Malicious software in form of Internet worms, computer viruses, and trojan horses poses a major threat to the security of network systems. Identification of malware variants provides great benefit in early detection. However, in recent years, it is hard to analyze the all malware programs by manual because of the explanation of malicious program variants which avoid the detection of anti-virus by changing a part of the original malware program code. Taking into account that variants of malware families share similar functions reflecting its origin and purpose, we propose a method focusing on opcodes of functions that a malware program consists of. In our method, the feature database is created based on the analysis of known malware programs, and functions in unknown programs are compared to the opcodes of the database to determine the program belong to what family. To decrease the cost of the calculation of similarity, we use a filtering algorithm to filter out functions which have small influence in determining the family. We evaluated the approach using 46 categorized malware samples and 178 malware samples to be classified. In the experiment, it is shown that our approach effectively reduce the time for calculation while the accuracy is not deteriorated too much.%ワーム,ウィルス,トロイの木馬などのマルウェアはネットワークシステムのセキュリティに大きな脅威 を与えている.マルウェアの感染の被害を最小限に止めるためには迅速な解析を行い,対処することが重要となる.しかし,近年ではオリジナルのマルウェアの一部を変更してアンチウィルスの検知を逃れる,あるいはアナリストによる解析を難しくする亜種が存在し,被害を拡大させる原因となっている.そのため,我々はマルウェアを逆ァセンブルしてオペコード列を抽出し,関数ごとに切り分けて類似度計算を行なう分類手法を提案する.本手法では重要な 関数のみを抽出して類似度計算を行なうため,より高速な分類が可能である.評価実験では既知のマルウェアを46検 体用いて学習し,178検体を分類した.実験結果より提案手法は既存の手法に比べ,精度を保ちながらより高速に分類が可能であることが示された.
展开▼