[論文レビュー] DroidAnalytics: A Signature Based Analytic System to Collect, Extract, Analyze and Associate Android Malware
DroidAnalytics は、オペコードレベルでのマルウェア検出を可能にする署名ベースのシステムであり、再パッケージ化やゼロデイマルウェアの収集・分析・関連付けを自動化する。マルチレベルの署名生成と類似度スコアリングを用い、150,368個のアプリで動作し、102の異なるファミリーに属する2,494個のマルウェアサンプル(うち342個はゼロデイ変種)を検出できた。
Smartphones and mobile devices are rapidly becoming indispensable devices for many users. Unfortunately, they also become fertile grounds for hackers to deploy malware and to spread virus. There is an urgent need to have a "security analytic & forensic system" which can facilitate analysts to examine, dissect, associate and correlate large number of mobile applications. An effective analytic system needs to address the following questions: How to automatically collect and manage a high volume of mobile malware? How to analyze a zero-day suspicious application, and compare or associate it with existing malware families in the database? How to perform information retrieval so to reveal similar malicious logic with existing malware, and to quickly identify the new malicious code segment? In this paper, we present the design and implementation of DroidAnalytics, a signature based analytic system to automatically collect, manage, analyze and extract android malware. The system facilitates analysts to retrieve, associate and reveal malicious logics at the "opcode level". We demonstrate the efficacy of DroidAnalytics using 150,368 Android applications, and successfully determine 2,494 Android malware from 102 different families, with 342 of them being zero-day malware samples from six different families. To the best of our knowledge, this is the first reported case in showing such a large Android malware analysis/detection. The evaluation shows the DroidAnalytics is a valuable tool and is effective in analyzing malware repackaging and mutations.
研究の動機と目的
- 大規模な Android マルウェア収集および分析のための自動化システムの不足を解消すること。
- 細粒度のオペコードレベルでの署名生成により、再パッケージ化およびゼロデイマルウェアの検出を可能にすること。
- パーミッションベースまたはハッシュベースのマルウェア関連付け手法の限界を克服すること。
- マルウェアの論理的関連をメソッドレベルおよびクラスレベルで可能にすることで、フォレンジック分析を支援すること。
- スケーラブルで自動化されたプラットフォームを提供し、マルウェア分析および動的ペイロード分析を実現すること。
提案手法
- 公式およびサードパーティのマーケットから Android アプリを体系的に収集するための拡張可能なクローラー(Scrapy を基盤とする)。
- アプリのバイトコードから意味的特徴をオペコードレベルで抽出するマルチレベル署名アルゴリズムにより、オブスクリューションに対する耐性を向上させる。
- オペコードレベルのパターンに基づく類似度スコアリング機構を用い、新しいマルウェアを既知のファミリーと関連付ける。
- パーミッションの再帰的解析およびクラス関連技術により、メソッドおよびクラスをまたがるパーミッションと悪意ある動作を追跡する。
- 動的ペイロード分析および変異検出をサポートする署名生成パイプライン。
- 情報検索技術の統合により、マルウェアデータベース全体で悪意ある論理の高速検索および相関が可能になる。
実験結果
リサーチクエスチョン
- RQ1どのようにして多様なサードパーティソースから、スケーラブルに Android マルウェアを体系的に収集できるか?
- RQ2オペコードレベルでの署名生成は、オブスクリューションおよび再パッケージ化に対して耐性を持つようにどのように実現できるか?
- RQ3未知の新しいマルウェア(ゼロデイ)は、既知のマルウェアファミリーとどのように関連づけて検出できるか?
- RQ4どのようにしてアプリ間でメソッドおよびクラスレベルでの悪意ある論理を信頼性高く関連付けることができるか?
- RQ5オペコードレベルの署名は、変異または再パッケージ化されたマルウェアの検出をどの程度向上できるか?
主な発見
- DroidAnalytics は、150,368個の Android アプリを収集し、そのうち102の異なるファミリーに属する2,494個のマルウェアが特定された。
- システムは、6つの異なるファミリーに属する342個のゼロデイマルウェアサンプルを正常に検出でき、未知の脅威の早期検出能力を示した。
- オペコードレベルの署名アプローチは、マルウェア作成者が用いる一般的なオブスクリューションおよび再パッケージング技術に対して、堅牢であることが確認された。
- システムは、従来のパーミッションベースまたはハッシュベースの手法よりも、精度と感受性に優れたメソッドおよびクラスレベルでのマルウェア関連付けを実現した。
- 類似度スコアリング機構により、オブスクリューションや変異を加えられた場合でも、高精度で悪意あるコードセグメントを迅速に同定できた。
- 評価結果から、DroidAnalytics はマルウェア分析の効率を顕著に向上させ、スケーラブルで自動化されたフォレンジック調査を支援することが確認された。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。