配列解析による知能マルウェア対策スキームに関する研究

2012 年度 実施状況報告書

• 研究課題/領域番号: 24700084
• 研究種目: 若手研究(B)
• 研究機関: 独立行政法人情報通信研究機構
• 研究代表者: 班 涛 独立行政法人情報通信研究機構, ネットワークセキュリティ研究所 サイバーセキュリティ研究室, 研究員 (80462878)
• 研究期間 (年度): 2012-04-01 – 2015-03-31
• キーワード: アメリカ / イスラエル / ニュージーランド

研究概要

本研究は、「効率のよい配列解析新手法の提案」及び「提案手法を基づいた静的と動的要素を同時配慮する信頼性の高いマルウェア分類技術の実現」を目的とする。様々なステルス技術を備えたマルウェアの検出率を高める為、 平成２４年度では、 配列解析を基づいたマルウェア解析手法とサイバーセキュリティ関連分野の応用に関する文献調査を行い、当研究分野の現状を把握した。また、 従来のマルウェア対策技術の補充手法として、配列解析に基づいた計算知能技術をマルウェアのバイナリコード配列に適用し、静的な視点からマルウェアの行動を分析して、信頼性の高いマルウェア分類・検出手法について研究開発を行った。
シグネチャ・ベースのスキャナを回避するため、マルウェアはパッカーによる圧縮や暗号化をすることが多い。暗号化されたマルウェアは使用するパッカーにより大きく異なり、 マルウェアの静的解析に大きな支障がある。従って、マルウェアの自動解析システムを構築するため、パッカーによるマルウェアの難読化が一つの課題となっている。２４年度の主な研究実績は、未知のパッカーで暗号化されたマルウェアを解析する時、自動的にアンパック・ツールを特定するシステムの実証実験を行った。新たに提案したバイナリ・コードの特徴を解読する配列解析カーネル関数をサポート・ベクトル・マシンという汎化能力が優れるかつ計算速度が早い分類器に適用し、マルウェアに含まれるアンパックコードを解読して、入力されたマルウェアに使用されているパッカーを特定するシステムを実装した。実験では、２５種類のパッカーを評価用データセットとして使用し、99%以上の精度でパッカー特定が可能であることを実証した。
上記の研究活動で、配列解析技術の有効性と実用性を実証し た。また、その技術に基づいたパッカー特定システムは自動マルウェア解析技術を確立するための重要な役割を果たしている。

現在までの達成度 (区分)

2: おおむね順調に進展している

理由

従来平成25年度で行う予定のパッカー特定の研究に関しては、データの収集や、システムの実証実験に必要な作業量が多いため、２４年度にて、優先的に実験環境構築と性能評価に関する研究開発を行った。
一方、上述の計画調整のため、可変長Nグラム文字列カーネル関数に関する研究は、２５年度に変更した。
２５年度中、従来の研究目標を実現するため、実用システムの構築等の実用性研究と新しいデータ分析手法の提案などの理論性研究の進捗を適切に調整し、研究を進める予定。

今後の研究の推進方策

平成２５年度では、「マルウェア解析システム構築の実用性研究」と共に「効率のよいデータ分析手法の提案の理論性研究」を同時に推進する。
理論性研究では、可変長文字列カーネル関数の実装と性能評価を進める。入力された文字列SiとSjの可変長Nグラム文字列カーネル関数K(Si,Sj)を効率的に計算するため、Suffix Trieという最長共通部分列の高速抽出をサポートする先進的なデータ構造を採用し、従来の固定長共通部分列カーネル関数（Nグラム）の記述能力を改善し、学習性能の向上に寄与する。尚、 入力文字列Si(i=1,...,n)のSuffix Trieを集約することで構築されたGeneralized Suffix Trieデータ構造Sでは、新しい文字列TとSに埋め込まれたすべての文字列Siの間の共通部分列を取得するのは、時間計算量はO(min(li,lj))しか掛からない。この特性では、配列カーネル関数に基づいた高速学習法が可能になる。提案手法に基づいたマルウェア解析モデルの性能を評価するため、CDMC 2010コンピテーションで提供されたバイナリクラス分類タスクで、時間計算量及び汎化能力を評価する。
一方、実用性研究では、提案した学習モデルに基づいたマルウェア・パッカー特定システムや、マルウェアの動的解析システム、スパムメール解析システムの実証実験を行う。提案手法の性能評価は、情報通信研究機構で収集されたマルウェア動的解析データベース及び構内メールサーバで収集したスパム・メール・データベースの上で実行する。尚、提案した文字列カーネル関数を他のカーネル学習法に活用して、スパム・メールのフィルタリングやメール検体のクラスタリング等の探索的データ解析を行う。

次年度の研究費の使用計画

研究をスムーズに推進するため、２４、２５年度の研究内容を調整した（「現在までの達成度」を参照）。そのため、２４年度に予定した物品購入を２５年度に変更した。
２５年度では、研究作業を進めるため、下記の支出を予定している（２４年度の残高を併せる金額）。
物品費（９０万円）、人件費・謝金（５５万円）、旅費（６０万円）、その他（１５万円）、計２２０万円である。

研究成果

• [雑誌論文] A Packer Identification Method using Support Vector Machine with High Accuracy (2013)
  • 著者名/発表者名: Ryoichi ISAWA, Tao BAN, Shanqing GUO, Daisuke INOUE, and Koji NAKAO
  • 雑誌名: IEICE Transactions on Fundamentals 巻: 未定 ページ: 未定
  • 査読あり
• [学会発表] Application of String Kernel based Support Vector Machine for Malware Packer Identification (2013)
  • 著者名/発表者名: Tao BAN, Ryoichi ISAWA, Shanqing GUO, Daisuke INOUE, and Koji NAKAO
  • 学会等名: International Joint Conference on Neural Networks
  • 発表場所: Fairmont Hotel, Dallas, Texas, U.S.
  • 年月日: 20130804-20130809