マルウェアのバイナリを用いた機械学習によるパッカの特定手法の提案

摘要

パッカ特定にはPEiDと呼ばれるシグネチャベースのツールが利用されることが多い．対象のファイルにシグネチャが含まれるかを完全一致で検査するため，シグネチャに1バイトでも誤りがあるとパッカを特定することができない．これに起因して，誤りが含まれないようにするために長いシグネチャを作成することが難しく，偽陽性率（False Positive率）が高いことが問題となっている．本稿では，PEiDの課題を改善するという立場で，String-Kernel-Based SVMを用いたパッカ特定手法を提案する．学習データにはPEiDめシグネチャと同様にパックされたファイルのバイト列を用いるが，SVMには完全一致のような制約がないため，より長いバイト列をパッカの特定に利用できる．評価実験では，5クラ大問題においてAccuracyが99.84％でパッカの特定が可能であることを示す．提案手法はマルウェアに施されているパッカの特定に利用し，マルウェアの解析に役立てることを目的としている．