| 研究課題/領域番号 |
24500173
|
|---|
| 研究種目 |
基盤研究(C)
|
| 研究機関 | 神戸大学 |
|---|
研究代表者 |
小澤 誠一 神戸大学, 工学(系)研究科(研究院), 教授 (70214129)
|
|---|
| 研究分担者 |
安藤 類央 独立行政法人情報通信研究機構, その他部局等, 研究員 (30446596)
|
|---|
| 研究期間 (年度) |
2012-04-01 – 2015-03-31
|
| キーワード | 機械学習 / インターネットセキュリティ / パターン認識 / 特徴選択 / パケット解析 / 行動推定 |
|---|
| 研究概要 |
本研究では,悪意をもって送り込まれるマルウェアの感染を従来のアンチウィルスソフトでは完全に防げないことを前提とし,感染後,ただちに感染を検出・分類する学習型マルウェア検出・分類システムの開発を行う.これに対し,本年度では「観測データの採取」「正規化・特徴変換」「特徴選択・抽出」「マルウェア検出」の4つのパートの開発に着手した.開発したシステムにおいて,まず擬似仮想メモリのダンプをテキスト化し,そこからライブラリの情報やレジストリ・アクセス情報などをn-gramを用いて抽出した.そして,マルウェア検出・分類に関連する文字列を選択的に抽出し,特徴量への変換と正規化,特徴選択を行った後,最近傍法によるマルウエア判定を行った.その結果,採取したメモリダンプデータに対しては98%を超える判定率が得られた.しかしながら,メモリダンプデータの容量は大きく,継続的にデータを蓄積することが難しいため,実用に耐えうるマルウェア検出性能を検証できたわけではない.
これとは異なるアプローチとして,ネットワークに流れるパケット情報を解析し,ユーザの行動推定を行う試みも行った.例えば,ボット感染したブラウザの中には,ユーザの意思とは異なるサイトをアクセスたりするものがある.このような場合,ユーザの行動パターンを正しく推定できれば,ボット感染による振る舞いパターンと区別できるようになり,ボット感染を検知できる可能性がある.これに対し,本年度では,Wire Sharkと呼ばれるパケット解析ツールでパケットデータをリアルタイム取得し,特徴変換と特徴選択を行った後,最近傍法を用いた行動推定を行った.4人のユーザから約300万パケットを採取し,このうち約50万パケットを用いて最近傍法の参照ベクトルを求めた.行動として仕事,娯楽,休憩の3つの行動を推定する問題に対し,最高で68%程度の推定精度が得られた.
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
3: やや遅れている
理由
交付申請書で述べた擬似仮想メモリダンプを用いたマルウェア検知手法では,1検体のデータ容量が数10GBになり,訓練データおよびテストデータを十分に収集することが難しい.これに加え,最近のマルウェアはVM aware malwareと呼ばれるタイプが多く,仮想マシンで活動させてデータを採取しようとしても,仮想マシンを認識して休眠してしまうものが多い.このため,採取可能なマルウェアの活動データが限られてしまう問題が明らかになった.このことから,当初予定していた擬似仮想メモリダンプを用いたマルウェア検知手法を根本的に見直す必要が出たため,研究の達成スピードがやや遅くなってしまった.
|
| 今後の研究の推進方策 |
交付申請書で述べた擬似仮想メモリダンプを用いたマルウェア検知手法の開発は上記問題の解決策が見つかるまで中断し,パケット解析に基づいた行動推定および悪意あるサイトに誘導するスパムメールの判定方法の開発を行う.
|
| 次年度の研究費の使用計画 |
(独)情報通信研究機構とは,悪意あるサイトに誘導するスパムメールの判定方法の開発に関して研究協力を行うことになっている.この研究協力を密に行うため,打合わせ回数を増やす予定であり,本年度使用しなかった研究費はこの旅費として使用する.また,インターネットセキュリティに関する国際会議に出席して情報収集を行うための旅費としても使用する.
|
