APIグループ間の相関性とフォルダ操作頻度に基づくマルウェア分類手法の提案

DOI 情報処理学会

この論文をさがす

抄録

マルウェア攻撃手法の進歩にともない,既存のマルウェア検知および分類手法では対応が難しくなってきている.本論文ではマルウェアの動作パターンと特徴ある動作とを特徴量とする機械学習による分類手法を提案する.本提案方式では,動作パターンとしてAPIグループ間の相関性,特徴ある動作としてフォルダ操作頻度を使用する.さらに,研究用データセットFFRI Dataset2016を使用した分類実験を通して手法の有効性を評価する.分類実験の結果,不均衡データであることを考慮したオーバサンプリングの場合,ベンダが提供するマルウェア系列との一致度は99%となり,動作を特徴付けるAPIとフォルダ操作頻度に着目した機械学習による分類手法が有効であることを示した.今後は,検体数を増やして不均衡データが分類に対する影響を抑えるとともに,様々な特徴量を使用して分類精度を向上させ,未知のマルウェア分類を対応できるように取り組んでいく.

With the progress of malware attack techniques, it is becoming difficult to respond with existing malware detection and classification techniques. In this paper, we propose a classification method based on machine learning that uses the behavioral patterns and characteristic behaviors of malware as features. In the proposed method, the correlation between API groups presents the malware's operation pattern, and the folder operation frequency presents the malware's characteristic operation. In addition, efficacy is evaluated through classification experiments using the research dataset FFRI Dataset 2016. The experimental results show that in the case of oversampling considering imbalanced data, the degree of coincidence with the malware family provided by the vendor is 99%, and a classification method using machine learning that focuses on the API that characterizes the behavior and the folder name has been shown to be valid. In the future, we will work to increase the number of specimens to reduce the influence of imbalanced data on classification and to improve the classification accuracy by using various features to support unknown malware classification.

収録刊行物

キーワード

詳細情報 詳細情報について

問題の指摘

ページトップへ