)
  • Author(s): H.C.Kim, T.Orii, K.Yoshioka, D.Inoue, J.Song, M.Eto, J.Shikata, T.Matsumoto, K.Nakao
  • Journal Title: IEICE Trans Volume: E94D No.9 Pages: 1778-1791
  • NAID: 10030192897
  • Peer Reviewed
• [Journal Article] Your Sandbox is Blinded : Impact of Decoy Injection to Public Malware Analysis Systems (2011)
  • Author(s): K.Yoshioka, Y.Hosobuchi, T.Orii, T.Matsumoto
  • Journal Title: IPSJ Journal Volume: 52-3 Pages: 1144-1159
  • NAID: 130000770598
  • Peer Reviewed
• [Journal Article] マルウェア感染ホスト検出のためのネットワークスキャン手法と検出用シグネチャの自動生成 (2010)
  • Author(s): 吉岡克成, 村上洸介, 松本勉
  • Journal Title: 情報処理学会論文誌 Volume: Vol.51, No.9 Pages: 1633-1644
  • NAID: 110007970766
• [Journal Article] Fine-Grain Feature Extraction from Malware's Scan Behavior Based on Spectrum Analysis (2010)
  • Author(s): M.Eto, K.Sonoda, D.Inoue, K.Yoshioka, K.Nakao
  • Journal Title: IEICE Transactions Volume: E93D Pages: 1106-1116
  • NAID: 10026815586
  • Peer Reviewed
• [Presentation] 未検知マルウェアへの対応に基づくアンチウイルスソフトウェアの評価 (2012)
  • Author(s): 橋本遼太, 吉岡克成, 松本勉
  • Organizer: 情報処理学会研究報告
  • Place of Presentation: 横浜記念会館
  • Year and Date: 2012-02-29
• [Presentation] マルウェア感染ホストへのリモート侵入の可能性 (2012)
  • Author(s): 田辺瑠偉, 村上洸介, 古岡克成, 四方順司, 松本勉
  • Organizer: 電子情報通信学会暗号と情報セキュリティシンポジウム2012
  • Place of Presentation: 金沢エクセルホテル
  • Year and Date: 2012-01-30
• [Presentation] シェルコード動的検知手法の定量的評価 (2012)
  • Author(s): 藤井孝好, 吉岡克成, 四方順司, 松本勉
  • Organizer: 電子情報通信学会暗号と情報セキュリティシンポジウム2012
  • Place of Presentation: 金沢エクセルホテル
  • Year and Date: 2012-01-30
• [Presentation] マルウェアが内包するゼロデイ攻撃機能の検出可能性について (2011)
  • Author(s): 神保千晶, 村上洸介, 藤井孝好, 吉岡克成, 四方順司, 松本勉
  • Organizer: 電子情報通信学会
  • Place of Presentation: 鳴門教育大学
  • Year and Date: 2011-11-18
• [Presentation] 実行毎の挙動の差異に基づくマルウェア検知手法の提案 (2011)
  • Author(s): 笠間貴弘, 吉岡克成, 井上大介, 松本勉
  • Organizer: 情報処理学会コンピュータセキュリティシンポジウム
  • Place of Presentation: 朱鷺メッセ,新潟
  • Year and Date: 2011-10-19
• [Presentation] リモートエクスプロイト攻撃を効率的に観測可能なマルウェア動的解析手法の提案 (2011)
  • Author(s): 村上洸介, 藤井孝好, 吉岡克成, 松本勉
  • Organizer: 情報処理学会コンピュータセキュリティシンポジウム
  • Place of Presentation: 朱鷺メッセ,新潟
  • Year and Date: 2011-10-19
• [Presentation] Fighting malware with sandbox analysis (2011)
  • Author(s): 吉岡克成
  • Organizer: Joint Workshop on Information Security 2011
  • Place of Presentation: Ambassador Hotel Kaohsiung, Taiwan(招待講演)
  • Year and Date: 2011-10-05
• [Presentation] マルウェア動的解析オンラインサービスの脆弱性解消方法の検討 (2011)
  • Author(s): 村上洸介, 織井達憲, 笠間貴弘, 吉岡克成, 松本勉
  • Organizer: 情報処理学会第52回コンピュータセキュリティ研究発表会
  • Place of Presentation: 関西大学
  • Year and Date: 2011-03-11
• [Presentation] ソースコード自動分割による外部委託型アプリケーションの保護 (2011)
  • Author(s): 本多聡美, 吉岡克成, 松本勉
  • Organizer: 電子情報通信学会暗号と情報セキュリティシンポジウム2011
  • Place of Presentation: リーガロイヤルホテル小倉
  • Year and Date: 2011-01-27
• [Presentation] マルウェア解析の効率化を目指した自己書換え動作の可視化方法 (2011)
  • Author(s): 織井達憲, 吉岡克成, 四方順司, 松本勉
  • Organizer: 電子情報通信学会暗号と情報セキュリティシンポジウム2011
  • Place of Presentation: リーガロイヤルホテル小倉
  • Year and Date: 2011-01-27
• [Presentation] ドメイン名の秘匿によるOpenSocialアプリケーション配信サーバの保護 (2011)
  • Author(s): 田邉正人, 橋本遼太, 吉岡克成, 松本勉
  • Organizer: 電子情報通信学会暗号と情報セキュリティシンポジウム2011
  • Place of Presentation: リーガロイヤルホテル小倉
  • Year and Date: 2011-01-25
• [Presentation] マルウェア解析の効率化を目指した自己書換え動作の可視化方法 (2011)
  • Author(s): 織井達憲,吉岡克成,四方順司,松本勉
  • Organizer: 電子情報通信学会暗号と情報セキュリティシンポジウム
• [Presentation] リモートエクスプロイト攻撃を効率的に観測可能なマルウェア動的解析手法の提案 (2011)
  • Author(s): 村上洸介,藤井孝好,吉岡克成,松本勉
  • Organizer: 情報処理学会コンピュータセキュリティシンポジウム
• [Presentation] 実行毎の挙動の差異に基づくマルウェア検知手法の提案 (2011)
  • Author(s): 笠間貴弘,吉岡克成,井上大介,松本勉
  • Organizer: 情報処理学会コンピュータセキュリティシンポジウム
• [Presentation] オンラインサービスを悪用するマルウェアに対する動的解析手法の提案 (2010)
  • Author(s): 村上洸介, 吉岡克成, 松本勉
  • Organizer: 電子情報通信学会技術研究報告
  • Place of Presentation: 広島市立大学
  • Year and Date: 2010-11-05
• [Presentation] CPUエミュレータとDynamic Binary Instrumentationの併用によるシェルコード動的分析手法の提案 (2010)
  • Author(s): 神保千晶, 吉岡克成, 四方順司, 松本勉, 衛藤将史, 井上大介, 中尾康二
  • Organizer: 電子情報通信学会技術研究報告
  • Place of Presentation: 広島市立大学
  • Year and Date: 2010-11-05
• [Presentation] Toward Automated Malware. Response for Trustable Network (2010)
  • Author(s): K.Yoshioka
  • Organizer: 3^<rd> EU-Japan Symposium on Future Internet and New Generation Networks
  • Place of Presentation: フィンランド,タンペレ(招待講演)
  • Year and Date: 2010-10-21
• [Presentation] エミュレーションに基づくシェルコード検知手法の改善 (2010)
  • Author(s): 藤井孝好, 吉岡克成, 四方順司, 松本勉
  • Organizer: マルウェア対策研究人材育成ワークショップ2010(MWS2010)
  • Place of Presentation: 岡山コンベンションセンター(ママカリフォーラム)
  • Year and Date: 2010-10-20
• [Presentation] マルウェア動的解析オンラインサービスの脆弱性(その2) (2010)
  • Author(s): 笠間貴弘, 織井達憲, 吉岡克成, 松本勉
  • Organizer: 情報処理学会コンピュータセキュリティシンポジウム(CSS2010)
  • Place of Presentation: 岡山コンベンションセンター(ママカリフォーラム)
  • Year and Date: 2010-10-20
• [Presentation] Malware Sandbox Analysis with Automatic Collection of Server Responses using Dummy Client (2010)
  • Author(s): T.Kasama, K.Yoshioka, T.Matsumoto, M.Yamagata, M.Eto, D.Inoue, K.Nakao
  • Organizer: 5th Joint Workshop Workshop on Information Secunity, JWIS 2010
  • Place of Presentation: 中国,広州
  • Year and Date: 2010-08-06
• [Presentation] Vulnerability in Public Malware Sandbox Analysis Systems (2010)
  • Author(s): K.Yoshioka, Y.Hosobuchi, T.Orii, T.Matsumoto
  • Organizer: IEEE 10th Annual International Symposium on Application and the Internet (SAINT2010)
  • Place of Presentation: 韓国,ソウル
  • Year and Date: 2010-07-19
• [Presentation] Vulnerability in Public Malware Sandbox Analysis Systems (2010)
  • Author(s): K. Yoshioka, Y. Hosobuchi, T. Orii, and T. Matsumoto
  • Organizer: IEEE 10th Annual International Symposium on Applications and the Internet
• [Presentation] Malware Sandbox Analysis with Automatic Collection of Server Responses using Dummy Client (2010)
  • Author(s): T. Kasama, K. Yoshioka, T. Matsumoto, M. Yamagata, M. Eto, D. Inoue, and K. Nakao
  • Organizer: Proc. 5th Joint Workshop Workshop on Information Security
• [Presentation] エミュレーションに基づくシェルコード検知手法の改善 (2010)
  • Author(s): 藤井孝好,吉岡克成,四方順司,松本勉
  • Organizer: マルウェア対策研究人材育成ワークショップ2010(MWS2010)
• [Presentation] CPUエミュレータとDynamic Binary Instrumentationの併用によるシェルコード動的分析手法の提案 (2010)
  • Author(s): 神保千晶,吉岡克成,四方順司,松本勉,衛藤将史,井上大介,中尾康二
  • Organizer: 電子情報通信学会技術報告ICSS2010