機械学習を用いた標的型攻撃における侵入拡大経路推定に関する研究

• Project/Area Number: 19K11961
• Research Category: Grant-in-Aid for Scientific Research (C)
• Allocation Type: Multi-year Fund
• Section: 一般
• Review Section: Basic Section 60070:Information security-related
• Research Institution: Nagoya University
• Principal Investigator: 山口 由紀子 名古屋大学, 情報基盤センター, 協力研究員 (90239921)
• Project Period (FY): 2019-04-01 – 2024-03-31
• Project Status: Completed (Fiscal Year 2023)
• Budget Amount: ¥4,420,000 (Direct Cost: ¥3,400,000、Indirect Cost: ¥1,020,000); Fiscal Year 2021: ¥1,820,000 (Direct Cost: ¥1,400,000、Indirect Cost: ¥420,000); Fiscal Year 2020: ¥1,040,000 (Direct Cost: ¥800,000、Indirect Cost: ¥240,000); Fiscal Year 2019: ¥1,560,000 (Direct Cost: ¥1,200,000、Indirect Cost: ¥360,000)
• Keywords: サイバーセキュリティ / サイバーセキュリテイ

Outline of Research at the Start

本研究は、インターネットとの接続点に設置したIDSで大量の外向き通信が検知されるなどの情報窃取などの痕跡が発見された時点から遡って、組織内部の侵入被害を調査するための手法を提案するものである。ペイロードを含まないヘッダ情報のみを利用する手法を用いることで、大量の通信が行われるイントラネットにおいても長期間の通信データを保持することを可能とする。収集したデータから機械学習により分類器を作成し、侵入拡大経路推定を行う。

Outline of Annual Research Achievements

本研究は組織を標的としたサイバー攻撃に対し、日々の活動の中で行われるインターネット／イントラネットの通信を監視して悪性通信を検出し、組織のCSIRT（Computer Security Incident Response Team）活動を支援し、担当者の負担を軽減することを目的としている。組織に対する標的型攻撃では、手順4：攻撃基盤構築、手順5：内部調査侵入の段階で攻撃活動による通信が発生する。そこで、本研究では通信データに潜む悪性通信の機械学習による検知手法に関する研究を行った。
2023年度は最終年度として学術論文の作成を行うとともに、本研究課題の基礎技術となる機械学習による悪性通信検知に関する研究を行った。特に既存のデータセットを利用して、LightGBMを学習モデルとする悪性通信検知における特徴量の選択に関する調査を進めた。
本研究課題の研究期間全体を通じて、機械学習による悪性通信検知システムに対する中毒攻撃検知、感染端末が行う通信のみをSDNを利用して仮想環境に転送する攻撃ターゲット分析システム、2020年以後広く定着したリモートワーク環境からの組織へのアクセス制御システム、FPGAを組み合わせた高帯域通信に対するハイブリッドな悪性通信検知システムなどの研究を行い、成果が得られた。また、サイバーセキュリティに関する研究として、バイナリデータを対象としてCFG（Control Flow Graph）を特徴量としGIN（Graph Isomorphism Network）を利用したマルウェア検知、SVMによるマルウェア検知システムに対する追加学習の中毒攻撃検知、SNSなどの非公式な情報源からセキュリティ情報を抽出し、WAF（Web Application Filter）シグネチャのリアルタイム更新やナレッジベースの自動構成を行う研究などを行った。

Research Products

• [Journal Article] Enhancing Detection of Malicious Traffic Through FPGA-Based Frequency Transformation and Machine Learning (2024)
  • Author(s): Hu Zhenguo、Hasegawa Hirokazu、Yamaguchi Yukiko、Shimada Hajime
  • Journal Title: IEEE Access Volume: 12 Pages: 2648-2659
  • DOI: 10.1109/access.2023.3348234
  • Peer Reviewed / Open Access
• [Journal Article] Androidアプリの自動リンクにおける悪意のあるリンク生成リスクの検討 (2023)
  • Author(s): 辻知希, 嶋田創, 山口由紀子, 長谷川皓一
  • Journal Title: 情報処理学会論文誌 Volume: Vol. 64, No. 5 Pages: 1041-1052
  • NAID: 170000185988
  • Peer Reviewed
• [Journal Article] Realtime Malicious Traffic Detection Targeted for TCP Out-of-Order Packets Based on FPGA (2023)
  • Author(s): Hu Zhenguo、Hasegawa Hirokazu、Yamaguchi Yukiko、Shimada Hajime
  • Journal Title: IEEE Access Volume: 11 Pages: 112212-112222
  • DOI: 10.1109/access.2023.3323853
  • Peer Reviewed / Open Access
• [Journal Article] alware Self-Supervised Graph Contrastive Learning with Data Augmentation (2023)
  • Author(s): Yun Gao, Hirokazu Hasegawa, Yukiko Yamaguchi, Hajime Shimada
  • Journal Title: International Journal On Advances in Security Volume: Vol. 16, No. 3 Pages: 116-125
  • Peer Reviewed
• [Journal Article] Malware Detection Using LightGBM With a Custom Logistic Loss Function (2022)
  • Author(s): Gao Yun、Hasegawa Hirokazu、Yamaguchi Yukiko、Shimada Hajime
  • Journal Title: IEEE Access Volume: 10 Pages: 47792-47804
  • DOI: 10.1109/access.2022.3171912
  • Peer Reviewed / Open Access
• [Journal Article] Malware Detection by Control-Flow Graph Level Representation Learning With Graph Isomorphism Network (2022)
  • Author(s): Gao Yun、Hasegawa Hirokazu、Yamaguchi Yukiko、Shimada Hajime
  • Journal Title: IEEE Access Volume: 10 Pages: 111830-111841
  • DOI: 10.1109/access.2022.3215267
  • Peer Reviewed / Open Access
• [Journal Article] WAF Signature Generation from Real-Time Information on the Web using Similarity to CVE (2021)
  • Author(s): Masahito Kumazaki, Yukiko Yamaguchi, Hajime Shimada, and Hirokazu Hasegawa
  • Journal Title: International Journal On Advances in Security Volume: Vol. 14, No. 1＆2 Pages: 26-36
  • Peer Reviewed / Open Access
• [Journal Article] Automatic Mapping of Threat Information to Adversary Techniques Using Different Datasets (2021)
  • Author(s): Otgonpurev Mendsaikhan, Hirokazu Hasegawa, Yukiko Yamaguchi, and Hajime Shimada
  • Journal Title: International Journal On Advances in Security Volume: Vol. 14, No. 1＆2 Pages: 37-47
  • Peer Reviewed / Open Access
• [Journal Article] Identification of Cybersecurity Specific Content Using Different Language Models (2020)
  • Author(s): Mendsaikhan Otgonpurev、Hasegawa Hirokazu、Yamaguchi Yukiko、Shimada Hajime、Bataa Enkhbold
  • Journal Title: Journal of Information Processing Volume: 28 Issue: 0 Pages: 623-632
  • DOI: 10.2197/ipsjjip.28.623
  • NAID: 130007904842
  • Peer Reviewed
• [Journal Article] Quantifying the Significance and Relevance of Cyber-Security Text Through Textual Similarity and Cyber-Security Knowledge Graph (2020)
  • Author(s): Mendsaikhan Otgonpurev、Hasegawa Hirokazu、Yamaguchi Yukiko、Shimada Hajime
  • Journal Title: IEEE Access Volume: 8 Pages: 177041-177052
  • DOI: 10.1109/access.2020.3027321
  • Peer Reviewed / Open Access
• [Presentation] プライバシーに配慮した悪性通信検出手法のNII-SOCSベンチマークデータを用いた検討 (2024)
  • Author(s): 小川剛史, 長谷川皓一, 山口由紀子, 嶋田創
  • Organizer: 電子情報通信学会 情報通信システムセキュリティ研究会
• [Presentation] 機械学習を用いた悪性URLクエリ検知に対するラベル反転攻撃の攻撃耐性評価 (2024)
  • Author(s): 松波旭, 長谷川皓一, 山口由紀子, 嶋田創
  • Organizer: 電子情報通信学会 情報通信システムセキュリティ研究会
• [Presentation] A Prototype Design of Real-Time Encrypted Malicious Traffic Detection based on Hardware Implementation (2023)
  • Author(s): Zhenguo Hu, Hirokazu Hasegawa, Yukiko Yamaguchi, Hajime Shimada
  • Organizer: the 26th IEEE Symposium on Low-Power and High-Speed Chips (COOLChips 26)
  • Int'l Joint Research
• [Presentation] Heterogeneous Network Inspection in IoT Environment with FPGA based Pre-Filter and CPU based LightGBM (2023)
  • Author(s): Zhenguo Hu, Hirokazu Hasegawa, Yukiko Yamaguchi, Hajime Shimada
  • Organizer: the 17th International Conference on Emerging Security Information, Systems and Technologies (SECURWARE 2023)
  • Int'l Joint Research
• [Presentation] Feasibility Verifcation of Access Control System for Telecommuting by Users Reliability Calculation (2023)
  • Author(s): Atsushi Shinoda, Hirokazu Hasegawa, Yukiko Yamaguchi, Hajime Shimada, Hiroki Takakura
  • Organizer: the Eighteenth International Conference on Systems and Networks Communications (ICSNC 2023)
  • Int'l Joint Research
• [Presentation] プライバシーと悪性通信検知精度の両立を目指した通信ログ匿名加工の検討 (2023)
  • Author(s): 小川剛史, 長谷川皓一, 山口由紀子, 嶋田創
  • Organizer: コンピュータセキュリティシンポジウム2023 (CSS2023)
• [Presentation] 悪性通信検知のためのプライバシーに配慮した通信ログ匿名加工の検討 (2023)
  • Author(s): 小川剛史, 長谷川皓一, 山口由紀子, 嶋田創
  • Organizer: 電子情報通信学会ICSS研究会
• [Presentation] Malware Detection using Attributed CFG Generated by Pre-trained Language Model with Graph Isomorphism Network (2022)
  • Author(s): Yun Gao, Hasegawa Hirokazu, Yamaguchi Yukiko, Shimada Hajime
  • Organizer: the 12th IEEE International Workshop on Network Technologies for Security, Administration and Protection (NETSAP 2022)
  • Int'l Joint Research
• [Presentation] Unsupervised Graph Contrastive Learning with Data Augmentation for Malware Classification (2022)
  • Author(s): Yun Gao, Hirokazu Hasegawa, Yukiko Yamaguchi, Hajime Shimada
  • Organizer: the 16th International Conference on Emerging Security Information, Systems and Technologies (SECURWARE 2022)
  • Int'l Joint Research
• [Presentation] Feasibility Verification on Impact of Frequently Access Control Update based on User Reliability (2022)
  • Author(s): Atsushi Shinoda, Hirokazu Hasegawa, Yukiko Yamaguchi, Hajime Shimada, and Hiroki Takakura
  • Organizer: the 9th International Conference on Information Systems Security and Privacy (ICISSP 2023)
  • Int'l Joint Research
• [Presentation] 正常ログ残存を前提とするサイバー攻撃推定手法の性能評価 (2022)
  • Author(s): 熊崎真仁, 長谷川皓一, 山口由紀子, 嶋田創, 高倉弘喜
  • Organizer: 情報処理学会第84回全国大会
• [Presentation] Cyber Attack Stage Tracing System Based on Attack Scenario Comparison (2022)
  • Author(s): Masahito Kumazaki, Hirokazu Hasegawa, Yukiko Yamaguchi, Hajime Shimada, and Hiroki Takakura
  • Organizer: the 8th International Conference on Information Systems Security and Privacy
• [Presentation] 機械学習系マルウェア検知システムへの中毒攻撃データ生成の特徴量空間拡大検討 (2021)
  • Author(s): 蘇思遠, 長谷川皓一, 山口由紀子, 嶋田創
  • Organizer: 情報科学技術フォーラム FIT 2021
• [Presentation] 既存通信データセットに対する中毒攻撃を想定した敵対的学習データ生成の試行 (2021)
  • Author(s): 桑山拓也, 嶋田創, 山口由紀子, 長谷川皓一
  • Organizer: 情報処理学会 コンピュータセキュリティ研究会
• [Presentation] Incident Response Support System for Multi-Located Network by Correlation Analysis of Individual Events (2021)
  • Author(s): Masahito Kumazaki, Hirokazu Hasegawa, Yukiko Yamaguchi, Hajime Shimada, Hiroki Takakura
  • Organizer: the 4th International Conference on Information Science and Systems (ICISS 2021)
  • Int'l Joint Research
• [Presentation] 複数拠点ネットワークにおける類似インシデント評価手法の検討 (2021)
  • Author(s): 熊崎真仁, 長谷川皓一, 山口由紀子, 嶋田創, 高倉弘喜
  • Organizer: 電子情報通信学会情報通信システムセキュリティ研究会
• [Presentation] インシデント対応策に残存する情報漏洩リスク評価システムの実装 (2021)
  • Author(s): 野田朋宏, 長谷川皓一, 嶋田創, 山口由紀子, 高倉弘喜
  • Organizer: 電子情報通信学会情報通信システムセキュリティ研究会
• [Presentation] Malware Detection Using Gradient Boosting Decision Trees with Customized Log Loss Function (2021)
  • Author(s): Yun Gao, Hirokazu Hasegawa, Yukiko Yamaguchi, Hajime Shimada
  • Organizer: the 35th International Conference on Information Networking (ICOIN2021)
  • Int'l Joint Research
• [Presentation] 複数拠点におけるインシデント対応支援システムの初期検討 (2020)
  • Author(s): 熊崎真仁, 長谷川皓一, 山口由紀子, 嶋田創, 高倉弘喜
  • Organizer: 電子情報通信学会情報通信システムセキュリティ研究会
• [Presentation] Automatic Mapping of Vulnerability Information to Adversary Techniques (2020)
  • Author(s): Otgonpurev Mendsaikhan, Hirokazu Hasegawa, Yukiko Yamaguchi, Hajime Shimada
  • Organizer: the 14th International Conference on Emerging Security Information, Systems and Technologies (SECURWARE 2020),
  • Int'l Joint Research
• [Presentation] WAF Signature Generation with Real-Time Information on the Web (2020)
  • Author(s): Masahito Kumazaki, Yukiko Yamaguchi, Hajime Shimada, Hirokazu Hasegawa
  • Organizer: the 14th International Conference on Emerging Security Information, Systems and Technologies (SECURWARE 2020),
  • Int'l Joint Research
• [Presentation] Gradient Boosting Decision Tree Ensemble Learning for Malware Binary Classification (2020)
  • Author(s): Yun Gao, Hirokazu Hasegawa, Yukiko Yamaguchi, Hajime Shimada
  • Organizer: コンピュータセキュリティシンポジウム2020
• [Presentation] Web上のリアルタイム情報を利用したWAFシグネチャ生成の初期検討 (2020)
  • Author(s): 熊崎真仁, 長谷川皓一, 山口由紀子, 嶋田創
  • Organizer: 電子情報通信学会情報通信システムセキュリティ研究会
• [Presentation] Quantifying the Significance of Cybersecurity Text through Semantic Similarity and Named Entity Recognition (2020)
  • Author(s): Otgonpurev Mendsaikhan, Hirokazu Hasegawa, Yukiko Yamaguchi, Hajime Shimada
  • Organizer: The 6th International Conference on Information Systems Security and Privacy
  • Int'l Joint Research
• [Presentation] Identification of Cybersecurity Specific Content Using the Doc2Vec Language Model (2019)
  • Author(s): Otgonpurev Mendsaikhan, Hirokazu Hasegawa, Yukiko Yamaguchi, Hajime Shimada
  • Organizer: The 43rd Annual International Computers, Software and Applications Conference
  • Int'l Joint Research
• [Presentation] Quantifying the Significance of Cybersecurity Related Text Documents by Analyzing IoC and Named Entities (2019)
  • Author(s): Otgonpurev Mendsaikhan, Hirokazu Hasegawa, Yukiko Yamaguchi, Hajime Shimada
  • Organizer: コンピュータセキュリティシンポジウム2019予稿集
• [Presentation] 機械学習を用いたマルウェア検知システムに対する強化学習による敵対的サンプル生成の課題 (2019)
  • Author(s): 高木聖也, 長谷川皓一, 山口由紀子, 嶋田創
  • Organizer: 電子情報通信学会情報通信システムセキュリティ研究会
• [Presentation] 組織内部での攻撃行動を仮想環境へ誘導する挙動分析システム (2019)
  • Author(s): 大橋宗治, 長谷川皓一, 山口由紀子, 嶋田創
  • Organizer: 電子情報通信学会情報通信システムセキュリティ研究会