Online Learning Algorithms for Real-time Detection, Classification, and Visualization of Cyberattacks

2017 Fiscal Year Annual Research Report

• Project/Area Number: 16H02874
• Research Institution: Kobe University
• Principal Investigator: 小澤 誠一 神戸大学, 数理・データサイエンスセンター, 教授 (70214129)
• Co-Investigator(Kenkyū-buntansha): 北園 淳 神戸大学, 工学研究科, 工学研究科研究員 (00733677) ; 大森 敏明 神戸大学, 工学研究科, 准教授 (10391898)
• Project Period (FY): 2016-04-01 – 2020-03-31
• Keywords: 機械学習 / サイバー攻撃 / ダークネット / 連想ルールマイニング / DDoS判定 / IoTマルウェア / Mirai / SVM

Outline of Annual Research Achievements

H29年度では，NICTが有する/16ダークネット（未使用IP群）センサーで観測される通信トラフィックに対し，H28年度に開発した2種類のサポートベクトルマシン(SVM)を組み合わせたサイバー攻撃検知・分類システムおよび連想ルールマイニングを使った攻撃検知・観測を継続的に実行し，以下の結果を得た．
(1)サイバー攻撃検知・分類システムのDDoS判定の精度は，追加学習を継続的に行った結果，2017年1月1日以降も2016年度と大きく変わらず，適合率，再現率，F値とも90%を超える精度を得た．
(2)2016年10月以降，世界を席巻したIoTマルウェア「Mirai」の9月以前の動向を調査した結果，TCPヘッダのWindows Size，ToS，宛先ポート番号に顕著なルールが出現し，ソースコードがダークウェッブやGitHubで公開される以前の2016年8月2日から9月3日頃にも表れていることが分かった．ソースコードは公開されていないにも関わらず，後に公開されたMiraiのソースコードの特徴を持っており，Miraiの開発者がテストを行っていたと推測される．
(3)2017年以降にも，連想ルールマイニングによってToSや宛先ポート番号に関して顕著なルールが出現している．特に2月以降にToS(104,40→8)，ToS(224→0)，ToS(0,40→8)などの頻出パターンが観測され，それぞれ特定の国に偏って分布しており，IoTを狙ったマルウェアは，その国でよく使われているIoT機器の脆弱性を利用する亜種であると推測される．また，2月7日から2月9日にdestport(32 (or 3232), 2323→23)など宛先ポート32や3232に関連した頻出ルールが出現し，Mirai亜種の挙動と推測される．
(4)2017年3月5日～29日において，destport(81, 88, 8000, 8080→80)など宛先ポート80, 81, 88, 8000, 8080を利用したルールが特定の国に突出して出現し，Miraiの条件と合致していることから，Mirai亜種であると推測される．

Current Status of Research Progress

3: Progress in research has been slightly delayed.

Reason

H29年度において，情報通信研究機構(NICT)が所有する13個のダークネットセンサのうち、できるだけ多くのものを使用してビッグデータ化し、観測の範囲を大幅に拡大して、より詳細なサイバー攻撃の特徴を捉えられるようにシステムを改良する予定であった．センサーデータを収集して解析サーバーに保存することはできるようになったが，あまりに大量であるため，計算機資源の制約から分析手法の開発で試行錯誤ができず，H29年度においては，限られたセンサーデータで分析手法の高性能化を図ることを優先することになった．

Strategy for Future Research Activity

H30年度では，13個のダークネットセンサのうち、できるだけ多くのものを使用して、より詳細なサイバー攻撃の特徴を捉えられるようにし，観測システムの大規模化を図る。また，これを定常的に運用できるようシステムに実装し、観測されたサイバー攻撃のトレンド変化をリアルタイムで把握できるようにする。また，攻撃ホストの振る舞いを連想ルールマイニングによってルール化する研究を13個のダークネットセンサに適用し、新たな攻撃の予兆をルールベースで検知する新しいシステムを開発する。また、このオンライン学習モデルを開発し、ビッグデータを高速処理できるスキームを構築する。最後に、可視化手法であるt-SNE の高速オンライン学習アルゴリズムを開発し，リアルタイムで攻撃分布の変遷が観測できるシステムの構築を目指す。

Research Products

• [Int'l Joint Research] Paris 13 University/Paris 5 University(France)
  • Country Name: France
  • Counterpart Institution: Paris 13 University/Paris 5 University
• [Int'l Joint Research] University of Ljubljana(Slovenia)
  • Country Name: Slovenia
  • Counterpart Institution: University of Ljubljana
• [Journal Article] Large-scale Cyber Attacks Monitoring Using Evolving Cauchy Possibilistic Clustering (2018)
  • Author(s): Skrjanc Igor、Ozawa Seiichi、Ban Tao、Dovzan Dejan
  • Journal Title: Applied Soft Computing Volume: 62 Pages: 592～601
  • DOI: 10.1016/j.asoc.2017.11.008
  • Peer Reviewed / Int'l Joint Research
• [Journal Article] AI Web-Contents Analyzer for Monitoring Underground Marketplace (2017)
  • Author(s): Kawaguchi Yuki、Yamada Akira、Ozawa Seiichi
  • Journal Title: ICONIP 2017: Neural Information Processing Volume: 1 Pages: 888～896
  • DOI: 10.1007/978-3-319-70139-4_90
  • Peer Reviewed
• [Journal Article] Privacy preserving extreme learning machine using additively homomorphic encryption (2017)
  • Author(s): Kuri Shohei、Hayashi Takuya、Omori Toshiaki、Ozawa Seiichi、Aono Yoshinori、Phong Le Trieu、Wang Lihua、Moriai Shiho
  • Journal Title: Proc. of The 2017 IEEE Symposium Series on Computational Intelligence Volume: 1 Pages: 1350～1357
  • DOI: 10.1109/SSCI.2017.8285190
  • Peer Reviewed
• [Journal Article] Evolving cauchy possibilistic clustering and its application to large-scale cyberattack monitoring (2017)
  • Author(s): Skrjanc Igor、Ozawa Seiichi、Dovzan Dejan、Tao Ban、Nakazato Junji、Shimamura Jumpei
  • Journal Title: Proc. of The 2017 IEEE Symposium Series on Computational Intelligence Volume: 1 Pages: 2833～2839
  • DOI: 10.1109/SSCI.2017.8285203
  • Peer Reviewed / Int'l Joint Research
• [Journal Article] t-Distributed stochastic neighbor embedding spectral clustering (2017)
  • Author(s): Rogovschi Nicoleta、Kitazono Jun、Grozavu Nistor、Omori Toshiaki、Ozawa Seiichi
  • Journal Title: Proc. of 2017 International Joint Conference on Neural Networks Volume: 1 Pages: 1628～1632
  • DOI: 10.1109/IJCNN.2017.7966046
  • Peer Reviewed / Int'l Joint Research
• [Presentation] 機械学習によるサイバーセキュリティとプライバシー保護データマイニングへの取組み (2018)
  • Author(s): 小澤誠一
  • Organizer: NICT サイバーセキュリティシンポジウム
  • Invited
• [Presentation] 人工知能分野における最新の研究・技術動向 (2018)
  • Author(s): 小澤誠一
  • Organizer: データサイエンスセミナー
  • Invited
• [Presentation] なぜ『セキュリティ×機械学習』？ (2018)
  • Author(s): 小澤誠一
  • Organizer: 第45回 SICE知能システムシンポジウム
  • Invited
• [Presentation] Collecting Cybersecurity-related Contents in Dark Web (2018)
  • Author(s): Seiichi Ozawa
  • Organizer: The 2nd Nanyang Technological University and Kobe University Workshop on Data Science and Artificail Intelligence
  • Int'l Joint Research
• [Presentation] 万能でないAIのサイバーセキュリティでの活かし方 (2018)
  • Author(s): 小澤誠一
  • Organizer: AIセキュリティ最前線2018
  • Invited
• [Presentation] Detection of Malicious JavaScript Contents Using Doc2vec Feature Learning (2018)
  • Author(s): Sammie Ndichu Wangar、小澤誠一、三須剛史、岡田晃市郎
  • Organizer: 2018年暗号と情報セキュリティシンポジウム
• [Presentation] AI・機械学習における 各種手法・技術と適用の ポイント・事例 (2017)
  • Author(s): 小澤誠一
  • Organizer: 日本テクノセンターセミナー
  • Invited
• [Presentation] 匿名ネットワークTorにおけるマーケット商品とセキュリティ事件との関連性に関する考察 (2017)
  • Author(s): 川口雄己，山田明，小澤誠一
  • Organizer: 情報処理学会コンピュータセキュリティシンポジウム 2017
• [Presentation] ダークネットトラフィックデータの頻出パターン解析 (2017)
  • Author(s): 橋本直輝，小澤 誠一，班涛，中里純二，島村隼平
  • Organizer: 情報処理学会コンピュータセキュリティシンポジウム 2017
• [Presentation] A Brief Introduction to Data Science Center and Research Topics on Machine Learning for Big Data (2017)
  • Author(s): Seiichi Ozawa
  • Organizer: 2nd Bilateral Workshop on Research Exchange between National Taiwan University and Kobe University
  • Int'l Joint Research / Invited
• [Presentation] Recent Challenges to Cybersecurity and Privacy-Preserving Data Mining Using Machine Learning (2017)
  • Author(s): Seiichi Ozawa
  • Organizer: Nanyang Technological University and Kobe University Workshop on Data Science
  • Int'l Joint Research / Invited
• [Presentation] AI・機械学習の観点からの 次世代セキュリティ (2017)
  • Author(s): 小澤誠一
  • Organizer: 第4回ASF次世代セキュリティシンポジウム
  • Invited
• [Presentation] SNS Flaming Event Detection Based on Sentiment Polarity Prediction with Transfer Learning (2017)
  • Author(s): Seiichi Ozawa
  • Organizer: IEEE/INNS 2017 International Joint Conference on Neural Networks
  • Int'l Joint Research / Invited
• [Presentation] t-Distributed Stochastic Neighbor Embedding based Self Organizing Maps (2017)
  • Author(s): Nicoleta Rogovschi, Nistor Grozavu,Youn`es Bennani, Seiichi Ozawa
  • Organizer: 61st ISI World Statistics Congress
  • Int'l Joint Research
• [Presentation] IoTとサイバーフィジカルシステムを知能化するAI技術の動向 (2017)
  • Author(s): 小澤誠一
  • Organizer: M2M・IoT研究会 関西部会第4回 技術研究講演会
  • Invited