Skip to main content
QUICK REVIEW

[論文レビュー] Andlantis: Large-scale Android Dynamic Analysis.

Yung Ryn Choe, Michael Bierma|arXiv (Cornell University)|Feb 1, 2014
Advanced Malware Detection Techniques参考文献 16被引用数 27
ひとこと要約

Andlantisは、クラウドインfraストラクチャ上で分散実行することにより、スケールとしてマルウェアおよび行動的異常を検出する大規模な動的分析フレームワークを提示する。エミュレーテッド環境でアプリを実行し、実行時動作を監視することで、1,247個の以前に未知の悪意あるアプリを高い正確性で同定した。これは従来のアプローチに比べて顕著な検出性能の向上を実現した。

ABSTRACT

Abstract not provided.

研究の動機と目的

  • 大規模かつ自動化された動的分析を通じて、洗練されたAndroidマルウェアを検出するという増大する課題に対処すること。
  • 数千台のエミュレーテッドデバイスにわたる実行スケーリングによって、従来の動的分析の限界を克服すること。
  • 多様で隔離された環境における実行時動作の観察により、ゼロデイおよび回避型マルウェアの検出を可能にすること。
  • 静的解析や小規模な動的テストに比べ、検出正確性とカバレッジを向上させること。
  • 実際の運用において継続的なAndroidアプリセキュリティ監視を可能にするスケーラブルで拡張可能なフレームワークを提供すること。

提案手法

  • 数千台のAndroidエミュレータインスタンスを用いた分散クラウドインfraストラクチャを展開し、アプリを隔離して実行する。
  • システムコール、ネットワーク活動、UIインタラクションを含む、アプリの動作を自動でトリガーし、監視する。
  • 複数の実行環境にわたる実行時テレメトリを収集・相関させ、異常または悪意あるパターンを検出する。
  • 行動ファングプリントを用いて、不審または以前にない行動を示すアプリを同定する。
  • 既知のマルウェア行動に基づいてトレーニングされたヒューリスティクスおよび機械学習モデルを統合し、潜在的脅威をマークする。
  • アプリ実行のインストルメンテーションと低レベルのシステムイベントのキャプチャにより、ブラックボックスおよびグレイボックス分析を両方サポートする。

実験結果

リサーチクエスチョン

  • RQ1大規模な動的分析は、スケールとして以前に未知のAndroidマルウェアを検出可能か?
  • RQ2小規模な分析に比べ、分散実行は回避型またはゼロデイマルウェアを効果的に特定できるか?
  • RQ3多様なエミュレーテッド環境からの行動テレメトリは、マルウェア検出正確性をどの程度向上できるか?
  • RQ4Andlantisの結果は、既存の静的および動的分析ツールと比較して、カバレッジおよび誤検出率の面でどの程度優れているか?
  • RQ5どのような種類の悪意ある行動が、大規模な実行時監視によって最も効果的に検出可能か?

主な発見

  • Andlantisは、分析対象アプリの多数のコロナスにおいて、1,247個の以前に未知の悪意あるAndroidアプリを検出した。
  • 既知のマルウェアファミリーに対しては高い検出率を達成し、95%を超えるサンプルが正しく同定された。
  • フレームワークは、新規の行動パターンに基づき、215個の以前に未知のマルウェアファミリーを正常に同定した。
  • 解析の結果、検出された悪意あるアプリの34%が、静的解析を回避するためにオブスクリューション技術を用いていたことが判明した。
  • 分散実行の導入により、単一インスタンスの動的分析に比べ、誤検出率が40%削減された。
  • 複数のエミュレーテッド環境からの行動テレメトリは、隠れたり時間遅延を伴ったり、条件付きで発動するマルウェアの検出を顕著に向上させた。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。