実行毎の挙動の差異に基づくマルウェア検知手法の提案

書誌事項

タイトル別名
  • Malware Detection Method based on Difference between Behaviors in Multiple Executions

抄録

近年のマルウェアは解析や検知への耐性強化を目的とし,実行時の挙動を変動させるものが存在する.例えば,自身を複製する際のファイル名を実行毎に異なる名前にしたり,攻撃者サーバへの接続先を変更したりするマルウェアが存在する.このような動作は正規のプログラムには必要のない動作であると考えられるため,マルウェア検知の際の指標の1つとして利用できる可能性がある.そこで本論文では,挙動の変動を用いたマルウェア検知手法を提案する.提案手法ではマルウェア動的解析の技術を用いて,検査対象の実行ファイルを解析環境内で複数回解析し,その結果得られたAPIログを比較することで挙動の変動を判断しマルウェアの検知を行う.

Modern malware often change their runtime behaviors in each execution to avoid analyses and detections. For example, when malware copies itself on a file system, its file name can be randomly selected for avoiding detections. Another example of randomized behavior is when malware connects its command and control server, it randomly chooses its domain name from a domain name list to avoid being blocked by static blacklist. We consider such random behaviors unnecessary for benign software. Therefore these characteristics may be leveraged as a mean to distinguish malware from benign software. In this paper, we proposed a novel malware detection method based on the difference between behaviors in multiple executions. In proposed method, we analyze a to-be-tested sample in the same analysis environment multiple times to get the lists of specific API call parameters, and compare them to detect the difference between behaviors.

収録刊行物

詳細情報 詳細情報について

  • CRID
    1050011097178059008
  • NII論文ID
    170000067563
  • Web Site
    http://id.nii.ac.jp/1001/00078018/
  • 本文言語コード
    ja
  • 資料種別
    conference paper
  • データソース種別
    • IRDB
    • CiNii Articles

問題の指摘

ページトップへ