WEKO3
アイテム
静的解析により抽出されたAPI推移に基づくマルウェアの分類
https://ipsj.ixsq.nii.ac.jp/records/91328
https://ipsj.ixsq.nii.ac.jp/records/91328a8f02930-8e57-4dd9-b9c1-a024ffaa14a8
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-JNL5403022.pdf (1.2 MB)
|
Copyright (c) 2013 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Journal(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2013-03-15 | |||||||
| タイトル | ||||||||
| タイトル | 静的解析により抽出されたAPI推移に基づくマルウェアの分類 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Malware Classification Based on Extracted API Sequence by Static Analysis | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | [一般論文] マルウェア,静的解析,制御フロー解析,API推移,特徴抽出 | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_6501 | |||||||
| 資源タイプ | journal article | |||||||
| 著者所属 | ||||||||
| 日本コンピュータセキュリティリサーチ株式会社/現在,独立行政法人情報処理推進機構 | ||||||||
| 著者所属 | ||||||||
| 信州大学大学院総合工学系研究科 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Japan Computer Security Research Center / Presently with Information-technology Promotion Agency | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Interdisciplinary Graduate School of Science and Technology, Shinshu University | ||||||||
| 著者名 |
岩本, 一樹
和﨑克己
× 岩本, 一樹 和﨑克己
|
|||||||
| 著者名(英) |
Kazuki, Iwamoto
Katsumi, Wasaki
× Kazuki, Iwamoto Katsumi, Wasaki
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 本論文では,対象とする多数の検体を静的解析することで特徴を抽出し,ソースコードの構成に基づいた,精度の高いマルウェアの自動分類法を提案する.特徴抽出に関する提案手法は,検体の実行コードに対して,API推移依存グラフの,あるAPIとその後に呼び出されるAPIの組の有無を定義し,マルウェアの検体の特徴量とする.検体間の類似度の定義としてDice係数を適用した.特徴が似ている検体群の可視化のため,抽出した特徴量に基づいた階層型クラスタ分析を行う.分析結果は科名ごとに着色された樹形図で提示する.提案手法を評価するため,逆アセンブラ,制御フロー解析器,API推移特徴抽出器,Dice係数生成器,階層型クラスタ分析処理プログラムを制作し,自動マルウェア静的解析システムを構築した.実験として,4,684種類のマルウェアの検体を用意し,API推移抽出に成功した1,821種類の検体に対して,類似度比較による自動分類を実行した.その結果,短い時間で階層型クラスタ分析まで自動処理を実施し,亜種グループを形成する多数の有意なクラスタを得た. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | In this paper, we propose highly accurate automatic malware classification method, by extracting features by using static analysis of malware samples, with the structure of malware source code. In the proposal extracting method, existence and non-existence of a particular pairs of API and its subsequent API in API sequence graph is compared with the executable code of a sample, with which feature of malware sample is defined. To determine the degree of similarity between samples, Dice's coefficient has been applied. To visualize the grouping of similarly-featured samples, we have used hierarchical cluster analysis based on the extracted features. The analysis results are presented in dendrogram with colored nodes to each family name. In order to assess the proposed method, we have set up the automatic malware static analysis system with combination of disassembler, control flow analyzer, API sequence extractor, similarity calculator and hierarchical cluster analyzer. We have acquired 4,684 malware samples, and 1,821 of those samples successfully extracted from API sequence have been put to our proposal classification method. As a result, automatic processing has been executed to hierarchical cluster analysis in a short time, and significant clusters of variant groups have been obtained. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AN00116647 | |||||||
| 書誌情報 |
情報処理学会論文誌 巻 54, 号 3, p. 1199-1210, 発行日 2013-03-15 |
|||||||
| ISSN | ||||||||
| 収録物識別子タイプ | ISSN | |||||||
| 収録物識別子 | 1882-7764 | |||||||
