WEKO3
アイテム
疑似クライアントを用いたサーバ応答蓄積型マルウェア動的解析システム
https://ipsj.ixsq.nii.ac.jp/records/74782
https://ipsj.ixsq.nii.ac.jp/records/747823cd86e98-c9e4-4dbf-a769-d3a21e562b7c
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSS2009A72.pdf (1.1 MB)
|
Copyright (c) 2009 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Symposium(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2009-10-19 | |||||||
| タイトル | ||||||||
| タイトル | 疑似クライアントを用いたサーバ応答蓄積型マルウェア動的解析システム | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Malware Sandbox Analysis System with Accumulated Server ResponsesCollected by Dummy Clients | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | マルウェア検体 | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||
| 資源タイプ | conference paper | |||||||
| 著者所属 | ||||||||
| 横浜国立大学 | ||||||||
| 著者所属 | ||||||||
| 横浜国立大学 | ||||||||
| 著者所属 | ||||||||
| 横浜国立大学 | ||||||||
| 著者所属 | ||||||||
| NEC共通基盤ソフトウェア研究所/独立行政法人情報通信研究機構 | ||||||||
| 著者所属 | ||||||||
| 独立行政法人情報通信研究機構 | ||||||||
| 著者所属 | ||||||||
| 独立行政法人情報通信研究機構 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Yokohama National University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Yokohama National University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Yokohama National University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Common Platform Software Research Laboratories,NEC Corp/National Institute of Information and Communications | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| National Institute of Information and Communications | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| National Institute of Information and Communications | ||||||||
| 著者名 |
笠間, 貴弘
吉岡, 克成
松本, 勉
山形, 昌也
衛藤, 将史
中尾, 康二
× 笠間, 貴弘 吉岡, 克成 松本, 勉 山形, 昌也 衛藤, 将史 中尾, 康二
|
|||||||
| 著者名(英) |
Takahiro, Kasama
Katsunari, Yoshioka
Tsutomu, Matsumoto
Masaya, Yamagata
Masashi, Eto
Koji, Nakao
× Takahiro, Kasama Katsunari, Yoshioka Tsutomu, Matsumoto Masaya, Yamagata Masashi, Eto Koji, Nakao
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 近年のマルウェアは C&Cサーバ等を通じて攻撃者に制御されるものが多いため,マルウェアを解析環境内で実行してその挙動を観測・分析するマルウェア動的解析では,これらのサーバの挙動に注目し,その変化が解析対象のマルウェアの挙動にどのような影響を与えるかを分析する必要がある.しかし,解析環境内で実際にマルウェアを長時間実行して解析を行うことは,解析時間の増加と,解析中のマルウェアが解析環境外部に攻撃を行うリスクの増加を意味する.そこで本稿では,マルウェアがインターネット上のサーバと行う通信を模擬する疑似クライアントを,動的解析結果から自動生成し,これらをインターネットに接続した別マシン上で並列動作させることで,マルウェアに対するサーバからの応答を継続的かつ効率的に収集する方法を提案する.また,収集された応答を解析環境内にフィードバックすることでサーバの挙動の変化に応じたマルウェアの挙動を観測可能とする. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Many recent malware change their behaviors according to those of remote servers they interact, such asCommand and Control (C&C) servers and file servers. Thus, it is important to carefully observe the changes ofbehaviors of these servers when malware sandbox analysis, in which malware sample is actually executed in a testingenvironment (i.e. sandbox) to observe its behavior, is conducted. However, keeping the malware active in anInternet-connected sandbox for a long time to observe its interactions with these servers involves a high risk that theirattack may exit the sandbox as well as a high operational cost. In this paper, we propose a new malware sandboxanalysis method in which we utilize a dummy client that interacts with the servers instead of a malware sample. Thedummy client is automatically created from traffic log observed by sandbox analysis. Server responses collected by thedummy clients are then fed to the executed malware in the sandbox to observe its corresponding reactions. | |||||||
| 書誌情報 |
コンピュータセキュリティシンポジウム2009 (CSS2009) 論文集 巻 2009, p. 1-6, 発行日 2011-10-12 |
|||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
