トラフィックデータとバイナリのFuzzy Hash値に基づくマルウェア分類手法と評価 (情報通信システムセキュリティ)  [in Japanese] Evaluation on Malware Classification by Combining Traffic Analysis and Fuzzy Hashing of Malware Binary  [in Japanese]

Search this Article

Author(s)

Abstract

近年急増しているサイバー攻撃では,既存マルウェアから派生した亜種が使用される場合が多く,その機能も急激に多様化している.マルウェアは本体が難読化や暗号化されているだけでなく,実行環境によりその挙動を変化させるため,静的解析だけでは適切に分類できなくなりつつある.一方,解析コストの高い手動解析を減らすために,急増する亜種に対抗する高速なマルウェア分類手法が求められている.本稿では,マルウェアのトラフィックデータから生成した特徴ベクトルへのクラスタリングとFuzzy Hashの適用,および,マルウェア本体に対するFuzzy Hashの適用による多段マルウェア分類手法を提案する.共同研究先から提供されたマルウェア340検体とそのトラフィックデータを用いた評価実験の結果,正解率は58.4%であった.

Recent cyber attacks frequently use variants of malware programs where existing functions are drastically improved and new functions are developed. In addition to obfuscation and encryption, many malware programs change their behavior by examining their execution environment. They cannot be classified to appropriate families only by static analysis. Efficient methods are required in order to fight against huge amounts of malware programs with reducing expensive cost of manual analysis. In this paper, we propose unified approach of dynamic traffic analysis and static program analysis. Similar to other conventional methods, the former performs feature extraction, clustering and labeling to represent traffic data as sequence of characters. Then Fuzzy Hash adjusts the length of the sequence for similarity calculation. The latter applies Fuzzy Hash to malware programs. From the experimental results by using 340 malware samples and their traffic data, our method can correctly identify 58.4% of malware.

Journal

  • IEICE technical report. Information and communication system security

    IEICE technical report. Information and communication system security 114(489), 199-204, 2015-03-03

    The Institute of Electronics, Information and Communication Engineers

Codes

  • NII Article ID (NAID)
    110010021512
  • NII NACSIS-CAT ID (NCID)
    AA12405413
  • Text Lang
    JPN
  • ISSN
    0913-5685
  • NDL Article ID
    026326766
  • NDL Call No.
    Z16-940
  • Data Source
    NDL  NII-ELS 
Page Top