情報処理学会 第87回全国大会

5ZD-03
難読化された実行形式ファイルに対するdoc2vecを用いたクラスター分析における一考察
○平塚琉基,岸本頼紀(東京情報大)
難読化されたプログラムから直接アルゴリズムや難読化手法が判別できれば、マルウェア解析の一助となる。そこで、難読化された実行形式プログラムに対して、アセンブリコード及びオペコードを対象としてDoc2vecによる類似度に基づくクラスター分析を行った。本例では探索アルゴリズム、http・udp通信など特定の機能を目的とした複数のプログラムを作成し、これに制御フローの平坦化やAPIのハッシュ化などの難読化を行ったものを対象とした結果、難読化手法に基づくクラスターの出現と、異なる難読化でも同じ目的のプログラムが近い関係に出現する結果が確認できた。