| Item type |
Symposium(1) |
| 公開日 |
2021-10-19 |
| タイトル |
|
|
タイトル |
グラフ埋め込みを用いたIoTマルウェアの機能推定手法の改善の検討 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Study on Improvement of Function Estimation Method of IoT Malware Using Graph Embedding |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
IoTマルウェア,マルウェア解析,シグネチャマッチング,グラフ埋め込み,クラスタリング |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
九州大学 |
| 著者所属 |
|
|
|
九州大学 |
| 著者所属 |
|
|
|
九州大学 |
| 著者所属 |
|
|
|
国立研究開発法人情報通信研究機構 |
| 著者所属 |
|
|
|
国立研究開発法人情報通信研究機構 |
| 著者所属 |
|
|
|
九州大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Kyushu University |
| 著者所属(英) |
|
|
|
en |
|
|
Kyushu University |
| 著者所属(英) |
|
|
|
en |
|
|
Kyushu University |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Kyushu University |
| 著者名 |
高田, 智史
川添, 玲雄
何, 天祥
韓, 燦洙
田中, 智
竹内, 純一
|
| 著者名(英) |
Satoshi, Takada
Reo, Kawasoe
Tianxiang, He
Chansu, Han
Akira, Tanaka
Jun'ichi, Takeuchi
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
脆弱な IoT 機器に感染する IoT マルウェアの数が増大している.これらの多くは一般に公開されているソースコードの一部を改変して機能の追加や変更,削除を行うことで作成された亜種と呼ばれるものである.先行研究で我々は,亜種が持つ機能を推定する目的で,検体が呼び出す関数の時系列情報を有向グラフ化し,シグネチャを用いて検体の機能を推定する手法を提案した.ここでシグネチャはマルウェアの典型的な各機能に対応する部分グラフである.しかし,この手法ではシグネチャと完全にマッチしないが,機能の観点では同等と見做せるものを検体から検出できない.本稿では,シグネチャ内に僅かな関数の追加が行われているだけで,マッチさせる必要性が高い検体を特定する手法を提案し,その存在を確認した.また,それら柔軟なシグネチャマッチが必要な検体の候補を列挙するグラフ埋め込み手法を提案する.さらに,シグネチャの完全マッチ手法とクラスタリング手法の結果を横断的に分析することで,クラスタ内の検体における各シグネチャのマッチ数に傾向があることを確認した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Most IoT Malware is variants generated by editing and reusing a part of the functions based on publicly available source codes. In our previous study, we proposed a method to estimate the functions of a specimen using a signature, which is a directed graph of time series information of function calls. However, this method cannot detect those that perfectly match the signature but can be regarded as equivalent in terms of function. In this paper, we confirm the existence of specimens that have only a few additional functions in signature and propose a graph embedding method that enumerates the candidates of specimens that need more flexible signature matching. In addition, by cross-cutting analysis of results of the perfect match of signature and clustering method, we confirmed that there is a trend in the number of matches for each signatures in the specimens in the cluster. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2021論文集
p. 705-712,
発行日 2021-10-19
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJCSS2021095.pdf (592.6 kB)
