ファイル情報を考慮した画像ベース難読化マルウェア検出手法の検討
Abstract
マルウェア検出回避技術の1つである難読化技術は,マルウェアを圧縮や暗号化することで検出を回避する.難読化マルウェアの脅威に対抗するために,機械学習を用いた検出手法が多数提案されている.手法の中には,実行ファイルの情報を画像に変換して検出を行う手法が存在する.しかし,難読化良性ファイルと難読化マルウェアが混在する場合の検出精度や,検出時に画像へ埋め込む情報の最適な組み合わせについては十分に検討されていない.本研究では,難読化された良性ファイル・難読化されていない良性ファイル・難読化されたマルウェア・難読化されていないマルウェアが混在する環境でRGB画像を用いたマルウェア検出を実施する.RGB画像に書き込む情報をエントロピー,バイト値,バイト値に関する意味情報,3種類の情報から選択し,高い検出精度を達成するために適した情報の組み合わせを検討する.3種類全ての情報を組み合わせたRGB画像を用いてマルウェア検出を実施し,難読化マルウェアが混在する環境においても検出精度90%以上を達成した.結果より,我々の提案手法は難読化マルウェアの検出に高い効果があると示した.