自己組織化マップを用いたWindows OS malware挙動の可視化(知的システム,一般)
スポンサーリンク
概要
- 論文の詳細を見る
近年のCommodity OSの複雑化は、マルウェアの挙動を一層洗練化させており、セキュリティインシデント解析の際には、複雑なデータから構造やパラメータを抽出し、解析を行う必要がある。自己組織化マップは、教師なし学習アルゴリズムの中でも処理時にクラスタ数を与件とせず、学習時にトポロジーが変化しないことから、セキュリティインシデントに関するデータの構造や識別可能性が不明な初期段階で適用することが有効である。本論文では仮想環境でのマルウェアのデータを取得し、マルウェアの分類可視化を試みる。XEN上で稼動する仮想マシン上で起こるセキュリティインシデントを、ドメインUのEMIT命令発行とハイパーバイザーの修正によりドメインOに通知することで可観測化し、コンソールロケを定量化、可視化する手法を提案する。ログの通知時には仮想CPUのコンテキストを用いて、EMIT命令によりドメインUからHYPERCALLを発行することによりVMENTERとVMEXITを任意に切り替えることでドメインOからドメインUヘイベントログ文字列を送信する。評価実験では、ドメインUのWindows OSの動的ロケと静的ロケをドメインOへ通知し、自己組織化マップによってイベントの可視化を行う。この結果、マルウェアの静的なログは分類可視化が困難であり、振る舞いを記録した動的ログに関しては適切な識別が可能であることが明らかになった。
- 2011-07-18
著者
関連論文
- Code injection検出のためのVMMスナップショット機能の強化
- Google Earthとノード内部観測を用いたP2Pノード特性と地理的分布の可視化 (モバイルマルチメディア通信)
- 実行環境による挙動変化を用いたポット検出方式の提案 (情報通信システムセキュリティ)
- 侵入挙動の反復性を用いたボット検知方式
- 実行環境による挙動変化を用いたボット検出方式の提案
- Nimrod Project:フィルタドライバを用いたネットワークアプリケーションのOS内部挙動観測とデータセットの公開 (情報通信システムセキュリティ)
- Nimrod Project:フィルタドライバを用いたネットワークアプリケーションのOS内部挙動観測とデータセットの公開 (技術と社会・倫理)
- Nimrod Project:フィルタドライバを用いたネットワークアプリケーションのOS内部挙動観測とデータセットの公開 (情報セキュリティ)
- Code injection検出のためのVMMスナップショット機能の強化
- Code injection検出のためのVMMスナップショット機能の強化
- Trusted Domain Enforcementの軽量実装による組み込みLinux2.6系列のセキュリティ強化(セッションB-4:セキュアOS)
- Trusted Domain Enforcementの軽量実装による組み込みLinux2.6系列のセキュリティ強化(セッションB-4:セキュアOS)
- Google Earth とノード内部観測を用いたP2Pノード特性と地理的分布の可視化
- Google Earth とノード内部観測を用いたP2Pノード特性と地理的分布の可視化
- 仮想マシンのライブマイグレーションによるDDoS攻撃の抑止・防御システムの構築 (特集 トレーサブルネットワーク特集) -- (仮想化技術の応用)
- 実行環境による挙動変化を用いたポット検出方式の提案 (技術と社会・倫理)
- 実行環境による挙動変化を用いたボット検出方式の提案 (情報セキュリティ)
- P2P環境におけるネットワークトラフィックのモニタリングと解析 (特集 トレーサブルネットワーク特集) -- (機械学習理論の応用)
- Nimrod Project:フィルタドライバを用いたネットワークアプリケーションの OS 内部挙動観測とデータセットの公開
- Memento Project:仮想化技術を用いたOS内部観測による解析用データセットの構築と公開
- Memento Project:仮想化技術を用いたOS内部観測による解析用データセットの構築と公開
- Memento Project:仮想化技術を用いたOS内部観測による解析用データセットの構築と公開
- Memento Project : 仮想化技術を用いたOS内部観測による解析用データセットの構築と公開
- Memento Project : 仮想化技術を用いたOS内部観測による解析用データセットの構築と公開
- VM Introspectionを用いたWindows OSのメモリ上の異常挙動の可視化
- VM Introspection を用いた Windows OS のメモリ上の異常挙動の可視化
- emit命令を用いたXEN仮想マシン上のセキュリティインシデントの可観測化と可視化
- emit命令を用いたXEN仮想マシン上のセキュリティインシデントの可観測化と可視化
- 自己組織化マップを用いたWindows OS malware挙動の可視化(知的システム,一般)
- 広域アプリケーションレイヤネットワーク観測解析のための大規模クラスタの構築 : クラウドの要素技術とテストベッドの特長の検討(ネットワーク研究開発テストベッド運用・利用,一般)