(セッション表へ)

マルチメディア,分散,協調とモバイル(DICOMO2012)シンポジウム

セッション 8F  マルウェア
日時: 2012年7月6日(金) 10:45 - 12:50
部屋: 黒百合の2
座長: 金岡 晃 (筑波大学)

8F-1 (時間: 10:45 - 11:10)
題名スコアレベル融合を用いたマルウェア感染検知手法に関する一検討
著者*市野 将嗣 (電気通信大学), 川元 研治 (早稲田大学), 大月 優輔 (電気通信大学), 畑田 充弘 (NTTコミュニケーションズ株式会社), 吉浦 裕 (電気通信大学)
Pagepp. 2182 - 2189
Keywordマルウェア, 感染検知, トラヒック, スコアレベル融合
Abstract本研究では,マルウェア感染検知にスコアレベル融合での特徴量融合を用いることを提案する.近年,マルウェアによる被害が多く報告されており, それらの対策として感染検知は不可欠である.そこでマルウェア感染時の通信トラヒックデータを正常時の通信トラヒックデータと比較することで感染の検知を行うシステムを検討する.マルウェア感染検知における特徴量の融合に関して,従来研究の多くが特徴レベル融合を用いている.ただし,各特徴量はヘッダ情報により取りうる値の範囲に差があり,特徴量によって異なる特徴があるのでそれらの特徴を融合すると分布が複雑になる可能性があり適切な識別器の設計が難しいと考えられる.さらに,タイムスロットに基づいた識別の場合,特徴量ごとに識別するのに適切な抽出間隔が異なる可能性があることを確認しており,この場合,特徴レベル融合では,抽出間隔が異なると抽出されるスロット数も異なるため融合が困難である.そこで,本稿ではマルウェア感染検知にスコアレベル融合での特徴量融合を用いることを提案し,研究用データセットCCCDATASetの攻撃通信データを用いた実験結果について報告する.

8F-2 (時間: 11:10 - 11:35)
題名A Proactive Approach to Detection of Drive by Download Pages based on Domain Information
著者*Ralph Edem Agbefu, Yoshiaki Hori, Kouichi Sakurai (Kyushu University)
Pagepp. 2190 - 2196
KeywordDrive by download, Registrar, Domain, Rule-based scoring
AbstractWeb pages that host drive by download exploits have become a popular means by which an attacker delivers malicious contents onto computers across the internet. In a drive by download attack, an attacker embeds a malicious script into a web page. When a user visits this web page, the malicious code is executed and attempts to exploit any browser or plug-in vulnerability. To deal with the problem of drive by download attacks, we propose a rule based scoring method for detecting and proactively blacklisting such web sites based on the domain information. Our approach results in a high detection rate and no false positive.

8F-3 (時間: 11:35 - 12:00)
題名類似マルウェアとの差分の抽出による正確な挙動の解析手法についての検討
著者*羽田 大樹, 後藤 厚宏 (情報セキュリティ大学院大学)
Pagepp. 2197 - 2201
Keywordマルウェア, フォレンジック, 静的解析
Abstract政府や企業におけるマルウェア感染の脅威がますます増大する中,マルウェア検体の自動収集や自動解析技術など,インターネット上に存在する大量のマルウェアを自動で効率的に把握する技術について多くの研究が行われている.これらの技術を利用する事で網羅的に大量のマルウェアを分析し挙動の概要を把握できる一方で,フォレンジックによる正確な挙動の把握が必要となる状況では手動での静的解析による厳密な解析作業が必要となる.本研究では,マルウェアの挙動を厳密に特定する必要がある状況において,既に解析が完了したマルウェアを用いて静的解析を効率的に行うためのアーキテクチャを提案する.また,実際のマルウェア検体を用いてこの提案アーキテクチャをシミュレートし,マルウェア静的解析の効率化に有効となる場合がある事を示す.

8F-4 (時間: 12:00 - 12:25)
題名スマートフォン向けアプリケーションのモジュール権限と開発者責任を明示化するフレームワーク
著者*川端 秀明, 磯原 隆将, 竹森 敬祐, 窪田 歩 (株式会社KDDI研究所), 可児 潤也, 上松 晴信, 西垣 正勝 (静岡大学)
Pagepp. 2202 - 2210
KeywordAndroid, 権限管理
Abstractスマートフォン向け無料アプリケーションの約7割に,広告の表示や利用統計を取得する情報収集モジュールが組み込まれている.現在のアプリケーション開発・実行環境では、一つのアプリケーションの中に本来の機能と情報収集モジュールが混在したプログラム構成をとるため,アプリケーション本体と情報収集モジュールの実行権限を適切に分離できない問題,アプリケーションに不備があった場合に責任者が曖昧になる問題がある.そこで本稿では,情報収集モジュールを一つのアプリケーションとして独立させることで,アプリケーション本体と情報収集モジュールを個別のサンドボックスに分離するフレームワークを提案する.提案フレームワークでは,開発者と情報収集事業者のプログラムが明示的に分離するため,責任者も明確になる.提案フレームワークの実装を行い,市場調査を通じて、ユーザ視点での安心・安全に寄与できることを示す.

8F-5 (時間: 12:25 - 12:50)
題名Androidアプリケーション動作時に安全性を高める動的制御に関する検討
著者*林 里香, 後藤 厚宏 (情報セキュリティ大学院大学)
Pagepp. 2211 - 2216
Keywordセキュリティ, Android, パーミッション, 動的制御, 制御ポリシー
Abstract近年,Android搭載スマートフォン(Androidフォン)の普及が急速に進む一方で,端末内の情報の流出がしばしば取り沙汰され,安全性の確保が問題となっている.今後は,生活基盤へのICT機器の導入が加速し,Androidフォンがそれらと連携する機会も増えていくと予想される.そのような状況下においては,ユーザの安全性を確保することがより重要になっていく.本研究では,Androidフォンが生活基盤に導入されたICT機器と連携する環境を想定し,ユーザの安全性を確保するために,端末内の特定の情報や機能を利用するために呼び出されるメソッド単位でアプリケーションの動作を制御することで,アプリケーションの動作の「見える化」とアプリケーション動作時にユーザの意に沿って動作を制御する方法を検討し,一定の条件下では有効であるという見通しを立てた.また,安全性の確保に伴うユーザの負担を軽減する手段として,制御ポリシーの設定と外部サポートの利用を検討した.