自己組織化マップを用いたWindows OS malware挙動の可視化

摘要

近年のCommodity OSの複雑化は、マルウェアの挙動を一層洗練化させており、セキュリティインシデント解析の際には、複雑なデータから構造やパラメータを抽出し、解析を行う必要がある。自己組廠化マップは、教師なし学習アルゴリズムの中でも処理時にクラスタ数を与件とせず、学習時にトポロジーが変化しないことから、セキュリティインシデントに関するデータの構造や識別可能性が不明な初期段階で適用することが有効である。本論文では仮想環境でのマルウェアのデータを取得し、マルウェアの分類可視化を試みる。XEN上で稼動する仮想マシン上で起こるセキュリティインシデントを、ドメインUのEMIT命令発行とハイパーパイザーの修正によりドメイン0に通知することで可観測化し、コンソールログを定量化、可視化する手法を提案する。ログの通知時には仮想CPUのコンテキストを用いて、EMIT命令によりドメインUからHYPERCALLを発行することによりVMENTERとVMEXITを任意に切り替えることでドメイン0からドメインUへイベントログ文字列を送信する。評価実験では、ドメインUのWindows OSの動的ログ、静的ログをドメイン0へ通知し、自己組織化マップによってイベントの可視化を行う。この結果、マルウェアの静的なログは分類可視化が困難であり、振る舞いを記録した動的ログに関しては適切な識別が可能であることが明らかになった。