| 研究課題/領域番号 |
21K11848
|
|---|
| 研究機関 | 九州工業大学 |
|---|
研究代表者 |
佐藤 彰洋 九州工業大学, 情報基盤センター, 助教 (30609376)
|
|---|
| 研究期間 (年度) |
2021-04-01 – 2024-03-31
|
| キーワード | ネットワークセキュリティ / マルウェア / 暗号化通信 / ドメイン名 / 機械学習 |
|---|
| 研究実績の概要 |
コロナ禍におけるリモートワークの導入を背景に,私物情報端末の業務利用,すなわちBYOD(Bring Your Own Devices)が急速に浸透しつつある.高等教育の場でも,対面と遠隔の両講義を円滑に実施するため,学生個人の端末を必携とするBYOD体制への移行が必須となっている.その一方で,マルウェアに感染済みの端末をキャンパスネットワークに持ち込まれることが大きな課題となる.マルウェアによる通信の検出はブラックリストやレピュテーションに頼ることになるが,それらは誤検出を伴うため管理者による検出原因の調査と特定が必須である.しかしながら,その作業は暗号化通信の普及により困難を極めることとなる.本研究では,悪性と判別された膨大な量の暗号化通信において,その原因の効率的な特定を実現する.本研究の特徴は,悪性と判別された通信の前後には,その原因の特定を助ける通信群が存在することに着目した点にある.これら一連の通信群の特徴に基づくことで原因ごとの分類を,その分類結果と教師データとして保持するマルウェアの悪性通信との類似性を比較することで原因の特定を可能とする.
本研究は核となる3つの技術,(1)不審セッション導出技術,(2)不審セッション分類技術,(3)不審セッション特定技術から成る.当該年度は主に「(1)不審セッション導出技術」の確立に着手した.
不審セッション導出技術は,通信におけるドメインの共起関係を考慮することで,悪性と判別された通信とそれに付随する通信群を不審セッションとして集約する.その技術の有用性を確認するため,九州工業大学のキャンパスネットワークにおいて実証実験を行った.その結果,本技術が通信におけるドメイン間の結び付きを正確に反映することが明らかになった.
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
本研究は核となる3つの技術,(1)不審セッション導出技術,(2)不審セッション分類技術,(3)不審セッション特定技術から成る.当該年度は「(1)不審セッション導出技術」の確立と,次年度の研究の推進に向けた調査に着手した.
不審セッション導出技術は,DNSの名前解決におけるドメイン間の共起関係を利用することで,悪性と判別された通信と結び付きの強い通信群,すなわち同一タスクに起因する通信群を選択する.ここでDNSに着目した理由は,マルウェアによる通信に先んじて名前解決が生じるため両者は密接な関係性を有することに加え,その名前解決先が学内DNSとなるためクエリログから通信内容を取得可能であるが故である.本技術の着想は次の知見,(a)マルウェアによる一連の通信は幾つかのタスクに細分化されること,(b)悪性と判別された通信がマルウェアのタスクの一部によるものである場合,その通信の前後には同一タスクに起因する通信群が存在することから得たものである.それら通信群を考慮に入れることで,原因特定の確度の飛躍的な向上が期待できる.
具体的なアプローチは,通信におけるドメイン間の共起を文章における単語間の共起に帰着できることを踏まえ,ドメインの分散表現の導出を試みる.分散表現は,自然言語処理における単語の意味解析のために考案された技術であり.その代表的なモデルであるWord2Vecは“単語の意味論的相似はそれと共起する周辺語により説明可能”という仮説に基づき,ニューラルネットワークを介して単語と周辺語の関係を学習する.これをドメインに適用することで,通信におけるドメイン間の結び付きの強さを測ることが可能となる.
研究成果を取り纏めたものは,論文誌の投稿中である.次年度に予定している「(2) 不審セッション分類技術」の実現に向けた調査には既に着手済みである.このように,本研究は,概ね計画通りである.
|
| 今後の研究の推進方策 |
当該年度の「(1)不審セッション特定技術」の成果を踏まえ,次年度は不審セッションを原因ごとに分類する技術の確立を目指す.本技術の着想は次の知見,(a)不審セッションはマルウェアの活動の一端を成すタスクと対応付けられること,(b)タスクが担う役割の差異はパケット交換の差異として表れることから得たものである.故に,不審セッションにおけるパケットの外観的特徴を比較することで,その原因の同異を推定することが可能となる.
具体的なアプローチは,不審セッションを成す通信群において,そのパケットのサイズ,送信方向,送信間隔などに加え,暗号化のためのネゴシエーションの特徴を利用する.また,それら通信群を画一的に扱うのではなく,前述の「不審セッション導出技術」における共起関係,すなわち悪性と判別された通信との結び付きの強さを重みとして付与することを検討する.一般的にパケットの外観的特徴に基づく分類では精度の担保が懸念事項となるが,ブラックリストやレピュテーションにより悪性と判別された通信のみに分類対象を限定しているため,その問題を大幅に緩和できると考えている.
|
