要約
悪性プログラムの数は、増加するだけでなく、その複雑さも著しく進化している。膨大なデータ量の悪性意図を分析するには莫大なリソースが必要となるため、マルウェアの効果的な分類が不可欠である。本論文では、悪性プログラムの内容を「エントロピー・ストリーム」として表現する。このストリームの各値は、ファイル内の特定位置に位置する小さなコード・チャンクのエントロピー量を表す。続いて、このエントロピー信号に対してウェーブレット変換を適用し、エントロピーエネルギーの変動を記述する。同じマルウェアファミリに属するプログラムのエントロピー・ストリーム間に見られる視覚的類似性に着目し、ファイルに依存しない深層学習に基づくマルウェア分類手法を提案する。本手法は、多数の変種が共通のオブスカレーション技術を用いて生成されるという事実、および圧縮・暗号化アルゴリズムが元のコードに存在する一部の特性を保持するという点に着目している。これにより、特定のファミリに属するほぼすべての変種に共通する識別的なパターンを抽出することが可能となる。本手法は、Microsoftが提供した「BigData Innovators Gathering Anti-Malware Prediction Challenge」のデータを用いて評価され、最先端技術と比較しても有望な結果を示した。