| 研究課題/領域番号 |
17K00181
|
|---|
| 研究機関 | 東京工業大学 |
|---|
研究代表者 |
一色 剛 東京工業大学, 工学院, 教授 (10281718)
|
|---|
| 研究期間 (年度) |
2017-04-01 – 2021-03-31
|
| キーワード | マルウェア検知 / プログラム解析 / プロセッサエミュレータ |
|---|
| 研究実績の概要 |
R元年度は、下記の3つの項目を実施した。
(1) マルウェア行動系列の類似度計測手法として、ラベル付きグラフ構造の類似度計測法に基づく、より直接的で高精度なマルウェア類似度計測手法の検討を行った。機械学習に基づくプログラム構造グラフの類似度計測手法を実装したが、採用したディープラーニング手法には、様々なパラメータが存在し、パラメータチューニングによるマルウェアの識別精度のさらなる向上が必要であることが確認できた。
(2) 時限的もしくは外部指令に従って解凍処理を実行する機構を含んだマルウェア暗号化手法による暗号解凍処理の検知回避手段への対応方法として、シミュレータ上で実行されなかったコード領域(解凍処理を含む可能性がある)を実行させるために擬似的に条件分岐命令の挙動を変える仕組みのエミュレータ実装を行った。強制的に分岐方向を変える事により、計算結果の整合性が取れずにシミュレーションが継続できないケースが観測され、条件分岐の変更に伴う計算結果の補正処理、または、計算結果の不整合に伴う例外処理を迂回するための仕組みが必要であることが確認できた。
(3) RISC-V命令セットのプロセッサ開発において、Intel-X86命令セットのプログラム構造解析処理のRISC-V命令セットの命令拡張による高速化処理の検討を行った。X86命令のデコード処理には、様々なコードパターンに対する命令種別判定回路(通常命令、条件分岐命令、サブルーチン呼出命令、復帰命令)を設計する事により、SW実行に比べて10倍程度の速度向上が達成できた。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
3: やや遅れている
理由
当初計画していた研究項目については、概ね予定通りの成果を挙げているが、実際のマルウェアデータを対象とした実験において認識精度のさらなる向上が実用上必要であることが、判明したため、本事業期間の3年から1年の延長申請を行い、マルウェア検知手法の改良と計算機実験による提案手法の有効性の実証を進めていく。
|
| 今後の研究の推進方策 |
今後は、マルウェア行動系列の類似度計測手法のさらなる精度向上をはかり、実際のマルウェアデータを対象とした、マルウェア識別実験を継続していく。
|
| 次年度使用額が生じた理由 |
研究計画の最終年度である今年度の研究実施の中で、提案手法の論文発表のために必要な実験とデータ収集が最終年度中に終了することが難しいことが判明したため、補助事業の目的をより精緻に達成するための追加実験等を行うための補助事業期間の延長を申請した。次年度使用額は、追加実験を実施するための計算機環境整備や学会発表費用を予定している。
|
