@techreport{oai:ipsj.ixsq.nii.ac.jp:00216670,
 author = {遠藤, 祐輝 and 鮫嶋, 海地 and 田辺, 瑠偉 and 吉岡, 克成 and 松本, 勉 and Yuki, Endo and Kaichi, Sameshima and Rui, Tanabe and Katsunari, Yoshioka and Tsutomu, Matsumoto},
 issue = {27},
 month = {Feb},
 note = {マルウェアの挙動やそれを操作する攻撃者の動向を分析するため，動的解析が広く行われている．動的解析により観測されるマルウェアの通信の中でも，C&C サーバとの通信は攻撃者の動向や振る舞いを知る上で重要である．本研究では，マルウェアにとって C&C サーバとの通信の重要性が高いことから，複数回独立に実行した場合に毎回の実行において C&C サーバとの通信を試みる可能性が高く，また，C&C サーバとの接続が確立できない場合には繰り返し接続を試みる可能性が高いことに着目し，マルウェア動的解析で観測される通信の中から C&C サーバとの通信を識別する方法を提案する．具体的には，ネットワーク環境の異なる実行環境を用いて複数回の動的解析を行い，前述の着目点から導出した通信の特徴を用いて機械学習により C＆C サーバの特定を行う手法を提案する．ハニーポットで収集したマルウェア検体 363 体を用いた評価実験の結果，適合率 100%, 再現率 98.6% で C&C サーバの IP アドレスを正しく判定することができた．, In order to analyze the behavior of malware, dynamic analysis has been widely utilized. Among various communication of malware, those with C&C servers are important for understanding the trends and behavior of attackers. In this study, we propose a method to identify C&C servers from communication observed by dynamic analysis of IoT malware. Our key observation is that connecting C&C server is so essential for malware that it would try to connect to the servers for every execution and would keep its attempt if the connection is not established. We propose an ML-based method to identify the C&C server from the communication of malware observed by multiple dynamic analyses using different network environments to highlight its tenacity for the C&C server. In the experiment with 363 malware samples captured by IoT honeypot, C&C servers were identified with the precision of 100% and the recall of 98.6%.},
 title = {IoTマルウェアの動的解析におけるC&C通信の機械学習を用いた検出},
 year = {2022}
}