Counter APT operation with detection involving attacks to ML based security system

• Project/Area Number: 23K28086
• Project/Area Number (Other): 23H03396 (2023)
• Research Category: Grant-in-Aid for Scientific Research (B)
• Allocation Type: Multi-year Fund (2024); Single-year Grants (2023)
• Section: 一般
• Review Section: Basic Section 60070:Information security-related
• Research Institution: Nagoya University
• Principal Investigator: 嶋田 創 名古屋大学, 情報基盤センター, 准教授 (60377851)
• Co-Investigator(Kenkyū-buntansha): 小林 良太郎 工学院大学, 情報学部(情報工学部), 教授 (40324454) ; 平野 学 豊田工業高等専門学校, 情報工学科, 教授 (50390464) ; 長谷川 皓一 国立情報学研究所, ストラテジックサイバーレジリエンス研究開発センター, 特任准教授 (90806051)
• Project Period (FY): 2023-04-01 – 2027-03-31
• Project Status: Granted (Fiscal Year 2024)
• Budget Amount: ¥18,330,000 (Direct Cost: ¥14,100,000、Indirect Cost: ¥4,230,000); Fiscal Year 2026: ¥4,420,000 (Direct Cost: ¥3,400,000、Indirect Cost: ¥1,020,000); Fiscal Year 2025: ¥4,420,000 (Direct Cost: ¥3,400,000、Indirect Cost: ¥1,020,000); Fiscal Year 2024: ¥5,200,000 (Direct Cost: ¥4,000,000、Indirect Cost: ¥1,200,000); Fiscal Year 2023: ¥4,290,000 (Direct Cost: ¥3,300,000、Indirect Cost: ¥990,000)
• Keywords: サイバーセキュリティ / 機械学習システムのセキュリティ / ネットワークセキュリティ / 対標的型攻撃 / 機械学習/深層学習システムへの攻撃対策 / 標的型攻撃対策 / 悪性通信検知

Outline of Research at the Start

機械学習技術の応用は"AI利用"として広く認知され、マルウェアや悪性通信検知のセキュリティ製品へ広く利用されている。一方、機械学習系に対し誤判定/誤検知を誘発させる中毒攻撃/回避攻撃の研究も広く行われており、攻撃者側がAI応用セキュリティへの攻撃を併用することは十分に考えられる。また、標的型攻撃もデータ窃取に加え標的型ランサムウェアの被害も増え、さらなる高度化による被害も懸念される。本研究では、標的型攻撃の前段としてAI応用セキュリティへの攻撃を伴う時代を想定し、AI応用製品への偽学習データ送り込みなどの予備攻撃およびデータ窃取やランサムウェアなどの本攻撃の双方の検知と対応運用の研究を行う。

Outline of Annual Research Achievements

本研究では、標的型攻撃の前段として機械学習応用セキュリティへの攻撃を伴う時代が来ることを想定し、セキュリティ製品への偽学習データ送り込みなどの予備攻撃およびデータ摂取やランサムウェアなどの本攻撃の双方の検知および対応運用について研究を行う。目標実現のための要素技術として、中毒攻撃や回避攻撃のための加工の推定アルゴリズム、攻撃に対して補完する学習データを生成アルゴリズムなどの研究を行った。
2023年度の機械/深層学習検知に対する攻撃の検証と検知の研究においては、ランサムウェア検知に対する標的型回避攻撃を行うランサムウェアの脅威の検証、WAF作成用の悪性URLクエリ収集に対する中毒攻撃の脅威の検証、シャープレイ値を用いた傾向同定によるNIDSへの中毒攻撃データの検知の研究を実施し、その成果を査読付き国際会議論文1本と国内研究会論文2本を通して発表した。
また、標的型攻撃下のセキュリティ運用の研究として、テレワーク下ユーザに対するユーザの信用度をベースとした情報リソース割当の自動化、および、情報リソース割当に伴うACL設定時にDVFS制御を低消費エネルギー化の研究を実施し、その成果を査読付き国際会議論文2本(うち優秀論文賞1本)を通して発表した。
その他、FPGAを利用した悪性通信検知のアクセラレーション、基本ブロックのGraph Contrastive Learningを用いたマルウェアバイナリの教師なし学習による分類、Androidの自動リンク生成機能の悪用の危険性の検証、悪性通信検知適用箇所拡大に向けたプライバシーに配慮した悪用通信検知の検討、ランサムウェア解析の自動化の検討、多要素認証で認証を強化されたWebサービスのセッション窃取攻撃耐性評価、などの研究を実施し、査読付き論文誌論文4本、査読付き国際会議論文2本、国内研究会論文5本を通して発表した。

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

本課題を実施するいずれの研究者の下でも機械/深層学習型サイバー攻撃検知に対する中毒攻撃を始めとする攻撃の検証、および、その検知について研究を進めて国内外で発表できている。また、想定する脅威を伴う標的型攻撃対応についても、標的型攻撃検知および関連するネットワーク型侵入検知の高度化に関する研究の推進も順調である。よって、研究はおおむね順調に進展していると判断した。

Strategy for Future Research Activity

2023年度の研究は順調に進んでいるため、当初の2024年度の計画通り、PEファイルや通信として成立する制約を加えた敵対的サンプルの生成、特定の通信やPEファイルのみを対象としたバックドア攻撃の検証など、中毒攻撃に対して制約を追加した研究を推進する。また、標的型攻撃においては、機械学習系セキュリティへの予備攻撃を含めた標的型攻撃対策ネットワーク運用の研究に発展させる。
上記と並行して、現時点で国内研究会での発表段階にある研究を発展させて査読付き国際会議や論文誌論文への投稿も進める。

Research Products

• [Journal Article] Enhancing Detection of Malicious Traffic Through FPGA-Based Frequency Transformation and Machine Learning (2024)
  • Author(s): Hu Zhenguo、Hasegawa Hirokazu、Yamaguchi Yukiko、Shimada Hajime
  • Journal Title: IEEE Access Volume: 12 Pages: 2648-2659
  • DOI: 10.1109/access.2023.3348234
  • Peer Reviewed / Open Access
• [Journal Article] Malware Self-Supervised Graph Contrastive Learning with Data Augmentation (2023)
  • Author(s): Yun Gao, Hirokazu Hasegawa, Yukiko Yamaguchi, and Hajime Shimada
  • Journal Title: International Journal On Advances in Security Volume: 16 Pages: 116-125
  • Peer Reviewed / Open Access
• [Journal Article] Realtime Malicious Traffic Detection Targeted for TCP Out-of-Order Packets Based on FPGA (2023)
  • Author(s): Hu Zhenguo、Hasegawa Hirokazu、Yamaguchi Yukiko、Shimada Hajime
  • Journal Title: IEEE Access Volume: 11 Pages: 112212-112222
  • DOI: 10.1109/access.2023.3323853
  • Peer Reviewed / Open Access
• [Journal Article] Androidアプリの自動リンクにおける悪意のあるリンク生成リスクの検討 (2023)
  • Author(s): 辻知希, 嶋田創, 山口由紀子, 長谷川皓一
  • Journal Title: 情報処理学会論文誌 Journal of Information Processing Volume: 64 Pages: 1041-1052
  • NAID: 170000185988
  • Peer Reviewed
• [Presentation] 敵対的生成ネットワークを用いた標的型回避攻撃の振る舞い型ランサムウェア検知システムへの適用 (2024)
  • Author(s): 河合柊哉, 平野学, 小林良太郎
  • Organizer: 2024年暗号と情報セキュリティシンポジウム(SCIS 2024)
• [Presentation] 機械学習を用いた悪性URLクエリ検知に対するラベル反転攻撃の攻撃耐性評価, (2024)
  • Author(s): 松波旭, 長谷川皓一, 山口由紀子, 嶋田創
  • Organizer: 電子情報通信学会研究報告, Vol. 123, No. 448, pp. 153-159,
• [Presentation] プライバシーに配慮した悪性通信検出手法のNII-SOCSベンチマークデータを用いた検討 (2024)
  • Author(s): 小川剛史, 長谷川皓一, 山口由紀子, 嶋田創
  • Organizer: 電子情報通信学会研究報告, Vol. 123, No. 448, pp. 79-84
• [Presentation] Webサービスのセッション窃取攻撃耐性の評価 (2024)
  • Author(s): 川合健太, 嶋田創
  • Organizer: 情報処理学会第86回全国大会予稿集, pp. 158-159
• [Presentation] On-Demand Clock Boosting for Secure Remote Work System (2023)
  • Author(s): Justus von der Beek, Atsushi Shinoda, Hajime Shimada, and Hirokazu Hasegawa
  • Organizer: In Proceedings of the 12th International Conference on Communications, Computation, Networks and Technologies (INNOV 2023), pp. 8-13,
  • Int'l Joint Research
• [Presentation] Feasibility Verification of Access Control System for Telecommuting by Users Reliability Calculation (2023)
  • Author(s): Atsushi Shinoda, Hirokazu Hasegawa, Yukiko Yamaguchi, Hajime Shimada, and Hiroki Takakura
  • Organizer: In Proceedings of the Eighteenth International Conference on Systems and Networks Communications (ICSNC 2023), pp. 16-22
  • Int'l Joint Research
• [Presentation] Heterogeneous Network Inspection in IoT Environment with FPGA based Pre-Filter and CPU based LightGBM, (2023)
  • Author(s): Zhenguo Hu, Hirokazu Hasegawa, Yukiko Yamaguchi, and Hajime Shimada
  • Organizer: In proceedings of the 17th International Conference on Emerging Security Information, Systems and Technologies (SECURWARE 2023), pp. 27-32
  • Int'l Joint Research
• [Presentation] A Prototype Design of Real-Time Encrypted Malicious Traffic Detection based on Hardware Implementation (2023)
  • Author(s): henguo Hu, Hirokazu Hasegawa, Yukiko Yamaguchi, and Hajime Shimada
  • Organizer: In Proceedings of the 26th IEEE Symposium on Low-Power and High-Speed Chips (COOLChips 26), pp. 340-341
  • Int'l Joint Research
• [Presentation] プライバシーと悪性通信検知精度の両立を目指した通信ログ匿名加工の検討 (2023)
  • Author(s): 小川剛史, 長谷川皓一, 山口由紀子, 嶋田創
  • Organizer: コンピュータセキュリティシンポジウム2023 (CSS2023), pp. 101-108
• [Presentation] Discussion about Requirements Gathering for Proposing a Forensic Ransomware Behavioral Analysis Methodology (2023)
  • Author(s): Joao Ribeiro, Yukiko Yamaguchi, Hirokazu Hasegawa, and Hajime Shimada
  • Organizer: 情報科学技術フォーラム FIT 2023, L-021, pp. 183-186
• [Presentation] Poisoning Attacks against Network Intrusion Detection Systems Using Shapley values to Identify Trends in Poisoning Data (2023)
  • Author(s): Tomohiro Hasegawa, Ryotaro Kobayashi,
  • Organizer: In Proceedings of the 11th International Symposium on Computing and Networking (CANDAR 2023), pp. pp. 127-133
  • Int'l Joint Research
• [Remarks] サイバーセキュリティ関係の研究
  • URL: https://www.net.itc.nagoya-u.ac.jp/member/shimada/researches/cyber_security.html
• [Remarks] ネットワークセキュリティ関係の研究
  • URL: https://www.net.itc.nagoya-u.ac.jp/member/shimada/researches/network_security.html