| Item type |
Journal(1) |
| 公開日 |
2016-02-15 |
| タイトル |
|
|
タイトル |
重要情報へのファイルアクセス失敗挙動に基づく情報探索型マルウェア検知手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Detecting Credential Search Focused on File Access Failure |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:ネットワークサービスと分散処理] マルウェア対策,情報漏洩 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| 著者所属 |
|
|
|
横浜国立大学 |
| 著者所属 |
|
|
|
国立研究開発法人情報通信研究機構 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/横浜国立大学先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/横浜国立大学先端科学高等研究院 |
| 著者所属(英) |
|
|
|
en |
|
|
Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences and Institute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences and Institute of Advanced Sciences, Yokohama National University |
| 著者名 |
田辺, 瑠偉
笠間, 貴弘
吉岡, 克成
松本, 勉
|
| 著者名(英) |
Rui, Tanabe
Takahiro, Kasama
Katsunari, Yoshioka
Tsutomu, Matsumoto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年,感染先マシン内に保存されている重要情報を狙うマルウェアによる被害が増加しており,対策が求められている.マルウェア作成者は,盗み出す情報が多いほどより大きな利益を生み出すことができるため,多様な情報の収集を試みる.しかし,マルウェアがアクセスする情報が感染先マシン内に保存されているとは限らず,ファイルアクセスに失敗する場合がある.そこで本稿では,重要情報の探索時に発生するファイルアクセス失敗挙動に基づく情報探索型マルウェア検知手法を提案する.一般に,ファイルアクセス失敗挙動は正規プロセスからも発生するため,マルウェア検体を動的解析する際にファイルアクセスログを収集し,重要情報へのファイルアクセス失敗挙動を調査することで,情報探索型マルウェアを検知するためのシグネチャを作成する.評価実験では,情報漏洩を行うことが予想される実マルウェア検体に対して提案手法を適用し,情報探索型マルウェアを検知できることを示す.また,正規ユーザが利用しているマシンに対して提案手法を適用したところ,正規ユーザのログとマルウェアのファイルアクセス失敗ログには違いが見られ,情報漏洩の有無を判断する閾値を調整することで検知能力を保ったまま誤検知を十分に小さくできることを確認した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In recent years, malware that steal credential information at target host have become a great threat and therefore countermeasures are needed. The more information the malware steals the more benefit the malware author earns and so malware tries to steal various types of information. However, credential information that the malware steals does not always exist at target host and that file access failure occurs. In this paper, we propose a method to detect credential search malware by focusing on file access failure to credential information. In general, file access failure also occurs from benign processes. Our method generates signatures to detect credential search malware using malware sandbox analysis, in which malware sample's file access log is monitored and file access failure to credential information are investigated. Based on the result of experiments with real malware samples which are known as information stealer, we show our method can detect malware that search credential information. And by applying our method to hosts of benign user, we show the difference between file access failure of benign user and malware. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 57,
号 2,
p. 597-610,
発行日 2016-02-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL5702026.pdf (1.6 MB)
