ログイン 新規登録
言語:

WEKO3

  • トップ
  • ランキング
To
lat lon distance
To

Field does not validate



インデックスリンク

インデックスツリー

メールアドレスを入力してください。

WEKO

One fine body…

WEKO

One fine body…

アイテム

  1. 研究報告
  2. コンピュータセキュリティ(CSEC)
  3. 2026
  4. 2026-CSEC-114

.NET製マルウェア解析のための難読化ツール推定 IL・メタデータ特徴に基づく多段判別と未知ツール検出

https://ipsj.ixsq.nii.ac.jp/records/2010306
https://ipsj.ixsq.nii.ac.jp/records/2010306
31fc40f0-2289-4c6f-92a3-5d2d7764cc4b
名前 / ファイル ライセンス アクション
IPSJ-CSEC26114013.pdf IPSJ-CSEC26114013.pdf (1.0 MB)
Copyright (c) 2026 by the Institute of Electronics, Information and Communication Engineers This SIG report is only available to those in membership of the SIG.
CSEC:会員:¥0, DLIB:会員:¥0
Item type SIG Technical Reports(1)
公開日 2026-07-06
タイトル
言語 ja
タイトル .NET製マルウェア解析のための難読化ツール推定 IL・メタデータ特徴に基づく多段判別と未知ツール検出
タイトル
言語 en
タイトル Obfuscator Estimation for .NET Malware Analysis Staged Classification and Unknown-Tool Detection Using IL and Metadata Features
言語
言語 jpn
キーワード
主題Scheme Other
主題 ISEC
資源タイプ
資源タイプ識別子 http://purl.org/coar/resource_type/c_18gh
資源タイプ technical report
著者所属
東京電機大学暗号方式・暗号プロトコル研究室
著者所属
東京電機大学暗号方式・暗号プロトコル研究室
著者所属(英)
en
Cryptographic Schemes and Protocols Laboratory, Tokyo Denki University
著者所属(英)
en
Cryptographic Schemes and Protocols Laboratory, Tokyo Denki University
著者名 渡辺,康介

× 渡辺,康介

渡辺,康介

Search repository
齊藤,泰一

× 齊藤,泰一

齊藤,泰一

Search repository
著者名(英) Kosuke Watanabe

× Kosuke Watanabe

en Kosuke Watanabe

Search repository
Taiichi Saito

× Taiichi Saito

en Taiichi Saito

Search repository
論文抄録
内容記述タイプ Other
内容記述 .NET製マルウェア解析では,難読化解除や詳細な静的解析に先立ち,適用された難読化ツールを推定できることが有用である.既存のルールベース検出や難読化解除ツール付属の検出機能は既知ツールには有効な場合があるが,対応範囲外の入力や派生的変種ではツール名を安定して返せない可能性がある.本稿では,.NETバイナリからIL命令n-gram,識別子分布,文字列統計,メタデータ・リソース,PE/ILセクション統計に関する128特徴量を抽出し,難読化有無判定,難読化ツール判別,設定プロファイル推定,未知ツール検出を行う多段判別方式を示す.4ツール12プロファイルと難読化なしを含む637件のGroupCV 5分割20シード評価では,Stage2の難読化ツール判別でmacro-F1 0.9881を得た.未知ツール検出では最も分離しやすい条件でAUROC 0.9929,FPR95 0.0160を得た一方,既知として残すツールで平均した未知検出率は0.6835であった.設定プロファイル推定はツール依存であり,限定した設定グループ評価では3ツール平均のmacro-F1が0.9574であった.これらの結果から,難読化ツール推定は解析初動支援として有効である一方,設定推定と実マルウェア検体への適用では結論の適用範囲を慎重に扱う必要があることを示す.
論文抄録(英)
内容記述タイプ Other
内容記述 Identifying the applied obfuscator before deobfuscation helps analysts narrow down the choice of initial analysis strategy for .NET malware analysis. Existing rule-based detectors and detector modes attached to deobfuscation tools may fail to return reliable names outside their supported range. This paper presents a staged classification pipeline that extracts 128 static features, including IL opcode n-grams, identifier, string, metadata, resource, and PE/IL section statistics. On a 637-sample dataset spanning four obfuscators, 12 profiles, and a non-obfuscated category, 5-fold GroupCV repeated across 20 seeds achieved macro-F1 0.9881 for obfuscator identification. Unknown-tool detection achieved AUROC 0.9929 and FPR95 0.0160 under the condition with the clearest known/unknown separation, while the average unknown detection rate over known-tool choices was 0.6835. Setting-profile estimation was tool-dependent; over the separable subset of three tools, the mean macro-F1 was 0.9574. These results suggest that obfuscator estimation is useful for initial triage, while fine-grained setting estimation and application to real-world malware samples require conservative interpretation.
書誌レコードID
収録物識別子タイプ NCID
収録物識別子 AA11235941
書誌情報 研究報告コンピュータセキュリティ(CSEC)

巻 2026-CSEC-114, 号 13, p. 1-8, 発行日 2026-07-06
ISSN
収録物識別子タイプ ISSN
収録物識別子 2188-8655
Notice
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc.
出版者
言語 ja
出版者 情報処理学会
戻る
0
views
See details
Views

Versions

Ver.1 2026-06-29 03:18:56.562391
Show All versions

Share

Mendeley Twitter Facebook Print Addthis

Cite as

エクスポート

OAI-PMH
  • OAI-PMH JPCOAR
  • OAI-PMH DublinCore
  • OAI-PMH DDI
Other Formats
  • JSON
  • BIBTEX

Confirm


Powered by WEKO3


Powered by WEKO3