実行毎の挙動の差異に基づくマルウェア検知手法の提案

笠間, 貴弘, 吉岡, 克成, 井上, 大介, 松本, 勉

近年のマルウェアは解析や検知への耐性強化を目的とし，実行時の挙動を変動させるものが存在する．例えば，自身を複製する際のファイル名を実行毎に異なる名前にしたり，攻撃者サーバへの接続先を変更したりするマルウェアが存在する．このような動作は正規のプログラムには必要のない動作であると考えられるため，マルウェア検知の際の指標の１つとして利用できる可能性がある．そこで本論文では，挙動の変動を用いたマルウェア検知手法を提案する．提案手法ではマルウェア動的解析の技術を用いて，検査対象の実行ファイルを解析環境内で複数回解析し，その結果得られたAPIログを比較することで挙動の変動を判断しマルウェアの検知を行う．

Modern malware often change their runtime behaviors in each execution to avoid analyses and detections. For example, when malware copies itself on a file system, its file name can be randomly selected for avoiding detections. Another example of randomized behavior is when malware connects its command and control server, it randomly chooses its domain name from a domain name list to avoid being blocked by static blacklist. We consider such random behaviors unnecessary for benign software. Therefore these characteristics may be leveraged as a mean to distinguish malware from benign software. In this paper, we proposed a novel malware detection method based on the difference between behaviors in multiple executions. In proposed method, we analyze a to-be-tested sample in the same analysis environment multiple times to get the lists of specific API call parameters, and compare them to detect the difference between behaviors.

実行毎の挙動の差異に基づくマルウェア検知手法の提案

書誌事項

抄録

収録刊行物

キーワード

詳細情報詳細情報について

書き出し

問題の指摘

実行毎の挙動の差異に基づくマルウェア検知手法の提案

書誌事項

抄録

収録刊行物

キーワード

詳細情報 詳細情報について

書き出し

問題の指摘

参加プロジェクトリスト

詳細情報詳細情報について