2020 Fiscal Year Research-status Report
機械学習を用いた悪性ドメイン名検知システムのホワイトボックス化に関する研究
| Project/Area Number |
20K11800
|
|---|
| Research Institution | Waseda University |
|---|
Principal Investigator |
内田 真人 早稲田大学, 理工学術院, 教授 (20419617)
|
|---|
| Project Period (FY) |
2020-04-01 – 2023-03-31
|
| Keywords | 悪性ドメイン名検知 / 判断根拠説明 |
|---|
| Outline of Annual Research Achievements |
機械学習を用いた悪性ドメイン名検知システムのホワイトボックス化、すなわち「検知結果の解釈性」の向上を実現するために、今年度は以下の研究を行った。
(1)ドメイン名を含むインターネット資源に関わる悪性活動の実態について調査した。具体的には、ドメインパーキングを利用するドメイン名について、ドメインパーキングを利用する期間と悪性活動を行う期間の時系列関係について調査した。また、クラウドサービスを悪用するサイバー攻撃の実態や、いかなるエンドユーザにも割り当てられていないにも関わらず経路広告されたIPアドレスの実態について調査した。
(2)インターネット上の悪性活動の解釈性を高めるための可視化手法を提案した。具体的には、新たに検知されたAndroidマルウェアが、既存のAndroidマルウェアやその種別(ファミリ)とどのような関係にあるか、またそれらが時間経過とともにどう変化してきたかを表現することが可能な「Androidマルウェアの家系図」を機械学習を用いて自動作成する手法を提案した。これにより、Androidマルウェアのトレンドの把握やファミリ推定など、検知したAndroidマルウェアに対する解釈性を高めることができるようになった。
(3)人間による判断を悪性活動の検知に反映することができる機械学習の手法について検討した。具体的には、悪性活動の検知に使用する識別モデルの学習に必要なサンプルデータに対してラベルを付与する際に、それを行う人間(アノテータ)の知見を適切に反映するための枠組みを提案した。また、複数ラベルが付与されたサンプルデータを用いた学習についての理論解析を行い、その性能や従来の手法との比較を行った。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
今年度は、インターネット上で行われる悪性活動の実態を調査すると共に、そのような悪性活動を検知した際の解釈性を高める手法について検討した。また、人間による判断を悪性活動の検知に反映することができる機械学習の手法についても検討した。これにより、機械学習を用いた悪性ドメイン名検知システムのホワイトボックス化、すなわち「検知結果の解釈性」の向上を実現するための基礎となる知見や技術が着実に蓄積されつつある。なお、今年度の検討結果については、雑誌論文1件、学会論文5件(国内学会:2件、国際学会:3件)として発表した。また、学会での受賞(2件)という思いがけない成果も得られた。
|
| Strategy for Future Research Activity |
これまでの研究成果を踏まえ、機械学習を用いた悪性ドメイン名検知システムのホワイトボックス化、すなわち「検知結果の解釈性」のさらなる向上を目指す。例えば、説明モデルによる判断根拠の説明を踏まえた識別モデルの再構築や、その前提となる識別モデルや説明モデルの信頼性(あるいは脆弱性)についての検討を行う。得られた成果については、順次、対外発表を行う。
|
| Causes of Carryover |
新型コロナウィルス感染症の流行に伴い、出張を予定していた学会がオンライン開催へと変更されたため、出張のための旅費が不要となった。これにより、次年度使用額が生じた。この金額については、翌年度以降の出張旅費、あるいは、研究に必要となる物品費や人件費・謝金、その他として使用する。
|
