| Item type |
SIG Technical Reports(1) |
| 公開日 |
2017-03-06 |
| タイトル |
|
|
タイトル |
悪性マクロ付き文言ファイルの解析効率化のための分類手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Effective Analysis of Macro Malware Based on Clustering |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
マルウェア対策 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
NTTセキユアプラツトフオーム研究所 |
| 著者所属 |
|
|
|
NTTセキユリテイ・ジャパン株式会 |
| 著者所属 |
|
|
|
NTTセキユアプラツトフオーム研究所 |
| 著者所属 |
|
|
|
NTTセキユアプラツトフオーム研究所 |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Security Japan (KK) |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者名 |
碓井, 利宣
幾世, 知範
岩村, 誠
矢田, 健
|
| 著者名(英) |
Toshinori, Usui
Tomoriori, Ikuse
Makoto, Iwamura
Takeshi, Yada
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
悪性マクロ付き文書ファイルを用いた攻撃の脅威が拡大している.この脅威への対策として,サンドボックスによる詳細解析が有効である.しかしながら,解析に一定時間を要するため,攻撃キャンペーンにより送付される大量の文書ファイルをすべて解析対象とすることは現実的でなく,解析を効率化する技術が希求される.本研究では,悪性マクロ付き文書フアイルを類似性に基づいてクラスタリングし,詳細解析の対象をクラスタの代表点のみに絞り込むことで,解析を効率化する手法を提案する.提案手法では,エミュレーション実行により,難読化に影響されずにマクロの特徴を捉える.また,ユーザを誘導するソーシャルエンジニアリングのためのテキストにも着目し,テキストマイニングの手法によって,マクロのみによらない特徴抽出を実施する.そして,マクロとテキストの特徴に基づくクラスタリングにより,解析対象の選定を実現する.提案手法を用いたシステムを実装し,既存の悪性マクロ付き文書フアイルの解析を効率化できることを実験的に示した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Macro malware recently becomes a significant problem in file-based attacks. Since it is mainly used in attack campaigns, a large number of malicious files are sent to targets in the short term. Although detailed analysis by sandboxes is effective against macro malware, it has a problem of taking a long time to analyze. Thus, deeply analysing all of them is difficult due to its time consumption and an effective analysis method is required. In this paper, we propose a method that makes the analysis effective by clustering macro malware. The method analyzes only representatives of clusters and avoids analyzing similar files multiple times. Our method uses emulator for extracting malicious behavior from macro code even under the obfuscation. In addition, the method focuses on the inductive texts that aim social engineering. Using text mining techniques, we extract the features of the inductive texts. Multi-modal clustering method based on the features of both macros and texts can precisely analyze clusters and choose appropriate cluster representatives for analysis. Through experiments, we show the effectiveness of our
proposing method. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12628305 |
| 書誌情報 |
研究報告セキュリティ心理学とトラスト(SPT)
巻 2017-SPT-22,
号 16,
p. 1-6,
発行日 2017-03-06
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8671 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-SPT17022016.pdf (1.6 MB)
