追加学習とアクティブ学習を導入した学習型マルウェア検出・分類システムの開発

2012 Fiscal Year Research-status Report

• Project/Area Number: 24500173
• Research Category: Grant-in-Aid for Scientific Research (C)
• Research Institution: Kobe University
• Principal Investigator: 小澤 誠一 神戸大学, 工学(系)研究科(研究院), 教授 (70214129)
• Co-Investigator(Kenkyū-buntansha): 安藤 類央 独立行政法人情報通信研究機構, その他部局等, 研究員 (30446596)
• Project Period (FY): 2012-04-01 – 2015-03-31
• Keywords: 機械学習 / インターネットセキュリティ / パターン認識 / 特徴選択 / パケット解析 / 行動推定

Research Abstract

本研究では，悪意をもって送り込まれるマルウェアの感染を従来のアンチウィルスソフトでは完全に防げないことを前提とし，感染後，ただちに感染を検出・分類する学習型マルウェア検出・分類システムの開発を行う．これに対し，本年度では「観測データの採取」「正規化・特徴変換」「特徴選択・抽出」「マルウェア検出」の４つのパートの開発に着手した．開発したシステムにおいて，まず擬似仮想メモリのダンプをテキスト化し，そこからライブラリの情報やレジストリ・アクセス情報などをn-gramを用いて抽出した．そして，マルウェア検出・分類に関連する文字列を選択的に抽出し，特徴量への変換と正規化，特徴選択を行った後，最近傍法によるマルウエア判定を行った．その結果，採取したメモリダンプデータに対しては98%を超える判定率が得られた．しかしながら，メモリダンプデータの容量は大きく，継続的にデータを蓄積することが難しいため，実用に耐えうるマルウェア検出性能を検証できたわけではない．
これとは異なるアプローチとして，ネットワークに流れるパケット情報を解析し，ユーザの行動推定を行う試みも行った．例えば，ボット感染したブラウザの中には，ユーザの意思とは異なるサイトをアクセスたりするものがある．このような場合，ユーザの行動パターンを正しく推定できれば，ボット感染による振る舞いパターンと区別できるようになり，ボット感染を検知できる可能性がある．これに対し，本年度では，Wire Sharkと呼ばれるパケット解析ツールでパケットデータをリアルタイム取得し，特徴変換と特徴選択を行った後，最近傍法を用いた行動推定を行った．4人のユーザから約300万パケットを採取し，このうち約50万パケットを用いて最近傍法の参照ベクトルを求めた．行動として仕事，娯楽，休憩の3つの行動を推定する問題に対し，最高で68%程度の推定精度が得られた．

Current Status of Research Progress

3: Progress in research has been slightly delayed.

Reason

交付申請書で述べた擬似仮想メモリダンプを用いたマルウェア検知手法では，１検体のデータ容量が数10GBになり，訓練データおよびテストデータを十分に収集することが難しい．これに加え，最近のマルウェアはVM aware malwareと呼ばれるタイプが多く，仮想マシンで活動させてデータを採取しようとしても，仮想マシンを認識して休眠してしまうものが多い．このため，採取可能なマルウェアの活動データが限られてしまう問題が明らかになった．このことから，当初予定していた擬似仮想メモリダンプを用いたマルウェア検知手法を根本的に見直す必要が出たため，研究の達成スピードがやや遅くなってしまった．

Strategy for Future Research Activity

交付申請書で述べた擬似仮想メモリダンプを用いたマルウェア検知手法の開発は上記問題の解決策が見つかるまで中断し，パケット解析に基づいた行動推定および悪意あるサイトに誘導するスパムメールの判定方法の開発を行う．

Expenditure Plans for the Next FY Research Funding

（独）情報通信研究機構とは，悪意あるサイトに誘導するスパムメールの判定方法の開発に関して研究協力を行うことになっている．この研究協力を密に行うため，打合わせ回数を増やす予定であり，本年度使用しなかった研究費はこの旅費として使用する．また，インターネットセキュリティに関する国際会議に出席して情報収集を行うための旅費としても使用する．

Research Products

• [Journal Article] A Sequential Multitask Learning Algorithm for Pattern Recognition (2012)
  • Author(s): T. Takata, D. Higuchi, and S. Ozawa
  • Journal Title: Proc. IEEE Int. Conf. on Development and Learning and Epigenetic Robotics Volume: 1 Pages: 1-2
  • DOI: 10.1109/DevLrn.2012.6400827
  • Peer Reviewed
• [Journal Article] Extension of Incremental Linear Discriminant Analysis to Online Feature Extraction under Nonstationary Environments (2012)
  • Author(s): A. A. Joseph, Y.-M. Jang, S. Ozawa, and M. Lee
  • Journal Title: ICONIP 2012, LNCS 7664 Volume: 2 Pages: 640–647
  • DOI: 10.1007/978-3-642-34481-7_78
  • Peer Reviewed
• [Journal Article] A Sequential Multi-task Learning Neural Network with Metric-Based Knowledge Transfer (2012)
  • Author(s): S. Yue and S. Ozawa
  • Journal Title: Proc. 11th Int. Conf. on Machine Learning and Applications Volume: 1 Pages: 671-674
  • DOI: 10.1109/ICMLA.2012.125
  • Peer Reviewed
• [Presentation] トラフィック観測による行動認識に関する研究 (2013)
  • Author(s): 西風宗典，多田隼輔，小澤誠一
  • Organizer: 第57回システム制御情報学会研究発表講演会
  • Place of Presentation: 兵庫県民会館
  • Year and Date: 20130516-20130517
• [Presentation] 追加学習型主成分分析の高速化と顔画像認識への応用 (2012)
  • Author(s): 青木大二郎，小澤誠一
  • Organizer: 電子情報通信学会 ニューロコンピューティング研究会
  • Place of Presentation: 沖縄科学技術大学院大学
  • Year and Date: 20120628-20120629