著者
高森 健太郎 岩本 舞 小島 俊輔 中嶋 卓雄
出版者
一般社団法人情報処理学会
雑誌
研究報告マルチメディア通信と分散処理(DPS)
巻号頁・発行日
vol.2014, no.17, pp.1-7, 2014-09-11

近年,JavaScript を用いたマルウェアが増加しており,自動判別の手法が望まれている.我々の研究では,難読化マルウェア JavaScript と一般の JavaScript の文字の出現確率および一次のマルコフ情報源の状態遷移確率に着目した.その結果,統計的に明らかな差異が見られた.そこで,文字の出現確率およびマルコフ情報源の状態遷移確率を確率変数とするマハラノビス距離を使用したマルウェア検知手法を提案する.実験の結果,2 種類の確率変数を使用したマハラノビス距離手法は,確率変数 1 種類の場合に比べ有効であることがわかった.Increasing of JavaScripts of malware requires the automatic detection system for malware in these days. Our research takes note of the occurrence probability both of obfuscated JavaScript malware and other JavaScript and state transition of first order Markov source. As the results of pre-experiments, statistical significance was found. We propose the detection method using Mahalanobis-distance with the probability variables of the rate of the number of upper Nth of appearance probability of characters and the probability variables of state transition of first order Markov source. As the results of experiments, the method of Mahalanobis distance with two probability variables was found the effectiveness method compared to the method using single probability.