Understanding malware semantics by AI-supported formal methods

通过人工智能支持的形式化方法理解恶意软件语义

• 批准号: 20K20625
• 负责人: 小川 瑞史
• 金额: $ 16.56万
• 依托单位: Japan Advanced Institute of Science and Technology
• 依托单位国家: 日本
• 项目类别: Grant-in-Aid for Challenging Research (Pioneering)
• 财政年份: 2020
• 资助国家: 日本
• 起止时间: 2020-07-30 至 2026-03-31
• 项目状态: 未结题
• 来源: https://kaken.nii.ac.jp/en/grant/KAKENHI-PROJECT-20K20625/
• 关键词: 動的記号実行; 命令セット; バイナリコード; マルウェア; 自然言語処理; マルウェア解析; 記号実行; API; ネィティブコード; マルウェア意味解析; 形式的意味自動抽出; 形式仕様自動抽出; 深層学習

R4年度は、主にARM/Androidを対象とした動的記号実行器Coranaの拡張Corana-Xの実装・開発を進めた。Androidマルウェアは主にApkファイル形式であり、Javaに準ずる記述に加え native code (ARM, x86等）やLinuxライブラリ関数呼出しを含むため、実行が複数の異環境にわたる。本研究では、JavaはSymbolic Path Finder (NASAが開発)、ARMはCorana、Linux関数呼出しについてはOS環境下で実行するAPI stub（ともに本グループで実装）を組み合わせApkファイルの記号実行を行う。異環境下の記号実行の連携には、コード実行と同様な環境の転送が必要となる。しかしデータは単に32bitや64bitの値であるほか、メモリアドレスのセルやバッファを指す場合など、それぞれを区別し必要に応じてポインターをたどる必要がある。それには引数の型情報が必要であり、コードやマニュアルの記述から自動抽出する。現在、実世界Androidマルウェアの記号実行が可能となり、Drebin dataset(5560個）において実験を行っている。その他の研究項目は、命令セットマニュアルからの自然言語処理による意味抽出における解釈規則導出（分担者 Nguyen Minh Leと共同）、隠蔽手法を用いるPCマルウェア（x86/win) の記号実行結果に対する機械学習によるOEP（original entry point）検出の検討を進めている。分担者による研究項目として、悪意あるコード生成手法（Dos攻撃）に正規表現を用いた新たな手法を提案した（分担者 寺内多智弘）。またマルウェア解析への機械学習の応用を視野に入れた言語学習理論として，決定性上昇型ノミナル木オートマトンのアクティブ学習アルゴリズムを提案した（分担者 関浩之）。

In R4, the main ARM/Android platform is marked as the running device Corana, and the Corana-X is installed and opened. Android マルウェアは主にApk ファイル form であり、Java quasiずる记にplusえ native code (ARM, x86, etc.) やLinux ライブラリ Off number exhalation しを contains むため, 実行がplural のdifferent environment にわたる. This research is based on Java's Symbolic Path Finder (NASA's development), ARM's Corana, and Linux's API under the OS environment. stub（ともに本グループで実装）を组み合わせApkファイルの记実行を行う. The sign in different circumstances is connected and carried together, and the sign in the same environment is necessary and necessary.しかしデータは単に32bitや64bitの値であるほか、メモリアドレスのセルやバッファを refers to the difference between すどど and それぞれを, which is necessary and necessary.それには の type information が で あ り, コ ー ド や マ ニ ュ ア ル の scribe か ら automatically extracted す る. Now, the world Android マルウェアの记実行がpossible となり, Drebin dataset (5560) において実験を行っている.そのhis research project は、Command セットマニュアルからのnatural language processing によるmeaning extraction におけるsolved rule export (shared by Nguyen Minh Le と common), concealment method を use い る PC マル ウ ェ ア (x86/win) の mark 実行 results に対 す る Mechanical learning に よ る OEP (original entry point) 検 出 検 椒 出 め て い る. Shared by Tomohiro Terauchi for the research project and the regular expression of the new Dos attack technique (Dos attack) (shared by Tomohiro Terauchi).またマルウェアanalyticsへのMechanical learningの応用をviewに入れたverbal learning theoryとして, decided Sex-increasing type of ノミナル木オートマトンのアクティブ学アルゴリズムを proposalした (sharer Guan Haozhi).

项目成果

後方参照付正規表現の表現力について

关于带有反向引用的正则表达式的表达能力

• 发表时间: 2023
• 作者: 野上大成;寺内多智弘
• 通讯作者: 寺内多智弘

Active Learning for Deterministic Bottom-up Nominal Tree Automata

确定性自下而上名义树自动机的主动学习

• 发表时间: 2022
• 作者: Rindo Nakanishi;Yoshiaki Takata;Hiroyuki Seki
• 通讯作者: Hiroyuki Seki

Repairing DoS Vulnerability of Real-World Regexes

• DOI: 10.1109/sp46214.2022.9833597
• 发表时间: 2020-10
• 期刊: 2022 IEEE Symposium on Security and Privacy (SP)
• 作者: Nariyoshi Chida;Tachio Terauchi

Corana（実装公開）

Corana（已发布实施）

Constraint-Based Relational Verification

基于约束的关系验证

• DOI: 10.1007/978-3-030-81685-8_35
• 发表时间: 2021
• 期刊: Proceedings of CAV 2021, Springer LNCS
• 作者: Unno Hiroshi;Terauchi Tachio;Koskinen Eric
• 通讯作者: Koskinen Eric