| Item type |
Symposium(1) |
| 公開日 |
2024-10-15 |
| タイトル |
|
|
言語 |
ja |
|
タイトル |
IoTマルウェアの系統樹クラスタリングにおける機能面に踏み込んだ解析のための距離定義の改良 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Improvement of Distance Definition for In-Depth Functional Analysis in Phylogenetic Clustering of IoT Malware |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
IoT マルウェア,系統樹,クラスタリング,正規化圧縮距離 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
九州大学 |
| 著者所属 |
|
|
|
国立研究開発法人情報通信研究機構 |
| 著者所属 |
|
|
|
国立研究開発法人情報通信研究機構 |
| 著者所属 |
|
|
|
株式会社日立システムズ |
| 著者所属 |
|
|
|
国立研究開発法人情報通信研究機構 |
| 著者所属 |
|
|
|
九州大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Kyushu University |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Systems, Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Kyushu University |
| 著者名 |
二川, 功佑
韓, 燦洙
田中, 智
岩本, 一樹
高橋, 健志
竹内, 純一
|
| 著者名(英) |
Kosuke, Nikawa
Chansu, Han
Akira, Tanaka
Kazuki, Iwamoto
Takeshi, Takahashi
Jun’ichi, Takeuchi
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
IoT機器をターゲットとしたマルウェアによる攻撃が増加している.IoTマルウェアは攻撃者のソースコード改変により多様に進化しており,大量の検体に対して詳細な機能情報を効率的に解析することが求められる.機能面に踏み込んだ解析のためには,検体の実行可能ファイル内から有用な情報を取り出して用いることが必要である.本研究はマルウェアの系統樹クラスタリングにおける,詳細な機能情報の解析のための検体間距離定義に焦点を当てている.実行ファイルに記述されているコードはライブラリ関数と攻撃者が独自に記述したと考えられるユーザーコードに大別でき,検体の詳細な機能の差異を表す情報はユーザーコードのみに含まれていると推測できる.そこで,ユーザーコードやライブラリ関数等の情報の有無が機能ラベルに対するクラスタリング精度にどの程度影響するのかを調査するため,IoTマルウェア4801検体及び816検体の実データセットからこれらの情報を選択的に組み合わせたファイルデータセットを6つ作成し距離定義,系統樹クラスタリングをする実験を行った.クラスタリング精度を評価する機能ラベルには無害化情報とExploit情報を用いた.その結果,ユーザーコード部のオペコードの情報のみを用いることによる機能ラベルに対するクラスタリング精度の向上を確認した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
IoT malware evolves diversely through the modification of source code by attackers, necessitating the efficient analysis of detailed functional information across a large number of samples. For a detailed functional analysis, it is necessary to extract and utilize relevant information from the executable files of the samples. This study focuses on defining inter-sample distances for the analysis of detailed functional information in the context of malware phylogenetic clustering. The code described in an executable file can generally be classified into library functions and user code, which is presumed to be independently written by the attacker. It is hypothesized that the information reflecting detailed functional differences among samples is contained only in the user code. We conducted experiments in which we investigated the change in clustering accuracy based on functional labels, when user code and library functions are present or absent. The results confirmed an improvement in clustering accuracy concerning functional labels when using only the opcode information from the user code sections. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2024論文集
p. 1497-1504,
発行日 2024-10-15
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSS2024199.pdf (818.9 kB)
