トラヒック特徴量の網羅的評価に基づく未知マルウェアの検知

近年，仕事や生活等さまざまな場面でインターネットが必要不可欠な存在となっている．具体的にはインターネットを中心に，イントラネット，モバイルネット，センサーネット，携帯電話網等が重層的に結合し，社会の隅々まで行き届いている．そして，これらのネットワーク上で，行政や金融，流通からコミュニケーション，エンターテインメントに至る多様なサービスが稼働し，人々の生活を支えている．ネットワークがなくては一日も生活できないと言って過言ではない．インターネットが普及し，ユーザの利便性が向上する一方で，それらを悪用した活動の被害が拡大している．これらの活動に用いられる悪意のあるソフトウェア（Malicious Software）の略称からマルウェアと呼ばれている．マルウェアに感染すると，感染したPC のデータ破壊や乗っ取り，個人情報の流出等の被害を受ける可能性があるため，我々の日常生活を脅かす存在となっている．新種（未知）のマルウェア発生数は，2012 年で一日あたり20 万個（年間7,300 万），2013 年においては一日あたり31 万5000 個（年間約1.15 億）発生し，依然として増加している．これに対し，コード等のパターンに基づいてマルウェアの検知，駆除を行うマルウェア対策ソフトがセキュリティベンダによって開発されている．しかしこれらのマルウェア対策ソフトの検知手法は，あらかじめ既知のマルウェアを事前に解析しなければならないため，短期間で大量に出現する未知のマルウェアには対応できない．そのため，未知のマルウェアに感染してしまうことを前提として，感染後にマルウェアの動作だけで早期に検知できる感染検知が必要である．本研究では，ペイロード情報に基づいて感染検知を行う既存研究を分析した．その結果既存研究では，検知手法の検討がメインで，どの特徴量が正常と感染を区別しやすいかという観点からの検討が十分に行われていないことがわかった．個々の特徴量の有効性を明確にできれば，複数の有効な特徴量を組み合わせることで，より正確に正常と感染を識別できる可能性があると考えられる．そこで本研究では，感染時通信としてCCCDATAset，D3M2012 を, 正常時通信として2 種類のイントラネットのトラヒックデータを用いた評価実験を行った．また，マルウェアは，種類毎に異なった通信を行うので，マルウェアを3 種類（ワーム，トロイの木馬，ファイル感染型ウイルス）に分類した．そして，ペイロードの個々の特徴量について，マルウェアの種類毎の検知の有効性を識別指標True Positive Rate （以下TPR）・True Negative Rate （以下TNR）に基づき，明らかにした．具体的には，261 個の特徴，3 種類14 検体のマルウェアを用いた実例分析により，ワームで3 個，トロイの木馬で15 個，ウイルスで5 個の，正常/感染かを区別しやすい有効な通信パターンの特徴量（計20 個）を示す事ができた．また，ワームでは「インターネット接続確認」等，トロイの木馬では「攻撃通信を行うためのマルウェアのダウンロード」等，ファイル感染型ウイルスでは「IRC 接続」等，の感染活動に，マルウェアの種類毎でペイロード情報に特定の文字列を含んでいる事が確認でき，有効だと判断された特徴量との有効性を確認できた．さらに，有効だと判断した20 個の有効な特徴量を用い，2 つの特徴量の組み合わせ，3 つの特徴量の組み合わせにおいて，最適な組み合わせを評価した．その結果，2 つの特徴量の組み合わせでは，正常時通信と感染時通信を分類する境界線において3 つ（ASCII 文字コード「e」+「o」（「e」：99.0% → 100%，「o」：99.0% → 100%）など），感染時通信を正常時通信と誤検知した感染時通信を分類する境界線において17 つ（ASCII 文字コード「0」+「i」（「0」：97.5% → 99.4%，「i」：98.5% → 99.4%）など）の組み合わせが，7 章で有効だと判断した特徴量の識別率よりも，識別率が2 つとも高くなった．また，3 つの特徴量の組み合わせでは，感染時通信を正常時通信と誤検知した感染時通信を分類する境界線において，7 つ（ASCII 文字コード「e」+「i」+「o」（「e」：99.0% → 99.5%，「i」：98.5% → 99.5%，「o」：97.0% → 99.5%））の組み合わせが，7章で有効だと判断した特徴量の識別率よりも，識別率が3 つとも高くなった．これらを用いることで，より正確に正常と感染を識別できる可能性があることを示した．電気通信大学201

Методи розпізнавання кібератак: розпізнавання комп’ютерних вірусів

Навчальний посібник містить матеріали для самостійної роботи здобувачів ступеня бакалавр за освітньою програмою «Системне програмування та спеціалізовані комп’ютерні системи» спеціальності 123 «Комп’ютерна інженерія» при вивченні розділу «Розпізнавання шкідливого програмного забезпечення» з дисципліни «Методи розпізнавання кібератак». Також стане у нагоді розробникам програмного забезпечення, аспірантам та студентам технічних спеціальностей.The textbook contains materials for independent work of applicants for a bachelor's degree in the educational program "System Programming and Specialized Computer Systems" specialty 123 "Computer Engineering" when studying the section "Recognition of Malicious Software" in the discipline "Methods for recognizing cyber attacks". Also useful to software developers, graduate students and students of technical specialties