ベイズでウイルス検出

セキュリティもみじでの園田さんの発表からヒントを得て、POPFileにPEDUMPの出力を判定させるという実験をしてみた。PEDUMPは、Portable Executable(PE)形式のバイナリファイルに関する情報を出力するツールである。下はPEDUMPでメモ帳(NOTEPAD.EXE)のファイルの内容を表示させたところ。

PEDUMPの出力をメールに貼り付けて送信し、POPFileにウイルスかどうかの判定をしてもらう。トレーニングのために\WINDOWS\system32や\Program Files\Microsoft Office\OFFICE11フォルダ内のexeやdllのファイル情報も送っている。今のところ、80%以上の精度で識別できている。特に亜種の場合は間違いが少ない。もう少しトレーニングすれば、さらに良い結果が得られるかも知れない。

今回はPOPFileとPEDUMPで試したが、他の方法もありそうだ。