| 研究課題/領域番号 |
24650032
|
|---|
| 研究機関 | 独立行政法人産業技術総合研究所 |
|---|
研究代表者 |
森 彰 独立行政法人産業技術総合研究所, 知能システム研究部門, 主任研究員 (30311682)
|
|---|
| 研究期間 (年度) |
2012-04-01 – 2014-03-31
|
| キーワード | コンピューターウィルス / 進化系藤樹 / エミュレーション / バイナリコード静的解析 |
|---|
| 研究概要 |
まず、独立して処理が可能な間接ジャンプの飛び先アドレスの計算を、それまでに作成された静的単一代入形式の制御フロー図をコピーし、複数プロセスで行うように静的解析ツールに変更を加えた。実験の結果、ループを含むコード片のように、複雑な飛び先アドレスが複数ある場合は並列化の効果が見られたものの、多くの場合、並列計算のメリットはあまり大きくないことが分った。このため、計算効率の向上の方法として、当初は想定していなかったPythonのJITコンパイラ処理であるPyPyを取り上げ、ツールの改変とくに繰り返し計算部の調整を行ったところ、計算速度が平均して3倍程度速くなることが確認できた。さらに、計算結果のキャッシュ効率の向上を試み、キャッシュされた結果を保持する条件を精査してアルゴリズムの改善を行ったところ、約1.5倍程度の速度向上が見られ、全体として4倍程度の速度向上を達成することができた。実用へ向けた大きな改善と考えられる。次に、改善されたツールをハードウェア仮想化ベースのエミュレーターと組み合わせて、ウィルスサンプル約200個の自動解析実験を行った。ツール等の不具合により部分的な制御フロー図しか得られない場合もあったが、100個を超えるサンプルに対してほぼ完全な制御フロー図を自動生成することができた。近年多く見られる、複数のプロセスやスレッドにまたがって攻撃を行うウィルスを自動解析するためのエミュレーターの改変に苦労したが、結果を国内ワークショップで発表することができ有意義であった。そして、実行されるウィルスプログラムのメインスレッドに限定して、制御フロー図を支配木で近似して木構造の類似度計算を行い、クラスタリング、検索、進化系統樹推定の実験を行った。目視により、妥当な結果が得られていることを確認した。亜種の存在の可視化もできており、実用上の価値は大きいと思われる。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
ほぼ順調。並列計算の効果が期待したほどではなかったものの、JITコンパイラ対応と計算結果のキャッシュアルゴリズムの改善により、期待していた範囲内の計算速度の向上を達成することができ、また、実際の自動解析実験を通じてその効果を解析の精度とともに確認することができたため。
|
| 今後の研究の推進方策 |
ツール等の不具合を直して、複数のプロセスやスレッドに応じた複数の制御フロー図の比較を行う方法を検討した上で、200個程度のサンプルの完全な制御フロー図を生成し、進化系統樹推定の結果を精査する。特に分岐と判定された点に注目し、どういった振る舞いがその分岐を生み出しているかを判定して、攻撃パターン分類の参考にする。攻撃パターンは制御フロー図を辿りながらAPI関数呼び出しに遭遇するごとに状態遷移を行う有限オートマトンとして定義し、数十個程度のパターンを分類する。並行して、千個程度のサンプルを対象としたクラスタリングと進化系統樹の推定を行う。必要に応じて、攻撃パターンの追加ならびに修正を行う。クラスタリングの結果をもとに主要なクラスターから代表となるサンプルを選択し 、全体として百個程度の比較対象となるウィルスのグループを準備し、任意のウィルスサンプルを 1個与えて、比較対象との類似度を逐一計算し、類似度が大きい順に表示する検索の実験を行う。既存のシグネチャベースの検知ツールによる結果と比較し、既存ツールの名前付けや分類がどの程度一貫性があるのかを検証する。ウィルス群の進化の予測については、推定された進化系統樹に沿ってどのように攻撃パターンが変化していくかの相関を分析する。データマイニングツールを利用し、十個から数十個程度の進化パターンが発見することを期待しており、この進化パターンに従って、進化の初期段階と思われる比較的単純なサンプル群が、今度どのような攻撃パターンに変異していくかを予測する。数ヶ月にわたって、追加サンプルの収集と評価実験を継続して行い、予測が正しいかどうかを検証する。
|
| 次年度の研究費の使用計画 |
まず、本年3月に行った外国出張の費用373,416円の支払いが次年度4月に行われている。そして、本年度に購入予定であった解析実験用の高速デスクトップPC2台が、オーバークロックの特殊な機器であったために年度末の納品が間に合わず、同時に購入予定とした開発用のノートPCとともに次年度の支出となっている。この費用は573,090円で確定している。残りの390,754円については、当初の予定どおり、学会発表のための内外旅費に使用する予定である。これは研究実績の概要に記したとおり、複数のプロセスやスレッドにまたがって攻撃を行うコンピューターウィルスを自動解析できるようにエミュレーターを改造する作業が、当初の想定の範囲外で必要になり、またかなりの労力を要したため、学会発表のスケジュールが後ろ倒しになったことに起因している。
|
