| 研究課題/領域番号 |
17K00181
|
|---|
| 研究機関 | 東京工業大学 |
|---|
研究代表者 |
一色 剛 東京工業大学, 工学院情報通信系, 教授 (10281718)
|
|---|
| 研究期間 (年度) |
2017-04-01 – 2020-03-31
|
| キーワード | マルウェア検知 / プログラム解析 / プロセッサエミュレータ |
|---|
| 研究実績の概要 |
H30年度は、下記の3つの項目を実施した。
(1) マルウェア行動系列の類似度計測手法として、縮退PTGとして表現されたマルウェア行動系列をNFA(非決定性オートマトン)状態遷移図への変換を介して、マルウェア行動系列の正規表現を生成し、この正規表現の類似度計測手法として、文字編集距離計算による手法を実装し、類似したサンプルプログラムにおいて類似度計測値の相関を確認した。また、外部ライブラリの呼び出し命令をメタ記号として扱う類似度計測手法を実装した。
(2) マルウェア行動系列の自動生成手法として、外部ライブラリ(DLL等)を介したマルウェア攻撃対象資源(ファイル、ネットワーク)のアクセスの出現系列を、グラフ表現可視化する機能を実装し、多数のマルウェアプログラムのグラフ構造を調査した。一部のマルウェアプログラムは、非常に大規模なグラフ構造となるため、グラフ構造縮退処理を実装することで、より直感的な視覚化機能が実現でき、大規模なグラフ構造にも対応できるようになった。また、既知のマルウェアとその亜種について、DLL出現系列やグラフ構造が非常に類似していることを確認した。
(3) RISC-V命令セットのプロセッサ開発において、プログラム構造解析処理を高速に行うためのキャッシュメモリ設計を行った。また、Intel-X86命令セットのプログラム構造解析処理のRISC-V命令セットでの初期ソフトウェア実装を行い、プログラム構造解析処理の高速化のための命令拡張設計におけるプログラム動作プロファイリングを行った。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
当初の計画に挙げたH29年度の3つの研究項目について、予定通りの研究成果が上がっており、今後も計画通りに研究が進むと考えている。
|
| 今後の研究の推進方策 |
H31年度は、下記の3つの項目の実施を推進する。
(1) マルウェア行動系列の類似度計測手法として、ラベル付きグラフ構造の類似度計測法に基づく、より直接的で高精度なマルウェア類似度計測手法を開発する。
(2) 時限的もしくは外部指令に従って解凍処理を実行する機構を含んだマルウェア暗号化手法による暗号解凍処理の検知回避手段への対応方法として、シミュレータ上で実行されなかったコード領域(解凍処理を含む可能性がある)を実行させるために擬似的に条件分岐命令の挙動を変える仕組みをエミュレータに実装する。
(3) RISC-V命令セットのプロセッサ開発において、Intel-X86命令セットのプログラム構造解析処理のRISC-V命令セットの命令拡張による高速化処理を実装する。
|
