{"product_id":"ieej-20240122c00701-015","title":"呼び出しAPIシーケンスに基づく二段階マルウェア検知","description":"\u003cp\u003e\u003cstrong\u003eカテゴリ: \u003c\/strong\u003e研究会(論文単位)\u003c\/p\u003e\u003cp\u003e\u003cstrong\u003e論文No: \u003c\/strong\u003eCMN24016\u003c\/p\u003e\u003cp\u003e\u003cstrong\u003eグループ名: \u003c\/strong\u003e【C】電子・情報・システム部門 通信研究会\u003c\/p\u003e\u003cp\u003e\u003cstrong\u003e発行日: \u003c\/strong\u003e2024\/01\/22\u003c\/p\u003e\u003cp\u003e\u003cstrong\u003eタイトル(英語): \u003c\/strong\u003eTwo-Stage Malware Detection Based on Calling API Sequences\u003c\/p\u003e\u003cp\u003e\u003cstrong\u003e著者名: \u003c\/strong\u003e常脇 航平(同志社大学),木村 共孝(同志社大学),程 俊(同志社大学)\u003c\/p\u003e\u003cp\u003e\u003cstrong\u003e著者名(英語): \u003c\/strong\u003eKohei Tsunewaki(Doshisha University),Tomotaka Kimura(Doshisha University),Cheng Jun(Doshisha University)\u003c\/p\u003e\u003cp\u003e\u003cstrong\u003eキーワード: \u003c\/strong\u003eマルウェア|ＡＰＩ呼び出し|Ａｄｖｅｒｓａｒｉａｌ　Ｅｘａｍｐｌｅ|Malware|API Call|Adversarial Example\u003c\/p\u003e\u003cp\u003e\u003cstrong\u003e要約(日本語): \u003c\/strong\u003e本稿では，呼び出しAPI（Application Programming Interface）シーケンスの固有特徴に基づく2段階マルウェア検知を提案する．提案手法では，APIの意味情報や複数の呼び出しAPIによる結合表現といったAPIシーケンスの固有特徴を用いて検知する．提案手法の第1段階では，全体的な特徴を把握するために，アプリケーションによる全ての呼び出しAPIを入力として，アプリケーションがマルウェアであるかどうかを判定する．これに対し，第2段階では，呼び出しAPIを小さなウィンドウに分割し，複数の検知器を用いて各ウィンドウを個別に判定する．第2段階で用いるそれぞれの検知器は，ラベリング器によってラベル付けされたデータを学習する．本稿の評価実験では，アプリケーションが呼び出すAPIシーケンスを含むデータセットを用いて，提案する2段階検知器の有効性を示す．具体的には，2段階検知器を構成する第1段階や第2段階のみの検知器と比較し，2段階検知器の性能が向上することを示す．\u003c\/p\u003e\u003cp\u003e\u003cstrong\u003e要約(英語): \u003c\/strong\u003eIn this paper, we propose a two-stage malware detection method based on intrinsic features of calling API (Application Programming Interface) sequences. The proposed method uses intrinsic features of API sequences, such as semantic information of APIs and combined expressions of multiple calling APIs, to detect malware. In the first stage of the proposed method, all APIs called by the application are used as input to determine whether the application is malware or not, in order to obtain the overall characteristics. In contrast, in the second stage, the calling APIs are divided into small windows, and each window is determined individually using multiple detectors. Each detector used in the second stage trains on data labeled by the labeler. The evaluation experiments in this paper demonstrate the effectiveness of the proposed two-stage detector using a dataset containing API sequences called by the application. Specifically, we show that the performance of the two-stage detector is improved compared to the first-stage and second-stage-only detectors that comprise the two-stage detector.\u003c\/p\u003e\u003cp\u003e\u003cstrong\u003e本誌: \u003c\/strong\u003e\u003ca href=\"\/products\/ieej-20240122c00701\"\u003e2024年1月25日-2024年1月26日通信研究会\u003c\/a\u003e\u003c\/p\u003e\u003cp\u003e\u003cstrong\u003e本誌掲載ページ: \u003c\/strong\u003e79-84 p\u003c\/p\u003e\u003cp\u003e\u003cstrong\u003e原稿種別: \u003c\/strong\u003e日本語\u003c\/p\u003e\u003cp\u003e\u003cstrong\u003ePDFファイルサイズ: \u003c\/strong\u003e612 Kバイト\u003c\/p\u003e","brand":"IEEJ-P10","offers":[{"title":"冊子印刷（一般価格660円\/会員価格440円） \/ A4 \/ 6","offer_id":46352542400751,"sku":"IEEJ-20240122C00701-015-PRT","price":660.0,"currency_code":"JPY","in_stock":true},{"title":"PDFダウンロード（一般価格330円\/会員価格220円） \/ A4 \/ 6","offer_id":46355610468591,"sku":"IEEJ-20240122C00701-015-PDF","price":330.0,"currency_code":"JPY","in_stock":true}],"thumbnail_url":"\/\/cdn.shopify.com\/s\/files\/1\/0718\/9512\/2159\/files\/IEEJ-KENKYUKAI_08a108e5-c035-41b9-98cd-16a84f7f5691.png?v=1743235962","url":"https:\/\/ieej.bookpark.ne.jp\/products\/ieej-20240122c00701-015","provider":"電気学会 電子図書館","version":"1.0","type":"link"}