ポリモーフィックワームの検知手法
[研究の概要]
オリジナルを一部改変した多くの亜種ワーム,
自らのプログラムの一部を自ら変更するワームの検知手法の重要性が増している.
これらは,従来のワクチンソフトが採用している単純な定義ファイルとの比較では
検知が困難であり,また既知のワームでなければ検出できない.
Tothらは,ネットワーク上を流れるデータに含まれるCPUが実行可能なコードを抽出,
その長さの測定により攻撃を検知する手法を提案した.
この手法をポリモーフィックコードの検知に応用した場合,
ワーム本体は暗号化や意味のないデータ列の挿入により,
測定されるコード長が小さく,誤検知に繋がる恐れがある.
しかし,本研究では,復号化のためのコード長を検知の対象とする.
このとき,提案手法の限界として,攻撃者が検知を回避しようと
コードに修正を加える攻撃が考えられる.
我々は,Tothらの手法にルールを追加することで,攻撃を防ぐ
ことが可能であることを示す.
代表的な発表論文
-
Kohei Tatara, Yoshiaki Hori, Kouichi Sakurai,
Analyzing Maximum Length of Instruction Sequence in Network Packets for Polymorphic Worm Detection,
Proceedings of The 2nd International Conference on Multimedia and Ubiquitous Engineering (MUE2008),
pp. 485-489, IEEE Computer Society, April 2008.
-
鑪講平, 堀良昭, 櫻井幸一,
実行可能なコードの抽出によるポリモーフィックワーム検知手法に関する提案,
コンピュータセキュリティシンポジウム 2007, Oct. 2007.