振る舞いのグラフ化と深層学習によるマルウェア検出手法に関する研究

基于行为图和深度学习的恶意软件检测方法研究

• 批准号: 21K11880
• 负责人: 中谷 直司
• 金额: $ 2.08万
• 依托单位: Iwate University
• 依托单位国家: 日本
• 项目类别: Grant-in-Aid for Scientific Research (C)
• 财政年份: 2021
• 资助国家: 日本
• 起止时间: 2021-04-01 至 2024-03-31
• 项目状态: 已结题
• 来源: https://kaken.nii.ac.jp/grant/KAKENHI-PROJECT-21K11880/
• 关键词: マルウェア検出; 深層学習; 振る舞い検知; ビヘイビア手法; グラフ化

本研究は，マルウェアを検出することを目的に，振る舞いのグラフ化と深層学習によるマルウェア検出手法を提案する．ソフトウェアの振る舞い，すなわち“APIの呼び出しログ”をもとにマルウェアを検出する手法として，自然言語処理を応用する手法がいくつか提案されている．すなわち“APIの呼び出しログ”と“自然言語処理における文書”の類似点に着目し，単語の特徴量であるtf-idfをAPIに対して適用したり，文書全体の特徴量であるDoc2Vecをログファイルに適用したものを，深層学習の入力データとすることでマルウェアを検出する手法が提案されている．しかし，tf-idfやDoc2Vecなどは本来は100万語を超える自然言語を処理するためのものであるため，せいぜいが数万語のAPI呼び出しログに適用するには最適とは言い難い．そこで本研究では，自然言語処理の考え方をベースにしつつ，通常の文章では見られない繰り返しや並列動作などを表現するためAPI呼び出しログをグラフ化し，そのデータ表現を用いることで計算機資源を削減した，深層学習によるマルウェア検出手法の提案を目指している．２年目である本年度は，昨年度の研究成果であるソフトウェアの振る舞い，すなわち“APIの呼び出しログ”のグラフ構造化の結果を踏まえ，“APIの呼び出しログ”から得られたグラフを特徴量として深層学習で学習し，その類似性を基にマルウェアと正常なソフトウェアの２つに分類することで，マルウェアかどうかが不明なソフトウェア群からマルウェアを検出する手法の研究開発を行った．また，深層学習の扱いに慣れる意味で，グラフではない既存のデータを用いた深層学習によるマルウェアの検出や，ネットワークからの侵入検知などにも取り組み有用性を示した．

This study は マ ル ウ ェ ア を 検 out す る こ と に を purpose, vibration る dance い の グ ラ フ change と deep learning に よ る マ ル ウ ェ ア 検 out technique proposed を す る. Vibration ソ フ ト ウ ェ ア の る dance い, す な わ ち "API の shout び し ロ グ" を も と に マ ル ウ ェ ア を 検 out す る gimmick と し て, natural speech 処 Richard を 応 with す る gimmick が い く つ か proposal さ れ て い る. す な わ ち "API の shout び し ロ グ" と "natural speech 処 Richard に お け る document" の similarities with mesh し に, 単 language の, 徴 quantity で あ る tf - idf を API に し seaborne て applicable し た り, document all の, 徴 quantity で あ る Doc2Vec を ロ グ フ ァ イ ル に applicable し た も の を, The input force of deep learning is デ タとする タとする とで とで タとする ウェアを検 ウェアを検 output する method が proposal されて る る る. し か し, tf - idf や Doc2Vec な ど は は originally 1 million language を え る natural speech を 処 Richard す る た め の も の で あ る た め, せ い ぜ い が の API call び out tens of thousands of language し ロ グ に applicable す る に は optimum と は い い difficult. そ こ で this study で は, natural speech 処 Richard の exam え party を ベ ー ス に し つ つ, usually の article で は see ら れ な い Qiao り return し や joint action な ど を performance す る た め API call び out し ロ グ を グ ラ フ し, そ の デ ー を タ performance with い る こ と で computer resources を cut し た, Deep learning による による ウェア検 ウェア検 ウェア検 approach を proposal を target て て る る 2 years で あ る は this year, yesterday's annual の research で あ る ソ フ ト ウ ェ ア の い る dance, す な わ ち "API の shout び し ロ グ" の グ ラ フ result の structure of tread を ま え, "API の shout び し ロ グ" か ら have ら れ た グ ラ フ を, 徴 quantity と し て deep learning で し, そ の similarity を base に マ ル ウ ェ ア と normal な ソ フ ト ウ ェ ア の 2 つ に classification す る こ と で, マ ル ウ ェ ア か ど う か が unknown な ソ フ ト ウ ェ ア group か ら マ ル ウ ェ ア を 検 out す る gimmick の research open 発 を line っ た. ま た, deep learning の Cha い に spoil れ る means で, グ ラ フ で は な い existing の デ ー タ を with い た deep learning に よ る マ ル ウ ェ ア の 検 や, ネ ッ ト ワ ー ク か ら の intrusion 検 know な ど に も group take り み usefulness を shown し た.

项目成果

IoT機器の通信ログに基づく異常通信判別システムの構築

基于物联网设备通信日志的异常通信判定系统的构建

• 发表时间: 2022
• 作者: Rafael Dowsley;Myle;ne C. Q. Farias;Mario Larangeira;Anderson Nascimento;Jot Virdee;菅原雪乃，中谷直司
• 通讯作者: 菅原雪乃，中谷直司

表層解析を用いたLightGBMによるマルウェアの検出

使用 LightGBM 进行表面分析进行恶意软件检测

• 发表时间: 2021
• 作者: Yu Zhang;Naoshi Nakaya;菅原雪乃，中谷直司
• 通讯作者: 菅原雪乃，中谷直司

表層解析とLightGBMによるマルウェア検出の高速化

使用表面分析和 LightGBM 加速恶意软件检测

• 发表时间: 2022
• 作者: Rafael Dowsley;Myle;ne C. Q. Farias;Mario Larangeira;Anderson Nascimento;Jot Virdee;菅原雪乃，中谷直司;藤原大樹，中谷直司
• 通讯作者: 藤原大樹，中谷直司

Network Intrusion Detection Classifier Based On Convolutional Neural Network

基于卷积神经网络的网络入侵检测分类器

• 发表时间: 2022
• 作者: Yu Zhang;Naoshi Nakaya
• 通讯作者: Naoshi Nakaya