系統樹に基づくスケーラブルなマルウェアクラスタリングのオンライン処理手法の実装と評価

IoT マルウェアの亜種や新種の急増に対応するため，大規模なマルウェアセットを効率的に解析する需要が高まっている．クラスタリングは解決策の１つであり，我々の先行研究ではスケーラブルなかつ高速なマルウェアクラスタリング手法である高速近似法を提案した．本稿では，高速近似法に基づいたオンライン処理手法を提案する．本手法は新たな検体が追加される際，系統樹を作り直すことなく，逐次的に新しい検体を系統樹に挿入する手法である．65,494 検体からなる IoT マルウェアセットを用いた実験では，クラスタリング精度を落とすことなく，計算量を約 30% 削減することを達成した．また，先行研究の高速近似法の計算量証明を行った．更に，高速近似法における少数ファミリーのクラスタリング精度の評価も行い，少数ファミリーでも高い精度を達成した．

Due to the rapid increase in IoT malware and variants, there is a growing demand for efficient analysis of large-scale malware sets. Clustering is a compelling method to analyze these large-scale malware sets efficiently. In our previous research, we proposed a scalable and fast algorithm for clustering malware by constructing a phylogenetic tree. In this paper, we implement and evaluate an online processing method based on that. In the online processing method, when a new specimen is added to the dataset, the new specimen is inserted into the phylogenetic tree sequentially without rebuilding the phylogenetic tree. In the experiment using an IoT malware set consisting of 65,494 specimens, we achieved a reduction of about 30\\% in the computational cost of NCD without degrading clustering accuracy. In addition, we proved the computational complexity of the fast algorithm from our previous research. Furthermore, we evaluated the clustering accuracy not only for large malware families but also for small-scale families and confirmed that high accuracy was achieved.