セキュリティ解析の共通基盤となるマルウェア・インフォマティクスの確立

2016 Fiscal Year Annual Research Report

• Project/Area Number: 16H02832
• Research Institution: Waseda University
• Principal Investigator: 後藤 滋樹 早稲田大学, 理工学術院, 教授 (30287966)
• Co-Investigator(Kenkyū-buntansha): 森 達哉 早稲田大学, 理工学術院, 准教授 (60708551)
• Project Period (FY): 2016-04-01 – 2019-03-31
• Keywords: セキュア・ネットワーク / マルウェア対策 / サイバー攻撃 / 悪性通信 / 機械学習 / モバイルマルウェア

Outline of Annual Research Achievements

本研究の目的である「マルウェア・インフォマティクス」の確立に向けて、平成28年度は主として(1)検体収集・蓄積に必要なプラットフォームの構築、および(2)マルウェア検体やマルウェアが生成する悪性通信の検出に必要となる素性エンジニアリング、ならびに(3)前記で得られた素性を用いた検体・悪性通信検出の評価実験を行った。
(1)の検体収集では、マルウェアの攻撃対象となるプラットフォームをWindowsに限定せずに、Androidを含むように拡張した。具体的には容量が200TB超のRAID6構成のストレージサーバを構築して、WindowsとAndroidを合計して500万を越える検体の収集に成功した。また様々なAndroidサードパーティマーケットでの検体収集用のスクリプトを整備して、新たな収集源への柔軟な対応を実現した。大量の検体を収集する方法と得られた成果は国内研究会であるSCIS2017で発表済みであり、さらに現在、国際会議に投稿中である。
(2)ならびに(3)に関しては、Windowsマルウェアが発生する悪性通信に特有な素性を網羅的に整理・分類して、得られた素性に機械学習アルゴリズムを適用することによって悪性通信を高精度に検出・分類可能であることを実証した。得られた結果を国内研究会の発表6件、国際会議における発表6件（招待講演3件および査読付き会議3件）、さらにジャーナル論文誌（採録決定1件）としてまとめた。またAndroidマルウェアに関しては、不正に作成されたクローンアプリの検出方法およびアプリの挙動に基づいたクローンの分類方法を確立して、ジャーナル論文誌1件としてまとめた（採録決定）。

Current Status of Research Progress

1: Research has progressed more than it was originally planned.

Reason

本研究の開始時点の計画では、最初の2カ年はWindowsマルウェアにフォーカスして研究を遂行し、その研究成果を活用して3年目にAndroidマルウェアへの拡張を行うことを想定していた。しかしながらAndroidの脅威が日増しに高まっている現状がある。このような事情を鑑みて、Androidマルウェアを含むように対象を拡張することを初年度に実行した。また、収集した検体の数は500万を越えて、当初の目標値を上回った。ここにAndroidの検体にはマルウェアのみならず正規アプリも多数含まれているカウント数である。本年度には研究成果の発表をジャーナル論文誌2件、国際会議6件、国内研究会8件として行い、十分な成果を得ることができた。

Strategy for Future Research Activity

今後は、大量に収集した検体群を活用して、本研究の要素技術の洗練化と多角的な分析を進めて行く。次年度にも検体収集を継続し、長時間にわたるデータの収集、ならびに時間軸を考慮したデータ解析を行う。特にAndroidマルウェアについては、本年度の研究において過去にリリースされたアプリの取得技術を確立したので、実際にマーケットに出回ったマルウェアがどのような変遷を経てマルウェアとして検知されるに至ったかといった観点で分析を試みる。また、必ずしもマルウェアとは判定されないが、潜在的にユーザに害を及ぼしうるPUP (Potentially Unwanted Program)にも今後は着目して、PUPの検出方法や分類方法についても取り組む予定である。

Research Products

• [Journal Article] Finding New Varieties of Malware with the Classification of Network Behavior (2017)
  • Author(s): M. Hatada and T. Mori
  • Journal Title: IEICE Transactions on Information and Systems Volume: 印刷中 Pages: 印刷中
  • Peer Reviewed / Acknowledgement Compliant
• [Journal Article] APPraiser: A large scale analysis of Android clone apps (2017)
  • Author(s): Y. Ishii, T. Watanabe, M. Akiyama, and T. Mori
  • Journal Title: IEICE Transactions on Information and Systems Volume: 印刷中 Pages: 印刷中
  • Peer Reviewed / Acknowledgement Compliant
• [Presentation] BotDetector: A robust and scalable approach toward detecting malware-infected devices (2017)
  • Author(s): S. Mizuno, M. Hatada, T. Mori, and S. Goto
  • Organizer: Proceedings of the IEEE International Conference on Communications (ICC 2017)
  • Place of Presentation: Paris, France
  • Year and Date: 2017-05-21 – 2017-05-25
  • Int'l Joint Research
• [Presentation] How the Internet survey tools could affect network security monitoring? (2017)
  • Author(s): Tatsuya Mori
  • Organizer: The 43rd APAN Meeting, Network Security Workshop
  • Place of Presentation: New Delhi, India
  • Year and Date: 2017-02-12 – 2017-02-17
  • Int'l Joint Research / Invited
• [Presentation] PUPが生成するDNSクエリパターンの大規模調査 (2017)
  • Author(s): 畑田充弘，森達哉
  • Organizer: 暗号と情報セキュリティシンポジウム (SCIS 2017)
  • Place of Presentation: 沖縄県沖縄市
  • Year and Date: 2017-01-24 – 2017-01-27
• [Presentation] Androidサードパーティマーケットの大規模調査 (2017)
  • Author(s): 石井悠太，渡邉卓弥，金井文宏，高田雄太，塩治榮太朗，秋山満昭，八木毅，森達哉
  • Organizer: 暗号と情報セキュリティシンポジウム (SCIS2017)
  • Place of Presentation: 沖縄県沖縄市
  • Year and Date: 2017-01-24 – 2017-01-27
• [Presentation] HTTPヘッダフィールドの可変性に基づくマルウェア感染端末の特定 (2016)
  • Author(s): 水野翔，畑田充弘，森達哉，後藤滋樹
  • Organizer: コンピュータセキュリティシンポジウム2016論文集
  • Place of Presentation: 秋田県秋田市
  • Year and Date: 2016-10-11 – 2016-10-13
• [Presentation] 実行時の通信挙動を用いたマルウェアの分類と未知検体検出への応用 (2016)
  • Author(s): 畑田充弘，森達哉
  • Organizer: コンピュータセキュリティシンポジウム2016論文集
  • Place of Presentation: 秋田県秋田市
  • Year and Date: 2016-10-11 – 2016-10-13
• [Presentation] モバイルアプリストアにおけるプロモーショナル攻撃の自動検知システム (2016)
  • Author(s): 孫博，秋山満昭，森達哉
  • Organizer: コンピュータセキュリティシンポジウム2016論文集
  • Place of Presentation: 秋田県秋田市
  • Year and Date: 2016-10-11 – 2016-10-13
• [Presentation] Paragraph Vectorを用いたマルウェアの亜種推定法 (2016)
  • Author(s): 佐藤拓未, 後藤滋樹, 武部嵩礼
  • Organizer: 情報処理学会 MWS 2016
  • Place of Presentation: 秋田県秋田市
  • Year and Date: 2016-10-11 – 2016-10-13
• [Presentation] DoSリフレクション攻撃の分析と防御法 (2016)
  • Author(s): 野口大貴, 後藤滋樹
  • Organizer: 情報処理学会 MWS 2016
  • Place of Presentation: 秋田県秋田市
  • Year and Date: 2016-10-11 – 2016-10-13
• [Presentation] Analytics of Malware Traffic: Clustering and its Evaluation (2016)
  • Author(s): Mitsuhiro Hatada and Tatsuya Mori
  • Organizer: The 42nd APAN Meeting, Network Security Workshop
  • Place of Presentation: 香港
  • Year and Date: 2016-08-01 – 2016-08-05
  • Int'l Joint Research / Invited
• [Presentation] Detecting malware-infected hosts using HTTP fingerprints (2016)
  • Author(s): Sho Mizuno, Mitsuhiro Hatada, Tatsuya Mori, and Shigeki Goto
  • Organizer: The 42nd APAN Meeting, Network Security Workshop
  • Place of Presentation: 香港
  • Year and Date: 2016-08-01 – 2016-08-05
  • Int'l Joint Research / Invited
• [Presentation] Detecting Drive-by-Download Attacks based on HTTP Context-Types (2016)
  • Author(s): Ryo Kiire and Shigeki Goto
  • Organizer: APAN Research Workshop 2016
  • Place of Presentation: 香港
  • Year and Date: 2016-08-01 – 2016-08-05
  • Int'l Joint Research
• [Presentation] Fingerprinting Attack on Tor Anonymity using Deep Learning (2016)
  • Author(s): Kota Abe and Shigeki Goto
  • Organizer: APAN Research Workshop 2016
  • Place of Presentation: 香港
  • Year and Date: 2016-08-01 – 2016-08-05
  • Int'l Joint Research
• [Presentation] マルウェアの通信モデルによるクラスタリング精度の評価 (2016)
  • Author(s): 畑田充弘，森達哉
  • Organizer: 信学技報, vol. 116, no. 131, ICSS2016-24
  • Place of Presentation: 山口県山口市
  • Year and Date: 2016-07-14 – 2016-07-15
• [Remarks] 森達哉研究室ホームページ
  • URL: http://nsl.cs.waseda.ac.jp/projects/appraiser/