| Item type |
SIG Technical Reports(1) |
| 公開日 |
2016-05-19 |
| タイトル |
|
|
タイトル |
BinGrep: 制御フローグラフの比較を用いた関数の検索によるマルウェア解析の効率化の提案 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
BinGrep: Proposing the efficient static analysis method by searching for the function comparing control flow graphs |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
マルウェア対策・ネットワークセキュリティ |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
情報セキュリティ大学院大学/NTTコムセキュリティ株式会社 |
| 著者所属 |
|
|
|
情報セキュリティ大学院大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Information Security / NTT Com Security (Japan) KK |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Information Security |
| 著者名 |
羽田, 大樹
後藤, 厚宏
|
| 著者名(英) |
Hiroki, Hada
Atsuhiro, Goto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年,日本においても広範囲な APT 攻撃による大規模な被害を経験した.明確な目的を持って行われる高度かつ執拗な攻撃においてはその被害も甚大となり,事後の対応も迅速かつ確実な判断が要求される.このようなインシデント対応では,まずネットワークや端末のログから確実に被害範囲を特定することが求められるが,ここでマルウェアの接続先の URL や暗号アルゴリズムなどが重要な情報となる.これらの情報をマルウェア解析で調査する場合,調べたい処理を行う実行コードの場所を特定できると,作業者は速やかに解析にとりかかることができる.本研究では,インシデント対応におけるマルウェアの静的解析を効率化するため,過去に調査したことのあるマルウェアの関数を入力として,制御フローグラフの編集距離を利用することで,解析するマルウェアにおける該当の関数を検索するアルゴリズムを提案する.正常プログラムによる評価では GNU bash と GNU binutils の 11049 個の関数の 90.3%について,マルウェアによる評価では 20 個の関数の 95.0%について,上位 10 位以内に正しく正解を出力できることを示した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In recent years, many Japanese organizations experienced a large-scale damage caused by APT activities. The damage of advanced and persistent attack is serious, and prompt and appropriate incident response is required. In such an incident response, the information such as malicious URL destination and cryptographic algorithms used by malware are important to identify the effect of the incident. When a malware analyst wants to analyze these information, identifying the position of specific function code is useful to get started immediately. In this paper, to improve the efficiency of the static analysis in incident response, we propose function searching algorithm that employs edit distance of the control flow graph and uses malware investigated before. We evaluated that 90.3% of the 11049 functions of the GNU bash and GNU binutils as normal program and 95.0% of the 20 functions as malware can be output correctly within top 10. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA11235941 |
| 書誌情報 |
研究報告コンピュータセキュリティ(CSEC)
巻 2016-CSEC-73,
号 5,
p. 1-8,
発行日 2016-05-19
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8655 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSEC16073005.pdf (685.3 kB)
