要約
毎年検出される悪意のあるファイルの数は数百万にのぼる。このような多数の異なるファイルが発生する主な理由の一つは、検出を回避するためにマルウェア作成者が「変異(mutation)」を加えるためである。これにより、同一のマルウェアファミリーに属し、同じ悪意ある行動を示すファイルが、複数の技術を用いて継続的に変更または難読化され、見た目が異なるファイルとして認識されるようになる。このような膨大な量のファイルを効果的に分析・分類するためには、ファイルの振る舞いに基づいてグループ化し、それぞれのファミリーを識別できる能力が不可欠である。本論文では、微小な変化を捉えつつも全体構造を保持する能力を持つことから、マルウェアをグレースケール画像として可視化する手法を提案する。同一ファミリーに属するマルウェアサンプル間の視覚的類似性に着目し、ファイルの種類に依存しない深層学習アプローチを用いて、画像化されたマルウェアから抽出された識別的パターンに基づき、効率的にマルウェアをファミリーごとにグループ化する手法を提案する。本手法の有効性は、MalImgデータセットおよびMicrosoft Malware Classification Challengeデータセットの2つのベンチマークに対して評価された。実験的比較の結果、最先端の手法と比較して本手法が優れた性能を発揮することが示された。