| 研究課題/領域番号 |
23K11101
|
|---|
| 研究種目 |
基盤研究(C)
|
| 配分区分 | 基金 |
|---|
| 応募区分 | 一般 |
|---|
| 審査区分 |
小区分60070:情報セキュリティ関連
|
|---|
| 研究機関 | 鳥取大学 |
|---|
研究代表者 |
高橋 健一 鳥取大学, 工学研究科, 准教授 (30399670)
|
|---|
| 研究分担者 |
川村 尚生 鳥取大学, 工学研究科, 教授 (10263485)
東野 正幸 鳥取大学, 工学研究科, 准教授 (70736090)
|
|---|
| 研究期間 (年度) |
2023-04-01 – 2027-03-31
|
| 研究課題ステータス |
交付 (2023年度)
|
| 配分額 *注記 |
4,680千円 (直接経費: 3,600千円、間接経費: 1,080千円)
2026年度: 1,170千円 (直接経費: 900千円、間接経費: 270千円)
2025年度: 1,040千円 (直接経費: 800千円、間接経費: 240千円)
2024年度: 1,300千円 (直接経費: 1,000千円、間接経費: 300千円)
2023年度: 1,170千円 (直接経費: 900千円、間接経費: 270千円)
|
|---|
| キーワード | マルウェア / 親子プロセス / APIコール / 情報セキュリティ |
|---|
| 研究開始時の研究の概要 |
サイバー攻撃によるマルウェア被害が深刻化している。本研究課題ではプロセスとそのプロセスが起動するプロセスとの関係に着目し、マルウェア以外(正規プロセス)とマルウェアで違いがあるかを検証する。具体的には、正規プロセスとマルウェアの動作に関する統計的差異の検証、機械学習手法適用によるマルウェア判定方法の検討などを計画している。
|
| 研究実績の概要 |
近年、我々の生活にとってコンピュータやインターネットの利用は必須のものとなっている。一方でサイバー攻撃によるマルウェア被害が深刻化している。このような攻撃では、攻撃の起点となるプロセス(マルウェア)が、様々なプロセスを起動し攻撃活動を行う。そこで本研究課題ではプロセスとそのプロセスが起動するプロセスとの関係に着目し、マルウェア以外(正規プロセス)とマルウェアで違いがあるかを検証する。また、その正規プロセスとマルウェアの差異が正規プロセスとマルウェアの判定に利用可能かを検証する。
このことの検証のために、本研究では、a. プロセスの起動タイミングや持続時間、呼び出されたAPIコール数の違いなどの統計的情報による差異の検証、b. 呼び出されたWindows APIコール列の特徴を利用した機械学習手法適用による差異の検証、c. これらの差異を利用したマルウェア判定方法の検討、さらに、d. 通信情報の差異の利用やマルウェアファミリー推定への応用を実施することを計画している。
そこで、R5年度は、ランサムウェアやランサムウェア以外のマルウェア、クリーンウェアによる、a. プロセスの起動タイミングや持続時間、呼び出されたAPIコール数の違いなどの統計的情報による差異があるかの基礎的検証を行った。結果、これらのプロセスによるプロセス作成やAPIの呼び出し傾向の違いが確認できた。これらの差異により、ランサムウェアやランサムウェア以外のマルウェア、クリーンウェアの判定に利用できる感触をつかめた。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
ランサムウェアやランサムウェア以外のマルウェア、クリーンウェアによる、a. プロセスの起動タイミングや持続時間、呼び出されたAPIコール数の違いなどの統計的情報による差異があるかの基礎的検証を行った。結果、それぞれの起点となるプロセスによる子プロセスの作成数の違いや、起点プロセスやそれ以外のプロセスによるAPIの呼び出し傾向の違いが確認できた。これらの差異により、ランサムウェアやランサムウェア以外のマルウェア、クリーンウェアの判定に利用できる感触をつかめており、おおむね順調に進展している。
|
| 今後の研究の推進方策 |
本年度の成果により、それぞれの起点となるプロセスによる子プロセスの作成数の違いや、起点プロセスやそれ以外のプロセスによるAPIの呼び出し傾向の違いが確認できた。これらの差異により、ランサムウェアやランサムウェア以外のマルウェア、クリーンウェアの判定に利用できる感触をつかめている。R6年度の方針として、より詳細な分析を行うことでマルウェア判定に使える特徴を検討すること、統計的差異を利用したマルウェア判定を試すことが挙げられる。
|
