2024-03-28T21:01:38Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:002100762023-04-27T10:00:04Z01164:02836:10501:10502
動的解析システムのネットワーク接続の有無によるマルウェア検知精度の比較A comparison of malware detection accuracy in cases of dynamic analysis system with/without network connectionjpnマルウェア検知http://id.nii.ac.jp/1001/00209974/Technical Reporthttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=210076&item_no=1&attribute_id=1&file_no=1Copyright (c) 2021 by the Information Processing Society of Japan立命館大学立命館大学立命館大学梶原, 友希鄭, 俊俊毛利, 公一機械学習を用いたマルウェアの挙動をベースとしたマルウェア検知の精度は,使用するデータセットに依存するため,検知に有効なデータセットを作成することが重要である.そのため,まずはマルウェアを特徴付ける情報を明らかにする必要がある.マルウェアの多くは,外部と通信を行うため,検体実行時のネットワーク接続の有無が検知精度に影響を与える可能性が考えられる.本論文では,ネットワーク切断環境および接続環境でシステムコールトレーサ Alkanet を利用してログを取得し,マルウェアを特徴付ける情報としてスレッドに着目し,スレッド情報に基づいた特徴量を生成することでマルウェア検知を行った.その結果,ネットワーク接続により,検知精度が下がる傾向にあることが示された.It is important to create a dataset that is effective for malware detection because the accuracy of malware detection based on the behavior of malware using machine learning depends on the dataset used. Therefore, first of all, it is necessary to clarify the information that characterizes malware. Most malware communicates with the outside, so there is a possiblility that executing samples with/without network connection affect the accuracy of malware detection. In this paper, based on the execution logs of malware samples on Alkanet with/without network connection, we focused on threads as information that characterizes malware, and detected malware by generating features based on thread information. As a result, it was shown that the accuracy tends to decrease due to network connection.AN10116224研究報告マルチメディア通信と分散処理(DPS)2021-DPS-18653182021-03-082188-89062021-03-05