Refinement of Cyberattack Generation Process Model by Using Machine Learning and Domain Knowledge
| Project/Area Number |
21KK0178
|
|---|
| Research Category |
Fund for the Promotion of Joint International Research (Fostering Joint International Research (B))
|
| Allocation Type | Multi-year Fund |
|---|
| Review Section |
Medium-sized Section 60:Information science, computer engineering, and related fields
|
|---|
| Research Institution | Kobe University |
|---|
Principal Investigator |
小澤 誠一 神戸大学, 工学研究科, 教授 (70214129)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
吉岡 克成 横浜国立大学, 大学院環境情報研究院, 准教授 (60415841)
金 相旭 神戸大学, 工学研究科, 助教 (00826878)
班 涛 国立研究開発法人情報通信研究機構, サイバーセキュリティ研究所, 主任研究員 (80462878)
|
|---|
| Project Period (FY) |
2021-10-07 – 2027-03-31
|
| Project Status |
Granted (Fiscal Year 2021)
|
| Budget Amount *help |
¥18,850,000 (Direct Cost: ¥14,500,000、Indirect Cost: ¥4,350,000)
Fiscal Year 2026: ¥3,510,000 (Direct Cost: ¥2,700,000、Indirect Cost: ¥810,000)
Fiscal Year 2025: ¥3,510,000 (Direct Cost: ¥2,700,000、Indirect Cost: ¥810,000)
Fiscal Year 2024: ¥3,510,000 (Direct Cost: ¥2,700,000、Indirect Cost: ¥810,000)
Fiscal Year 2023: ¥3,510,000 (Direct Cost: ¥2,700,000、Indirect Cost: ¥810,000)
Fiscal Year 2022: ¥3,510,000 (Direct Cost: ¥2,700,000、Indirect Cost: ¥810,000)
Fiscal Year 2021: ¥1,300,000 (Direct Cost: ¥1,000,000、Indirect Cost: ¥300,000)
|
|---|
| Keywords | サイバーセキュリティ / 機械学習 / 攻撃生成過程 / 悪性サイト検知 / 悪性JavaScript検知 / 深層学習 / 攻撃生成過程モデル / ウェブ媒介型攻撃 / DoS攻撃 |
|---|
| Outline of Research at the Start |
観測系のみに頼るリアクティブな対策では、攻撃検知に必要な情報が欠如して起こるセマンティックギャップが問題となる。特に、攻撃者は対策をすり抜けるために、攻撃手法をダイナミックに変化させ、対策側の追従を困難にする。この攻撃者有利な状況を打破するには、攻撃の観測で得られる断片的な情報に対して、セキュリティと機械学習の専門家がドメイン知識を駆使して観測情報のセマンティックギャップを解消することが重要である。その方法として、本研究では,攻撃の生成過程のモデル化を試みる.
|
| Outline of Annual Research Achievements |
本研究では、防御側の観測・検知を回避・無効化する攻撃の仕組みなど、ドメイン知識を有する専門家と国際連携体制を築き、観測のみに頼るリアクティブな対策だけでなく、新たな攻撃への予測と迅速な対応を行うプロアクティブなセキュリティ対策の構築を目指している。本年度は海外渡航が不可能であったため、国内チームの吉岡(横国大)、班(NICT)、金、小澤(神戸大)と以下の研究を実施した。
1)小澤、班、金は、URL文字列から悪性が疑われるWebサイトのHTMLコンテンツを取得し、それぞれのHTMLタグ階層構造(DOM)をグラフ表現し、それをgraph2vecで埋め込みベクトルに変換して、正規サイトを装うフィッシングサイトを見つける方法を提案した。PhishTankとOpenPhishのフィッシングサイト151件を用いた実験では、80%のフィッシングサイトがクラスタを形成し、これらクラスタが共通してもつ外部リンクから正規サイトを特定したところ、AmazonとFacebookを騙るフィッシングサイト群を見つけた。また、VirusTotalで取得可能なドメインのWhois情報、レビュー情報、DNSレコード、SSL証明書情報などを特徴量として機械学習で悪性判定する方法を提案した。その結果、1550サイトに対し、フィッシングサイトは88%、マルウェアホストサイトは91%の精度で検知できた。
2)吉岡は、WarpDrive実証実験に参加している508ユーザが受信したSMS、合計23,133件(良性 22,800件、悪性333件)を調べたところ、SMSを多く受信するユーザが悪性SMSを受信しやすいわけではなく、現時点では、攻撃者はランダムに悪性SMSを送付していることが推測された。また、悪性SMSは深夜と早朝には送られず、午後2時から5時の期間に集中していることがわかった。
|
| Current Status of Research Progress |
Current Status of Research Progress
3: Progress in research has been slightly delayed.
Reason
本年度においても、新型コロナ感染症の状況が改善せず、海外共同研究者との直接的な共同研究はできなかった。このため、国内の研究分担者との研究を中心に実施している。当初予定していた「ウェブ媒介型攻撃の生成過程モデル」については、おおむね順調に進められており、現在、3本のジャーナル論文と2本の国際会議論文を投稿予定である。「マルウェアによる攻撃生成過程モデル」については、やや遅れ気味であるが、「DoS攻撃の生成過程モデル」について、吉岡は海外共同研究者とリモートで共同研究を進めており、国際会議論文1件を投稿して条件付き採択になっており、順調に研究を進めている。
|
| Strategy for Future Research Activity |
次年度においては、新型コロナ感染症の状況が改善し、海外渡航が可能になることを想定し、以下の方針で研究を進める予定である。
(a)ウェブ媒介型攻撃の生成過程モデル:ウェブ媒介型攻撃につながる悪性サイトの「ドメイン生成」やユーザを誘引する「ウェブサイト改ざん」や「スパムメール送信」は、マルウェア感染したボットが関与しているとされ、UNBのAli Ghorbani教授と連携して、このようなマルウェアをハニーポットで捕捉し、サンドボックス動的解析などを通して、攻撃生成過程を分析する。
(b)マルウェアによる攻撃生成過程モデル:マルウェアは多様な機器を攻撃対象とするため、攻撃の前段階で広範囲に脆弱性探索を行う。感染後は大量の通信を行い、サービス妨害攻撃やランサム攻撃、制御機器の管理権限取得といった典型的な攻撃挙動が存在する。これら攻撃に共通した特徴に着目して攻撃生成過程をモデル化するため、UNBのGhorbani教授とTU DelftのMichel van Eeten教授と連携し、サイバー攻撃を観測するハニーポットの運用や収集マルウェアの挙動分析を進める。
(c)DoS攻撃の生成過程モデル:攻撃者は悪用可能なサービスを探索して攻撃を試行し、効果が得られたものを本格利用していると考えられる。断片的に観測される探索、試行、本格利用といった攻撃プロセスをモデル化し、悪用されやすいネットワークサービスを特定して、早期に注意喚起するプロアクティブな対策を実現するため、CISPAのChristian Rossow教授やTU DelftのVan Eeten教授との連携を進める。
|
Report
(1 results)
Research Products
(8 results)
