| 研究概要 |
現在のコンピュータウイルス(以降、ウイルス)対策は、ウイルスの特徴点(以降、シグネチャ)をもとにしたパターンマッチによりウイルスの検出を行っているため、シグネチャの無い未知ウイルスは基本的に検出できない。そこで,本研究では従来のシグネチャ方式では対応できない、未知ウイルスに対応した新しいウイルス検出方式の確立を目的とする。未知ウイルスはシグネチャという観点からは未知のものであるが、オペレーションシステム(以降、OS)上で動く悪意のあるプログラムに過ぎず、OSが同じである以上、本質的に未知の機能を持ったものは存在し難い。そこで、過去のウイルスの機能を学習アルゴリズムにより学習し、その結果をもとにウイルスの検出と駆除を行う。
本年度の研究ではアルゴリズムで学習する要素として、ウイルスバイナリ中から表示可能な文字列であるstringsを抽出して用いた。stringsにはウイルスの機能を的確に表現しているAPI(Application Program Interface)情報等が含まれており、これをSpamメール検出で有効性が認められている、Paul Graham Bayes, Gary Robinson Bayes, Naive Bayesの三種類のアルゴリズムを用いて学習し、ウイルスの検出を行った。実際のウイルスを用いて実験を行ったところ、過去のウイルスを継続的に学習し続けることで、未来に発生する大部分の未知ウイルスの検出が可能となること、特にGary Robinson Bayesとその改良アルゴリズムにおいて高い検出率を持つことが確認された。
|
