WEKO3
アイテム
不審プロセス特定手法の実装及び評価
https://ipsj.ixsq.nii.ac.jp/records/98862
https://ipsj.ixsq.nii.ac.jp/records/98862ff5547e9-fa4b-46e3-82e7-de00945e7a3b
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSEC14064033.pdf (1.5 MB)
|
Copyright (c) 2014 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | SIG Technical Reports(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2014-02-27 | |||||||
| タイトル | ||||||||
| タイトル | 不審プロセス特定手法の実装及び評価 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Implementation and evaluation of a malicious process detection method | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | マルウェア | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||
| 資源タイプ | technical report | |||||||
| 著者所属 | ||||||||
| 三菱電機株式会社 | ||||||||
| 著者所属 | ||||||||
| 三菱電機株式会社 | ||||||||
| 著者所属 | ||||||||
| 三菱電機株式会社 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Mitsubishi Electric Corporation | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Mitsubishi Electric Corporation | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Mitsubishi Electric Corporation | ||||||||
| 著者名 |
山本, 匠
× 山本, 匠
|
|||||||
| 著者名(英) |
Takumi, Yamamoto
× Takumi, Yamamoto
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 通信の特徴を基にマルウェアによる通信を特定する技術が提案されている.しかし,マルウェアの巧妙化や正規アプリケーションの通信の多様化により,通信の特徴からだけではマルウェアの通信と正規アプリケーションの通信とを正確に切り分けることが困難となっている.そこで著者らは,プロセスのメモリイメージを解析することで,不審な通信を生成するプロセスがマルウェアかどうかを判定するプロセス解析システムを提案している.提案システムでは,正規プロセスに不正なコードを注入することで同プロセスになりすますタイプのマルウェアに注目し,感染していないことが保証された仮想マシン上のプロセスと検査対象のプロセスのメモリイメージを比較することで注入されたコードを特定する.さらに同コードの特徴を解析し,同コードが不正なものかを判定する.本システムでは,正規プロセスの正常な動作に関する情報をあらかじめ用意する必要が無い.プロトタイプシステムを実装し,マルウェアと正規プロセスをそれぞれ 4 種類ずつ用いて評価を行った.結果として 1 件ずつ検知漏れと誤検知が発生した.またヒープの抽出に時間を要してしまっていることが判明した.今後は,検知精度及び処理性能の改善を行っていく. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Malwares' communication detection methods based on communication characteristics have been proposed. However as malwares are getting more sophisticated and legitimate SWs' communication is getting diverse, it becomes harder to correctly tell malwares' communication and legitimate SWs' communication apart. Thus we have proposed a method to check if a process generating suspicious communication is malicious or not. This method focuses on malwares which impersonate a legitimate process by injecting malicious codes into the process. This method extracts two process images. One is obtained from the target process generating suspicious communication. The other is obtained by executing the same executable as the target process in a clean Virtual Machine. Then the two process images are compared to extract injected codes. Finally the codes are verified whether the codes are malicious or not. This method does not require defining characteristics of legitimate processes in advance. In this paper, we implemented a prototype system of the method and carried out a preliminary experiment with four malwares and four legitimate SWs. One false positive and one false negative were happened. In addition, we found it took considerably long time in heap extraction. We will devise the accuracy and the speed of prototype system as a future work. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AA11235941 | |||||||
| 書誌情報 |
研究報告コンピュータセキュリティ(CSEC) 巻 2014-CSEC-64, 号 33, p. 1-8, 発行日 2014-02-27 |
|||||||
| Notice | ||||||||
| SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
