Progress report

Similar documents
マルウェア対策のための研究用データセット ~ MWS Datasets 2013 ~.pptx

スライド 1

スライド 1

スライド 1

スライド 1

1013  動的解析によるBOTコマンドの自動抽出

Kullback-Leibler 情報量を用いた亜種マルウェアの同定 電気通信大学 中村燎太 松宮遼 高橋一志 大山恵弘 1

InfoTrace Mark II for Cyber

Soliton Dataset 2018

マルウェア対策のための研究用データセット MWS Datasets 2019 荒木粧子, 笠間貴弘, 押場博光, 千葉大紀, 畑田充弘, 寺田真敏 (MWS 2019 実行 / 企画委員 ) 1

ESA の Advanced Malware Protection(AMP)のテスト

Microsoft PowerPoint - ●SWIM_ _INET掲載用.pptx

スライド 1

(Microsoft PowerPoint - \203|\203X\203^\201[\224\255\225\\\227p\216\221\227\ ppt)

KSforWindowsServerのご紹介

スライド 1

Drive-by-Download攻撃における通信の 定性的特徴とその遷移を捉えた検知方式

1 はじめに マルウェアを利用したサイバー攻撃 犯罪が際立っている近年において,IPA が発行した 2013 年度情報セキュリティ事象被害状況調 査 [1] によると, 日本企業におけるマルウェア 遭遇率がはっきりと増加傾向にある. 主な侵入 経路は,Web サイト閲覧, 電子メール,USB の 順

修士論文進捗報告

PowerPoint プレゼンテーション

コンピュータ応用・演習 情報処理システム

機械語命令列の類似性に基づく自動マルウェア分類システム

採択評価ヒアリング: 「膨大な数の極小データの効率的な配送基盤技術の研究開発」

ビッグデータ分析を高速化する 分散処理技術を開発 日本電気株式会社

データセンターの効率的な資源活用のためのデータ収集・照会システムの設計

プレゼンテーション

PowerPoint プレゼンテーション

タイトルを1~2行で入力 (長文の場合はフォントサイズを縮小)

大月勇人, 若林大晃, 瀧本栄二, 齋藤彰一, 毛利公一 立命館大学 名古屋工業大学

<4D F736F F F696E74202D208CA48B868FD089EE288FDA82B582A294C5292E B8CDD8AB B83685D>

Mail_Spam_Manual_120815b

スライド 1

<4D F736F F F696E74202D208A778F708FEE95F197AC92CA82F08EC08CBB82B782E98B5A8F E97708B5A8F70816A5F94D196EC8D758E742E >

Microsoft PowerPoint - pr_12_template-bs.pptx

今週の進捗

2 概要 市場で不具合が発生にした時 修正箇所は正常に動作するようにしたけど将来のことを考えるとメンテナンス性を向上させたいと考えた リファクタリングを実施して改善しようと考えた レガシーコードなのでどこから手をつけて良いものかわからない メトリクスを使ってリファクタリング対象を自動抽出する仕組みを

サンドボックス解析結果に基づく URL ブラックリスト生成についての一検討 畑田充弘 田中恭之 稲積孝紀 先端 IP アーキテクチャセンタセキュリティ TU NTT コミュニケーションズ株式会社 Copyright NTT Communications Corporation. All right

SAP11_03


PDF

目次 ページ 1. 本マニュアルについて 3 2. 動作環境 4 3. ( 前準備 ) ライブラリの解凍と保存 5 4. モデルのインポート 6 5. インポートしたモデルのインピーダンス計算例 8 6. 補足 単シリーズ 単モデルのインポート お問い合わせ先 21 2

Rの基本操作

1012  ボットネットおよびボットコードセットの耐性解析

監査ログ分析機能 ソフトウェア説明書

SmartBrowser_document_build30_update.pptx

Chromeleon 6 for Chromeleon 6.8 SR15 Build: --- 新しいシーケンスの作成に使用できるワークリストファイル (.wle) Doc. Nr: CM6_68150_0020 Doc. Ver.: Doc. Type: Guide

1. はじめに 1. はじめに 1-1. KaPPA-Average とは KaPPA-Average は KaPPA-View( でマイクロアレイデータを解析する際に便利なデータ変換ソフトウェアです 一般のマイクロアレイでは 一つのプロー

McAfee Application Control ご紹介

アルファテック ( ビージェーソフト ) 製品 FlexNet ライセンスログ解析ツール ユーザガイド 本書は アルファテック ( ビージェーソフト ) 製品の FlexNet ネットワークライセンス使用ユーザ向けのライセンスログ解析ツールのユーザガイドです

MWSCup2017c1-dist

この演習について Autoware 演習 1: データの記録 再生 Autoware 演習 2: センサーキャリブレーション Autoware 演習 3:3 次元地図の作成 Autoware 演習 4: 自己位置推定 Autoware 演習 5: パラメータ調整 Autoware 演習 6: 物体検

untitled

PowerPoint プレゼンテーション

Soliton Dataset 2018 目的 エンタープライズ向けセキュリティログ取得製品を利用し様々なマルウェア動作ログを提供することで マルウェア対策の研究 開発の促進に寄与することを目指します 特長 Windows 上でのマルウェア動作ログ 横展開や MBR 書き換え系マルウェアも可能な範囲

Java Scriptプログラミング入門 3.6~ 茨城大学工学部情報工学科 08T4018Y 小幡智裕

Code_Aster / Salome-Meca 中級者への道 2015年5月31日

1011  時系列分析による連鎖感染の可視化と検体種別の推測

An Automated Proof of Equivalence on Quantum Cryptographic Protocols

目次 Ⅰ. 調査概要 調査の前提... 1 (1)Winny (2)Share EX (3)Gnutella データの抽出... 2 (1) フィルタリング... 2 (2) 権利の対象性算出方法... 2 Ⅱ. 調査結果 Win

悪性Webサイト探索のための効率的な巡回順序の決定法

<4D F736F F D B8BA4974C835C E838D815B838A F92B28DB895F18D908F912E646F6378>

連絡先リストの一括管理

PowerPoint Presentation

スライド 1

intra-mart Accel Platform — イベントナビゲータ 開発ガイド   初版   None

1.SqlCtl クラスリファレンス SqlCtl クラスのリファレンスを以下に示します メソッドの実行中にエラーが発生した場合は標準エラー出力にメッセージを出力します (1)Connect() メソッド データベースへ connect 要求を行います boolean Connect(String

Microsoft PowerPoint - 鵜飼裕司講演資料shirahama_egg.ppt [互換モード]

Kumamoto University Center for Multimedia and Information Technologies Lab. 熊本大学アプリケーション実験 ~ 実環境における無線 LAN 受信電波強度を用いた位置推定手法の検討 ~ InKIAI 宮崎県美郷

Microsoft PowerPoint - mp11-06.pptx

1/4 ページ マルウェア情報データベース 戻る マルウェア名 : ファイル情報 名前 : WinGate.exe プログラムの種別 : WORM BACKDOOR NETWORK AWARE MALWARE サイズ : バイト MD5:

bebras_slide.pptx

(Microsoft Word - Windows Installer \203\215\203O\202\314\214\251\225\373.doc)

PowerPoint プレゼンテーション

Kaspersky Security Center 10 Kaspersky Endpoint Security for Windows 実行ファイル情報収集 2018/5/8 株式会社カスペルスキー法人営業本部セールスエンジニアリング部 Ver 1.0 1

スライド 1

<4D F736F F D208D C8FEE95F18DEC90AC A B D836A B2E646F63>

Maser - User Operation Manual

12_02_特集.indd







<8B9E8B40925A904D D862E706466>



untitled


フローチャート自動生成ツール yflowgen の使い方 目次 1 はじめに 本ツールの機能 yflowgen.exe の使い方 yflowgen.exe の実行方法 制限事項 生成したファイル (gml ファイル形式 ) の開

生命情報学

スライド 1

Microsoft iSCSI Software Targetを使用したクラスタへの共有ディスク・リソースの提供

intra-mart Accel Platform — イベントナビゲータ 開発ガイド   初版  



未知コンピュータウイルスを駆除するUSBフラッシュメモリの開発

WLX302 取扱説明書

McAfee Advanced Threat Defense

Android Layout SDK プログラミング マニュアル

Transcription:

自動化されたマルウェア動的解析システム で収集した大量 API コールログの分析 MWS 2013 藤野朗稚, 森達哉 早稲田大学基幹理工学部情報理工学科 Akinori Fujino, Waseda Univ. 1

目次 研究背景 提案手法 結果 まとめ Akinori Fujino, Waseda Univ. 2

マルウェアは日々驚くべき速さで増加している. 一日当たり 20 万個の新しいマルウェアが発見されている [1]. 研究背景 新たに発見されてきたマルウェア [2] このような状況の中, マルウェアに対応するためにはより効率のよい解析方法を確立する必要がある. [1] Kaspersky Lab, 2012 by the numbers: Kaspersky Labnow detects 200,000 new malicious programs every day. "http://www.kaspersky.com/about/news/virus/2012/2012_by_the_numbers_kaspersky_lab_now_detects_200000_new_malicious _programs_every_day. [2] AV-TEST GmbH, The AV-TEST Institute registers over 200,000 new malicious programs every day. http://www.av-test.org/en/statistics/malware/ 3

研究背景 マルウェアの解析方法には大きく分けて静的解析と動的解析の 2 種類がある. 静的解析 : マルウェアのソースコードを解析することでどのような挙動をするのかを詳細に調べるために行われる. 自動化が難しい. 長所 : 動的解析よりも詳細に挙動がわかる. & 動的解析 : 実際の感染者と類似した環境の中でマルウェアを動作させ, その結果を用いて解析する. 自動化がしやすい. 長所 : 解析にかかる時間が少なくて済む. 短所 : 解析に時間がかかる. 短所 : マルウェアに感染する可能性がある. 4

研究背景 大量に増え続けるマルウェアに対抗するために, 動的解析を自動で行う技術が発達してきている. Cuckoo sandbox というオープンソースのソフトウェアもそのような動的解析を自動化したシステムのひとつである. malware PE 形式かつ実行可能なもの 入力 動的解析システム 実行と解析 ログの出力 自動動的解析システム使用時のイメージ図 log file ~~~~~~~~~~ ~~~~~~~~~~ ~~~~~~~~~~ ~~~~~~~~~~ ~~~~~~~~~~ 5

研究背景 大量のマルウェアに対して自動動的解析システムを使用した場合, ログファイルの量もマルウェアの数に比例して多くなってしまう. malware malware malware malware malware 入力 動的解析システム 実行と解析 ログの出力 log file ~~~~~~~ log file ~~~~~~~ log file ~~~~~~~ ~~~~~~~ ~~~~~~~ log file ~~~~~~~ log file ~~~~~~~ ~~~~~~~ ~~~~~~~ ~~~~~~~ 解析するマルウェアの数が増えた場合 6

研究背景 膨大な数になったログを効率よく解析するためには, マルウェアの対策につながるような特徴を発見する必要がある. malware の出力ログ log file 1 ~~~~~~~ ~~~**~~ log file 2 ~~~@@ ~~~~~~~ 特徴 A が存在 特徴 B が存在 New malware A タイプ malware B タイプ malware C タイプ 未知のマルウェア マルウェアの特徴を発見できた場合 7

使用したデータについて FFRI-Dataset-2013 FFRI 社より提供されたデータ. 2012 年 9 月から 2013 年 3 月に収取されたもの. 検体数は,2644 検体. PE 形式のものを Cuckoo sandbox を用いて解析したログ. ファイル形式は,json 形式. 8

cuckoo sandbox のログのデータ構造と分布 e.g. ログのデータ構造 { info : {}, yara : [], signatures : [], virustotal : {}, static : {}, dropped : [], behavior : {}, target : {} debug : {}, strings : [], } network : {} ログの各項目の行数 9

ログの具体例 e.g. virustotal の構造の一部 scans : { AV NAME": { "detected": true or false, "version": version", "result": virus name", "update": update }, }, e.g. behavior の構造の一部 "processes": [ { "calls": [ { "api": API name", "arguments": [ { "name": name 1", "value": value 1 }, { "name": name 2", "value": value 2 } ] }, }, ] 10

研究背景 マルウェアの特徴を発見するために, 今回着目したのは出力ログの中の API コールに関するログである. 下の図に示した behavior 以下の部分を API コールログと呼ぶことにする. behavior processes calls api arguments API 名 引数名, 値 API コールログのデータ構造の一部 11

目次 研究背景 提案手法 結果 まとめ Akinori Fujino, Waseda Univ. 12

提案手法 ( 概要 ) API コールログを用いて特徴ベクトルを作成し, クラスタリングを用いて, データの分析をした. クラスタリングは,k-means と NMF を使用した. データの処理 2600 検体 データ処理時のデータの様子 ログ log file log file log file 前処理 270 検体 log file log file log file クラスタリング cluster 1 cluster 2 cluster 20 トピック抽出類似検体検索 各クラスタのトピック抽出 13

提案手法 ( 前処理 ) 前処理 スクリーニング 特徴ベクトル 特徴選択 スクリーニング virustotal 内の Kaspersky の検査結果を使用しラベル付けをし, 同一の種類の検体が 10 体以上存在する種類を選択した. ログ 前処理 スクリーニングによって選択された種類 クラスタリング トピック抽出類似検体検索 14

提案手法 ( 前処理 ) 前処理 スクリーニング特徴ベクトル特徴選択ログ前処理 特徴ベクトル APIの関数名 api= LGD, arguments: [ { name: FN, value : WINDOWS, ] }, { } 引数 1 引数 2 name : MH, value : 0x00000000 クラスタリング 特徴ベクトル作成の具体例 トピック抽出類似検体検索 15

提案手法 ( 前処理 ) 前処理 スクリーニング特徴ベクトル特徴選択ログ 特徴選択 作成した特徴ベクトルの中から, 出現頻度が高頻度のものと低頻度のものを除去する. 高頻度で出現する特徴ベクトルの除去 前処理 クラスタリング トピック抽出類似検体検索 16

提案手法 ( クラスタリング ) クラスタリング k-means & NMF クラスタリング 特徴ベクトルを用いることで,k-means と NMF のそれぞれの手法でクラスタリングを行う. トピック抽出は NMF の方でのみ可能. クラスタの数は 20 とする. ログ 前処理 270 検体 file 1 file 269 file 270 クラスタリング cluster 1 cluster 2 cluster 20 トピック抽出類似検体検索 270 検体のクラスタリングのイメージ図 17

NMF 非負値行列因子分解 (NMF: Nonnegative Matrix Factorization) 0 か正の値をもつ行列を解析する手法. 下図に示すように, 行列 X を 2 つの行列に分解し,X と TV の距離を最小化する. 分解 行列 X 行列 T 行列 V NMFのアルゴリズムイメージ図 18

提案手法 ( トピック抽出 ) ログ 前処理 クラスタリング トピック抽出類似検体検索 トピック抽出 NMF を用いて, 同時生起しやすい単語をトピックとして抽出する. トピックを構成する特徴を使うことで, 類似の検体を検索することができると期待できる. 今年の野球では台風参議院選挙無効訴 28 号が発生した, 楽天. がリーグ優勝した訟が11 月 28 日判決.. 台風衆議院で公職選挙法楽天がリーグ優勝する 27 号が接近している違反が起きたのは., 初めてのことだ.. 類似検体検索のイメージ図 19

目次 研究背景 提案手法 結果 まとめ Akinori Fujino, Waseda Univ. 20

結果 ( クラスタリング ) NMF のクラスタリング結果 Backdoor 4 種, Adware.iBryte2 種, Trojanの一部は綺麗にクラスタに分離された. Worm 系全般を含む Vobfus, VB, VBNA, WBNA はファミリー毎のクラスタを持たなかった. NMF によるクラスタリング 21

結果 ( トピック抽出 ) クラスタ番号 4 の Trojan.Win32.Midhos の重要度が高い上位 5 個のトピック "RegOpenKeyExW":"Registry":"0x80000002":"SubKey :"SoftwarenMicrosoftnCOM3":"Handle":"0x000000f4" "LdrGetProcedureAddress":"ModuleHandle": "0x77cf0000":"FunctionName":"CallNextHookEx":"Ordinal":"0" "NtCreateSection":"SectionHandle":"0x00000070":"DesiredAccess": "0x00000004":"ObjectAttributes:":"FileHandle":"0x0000006c" "LdrLoadDll":"Flags":"522168":"FileName":"uxtheme.dll": "BaseAddress":"0x58730000" "LdrLoadDll":"Flags":"522348":"FileName": "C:nWINDOWSnsystem32nuxtheme.dll":"BaseAddress":"0x58730000" 上記のトピックをすべて持つ検体を全検体から検索したところ,15 体が該当し, 10 体は今回使用した検体 5 体は今回使用しなかった検体であった.5 検体の種別は右図に示す. 22

目次 研究背景 提案手法 結果 まとめ Akinori Fujino, Waseda Univ. 23

まとめ API コールを機械学習を用いて分析するための前処理方法を提示した. API コールで分類可能なマルウェア種別と不可能なものが存在する. NMF を利用することで, トピックを自動抽出し, 類似する検体の検索に応用可能であることを示した. 24

今後の課題 未使用のbehaviorの項目の活用. APIコールの時間的流れの使用. 未知のマルウェアの分類. クラスタの精度評価 25

補足資料 26

特徴選択時の図 ( 低頻度 ) 2 以下の数の検体で使用されたものを削除 5 以下の数の検体で使用されたものを削除 10 以下の数の検体で使用されたものを削除 27

k-means k-means とは, クラスタリングの手法のひとつである. e.g. 3 つのクラスタに分類する場合. 28

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック