深層強化学習と自然言語処理技術を用いた実践的サイバー攻撃・防御技術に関する研究
Project/Area Number |
21K11898
|
Research Category |
Grant-in-Aid for Scientific Research (C)
|
Allocation Type | Multi-year Fund |
Section | 一般 |
Review Section |
Basic Section 60070:Information security-related
|
Research Institution | 防衛大学校(総合教育学群、人文社会科学群、応用科学群、電気情報学群及びシステム工学群) |
Principal Investigator |
三村 守 防衛大学校(総合教育学群、人文社会科学群、応用科学群、電気情報学群及びシステム工学群), 電気情報学群, 准教授 (60815017)
|
Project Period (FY) |
2021-04-01 – 2026-03-31
|
Project Status |
Granted (Fiscal Year 2022)
|
Budget Amount *help |
¥3,900,000 (Direct Cost: ¥3,000,000、Indirect Cost: ¥900,000)
Fiscal Year 2025: ¥650,000 (Direct Cost: ¥500,000、Indirect Cost: ¥150,000)
Fiscal Year 2024: ¥910,000 (Direct Cost: ¥700,000、Indirect Cost: ¥210,000)
Fiscal Year 2023: ¥390,000 (Direct Cost: ¥300,000、Indirect Cost: ¥90,000)
Fiscal Year 2022: ¥390,000 (Direct Cost: ¥300,000、Indirect Cost: ¥90,000)
Fiscal Year 2021: ¥1,560,000 (Direct Cost: ¥1,200,000、Indirect Cost: ¥360,000)
|
Keywords | 機械学習 / 侵入検知 / 自然言語処理 / マルウェア / 深層強化学習 / ペネトレーションテスト |
Outline of Research at the Start |
本研究では、機械学習の中でも主に深層強化学習に着目し、モジュールの選択とパラメータの組み合わせを試行錯誤により学習し、全行程を自動化することを試みる。さらに、このような機械学習を悪用して検知を回避するサイバー攻撃の脅威を検証し、攻撃に対して堅牢な検知モデルを構築することを試みる。学術研究分野では、実際のペネトレーションテストに貢献できるような深層強化学習を用いた実践的な研究はこれまでに例がない。また、機械学習モデルに対する攻撃法は検討されているが、実際のマルウェアを用いた実践的な研究は少ない。
|
Outline of Annual Research Achievements |
Windowsの実行ファイル形式のマルウェアを対象として、自然言語処理技術で特徴を抽出し、教師あり学習モデルで分類する手法の実用的な精度とスケーラビリティを評価した。実環境では無害なファイルが無数に存在するため、十分な良性サンプルをテストデータに含めて精度を評価する必要がある。検証実験では、テストデータの良性サンプル数を増やすと、徐々に精度が低下することを確認した。したがって、十分な良性サンプルを含まないテストデータで精度を評価している既存研究では、実環境で精度が低下する可能性があることが危惧される。この対策として、訓練データに十分な数の良性サンプルを含めた場合、この精度の低下が緩和されることを確認した。また、この精度の低下を定量的に評価するための新たな指標を提案した。この指標は、他の形式のマルウェアの検知や侵入検知のみならず、あらゆる2値分類のタスクに応用することが可能である。スケーラビリティの評価においては、大量の良性サンプルと悪性サンプルの両方の時系列を考慮して精度を評価した。訓練データとテストデータのサイズを増加させた場合、各々の完了時間は概ね線形増加となり、実用的な運用に差し支えないことを確認した。 PowerShell形式のマルウェアに関しては、自然言語処理技術で特徴を抽出し、教師あり学習モデルで分類する手法に対し、良性サンプルに頻出する特徴を付与して検知を回避する攻撃の影響を評価した。その結果、単純に頻出する特徴を付与するだけで効果があることを確認した。さらに、自己注意機構を用いた検知手法において、分類に貢献した特徴を分析し、これを用いて検知を回避する攻撃について考察した。 JavaScript形式の不正通信に関しては、敵対的生成ネットワークを用いてオーバーサンプリングする手法の精度を評価し、実践的な環境においてある程度の影響はあるものの、必ずしも有効ではないことを確認した。
|
Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
精度の低下を定量的に評価するための新たな指標は、他の形式のマルウェアの検知や侵入検知に応用することが可能であり、そのための準備を実施している。また、PowerShell形式のマルウェアにおいて、自己注意機構を用いた検知手法の堅牢性を評価する準備が完了しており、次年度以降はこのモデルに対する回避攻撃の効果を検証する準備が整っている。そのため、概ね順調に進捗しているものと判断できる。
|
Strategy for Future Research Activity |
精度の低下を定量的に評価するための新たな指標を、他の形式のマルウェアの検知や侵入検知に応用する計画である。これにより、十分な良性サンプルを含まないテストデータで精度を評価している既存研究の課題を指摘し、実環境における精度への影響を評価する。PowerShell形式のマルウェアに関しては、自己注意機構を用いた検知手法に対し、分類に貢献した特徴を用いて検知を回避する攻撃を試行する。
|
Report
(2 results)
Research Products
(15 results)