動的シンボル情報を用いたLinuxマルウェアの検知

書誌事項

タイトル別名
  • Detection of Linux Malware Using Dynamic Symbol Information

抄録

近年,IoTや組み込みデバイスの普及によりUnix系OSを狙うELF形式のマルウェアが増加している.一方でELFファイルは対象となるアーキテクチャの多さなどターゲットの多様性が高く,解析が難しいという側面がある.本研究ではアーキテクチャに依存しない解析手法として動的リンク情報,とりわけ再配置されるシンボルの名前を使用したLinuxマルウェアの検知を試みる.先行研究としてimport APIのfuzzy hashを使用するWindowsマルウェアの分類手法に注目し,ELFファイルから得られたシンボル名にfuzzy hash関数を適用する.さらに得られたハッシュ値をベクトル化することで,機械学習を用いたマルウェア検知手法を提案する.

Recently, with the popularization of IoT and embedded devices, the number of ELF formatted malware targeting Unix-like operating systems is increasing. On the other hand, ELF files are difficult to analyze because of the high target diversity such as the large number of target architectures. In this paper, we attempt to detect Linux malware using information on dynamic linking, particularly the names of relocated symbols, as an architecture-independent analysis method. We focus on classification methods of Windows malware in previous studies in which import APIs are used as inputs of fuzzy hashing, and applies fuzzy hash functions to symbol names obtained from ELF files. In addition, we propose a malware detection method using machine learning by vectorization of obtained hash values.

収録刊行物

詳細情報 詳細情報について

  • CRID
    1050292572129301376
  • NII論文ID
    170000181158
  • Web Site
    http://id.nii.ac.jp/1001/00201387/
  • 本文言語コード
    ja
  • 資料種別
    conference paper
  • データソース種別
    • IRDB
    • CiNii Articles

問題の指摘

ページトップへ