情報処理学会 第76回全国大会講演要旨
4Z-3
SVMを用いたプログラムの特徴に基づく異常検知システムの改良
本研究ではWHIPSに実装したSVMを用いたプログラムの特徴による異常検知システムに,マルウェアと挙動が類似しているインストーラーの検知率の向上を目的として改良を行った.
プログラムの特徴をファイル名の長さ及び使用しているDLLとAPIにより定義し,SVMで使用する素性データの作成を行った.
インストーラー学習前のプログラムの認識率は90.98%で,学習後は93.07%と向上した.
今後の課題として,実際にプログラムを動作させる振る舞い検知と,不正なものと判断されたプログラムをカテゴリ分けする手法との組み合わせによる,本システムの検知性能の向上が挙げられる.
プログラムの特徴をファイル名の長さ及び使用しているDLLとAPIにより定義し,SVMで使用する素性データの作成を行った.
インストーラー学習前のプログラムの認識率は90.98%で,学習後は93.07%と向上した.
今後の課題として,実際にプログラムを動作させる振る舞い検知と,不正なものと判断されたプログラムをカテゴリ分けする手法との組み合わせによる,本システムの検知性能の向上が挙げられる.
