ファイル構造検査の悪性PDFファイル検知への応用
Bibliographic Information
- Other Title
-
- Applying File Structure Inspection to Detecting Malicious PDF Files
Search this article
Abstract
標的型攻撃に用いられる悪性文書ファイルの多くには実行ファイルが埋め込まれており,我々はMS文書ファイル(Rich TextまたはCompound File Binary)の構造を検査することで悪性文書ファイルを検知する手法を提案した.この手法はファイルフォーマットに依存しており,悪性PDFファイルの検知に対応していなかった.本論文では,PDFファイルに構文解釈できない部分,表示内容と関係しない部分が含まれる等の特徴がないか構造を検査することにより,実行ファイルが埋め込まれた悪性PDFファイルを検知する手法を提案する.実行ファイルが埋め込まれた悪性PDFファイル164個に対し実験した結果,99.4%を検知することができた.ファイル構造は攻撃者の意志で変更させることが困難であることから,提案手法は長期にわたり有効である.
Targeted attacks using document files that contain executable files are popular. We had proposed methods to detect malicious MS document files (Rich Text or Compound File Binary) using file structure inspection. The methods depend on file format, and couldn't detect malicious PDF files. In this paper, focus on features of malicious PDF files that contain executable files to detect them. The features are , for example, the malicious PDF files contain parts that can not be parsed, or the malicious PDF files contain data that is not related to display contents of the PDF files. The experimental result using 164 PDF files that contain executable files shows the effectiveness of the methods. The methods could detect 99.4% of the malicious PDF files in the experiment. The methods are effective over a long time. Because an attacker is almost not able to alter a file structure.
Journal
-
- 情報処理学会論文誌
-
情報処理学会論文誌 55 (10), 2281-2289, 2014-10-15
Information Processing Society of Japan (IPSJ)
- Tweet
Keywords
Details 詳細情報について
-
- CRID
- 1050001337904597376
-
- NII Article ID
- 110009838401
-
- NII Book ID
- AN00116647
-
- ISSN
- 18827764
-
- Web Site
- http://id.nii.ac.jp/1001/00106367/
-
- Text Lang
- ja
-
- Article Type
- journal article
-
- Data Source
-
- IRDB
- CiNii Articles
- KAKEN