コードに基づいた機能によるマルウェアの分類に関する研究

東 結香 (0951101)


計算機の進化、インターネットの普及が進むとともに、様々なセキュリティインシデントが発生し、そのインシデントにおける大半の攻撃にはマルウェアが使用されている。2010年には2億個を超える新種のマルウェアが発生したものと推定されており、これらを迅速に解析し、対策の必要性が急務である。マルウェアはプログラムのハッシュ値や感染方法や機能に関する命名規則により分類されることが一般的であったが、現在の膨大に発生するマルウェアに対して対応が困難になっている。

 本論文では、マルウェアのコードが持つ機能に着目したマルウェアの分類を提案する。具体的には、逆アセンブルしたマルウェアの関数間の類似度を求め、傾向と改善点を抽出する。特に、既存の関数間の類似度算出方法の改良を行い、関数間の類似度を用いて検体間の類似度を算出し、クラスタリングを行う。さらに、検体同士の機能の類似性をはかるために、マルウェアコードに対するオントロジーを導出し、実施したクラスタリングの結果に対して適用したところ、複数の検体を含む3つのクラスタのうち、2つのクラスタにおいて機能の類似性を見いだすことが出来た。