| 研究課題/領域番号 |
17K00181
|
|---|
| 研究機関 | 東京工業大学 |
|---|
研究代表者 |
一色 剛 東京工業大学, 学術国際情報センター, 教授 (10281718)
|
|---|
| 研究期間 (年度) |
2017-04-01 – 2020-03-31
|
| キーワード | マルウェア検知 / プログラム解析 / プロセッサエミュレータ |
|---|
| 研究実績の概要 |
H29年度は、下記の3つの項目を実施した。
(1) X86用命令セットシミュレータ(エミュレータ)とプログラム構造解析の連携機構として、書込みメモリ領域への命令実行検知機構と動的関数呼出し検知機構と、前記検知時に、その実行アドレスのPTGが未生成の場合に、PTG生成を行う機構を実装した。このことにより、暗号化されたマルウェアの高精度なプログラム構造解析(PTG生成)を自動的に実行できるようになった。
(2) マルウェア行動系列の自動生成手法として、外部ライブラリ(DLL等)やシステムコールを介したマルウェア攻撃対象資源(ファイル、ネットワーク)のアクセスの出現系列を、解析されたプログラム構造から全列挙する機構を実装した。具体的には、プログラム構造グラフ(PTG)を縮退することで、DLL・システムコールと、命令分岐構造からなる簡易PTGを生成し、この簡易PTGの実行可能経路からDLL・システムコールの出現系列を全列挙した。このことにより、マルウェア類似度計測のためのデータ生成が可能になった。
(3) 標準マイクロプロセッサ命令セットを実行可能な簡易プロセッサの開発の準備として、RISC-V命令セットのプロセッサ開発を行った。RISC-V命令セットは、次世代組込みプロセッサとして、世界中の大学・研究機関・企業が開発に乗り出しており、RISC-V用のソフトウェア開発環境も充実しており、プログラム構造解析処理を高速実行するための専用命令を追加するための命令セット拡張性にも優れている。また、関連して、画像認識処理用の専用プロセッサ開発も行い、SW処理を高速化するための回路設計に関する技法・知見を蓄積した。このことにより、本研究の目的であるIntel-X86命令セットのプログラム構造解析処理を高速実行する専用プロセッサの開発の基盤の整備が整った。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
当初の計画に挙げたH29年度の3つの研究項目について、予定通りの研究成果が上がっており、今後も計画通りに研究が進むと考えている。
|
| 今後の研究の推進方策 |
H30年度以降は、下記の3つの項目の実施を推進する。
(1) 時限的もしくは外部指令に従って解凍処理を実行する機構を含んだマルウェア暗号化手法による暗号解凍処理の検知回避手段への対応方法として、シミュレータ上で実行されなかったコード領域(解凍処理を含む可能性がある)を実行させるために擬似的に条件分岐命令の挙動を変える仕組みをエミュレータに実装する。
(2) マルウェア行動系列の類似度計測手法として、縮退PTGとして表現されたマルウェア行動系列をNFA(非決定性オートマトン)状態遷移図への変換を介して、マルウェア行動系列の正規表現を生成し、この正規表現の類似度計測手法を実装し、多数のマルウェアサンプルに対し、マルウェア行動系列の類似度計測を行いその性能評価を行う。
(3) プログラム構造解析処理用アクセラレータ回路の開発:プログラム構造グラフのデータ構造の高速な生成・改変処理を行うための専用回路(アクセラレータ)を簡易プロセッサに搭載する。
|
| 次年度使用額が生じた理由 |
残額69,192円について、本研究に関連した適切な支出項目がなかったため、H30年度の旅費または人件費の一部に充当する計画である。
|
