| Item type |
Symposium(1) |
| 公開日 |
2023-10-23 |
| タイトル |
|
|
タイトル |
ランサムウェア検体間の類似度による未知検体機能推定 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Unknown Specimen Function Estimation Based on Similarity between Ransomware Specimens |
| 言語 |
|
|
言語 |
jpn |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
神戸大学大学院工学研究科 |
| 著者所属 |
|
|
|
キヤノンITソリューションズ株式会社 |
| 著者所属 |
|
|
|
キヤノンITソリューションズ株式会社 |
| 著者所属 |
|
|
|
キヤノンITソリューションズ株式会社 |
| 著者所属 |
|
|
|
キヤノンITソリューションズ株式会社 |
| 著者所属 |
|
|
|
キヤノンITソリューションズ株式会社 |
| 著者所属 |
|
|
|
キヤノンITソリューションズ株式会社 |
| 著者所属 |
|
|
|
神戸大学大学院工学研究科 |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Engineering, Kobe University |
| 著者所属(英) |
|
|
|
en |
|
|
Canon IT Solutions Inc. |
| 著者所属(英) |
|
|
|
en |
|
|
Canon IT Solutions Inc. |
| 著者所属(英) |
|
|
|
en |
|
|
Canon IT Solutions Inc. |
| 著者所属(英) |
|
|
|
en |
|
|
Canon IT Solutions Inc. |
| 著者所属(英) |
|
|
|
en |
|
|
Canon IT Solutions Inc. |
| 著者所属(英) |
|
|
|
en |
|
|
Canon IT Solutions Inc. |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Engineering, Kobe University |
| 著者名 |
林, 滉斗
池上, 雅人
住田, 裕輔
岡庭, 素之
市原, 創
一柳, 遥
長谷川, 智久
森井, 昌克
|
| 著者名(英) |
Hiroto, Hayashi
Masato, Ikegami
Yusuke, Sumida
Motoyuki, Okaniwa
Hajime, Ichihara
Haruka, Ichiyanagi
Tomohisa, Hasegawa
Masakatu, Morii
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
現在ランサムウェアの対策として,早期の検知と感染時の被害最小化,および早期復旧策が求められている.ランサムウェアを含めマルウェアの解析においては,そのマルウェアの機能(発症後の行動)に基づく分類が行われ,特に自動的かつ早期での分類方法とその精度について研究がなされていた.特に検体が叩くAPIやファイル等の特徴から,既知検体との類似度によってマルウェアのファミリー分類が行われている.分類の一つの目的は未知検体がいずれのファミリーに属するかを解析し,その未知検体の機能を推定しようとするものである.しかし同じファミリーに属するとしてもまったく同じ機能を有するとは限らないことは周知の事実である.本研究では,ファミリーへの分類ではなく,ファミリーを越えて,一つ一つの既知検体との類似度を基に,より詳細な機能推定を行おうとするものである.本稿では,ランサムウェアと呼ばれる検体に限り,その検体を多数収集し,ランサムウェアの詳細な機能を推定することを目的とする.まずAPIの出現に対する新たな類似度を定義し,その類似度に基づいて,すでに提案している機能推定を適用することによって,その有効性を検証する. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Currently, early detection, minimization of damage at the time of infection, and early recovery are required as countermeasures against ransomware. In the analysis of malware, including ransomware, classification is based on the functions (post-infection behavior) of the malware, and research has been conducted on automatic and early classification methods and their accuracy. In particular, family classification of malware is performed based on the degree of similarity with known specimens, based on the characteristics of the API, files, etc. that the specimens hit. One purpose of the classification is to analyze which family an unknown specimen belongs to and to estimate the functionality of the unknown specimen. However, it is a well-known fact that not all specimens belonging to the same family have exactly the same function. In this study, we attempt to perform more detailed functional estimation based on the similarity of each known specimen across families, rather than by classifying them into families. In this paper, we limit ourselves to specimens called ransomware as malware, and aim to collect a large number of such specimens to estimate the detailed functionality of ransomware. First, we define a new similarity for the appearance of APIs, and based on the similarity, we verify the effectiveness of the proposed function estimation by applying it. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2023論文集
p. 44-48,
発行日 2023-10-23
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSS2023007.pdf (622.1 kB)
