| 研究課題/領域番号 |
23500074
|
|---|
| 研究機関 | 岩手大学 |
|---|
研究代表者 |
厚井 裕司 岩手大学, 工学部, 教授 (20333750)
|
|---|
| 研究分担者 |
中谷 直司 岩手大学, 工学部, 助教 (20322969)
|
|---|
| 研究期間 (年度) |
2011-04-28 – 2014-03-31
|
| キーワード | コンピュータウイルス / ベイジアンフィルタ / 未知ウイルス / 実行可能圧縮 / ボット |
|---|
| 研究概要 |
現在のコンピュータウイルスのほとんどは難読化・圧縮されているため、ウイルスから特徴点を抽出するには、圧縮されたウイルスファイルを先に解凍しなければならない。一般的に、ウイルスを解凍するには圧縮形式に対応した解凍ツールを利用して解凍する。しかし、圧縮形式の種類が多く、100 種類以上もあると言われている。すべての圧縮形式に対応した解凍ツールの開発が追いつかない状況である.また、最近のウイルスでは様々のテクニックを利用してウイルスのプロセスを隠して、簡単にそのプロセスを取得できないようにしている。 本研究では、圧縮ツール自身の解凍ルーチンを利用して、コンピュータウイルスを自動解凍する手法を実現した。すなわち、圧縮されたウイルスが実行されるとき、圧縮ツールが生成した解凍ルーチンが先に実行され、圧縮されたデータをメモリ上に展開する。そして、圧縮データがメモリ上に全て復元されたら、解凍ルーチンによりオリジナル実行ファイルのエントリポイントへジャンプして、オリジナル実行ファイル本体を実行していくという仕組みである。ウイルスの解凍ルーチンが解凍完了のタイミングを検出できれば、ウイルスが実行される前に、ウイルス本体がメモリからダンプできる。この理論に基づいて、ウイルス自身の解凍ルーチンを利用した、圧縮形式に依存しない圧縮されたコンピュータウイルスをかなりの割合で解凍・解析することに成功した。しかしながら、この方法ではウイルスがデバッガーによる自身の解析に気が付いて実行を止める場合が多い。また、毎回ウイルスを実行させるために、処理に時間が掛かる。本研究では対策として以下の対応を図り、下記の結果を得た。(1)ウイルスに追跡を気付かれないような実行環境をある程度実現できた。(2)2回目以降の検査を実行可能圧縮のまま可能とする方式は、実現が非常に難しい。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
4: 遅れている
理由
提案した自動解凍手法の実験は、隔離されたVMware5.0 上で動くWindows環境上で行った。このように、隔離されたコンピュータ上で実行すれば、ウイルスが拡散される心配もなく、VMware 上で動かすことで、Windows がウイルスに感染しても簡単に初期状態に戻すことができ、常に同一な環境を保証することができる。1. 上記の実験データを自動解凍プログラムで解凍する。2. 解凍したファイルから,Windows API である文字列を静的抽出し、その数を数える。実験結果は全体として、圧縮ウイルス全体の80%程度に達している。解凍できたウイルスに対して、解凍所用時間はすべて10 秒以内になっている。しかしながら、実用化レベルでリアルタイムにウイルス検出を行うには、圧縮ウイルス全体の98%程度を検出する必要があることが最近判明し、まだ完成への道程は遠い。
|
| 今後の研究の推進方策 |
近年は、機能がますます高度になった新しい圧縮形式が続々出現しており、さらにウイルス作者が既存の圧縮形式を改造するなど新たな悪用方法が出現している。今後は、さらなる高機能を持つ圧縮形式への対応は課題になる。検体が入手しにくいボットを含めて各種のウイルスを収集するには、大学程度の規模のネットワークが不可欠であり、複数のHP(ハニーポット)や侵入検知サーバさらにはログサーバから構成されるシステムを岩手大学構内に構築してボットを含む各種ウイルスを収集する。
|
| 次年度の研究費の使用計画 |
研究費の使用計画として、以下のシステム構成装置の購入や開発に充てる。(1)ハニーポット(2)パケット転送サーバ(3)ファイアウォール(4)対象検知サーバ(5)WWWサーバ(6)SMTPサーバ(7)対象抽出サーバ(8)対象捕獲DBサーバ(9)ワクチン/アンインストーラ(同上)
|
