| 研究課題/領域番号 |
20K20625
|
|---|
| 研究機関 | 北陸先端科学技術大学院大学 |
|---|
研究代表者 |
小川 瑞史 北陸先端科学技術大学院大学, 先端科学技術研究科, 教授 (40362024)
|
|---|
| 研究分担者 |
NGUYEN MinhLe 北陸先端科学技術大学院大学, 先端科学技術研究科, 教授 (30509401)
寺内 多智弘 早稲田大学, 理工学術院, 教授 (70447150)
関 浩之 名古屋大学, 情報学研究科, 教授 (80196948)
|
|---|
| 研究期間 (年度) |
2020-07-30 – 2026-03-31
|
| キーワード | マルウェア意味解析 / 動的記号実行 / 形式的意味自動抽出 |
|---|
| 研究実績の概要 |
人間には解釈困難なバイナリコードに対し(1)操作的意味はレジスタ・フラッグ・メモリ・スタック上の状態遷移系として定義可能、(2)各命令仕様はリジッドな自然言語記述、(3)エミュレータ等テスト環境が完備などの観察に立脚し、英文マニュアルから命令の操作的意味自動抽出によりBE-PUM(x86), Corana(ARM), SiMIPS(MIPS)等のツールをGitHubで公開してきた。
本研究は、多数のMPU/MCUの動的記号実行器の自動生成に加え、構造隠蔽前のペイロードの自動復元・抽出を行い、教師無し学習による特徴抽出、自然言語処理を用いた意味解釈を通じた新規感染手法検出・系統樹生成を目的とする。
動的記号実行器に基づきモデルとなる制御フローグラフの生成には、対象とするCPUの各インストラクションの操作的意味、およびOS内のシステム関数呼出しのスタブの二点が必要となる。現在、IoTデバイスでポピュラーなARM/linuxを対象とし、動的解析器Coranaで前者は既に実装している(国際会議FM2019にて既発表)。
R2年度は後者のlinuxのシステム関数呼出しのスタブとして、経路条件は認識論理による事後条件と事前条件の等価性記述、システム関数は実OSでの実行による環境更新の二点で構成する。その際、システム関数は予備的な調査においても1650個以上であり、仕様記述に対する自然言語構文解析を用いた自動生成にを用い、約65%程度の関数のスタブ自動生成に成功した。現在は、実際のIoTマルウェアでは、fork による複数プロセス生成が用いられるが、個別にポートやデバイスのスキャンなど同期や相互通信がなく逐次的解析可能との観察を得ており、fork のスタブ実装を進めている。
基礎面では分担者(関)は条件付プッシュダウンモデル検査に対し、東師範大学(上海)と共同研究を進めた。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
COVID-19の影響により、予算として主に計上していた旅費(特に海外)および人件費(優秀留学生の獲得・研究員雇用)は殆ど利用することができず、初年度ということもあり、主に準備として、現況のマンパワーによるツール開発(ARM/linuxを対象とするCoranaにおけるlinuxシステム関数のスタブ実装)に注力し、おおむね順調に進んでいる。まだ fork のスタブ実装が残っているため、実験データは現状では限られるが、2021年度後半にはかなりのIoTマルウェアの解析が可能となり、機械学習などに用いる実験データが得られるものと見込んでいる。
|
| 今後の研究の推進方策 |
R3年度の前半はARM/linuxの動的記号実行器Coranaのシステム関数呼出しの実装ならびに経路条件の健全性の認識論理による定式化を進める。
ツールの拡張としては、(1)ループ不変式自動生成(バイナリではループの定義自体が問題となる。当面は暗号化されたコードの復号ループなど単純なものに限る)、(2)自然言語処理の利用を深めたARM命令セットおよびlinuxシステム関数の仕様書の解析によるカバー率の向上、を目指す。ツールの応用面では、(3)IoTマルウェアの解析例を増やし、機械学習手法を用いた意味分類のための実験データの整備を進める。
ただし、現状ではマンパワーが不足するため、R3年10月入学を想定して優秀な留学生の確保に努める。(R2年10月入学の留学生は、ベトナム・ミャンマーから各1名を面接を通じて選定し予定していたが、コロナの影響やミャンマーの政変のため、いずれもキャンセルとなった。)R3年度はベトナムからの優秀留学生の選定、さらに分担者のグエン研究室学生の協力を想定する。
論文発表についてもR2年度はコロナの影響による国際会議開催の変更などにより、投稿は行っていない。R3年度は、順次、研究結果(ツール実装)を整理し投稿を進める。
|
| 次年度使用額が生じた理由 |
予算には主に旅費および学生の研究員雇用(主にベトナム・ミャンマーからの優秀な大学院留学生の確保し、研究員雇用)を想定していたが、COVIT-19の影響により海外旅費および留学生の誘致がまったく進めることができず、大幅な繰越となった。
|
