Countermeasure for counter machine/deep learning based detection system types of malware exploitation

2020 Fiscal Year Annual Research Report

• Project/Area Number: 19H04108
• Research Institution: Nagoya University
• Principal Investigator: 嶋田 創 名古屋大学, 情報基盤センター, 准教授 (60377851)
• Co-Investigator(Kenkyū-buntansha): 小林 良太郎 工学院大学, 情報学部(情報工学部), 教授 (40324454) ; 山口 由紀子 名古屋大学, 情報基盤センター, 助教 (90239921) ; 長谷川 皓一 名古屋大学, 情報連携推進本部, 助教 (90806051)
• Project Period (FY): 2019-04-01 – 2023-03-31
• Keywords: サイバーセキュリティ / マルウェア / 対・対・対機械学習/深層学習 / 対標的型攻撃 / 攻撃対策情報収集

Outline of Annual Research Achievements

対・対機械学習/深層学習で特定の攻撃のみを透過するマルウェアサンプル生成の研究として、サンプル生成に係わる特徴量の拡張の研究について実施し、国内学術研究会で1件の発表を行った(COVID-19お影響で遅れて2021年度前半)。
特徴量を用いた機械学習/深層学習のマルウェアや悪性通信の検知の研究側の研究として、Gradient Boost Decision Treeを利用したマルウェア/クリーンウェアの2値判別において、学習時にマルウェア検知にカスタム損損失関数を導入して学習することによる検知性能向上を目指す研究、組織内ネットワークの特徴量の継続的な採取とそれを利用した動的な侵入検知システムの識別器のアップデートに関する研究を実施し、査読付き国際学術会議で1件と国内学術会議で4件との発表を行った。
標的型攻撃対策として、本店と支店をまたがる複数拠点間をまたぐ標的型攻撃攻撃対策の研究に関して、拠点間の類似インシデントの確認を利用した攻撃可能性の検知と情報流出の可能性の評価について実施し、国内学術会議で3件の発表を行った。
また、オープンアクセス情報からの攻撃対策情報収集の研究として、オープンアクセス情報から収集した情報と既存の別種の脆弱性情報との類似性による関連付け、および、オープンアクセス情報からのWeb Application Firewallのルール生成の研究を実施し、査読付き学術論文誌に2件と査読付き国際学術会議にて2件の発表を行った。
また、マルウェア送り込みに使われる悪性URLの研究として、国際化ドメイン名の自動リンク処理を悪用して悪性URLへのリンクが生成される可能性について調査し、国内学術会議にて1件発表を行った。

Current Status of Research Progress

3: Progress in research has been slightly delayed.

Reason

COVID-19の影響で研究が停滞し、研究の中心となる「特定のマルウェアのみを通過させる動きをする、中毒攻撃用偽マルウェアサンプル」の研究について、特徴量の検討を行うにとどまったため、やや遅れていると判断した。
一方で、サブテーマとして設定してある、攻撃対象となる機械学習/深層学習を応用したマルウェア検知や悪性通信検知に関する研究、および、派生する攻撃対策情報収集の研究とマルウェア送り込み悪性URLの研究については複数の査読付き学術論文誌発表/査読付き国際学術会議発表/国内学術会議発表/受賞の成果を挙げており、サイバーセキュリティへの機械学習の応用などの知見と関連の成果を出していると言える。

Strategy for Future Research Activity

「特定のマルウェアのみを通過させる中毒攻撃用偽マルウェアサンプル」の生成の遅れが、中毒攻撃用データ検知に関する研究の遅れにつながっているため、一般的な「全マルウェアサンプルに対して検知精度を低下させる中毒攻撃用マルウェア」の混入について検知する研究の推進も平行して実施する。
また、当初の計画通り、派生研究として悪性通信側への中毒攻撃への発展についても推進するとともに、すでに推進中の機械学習/深層学習を応用したマルウェア検知や悪性通信検知の改善、標的型攻撃対策、攻撃対策情報収集、マルウェア送り込み対策についての研究も推進する。

Research Products

• [Journal Article] Identification of Cybersecurity Specific Content Using Different Language Models (2020)
  • Author(s): Mendsaikhan Otgonpurev、Hasegawa Hirokazu、Yamaguchi Yukiko、Shimada Hajime、Bataa Enkhbold
  • Journal Title: Journal of Information Processing Volume: 28 Pages: 623～632
  • DOI: 10.2197/ipsjjip.28.623
• [Journal Article] Quantifying the Significance and Relevance of Cyber-Security Text Through Textual Similarity and Cyber-Security Knowledge Graph (2020)
  • Author(s): Mendsaikhan Otgonpurev、Hasegawa Hirokazu、Yamaguchi Yukiko、Shimada Hajime
  • Journal Title: IEEE Access Volume: 8 Pages: 177041～177052
  • DOI: 10.1109/ACCESS.2020.3027321
• [Presentation] Malware Detection Using Gradient Boosting Decision Trees with Customized Log Loss Function (2021)
  • Author(s): Yun Gao, Hirokazu Hasegawa, Yukiko Yamaguchi, and Hajime Shimada
  • Organizer: In Proceedings of the 35th International Conference on Information Networking (ICOIN2021), pp. 273-278, January 2021,
  • Int'l Joint Research
• [Presentation] 機械学習系マルウェア検知システムへの中毒攻撃データ生成の特徴量空間拡大検討 (2021)
  • Author(s): 蘇思遠, 長谷川皓一, 山口由紀子, 嶋田創
  • Organizer: 情報科学技術フォーラム FIT 2021, L-001, pp. 131-132, 2021年9月.
• [Presentation] 複数拠点ネットワークにおける類似インシデント評価手法の検討 (2021)
  • Author(s): 熊崎真仁, 長谷川皓一, 山口由紀子, 嶋田創, 高倉弘喜
  • Organizer: 電子情報通信学会研究報告, Vol. 120, No. 384, ICSS2020-31, pp. 31-36, 2021年3月.
• [Presentation] インシデント対応策に残存する情報漏洩リスク評価システムの実装 (2021)
  • Author(s): 野田朋宏, 長谷川皓一, 嶋田創, 山口由紀子, 高倉弘喜
  • Organizer: 電子情報通信学会研究報告, Vol. 120, No. 384, ICSS2020-32, pp. 37-42, 2021年3月.
• [Presentation] WAF Signature Generation with Real-Time Information on the Web (2020)
  • Author(s): Masahito Kumazaki, Yukiko Yamaguchi, Hajime Shimada, and Hirokazu Hasegawa
  • Organizer: In Proceeings of the 14th International Conference on Emerging Security Information, Systems and Technologies (SECURWARE 2020), ISBN: 978-1-61208-821-1, pp. 40-45, November 2020.
  • Int'l Joint Research
• [Presentation] Automatic Mapping of Vulnerability Information to Adversary Techniques (2020)
  • Author(s): Otgonpurev Mendsaikhan, Hirokazu Hasegawa, Yukiko Yamaguchi, and Hajime Shimada
  • Organizer: In Proceeings of the 14th International Conference on Emerging Security Information, Systems and Technologies (SECURWARE 2020), ISBN: 978-1-61208-821-1, pp. 53-59, November 2020.
  • Int'l Joint Research
• [Presentation] Gradient Boosting Decision Tree Ensemble Learning for Malware Binary Classification (2020)
  • Author(s): Yun Gao, Hirokazu Hasegawa, Yukiko Yamaguchi, and Hajime Shimada
  • Organizer: コンピュータセキュリティシンポジウム2020, pp. 589-595, 2020年10月
• [Presentation] 国際化ドメイン名の自動リンク処理等におけるセキュリティリスクの検討 (2020)
  • Author(s): 白倉大河, 長谷川皓一, 山口由紀子, 嶋田創
  • Organizer: コンピュータセキュリティシンポジウム2020, pp.29-36, 2020年10月
• [Presentation] 複数拠点におけるインシデント対応支援システムの初期検討 (2020)
  • Author(s): 熊崎真仁, 長谷川皓一, 山口由紀子, 嶋田創, 高倉弘喜
  • Organizer: 電子情報通信学会研究報告, Vol. 120, No. 264, ICSS2020-22, pp. 17-20, 2020年11月.
• [Presentation] 組織内で学習データを採取し定期的に判別器を更新する機械学習ベースのNIDS, (2020)
  • Author(s): 佐藤秀哉, 林はるか, 小林良太郎,
  • Organizer: 情報処理学会研究報告 Vol.2021-CSEC-92, No.58, pp.1-8, 2021年3月
• [Presentation] 機械学習ベースのNIDSにおける動的な判別器生成に関する検討と予備評価, (2020)
  • Author(s): 林はるか, 佐藤秀哉, 小林良太郎,
  • Organizer: 情報処理学会研究報告 Vol.2020-CSEC-91, No.21, pp.1-8, 2020年11月
• [Presentation] 組織内ネットワークにおけるハニーポットを備えた動的な機械学習ベースのNIDSの作成と予備的評価, (2020)
  • Author(s): 佐藤秀哉, 林はるか, 小林良太郎,
  • Organizer: コンピュータセキュリティシンポジウム2020(CSS2020), pp.88-93, 2020年10月
• [Remarks] ネットワークセキュリティ関係の研究
  • URL: https://www.net.itc.nagoya-u.ac.jp/member/shimada/researches/network_security.html
• [Remarks] サイバーセキュリティ関係の研究
  • URL: https://www.net.itc.nagoya-u.ac.jp/member/shimada/researches/cyber_security.html
• [Remarks] ネットワーク関係の研究(攻撃検知用特徴量抽出話あり)
  • URL: https://www.net.itc.nagoya-u.ac.jp/member/shimada/researches/network.html