GHSOMによるマルウェアの分類

カテゴリ: 研究会(論文単位)

論文No: ST11020

グループ名: 【C】電子・情報・システム部門 システム研究会

発行日: 2011/08/25

タイトル(英語): Malware Classification with GHSOM

著者名: 史 虹波(横浜国立大学)

著者名(英語): Shi Hongbo(Yokohama National University)

キーワード: マルウェア|静的解析|自己組織化マップ|分類|構造|ＤＬＬ|malware|signature-based detection|GHSOM|classification|structure|DLL

要約(日本語): 成長型自己組織化マップ(Growing Hierachical Self-Organization Map, GHSOM)を用いたマルウェアのクラス判別法を提案する。近年，マルウェアの被害が深刻になるにつれ，より簡便で精度の高いマルウェア対策が必要になってきている。従来は，マルウェアプログラムの静的・動的な解析をもとに判別が行われているが，オンライン・リアルタイムで判断するための新たなアルゴリズムが必要である。本研究では，バイナリコード中に含まれる文字列情報に着目し，この中に現れる参照DLLを特徴とするマルウェアの自律的なクラス判別を検討した。GHSOMを用いることで事前のクラス数を設定することなく，大手ベンダーのアンチマルウェアソフトウェアのクラス分類と同等の結果が得られることを示す。

要約(英語): This paper proposes a new malware classification method based on the Growing Hierachical Self-Organization Map, GHSOM. Recently, various malicious softwares (malwares) harm the Internet services much more seriously than before. More convenient and accurate anti-virus solutions are required. Usually, signature-based detection and behavior-based detection are used to analysis the malwares. However, according to the fast increasing Internet services, an online and realtime analyzing algorithm is necessary. This research focuses on the printable strings appeared in a binary codes. This paper considers that the Windows DLL files used by a malware can be regarded as the characteristics of the malware for autonomous malware classification. The new proposal can classify the malwares as well as the existing anti-virus softwares by utilizing the GHSOM with less pre-configuration.

原稿種別: 日本語

PDFファイルサイズ: 3,201 Kバイト