情報処理学会 第77回全国大会講演要旨
4X-01
実行モジュールの特徴量と通信パターンを併用したマルウェア分類手法
近年、標的型攻撃が急増しており、攻撃には未知のマルウェアが使用される場合が多い。日々増加する未知のマルウェアの解析のコストを軽減するために、高速な分類手法が求められている。
そこで、マルウェアの通信パターンを特徴量として類似度を計算することに加えて、マルウェアの実行モジュールのバイナリをハッシングして類似度を計算し、それらの重み付けによるマルウェアを分類する手法を提案する。通信パターンは非階層クラスタリングであるk-means++によるパケット単位のクラスタリングを行う。実行モジュールのバイナリのハッシングには、Fuzzy hashingの一つであるssdeepを使用する。
そこで、マルウェアの通信パターンを特徴量として類似度を計算することに加えて、マルウェアの実行モジュールのバイナリをハッシングして類似度を計算し、それらの重み付けによるマルウェアを分類する手法を提案する。通信パターンは非階層クラスタリングであるk-means++によるパケット単位のクラスタリングを行う。実行モジュールのバイナリのハッシングには、Fuzzy hashingの一つであるssdeepを使用する。
