| Project/Area Number |
23K21670
|
|---|
| Project/Area Number (Other) |
21H03444 (2021-2023)
|
|---|
| Research Category |
Grant-in-Aid for Scientific Research (B)
|
| Allocation Type | Multi-year Fund (2024)
Single-year Grants (2021-2023) |
|---|
| Section | 一般 |
|---|
| Review Section |
Basic Section 60070:Information security-related
|
|---|
| Research Institution | Kobe University |
|---|
Principal Investigator |
小澤 誠一 神戸大学, 数理・データサイエンスセンター, 教授 (70214129)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
吉岡 克成 横浜国立大学, 大学院環境情報研究院, 教授 (60415841)
白石 善明 神戸大学, 工学研究科, 准教授 (70351567)
班 涛 国立研究開発法人情報通信研究機構, サイバーセキュリティ研究所, 主任研究員 (80462878)
金 相旭 神戸大学, 工学研究科, 工学研究科研究員 (00826878)
|
|---|
| Project Period (FY) |
2021-04-01 – 2025-03-31
|
| Project Status |
Granted (Fiscal Year 2024)
|
| Budget Amount *help |
¥17,160,000 (Direct Cost: ¥13,200,000、Indirect Cost: ¥3,960,000)
Fiscal Year 2024: ¥4,160,000 (Direct Cost: ¥3,200,000、Indirect Cost: ¥960,000)
Fiscal Year 2023: ¥4,160,000 (Direct Cost: ¥3,200,000、Indirect Cost: ¥960,000)
Fiscal Year 2022: ¥4,160,000 (Direct Cost: ¥3,200,000、Indirect Cost: ¥960,000)
Fiscal Year 2021: ¥4,680,000 (Direct Cost: ¥3,600,000、Indirect Cost: ¥1,080,000)
|
|---|
| Keywords | サイバーセキュリティ / 機械学習 / ドメイン知識 / 攻撃生成過程 / 攻撃検知 / 攻撃観測 / IoTセキュリティ / Webセキュリティ / 悪性ドメイン検知 / 悪性JavaScript検知 / 深層学習 / 攻撃生成モデル / 敵対的サンプル攻撃 |
|---|
| Outline of Research at the Start |
本研究では,サイバー攻撃の基盤となるボットネットのドメインや踏み台IPアドレス,マルウェア活動の情報など,断片的に得られる不完全な情報に専門家によるドメイン知識を導入してセマンティックギャップを解消し,実データから機械学習により攻撃生成過程を推定する手法を確立する.具体的には,悪性サイトのURLやウェブコンテンツ,JavaScriptなどの生成過程,ポートスキャン脆弱性探索を行うマルウェア生成過程,DRDoS攻撃の生成過程をモデル化し,AI検知エンジンの高度化や貴重なセキュリティ情報の収集が可能となることをブラウザセンサやダークネット,ハニーポットなどの観測機構で得られた攻撃データで検証する.
|
| Outline of Annual Research Achievements |
本研究では、サイバー攻撃の生成過程に対して得られる観測データの特徴を利用し、機械学習で高精度に攻撃検知する手法の確立を目指す。本年度では、悪性Webサイトに加えて、感染IoTを使った攻撃インフラに関連したデータ生成過程に着目し、攻撃データの収集や悪性度判定を行う機械学習手法の開発を行い、以下の研究成果を得た。
(1)小澤、班、金は、攻撃に利用されるウェブサイトの生成過程において、Webアクセス時に実行されるJavaScriptに実装された悪意が難読化ツールにより隠蔽されると考え、そのツールの特徴をAIで効率的かつ自己適応的に捉える手法の開発を行った。進化する悪性JavaScriptによる攻撃に対しても有効な技術を目指し、最新の悪性サンプルを取り入れた検知実験を実施し、86.1%の検知精度を得るとともに、悪性JavaScriptの検知に有効なコード特徴量を明らかにした。
(2)吉岡は、サービス妨害攻撃とその攻撃インフラ、IoTマルウェア本体、IoTマルウェアを操作する攻撃インフラ、悪性Webサイト等の詳細分析を行い、サイバー攻撃の生成過程のモデル化を行うための情報を蓄積した。特に、Memcachedサービスを悪用した反射型サービス妨害攻撃を行う攻撃インフラを詳細に分析し、その一部の推定を可能とする手法を提案し、国際会議DIMVA2022にて発表を行った。
(3)教師あり機械学習による従来の悪意のあるトラフィック検知システムはモデルを訓練するために相当数の良性およびマルウェアのトラフィックサンプルが必要である.さらに,ゼロデイ攻撃の場合,分析に利用できるラベル付きトラフィックサンプルは数個に限られる.そこで,白石は、Fewショット学習に基づくグラフニューラルネットワークを用いた検知システムを提案し、未知攻撃に対する高い検知能力を示した。
|
| Current Status of Research Progress |
Current Status of Research Progress
1: Research has progressed more than it was originally planned.
Reason
本年度では、研究実施計画で挙げた3項目のうち、「(I-a) 悪性サイトのURL・スクリプトの生成過程モデル」と「(I-c) DRDoS攻撃の生成過程モデル」に関して計画通りの研究成果が得られた。「(Ⅰ-b) 脆弱性探索を行うマルウェア亜種の生成過程モデル」についても概ね良好な成果が得られており、現在まで、ジャーナル論文1件、国際会議論文1件、国際会議発表1件、研究会発表5件の研究成果が得られている。
「研究実績の概要」に示した研究成果以外に以下の研究が完了または進行中であり、現在、研究成果を取りまとめている。
(1) 小澤、班、金は、フィッシングサイトを生成するツールであるフィッシングキットを収集し、その実態調査とキットの分類手法の提案を行っている。また、ダークネットセンサで観測されるマルウェアによる脆弱性探索活動を調査するため, コネクトバックで感染端末の詳細情報を取得して、マルウェア感染状況を分類する方法を提案している。
(2)吉岡は、サイバー攻撃インフラの継続的な観測を行うための、サービス妨害攻撃観測データ、IoTマルウェアの動的解析結果、Webアクセスログから得られる悪性サイト情報の分析を行い、反射型サービス妨害攻撃のインフラの活動の実態を把握することができた。
(3)白石は、Fewショット学習に基づくグラフニューラルネットワークを用いた検知システムに対し、ラベル付きトラフィックサンプルが数個しかない場合の未知攻撃の検知能力を評価し,5ショットと10ショットの分類タスクにおいて、提案システムはそれぞれ0.91と0.94のF1スコアを達成した。
|
| Strategy for Future Research Activity |
今後、以下の点について検討を行い、さらに実用性の高い高精度な攻撃検知が可能な機械学習手法を開発する。
(1)悪性JavaScriptに関する研究により、ASTツリーに基づいた構造特徴がJavaScriptのソースコード解析に効果的であることがわかった。次年度においては、この知見をJavaScript以外のソースコード解析に適用し、特に脆弱性分析に取り組みたいと考えている。ソースコードの脆弱性を早期発見することによって、効率的かつ信頼性の高い攻撃生成過程の推定につながり、脆弱性を狙った攻撃の早期検知や高精度な防御システムの実現が期待される。
(2)サイバー攻撃インフラの観測結果に基づき、その動向や振る舞いを分析し、サイバー攻撃の生成過程のモデル化に取り組む。特に反射型DDoS攻撃については、攻撃に悪用されるサービスを攻撃者が選択する際に重視される特徴量を明らかにし、今後、悪用の恐れがあるサービスを早期検出する方法を検討する。
(3)脆弱性探索を行うマルウェア亜種の生成過程モデルについては、ダークネットで得られる感染端末情報に基づき、サードパーティのセキュリティ情報検索サービスの特徴を取得するとともに、コネクトバックを活用してアクティブに取得した端末情報を組み合わせて、マルウェア感染状況に対する、より詳細な情報が得られないかについて検討する。
|
