ニューラルネットワークを用いたマクロマルウェア検知器に対する回避攻撃の検証

倉品, 和幸; 三村, 守

WEKO3

lat lon distance

[[sub_check.contents]]

[[sub_radio.contents]]

Field does not validate

[[sub_attr.contents]]　

インデックスツリー

アイテム

ニューラルネットワークを用いたマクロマルウェア検知器に対する回避攻撃の検証

https://ipsj.ixsq.nii.ac.jp/records/233234

名前 / ファイル	ライセンス	アクション
IPSJ-CSEC24104020.pdf (1.3 MB) 2026年3月11日からダウンロード可能です。	Copyright (c) 2024 by the Information Processing Society of Japan
非会員：¥660, IPSJ:学会員：¥330, CSEC:会員：¥0, DLIB:会員：¥0

Item type

SIG Technical Reports(1)

公開日

2024-03-11

タイトル

ニューラルネットワークを用いたマクロマルウェア検知器に対する回避攻撃の検証

タイトル

言語

タイトル

Evaluation of Evasion Attacks against Neural Network-Based Macro Malware Detector

言語

jpn

キーワード

主題Scheme

Other

主題

マルウェア

資源タイプ

資源タイプ識別子

http://purl.org/coar/resource_type/c_18gh

資源タイプ

technical report

著者所属

防衛大学校情報工学科

著者所属

防衛大学校情報工学科

著者所属(英)

Department of Computer Science, National Defense Academy

著者所属(英)

Department of Computer Science, National Defense Academy

著者名

倉品, 和幸
三村, 守

論文抄録

内容記述タイプ

Other

内容記述

近年，機械学習を用いた未知のマルウェア検知の研究が進んでいる．機械学習ではマルウェアの特徴を抽出し，その特徴から良性か悪性かを分類する．しかしながら，機械学習を用いたマルウェア検知器に対して，検知を回避する脅威が指摘されている．先行研究では Visual Basic for Applications（VBA）のマルウェアを検知するモデルに対してこの回避攻撃の脅威を検証した．その検証では，Bag of Words（BoW）や Latent Semantic Indexing（LSI）等の言語モデルを使用している．しかしながら，これらの言語モデルは単語の出現頻度を特徴量としており，その前後関係が考慮されていない．また，良性と悪性のデータ数が均衡な環境で検証しており，実践的な環境における有効性が不透明である．そこで本研究では単語の順序を考慮するため，Tokenize rを用いて順序を保持したままトークンに変換し，不均衡なデータセットを用いて精度を評価した．分類器には Recurrent Neural Network（RNN），Long Short Term Memory（LSTM）等の単語の前後関係を考慮するモデルを用いた．その結果，悪性マルウェアの検知率は 80% 以上となり，十分な検知性能があることを確認した．また，良性データセットのみに出現し，悪性データセットには出現しない単語を，動作に影響しない関数の引数として追加する敵対的攻撃により，最大で検知率が 89% 低下することを確認した．さらに，実践的な環境でも悪性データセットの検知率が変化せず，攻撃が有効であることを確認した．

論文抄録(英)

内容記述タイプ

Other

内容記述

In recent years, many methods have been proposed to detect unknown malware using machine learning models. These machine learning models extract the features of malware and classify them as benign or malicious based on these features. However, threats have been reported that evade detection by machine learning-based malware detectors. Previous research has evaluated this evasion attack against models that detect Visual Basic for Applications (VBA) malware using natural language models such as Bag of Words (BoW) and Latent Semantic Indexing (LSI). However, these language models use word frequency as a feature and do not consider its context. Moreover, the evaluation was performed with a balanced number of benign and malicious samples. Therefore, the effectiveness in a real environment remains to be evaluated. In order to overcome these issues, this study used a tokenizer that converts tokens while preserving word order. We evaluated accuracy using an imbalanced dataset. We used models to interpret the context of words, such as recurrent neural networks (RNNs) and long short-term memory (LSTM). As a result, the detection rate of malicious malware was over 80%, confirming that the detection performance was sufficient. Furthermore, we confirmed that by adding words that only appear in benign datasets as arguments to non-operational functions, we could reduce the detection rate due to evasion attacks by up to 89%. Finally, we confirmed that the detection rate of the malicious dataset remained unchanged in a real environment, demonstrating the effectiveness of the attack.

書誌レコードID

収録物識別子タイプ

NCID

収録物識別子

AA11235941

書誌情報

研究報告コンピュータセキュリティ（CSEC）

巻 2024-CSEC-104, 号 20, p. 1-8, 発行日 2024-03-11

ISSN

収録物識別子タイプ

ISSN

収録物識別子

2188-8655

Notice

SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc.

出版者

言語

出版者

情報処理学会

戻る

views

See details

	Views

Versions

Ver.1

2025-01-19 10:09:55.002090

Show All versions

Cite as

エクスポート

OAI-PMH

JPCOAR
DublinCore
DDI

Other Formats

JSON
BIBTEX

インデックスリンク

インデックスツリー

アイテム

ニューラルネットワークを用いたマクロマルウェア検知器に対する回避攻撃の検証

× 倉品, 和幸

× 三村, 守

Versions

Share

Cite as

エクスポート