|
機械学習を用いた悪性ドメイン名検知システムのホワイトボックス化(検知結果の解釈性の向上)に向けて以下の研究を行った。(1)ドメイン名を含むインターネット資源に関わる悪性活動の実態を調査した。具体的には、ドメインパーキングを利用するドメイン名について、ドメインパーキングを利用する期間と悪性活動を行う期間の時系列関係を調査した。また、クラウドサービスを悪用するサイバー攻撃の実態や、いかなるエンドユーザにも割り当てられていないにも関わらず経路広告されたIPアドレスの実態について調査した。(2)インターネット上の悪性活動の解釈性を高めるための可視化手法を提案した。具体的には、新たに検知されたAndroidマルウェアが、既存のAndroidマルウェアやその種別(ファミリ)とどのような関係にあるか、またそれらが時間経過とともにどう変化してきたかを表現することが可能な「Androidマルウェアの家系図」を機械学習を用いて自動作成する手法を提案した。(3)機械学習を用いて悪意ある活動を検知する場合、誤検知や見落としが起こり得るため、人間による検証が必要である。説明可能AI(XAI)は、この検証において有用であるが、出力の解釈が難しい。そこで、XAIの出力を特徴量として用いることで、検知結果の信頼性に疑義がある場合には異議を唱える機械学習モデルを提案し、その有用性を明らかにした。(4)機械学習を用いた予測モデルの解釈性を確保するための代表的なアルゴリズムでは、入力データに対する摂動に基づいて予測モデルの出力を説明する。本研究では、この摂動を無効化する手法を提案し、既存の代表的な解釈性アルゴリズムにおける脆弱性を明らかにした。(5)入力に対する微弱な摂動により機械学習モデルの出力を誤らせるという敵対的攻撃について、その動特性の解析、性能評価の検証、防御手法の提案などに関する基礎検討を開始した。
|
