情報処理学会 第75回全国大会講演要旨
3F-5
SVMを用いたプログラムの特徴に基づく異常検知システムの実装
マルウェアを検知する手法としてプログラムを実行させ呼び出され
たシステムコールの履歴に基づく方法が提案されている。しかし、
この手法では検知を行うためにマルウェアを実行する必要があるた
めリスクが発生する。
そこで、プログラムがインポートしているDLLとAPIの情報をプログ
ラムの特徴として定義し、プログラムを実行する際にその特徴に基
づいてSVMにより検知する手法を提案した。本研究では、提案手法の
有効性を検証するためWHIPSシステムに提案手法を実装し、評価実験
を行い性能を評価する。
たシステムコールの履歴に基づく方法が提案されている。しかし、
この手法では検知を行うためにマルウェアを実行する必要があるた
めリスクが発生する。
そこで、プログラムがインポートしているDLLとAPIの情報をプログ
ラムの特徴として定義し、プログラムを実行する際にその特徴に基
づいてSVMにより検知する手法を提案した。本研究では、提案手法の
有効性を検証するためWHIPSシステムに提案手法を実装し、評価実験
を行い性能を評価する。
