10. True story is …
http://www.microsoft.com/ja-jp/download/details.aspx?id=29046
Num of variants are increasing
Num of original malwares are NOT increasing
亜種の数は年々増えている
でもオリジナルの数は横ばい
10
12. How many malwares are same each
other?
2,000,000
459
In 2012/07-08
Pick up at random
同じマルウェアはどのくらいある?
58
Num of mals VirusTotal detect as Zbot
58 / 459 (12.6%)
Zbot(=Zeus)
12
14. Source Code for ZeuS Trojan Horse
Freely Available on the Internet
http://www.livehacking.com/2011/05/12/source-code-for-zeus-trojan-horse-freely-
available-on-the-internet/
マルウェアがカジュアルに作れる
It’s so easy to create a malware to use it 14
19. Advantage of Reputation
TIME
Automatic detection which Collective knowledge help
集合知の力を借りた自動検
知
To increase num of infections
To up the Probability of
detection, too
感染数が上がる
検知率も上昇
19
21. Two issues we have to solve
• Detecting new original malware (1%)
• Detecting new variants malware (99%)
新しいオリジナルのマルウェアを検知する
こと
新しい亜種マルウェアを検知すること
It looks like complicate…
なんかめっちゃ難しそう…
It looks like can do if do the best…
頑張ればできそう…
解くべき課題
21
22. Two issues we have to solve
• Detecting new original malware (1%)
• Detecting new variants malware (99%)
新しいオリジナルのマルウェアを検知する
こと
新しい亜種マルウェアを検知すること
It looks like complicate…
なんかめっちゃ難しそう…
It looks like can do if do the best…
頑張ればできそう…
解くべき課題
今日はこっちの話
22
25. Anomaly Detection
E: 1,2,3,4,5,6,5,7,8,9,0,4,4,3,2,3,4,5,4…..
This is NOT member of
this cluster
Anomaly検知で似た亜種を検知
A: 2,3,5,9,1,2,8,4,0,1,9,2,9,3,8,4,7,6,1…..
b: 2,3,5,9,2,3,8,4,0,2,9,2,9,3,7,4,7,6,1…..
C: 2,3,5,3,1,2,9,4,1,1,1,2,9,3,8,4,7,5,1…..
d: 2,3,5,3,1,2,9,5,0,1,9,2,9,3,8,4,7,6,1…..
A
b
C
d
E
Normal
Malicious
25
41. Different of ad and sec business
• Advertisement Business(広告ビジネス)
• Security Business(セキュリティビジネ
ス)
もしユーザーにマッチしない広告を表示してしまった
ら…→おいおい、俺こんなん興味ないよー
まったく仕方がないなー(笑) 変更ボタンをク
リック!
もし正常系を間違ってマルウェアといってしまったら…
→ファック! 誤検知しやがった! クソ製品だわこ
れ!
→炎上
ミスに対する重大さがまったく違う
特にFP(False Positive)に対する失望度がデカ41
42. Cost of getting feature values
• Static analyzing
– PE format
– Disassembling
• Dynamic analyzing
– System call
– Executed ASM cmd
– File/Reg access
Low cost but also Low value
as info of malware
Cost Value
High cost but also High value
as info of malware
Cost Value
特徴抽出コスト
42
43. Cost of getting feature values
• Static analyzing
– PE format
– Disassembling
• Dynamic analyzing
– System call
– Executed ASM cmd
– File/Reg access
Low cost but also Low value
as info of malware
Cost Value
High cost but also High value
as info of malware
Cost Value
特徴抽出コスト
43