| 研究課題/領域番号 |
21K11898
|
|---|
| 研究機関 | 防衛大学校(総合教育学群、人文社会科学群、応用科学群、電気情報学群及びシステム工学群) |
|---|
研究代表者 |
三村 守 防衛大学校(総合教育学群、人文社会科学群、応用科学群、電気情報学群及びシステム工学群), 電気情報学群, 准教授 (60815017)
|
|---|
| 研究期間 (年度) |
2021-04-01 – 2026-03-31
|
| キーワード | 機械学習 / 侵入検知 / 自然言語処理 / マルウェア |
|---|
| 研究実績の概要 |
Windowsの実行ファイル形式のマルウェアを対象として、自然言語処理技術で特徴を抽出し、教師あり学習モデルで分類する手法の実用的な精度とスケーラビリティを評価した。実環境では無害なファイルが無数に存在するため、十分な良性サンプルをテストデータに含めて精度を評価する必要がある。検証実験では、テストデータの良性サンプル数を増やすと、徐々に精度が低下することを確認した。したがって、十分な良性サンプルを含まないテストデータで精度を評価している既存研究では、実環境で精度が低下する可能性があることが危惧される。この対策として、訓練データに十分な数の良性サンプルを含めた場合、この精度の低下が緩和されることを確認した。また、この精度の低下を定量的に評価するための新たな指標を提案した。この指標は、他の形式のマルウェアの検知や侵入検知のみならず、あらゆる2値分類のタスクに応用することが可能である。スケーラビリティの評価においては、大量の良性サンプルと悪性サンプルの両方の時系列を考慮して精度を評価した。訓練データとテストデータのサイズを増加させた場合、各々の完了時間は概ね線形増加となり、実用的な運用に差し支えないことを確認した。
PowerShell形式のマルウェアに関しては、自然言語処理技術で特徴を抽出し、教師あり学習モデルで分類する手法に対し、良性サンプルに頻出する特徴を付与して検知を回避する攻撃の影響を評価した。その結果、単純に頻出する特徴を付与するだけで効果があることを確認した。さらに、自己注意機構を用いた検知手法において、分類に貢献した特徴を分析し、これを用いて検知を回避する攻撃について考察した。
JavaScript形式の不正通信に関しては、敵対的生成ネットワークを用いてオーバーサンプリングする手法の精度を評価し、実践的な環境においてある程度の影響はあるものの、必ずしも有効ではないことを確認した。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
精度の低下を定量的に評価するための新たな指標は、他の形式のマルウェアの検知や侵入検知に応用することが可能であり、そのための準備を実施している。また、PowerShell形式のマルウェアにおいて、自己注意機構を用いた検知手法の堅牢性を評価する準備が完了しており、次年度以降はこのモデルに対する回避攻撃の効果を検証する準備が整っている。そのため、概ね順調に進捗しているものと判断できる。
|
| 今後の研究の推進方策 |
精度の低下を定量的に評価するための新たな指標を、他の形式のマルウェアの検知や侵入検知に応用する計画である。これにより、十分な良性サンプルを含まないテストデータで精度を評価している既存研究の課題を指摘し、実環境における精度への影響を評価する。PowerShell形式のマルウェアに関しては、自己注意機構を用いた検知手法に対し、分類に貢献した特徴を用いて検知を回避する攻撃を試行する。
|
| 次年度使用額が生じた理由 |
新型コロナウイルスの感染対策に伴う隔離処置が継続していたため、国際会議等への参加がオンラインとなったため次年度使用額が発生した。次年度使用額は、研究成果を広く周知して公益性を向上させるため、ジャーナルをオープンアクセスにするための費用に充てる。
|
