@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00208513,
 author = {小久保, 博崇 and 江田, 智尊 and 大山, 恵弘 and Hirotaka, Kokubo and Satoru, Koda and Yoshihiro, Oyama},
 book = {コンピュータセキュリティシンポジウム2020論文集},
 month = {Oct},
 note = {サイバー攻撃の被害状況を特定するにあたって，何のマルウェアが攻撃に使われたかを知ることは重要である．<br>しかし，調査妨害を目的とした自己消去を行うマルウェアも存在する．<br>消去されたファイルはストレージの使用とともに情報が欠損していくため，フォレンジック技術を使用しても完全な形でマルウェアを復元できないこともある．<br>本稿では，このようなデータの欠損を起こしたマルウェア(欠損マルウェア）に着目する．<br>欠損マルウェアをアンチウイルスによって同定することは難しいという実験結果を，過去に著者らは示した．<br>本稿では，欠損マルウェアからマルウェア名をどの程度同定できるかを，機械学習技術を用いて実験した．<br>欠損マルウェアはデータの欠損を起こしており，ヘッダ情報や挙動解析情報などの有用な特徴が得られないため，分類には画像特徴量を使用した．<br>その結果，アンチウイルスによる同定に致命的な悪影響を与えるファイル先頭の欠損があったとしても，欠損前のマルウェア検体を学習に用いれば約97%の精度，欠損前のマルウェア検体と同種の検体を学習に用いれば約48%の精度で，マルウェア名の同定が可能であることがわかった．, In order to know the damage situation of cyber attack, it is important to know what kind of malware was used for the attack.<br>Some malware erases itself to prevent investigation.<br>Erased malware can be recovered by digital forensics technology, but data loss can occur.<br>In this paper, we identify malware names from corrupted malware binary by using machine learning.<br>We use image feature values to perform identification because header information and behavior analysis information cannot be used due to data loss.<br>As a result, it was found that the malware name can be identified with high accuracy even if the malware file head is missing.},
 pages = {610--617},
 publisher = {情報処理学会},
 title = {データ欠損を起こしたマルウェアの機械学習による同定},
 year = {2020}
}