Skip to main content
QUICK REVIEW

[論文レビュー] Metamorphic Virus Variants Classification Using Opcode Frequency Histogram

Babak Bashari Rad, Maslin Masrom|arXiv (Cornell University)|Apr 16, 2011
Advanced Malware Detection Techniques参考文献 10被引用数 32
ひとこと要約

本論文は、コードの難読化に対しても動作の類似性を検出できるように、オペコード頻度ヒストグラムとユークリッド距離を用いて、メタモービックウイルスの変種を分類する静的解析手法を提案する。文字列ではなく命令レベルのパターンを分析することで、難読化されたメタモービックウイルスの変種を効果的に同定でき、オペコードベースの署名が従来の文字列ベースの検出回避戦略を回避できることを示している。

ABSTRACT

In order to prevent detection and evade signature-based scanning methods, which are normally exploited by antivirus software, metamorphic viruses use several various obfuscation approaches. They transform their code in new instances as look entirely or partly different and contain dissimilar sequences of string, but their behavior and function remain unchanged. This obfuscation process allows them to stay away from the string based signature detection. In this research, we use a statistical technique to compare the similarity between two files infected by two morphed versions of a given metamorphic virus. Our proposed solution based on static analysis and it uses the histogram of machine instructions frequency in various offspring of obfuscated viruses. We use Euclidean histogram distance metric to compare a pair of portable executable (PE) files. The aim of this study is to show that for some particular obfuscation methods, the presented solution can be exploited to detect morphed varieties of a file. Hence, it can be utilized by non-string based signature scanning to identify whether a file is a version of a metamorphic virus or not.

研究の動機と目的

  • コード難読化によってシグネチャベースのウイルス対策ツールを回避するメタモービックウイルス変種を検出するという課題に対処すること。
  • 既知のメタモービックウイルスの変形版を同定できる文字列に依存しない検出手法を開発すること。
  • オペコード頻度ヒストグラムが、メタモービックウイルス変種を分類するための安定的で識別性の高い特徴量として機能するかどうかを評価すること。
  • 静的解析とヒストグラムベースの類似度メトリクスを用いたマルウェアファミリー同定の実現可能性を示すこと。

提案手法

  • 本手法は、メタモービックウイルスの異なる変形インスタンスに感染したポータブル実行可能(PE)ファイルの機械語コードからオペコード列を抽出する。
  • 各感染ファイルに含まれるオペコードの頻度をヒストグラムとして構築し、命令タイプの分布を表現する。
  • 2つのオペコード頻度ヒストグラム間のユークリッド距離を計算し、2つのPEファイル間の類似度を測定する。
  • ユークリッド距離が低いファイル同士は、同じメタモービックウイルスファミリーの変種であるとみなされる。
  • 本手法は静的解析にのみ依存しており、動的実行や動作監視を回避する。

実験結果

リサーチクエスチョン

  • RQ1オペコード頻度ヒストグラムは、メタモービックウイルスの異なる変形変種を信頼性高く区別できるか?
  • RQ2難読化されたウイルスインスタンスにおいて、オペコードヒストグラム間のユークリッド距離は、実際のコード類似度とどの程度相関しているか?
  • RQ3このヒストグラムベースの手法は、文字列コンテンツやコード構造が著しく変更された場合でも、メタモービックウイルス変種を検出できるか?
  • RQ4本手法は、文字列署名に依存せずに、新しい変形変種が同じウイルスファミリーに属することを同定するのに有効であるか?

主な発見

  • 提案手法は、オペコード頻度ヒストグラムとユークリッド距離を用いて、メタモービックウイルスの変種を効果的に分類できた。
  • 同じメタモービックウイルスファミリーに感染したファイルは、オペコードヒストグラムにおいて低いユークリッド距離を示し、高い類似性を示した。
  • 本手法は、文字列コンテンツや制御フローを変更するが機能的動作を保持する一般的な難読化技術に対しても、頑健であることが示された。
  • 結果から、オペコード頻度ヒストグラムは、メタモービックウイルス変種を検出するための安定的で文字列に依存しない署名として機能可能であると示唆された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。