| Item type |
Journal(1) |
| 公開日 |
2016-12-15 |
| タイトル |
|
|
タイトル |
暗号アルゴリズムの特徴を利用した軽量な暗号ブロック特定手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Light Weight Identification of Cryptographic Block Using Features of Cryptographic Algorithm |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[一般論文(推薦論文)] マルウェア解析,暗号,ネットワークセキュリティ |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| 著者所属 |
|
|
|
三菱電機株式会社情報技術総合研究所 |
| 著者所属 |
|
|
|
三菱電機株式会社情報技術総合研究所 |
| 著者所属 |
|
|
|
三菱電機株式会社情報技術総合研究所 |
| 著者所属 |
|
|
|
三菱電機株式会社電力システム製作所 |
| 著者所属(英) |
|
|
|
en |
|
|
Mitsubishi Electric Corporation, Information Technology R&D Center |
| 著者所属(英) |
|
|
|
en |
|
|
Mitsubishi Electric Corporation, Information Technology R&D Center |
| 著者所属(英) |
|
|
|
en |
|
|
Mitsubishi Electric Corporation, Information Technology R&D Center |
| 著者所属(英) |
|
|
|
en |
|
|
Mitsubishi Electric Corporation, Energy Systems Center |
| 著者名 |
西川, 弘毅
山本, 匠
河内, 清人
桜井, 鐘治
|
| 著者名(英) |
Hiroki, Nishikawa
Takumi, Yamamoto
Kiyoto, Kawauchi
Shoji, Sakurai
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
昨今のマルウェアの中には,暗号技術を用いて通信データを秘匿するものがある.暗号化された通信データのログからでは,マルウェアによってどのような攻撃が行われ,どのような情報が窃取されたかを特定することが困難となる.そのため,マルウェアが暗号処理に用いている暗号アルゴリズムと鍵を特定し,暗号化された通信データを復号することで,通信の内容を明らかにする必要がある.そのような背景の下,マルウェアを実行した際の動作ログである実行トレースから,暗号アルゴリズムが有する特徴を用いて解析し,マルウェアが利用している暗号アルゴリズムを特定する手法が提案されている.しかし,これらの手法は大量の実行トレースに対して解析処理を行っているため,解析に時間を要するという課題を有している.そこで本論文では,暗号アルゴリズムが算術・ビット演算を頻繁に用いるという特徴を利用し,これらの演算が集中している箇所を計算によって特定することで,解析対象とする実行トレースを減らすことが可能である軽量な暗号ブロック特定手法を提案する.さらに実際のマルウェアの検体に対しての評価実験を行い,提案手法によって,マルウェアから暗号ブロックを特定できることを示す. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Recently most of malwares encrypt their communication, which makes it almost impossible to identify their malicious activities and leaked information unless the communication can be decrypted. To decrypt the communication, the encryption algorithm and the key used for the malicious communication have to be identified. So far several techniques employing execution traces have been proposed to identify encryption functions and keys in malware binaries by focusing on characteristics commonly found in cryptographic operations. Those existing techniques, however, have serious drawbacks that they consume huge amount of time and computational resources in the analysis, which makes those techniques impractical. Thus we propose light weight cryptographic function identification method spotting areas where logic operations or arithmetic operations appear with high frequency, which results in elimination of useless execution traces and much faster analysis. Moreover we carried out evaluation experiments with a wild malware to see if the proposed method can identify encryption functions used in the malware in an effective manner. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 57,
号 12,
p. 2827-2835,
発行日 2016-12-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL5712033.pdf (996.8 kB)
