WEKO3
アイテム
機械学習を悪用する未知のマクロマルウェアの脅威
https://ipsj.ixsq.nii.ac.jp/records/203998
https://ipsj.ixsq.nii.ac.jp/records/20399888149bf1-97b8-4005-a332-815d1fdeab2d
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSEC20088051.pdf (1.2 MB)
|
Copyright (c) 2020 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | SIG Technical Reports(1) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 公開日 | 2020-03-05 | |||||||||
| タイトル | ||||||||||
| タイトル | 機械学習を悪用する未知のマクロマルウェアの脅威 | |||||||||
| タイトル | ||||||||||
| 言語 | en | |||||||||
| タイトル | Evaluating the risk of evasion attacks with VBA malware that abuses machine learning | |||||||||
| 言語 | ||||||||||
| 言語 | jpn | |||||||||
| 資源タイプ | ||||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||||
| 資源タイプ | technical report | |||||||||
| 著者所属 | ||||||||||
| 防衛大学校情報工学科 | ||||||||||
| 著者所属 | ||||||||||
| 防衛大学校情報工学科 | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Depatment of Computer Science, National Defense Academy | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Depatment of Computer Science, National Defense Academy | ||||||||||
| 著者名 |
山本, 理紗
× 山本, 理紗
× 三村, 守
|
|||||||||
| 論文抄録 | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | 近年,機械学習を用いた未知のマルウェアの検知手法が研究されている.機械学習ではマルウェアの特徴を抽出し,この特徴によって良性,悪性を分類する.先行研究では,ソースコードの単語を特徴とし,機械学習を用いてマクロマルウェアの分類する手法を提案した.この手法では,言語モデルとして Latent Semantic Indexing(LSI)を使用している.一方で,Android マルウェア等に良性の特徴を付与することによって,機械学習を用いた検知手法を回避されることが検証されており,マクロマルウェアについても同様の課題がある可能性がある.そこで本研究では,マクロマルウェアに対し特徴の変更を行い,マルウェアの機能を維持したまま検知を回避することが可能であるかを検証する.評価対象としては,Bag of Words(BoW)および LSI を用いた検知手法を用いた.これらの検知手法に対し,変数を良性データセットでの出現頻度の高い単語に置換する手法と,良性データセットのみに出現し,悪性データセットには出現しない単語を,動作に影響しない関数の引数として追加する手法を考案する.検証実験では,攻撃者が言語モデルにアクセスできる場合とできない場合において,検知率がどの程度下がるかを評価する.その結果,攻撃者が言語モデルにアクセスできる場合,BoW を用いた分類器では検知率が 1.5% まで低下することを確認した.また,言語モデルにアクセスできない場合においても,LSI を用いた分類器では検知率が 73% 低下することを確認した. | |||||||||
| 論文抄録(英) | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | To detect unknown malware, several methods with machine learning techniques have been proposed. These methods extract the features of malware, and thereby classify samples as malicious or benign. Our previous method extracts words from source code and detect macro malware. This method constructs a language model Latent Semantic Indexing (LSI) to extract the features. On the other hand, several methods to avoid the detection have been proposed. These methods add benign features to the source code for Android malware. These methods can be applied to the macro malware. In this study, we discuss the risk of macro malware that evades detection. This paper attempts to imitate benign macros by adding benign features to macro malware. First, our method extracts the variables from macro malware and replaces them to frequent words of benign macros. Furthermore, our method adds the frequent words that appear in benign macros or the LSI topics. The words are added as the arguments of some functions, which do not vary main function. The target classifier is our previous method, which detects macro malware with language models: Bag of words (BoW) and LSI. The detection rates are evaluated under two conditions that the attacker can access inside the model or not. As a result, the detection rate with BoW decreases to 1.5% under the situation that the attacker can access inside the model. Even if the attacker cannot access inside the model, the detection rate with LSI decreases by 73%. | |||||||||
| 書誌レコードID | ||||||||||
| 収録物識別子タイプ | NCID | |||||||||
| 収録物識別子 | AA11235941 | |||||||||
| 書誌情報 |
研究報告コンピュータセキュリティ(CSEC) 巻 2020-CSEC-88, 号 51, p. 1-8, 発行日 2020-03-05 |
|||||||||
| ISSN | ||||||||||
| 収録物識別子タイプ | ISSN | |||||||||
| 収録物識別子 | 2188-8655 | |||||||||
| Notice | ||||||||||
| SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||||
| 出版者 | ||||||||||
| 言語 | ja | |||||||||
| 出版者 | 情報処理学会 | |||||||||
