マルウェア検知におけるパッカーの影響についての考察

抄録

近年爆発的に増加するマルウェアが社会問題にもなっている。マルウェアが増加している理由の一つにパッカーがある。パッカーとはソフトウェアが実行可能な形式のまま圧縮や暗号化ができるソフトウェアである。増加しているマルウェアの大部分がパッカーを用い既知のマルウェアとして検知されないように加工が施されている。そのためパッカーをアンパックし復元することができれば爆発的に増加した亜種に対応することができると考えられている。 現在のウイルス対策ソフトでは特徴量を用いたシグネチャによるパターンマッチングが一般的な検知手法であり、それを補助する形でヒューリスティック検知が用いられている。研究ではヒューリスティック検知の一種のデータマイニング手法を用いたマルウェア検知の前段階処理としてマルウェアのアンパックを行い検知率の向上を図る手法を検討している。 本論文では実際にマルウェアを実行させることによって自らアンパックさせる手法を取り入れ、その結果アンパックしたマルウェアはパックさせたマルウェアより検知率が上昇することを明らかにする。