追加学習とアクティブ学習を導入した学習型マルウェア検出・分類システムの開発

2013 Fiscal Year Research-status Report

• Project/Area Number: 24500173
• Research Institution: Kobe University
• Principal Investigator: 小澤 誠一 神戸大学, 工学(系)研究科(研究院), 教授 (70214129)
• Co-Investigator(Kenkyū-buntansha): 安藤 類央 独立行政法人情報通信研究機構, その他部局等, 研究員 (30446596)
• Keywords: サイバーセキュリティ / 機械学習 / マルウェア検知 / ダークネットトラフィック解析 / スパムメール悪性度判定

Research Abstract

本研究では，悪意をもって送り込まれるマルウェアの感染を，従来のアンチウィルスソフトでは完全に防げないことを前提とし，その感染を検出・分類する学習型マルウェア検出・分類システムの開発を目指している．平成25年においては，以下の３つの課題に取り組み，システム開発を行った．
①ドライブバイダウンロードなど悪意あるサイトに誘導するスパムメールの悪性度判定を行うシステムを情報通信研究機構と共同開発した．このシステムでは，使われなくなったメールアドレスへの跳ね返りメールを自動収集し，これらに対して，クローリングと機械学習手法を適用して，新しいスパムメールの悪性度を判定する．2013年3月から8月までに収集されたスパムメールに対し，平均で79%程度の正答率が得られた．
②インターネットの/20サブネットの脆弱性判定を行うため，ダークネットで観測される通信トラフィックの特徴からマルウェアによる攻撃パターンの分類を試みた．送信元や送信先のユニークIP数やパケット数などを通信トラフィックの特徴量とし，2013年1月にダークネットIPアドレスに届いたパケットデータ（約68万7千パケット）に対して階層クラスタリングを行った結果，4つのクラスタに分類できた．
③DDoS攻撃の跳ね返りパケットであるバックスキャッタの判定を行うシステムを開発した．ダークネットで観測されたパケットデータをホストごとに分割し，短時間に観測されたパケットから送信元や送信先のポート数，パケット数などを特徴として，サポートベクトルマシンによるバックスキャッタ判定を行った． NICT のダークネットに送信された2013年7 月1 日から2013 年7 月31 日までの約1ヶ月分のパケットデータを用いた実験では，80番ポートから送信されたTCPパケットに対して，約90.3%の正答率を得た．

Current Status of Research Progress

3: Progress in research has been slightly delayed.

Reason

平成24度において，共同研究者と連絡が取れなくなったため，当初計画していた共同研究が予定通りには進まなかった．このため，平成25年度はNICTの他の研究者に研究協力者となって頂き，当初計画していた研究とは少し異なるアプローチで研究を進めた．平成25年度の研究は順調に進んだが，2年間における研究成果としては，当初予定していたレベルには至っておらず，やや遅れ気味とした．

Strategy for Future Research Activity

平成25年度において実施した3つの課題について進め，ユーザレベルでのマルウェア感染リスクの軽減，ダークネット通信トラフィック解析に基づくネットワークの脆弱性判定およびマルウェア感染の早期発見を行うことを目標とする．来年度が研究計画の最終年度であるため，上記3つの課題に対して，実用化が可能なプロトタイプシステムの完成を目指す．

Expenditure Plans for the Next FY Research Funding

情報通信研究機構(NICT)との共同研究で使用するデータをNICTから持ち出して使用できないことになり，NICTのサーバーをリモートで使用し，データ処理を行うことになった．このため，本予算で購入予定であったシステム開発用計算機に要求されるスペックが下がり，低価格の計算機で間にあったため，物品費が余った．
本研究課題の最終年度となるため，NICTとの研究打ち合わせを頻繁に行う必要がある．また，成果発表を国内外の会議で３～４回は行う予定である．このための旅費が当初計画より大目に必要となるため，これに充当する．

Research Products

• [Journal Article] Incremental Two-dimensional Kernel Principal Component Analysis (2014)
  • Author(s): Yonghwa Choi, Seiichi Ozawa, and Minho Lee
  • Journal Title: Neurocomputing Volume: 134 Pages: 280-288
  • DOI: 10.1016/j.neucom.2013.08.045
  • Peer Reviewed
• [Journal Article] An Incremental Linear Discriminant Analysis for Data Streams Under Non-stationary Environment (2014)
  • Author(s): A. A. Joseph, Y.-M. Jang, S. Ozawa, and M. Lee
  • Journal Title: Trans. of Institute of Systems, Control and Information Engineers Volume: 27 (4) Pages: 133-140
  • Peer Reviewed
• [Journal Article] A Robust Incremental Principal Component Analysis for Feature Extraction from Stream Data with Missing Values (2013)
  • Author(s): D. Aoki, T. Omori, and S. Ozawa
  • Journal Title: Proc. Int. Joint Conf. on Neural Networks 2013 Volume: 1 Pages: 1-8
  • DOI: 10.1109/IJCNN.2013.6706771
  • Peer Reviewed
• [Journal Article] A Neural Network Model for Online Multi-Task Multi-Label Pattern Recognition (2013)
  • Author(s): D. Higuchi and S. Ozawa
  • Journal Title: Artificial Neural Networks and Machine Learning – ICANN 2013 Volume: 1 Pages: 162-169
  • DOI: 10.1007/978-3-642-40728-4_21
  • Peer Reviewed
• [Journal Article] A Neural Network Model for Large-Scale Stream Data Learning Using Locally Sensitive Hashing (2013)
  • Author(s): A. Ali Siti Hajar, K. Fukase, and S. Ozawa
  • Journal Title: Neural Information Processing Volume: 1 Pages: 369-376
  • DOI: 10.1007/978-3-642-42054-2_46
  • Peer Reviewed
• [Presentation] ダークネットトラフィックデータ解析によるサブネットの分類に関する研究 (2014)
  • Author(s): 西風宗典，小澤誠一，班 涛，中里純二，島村隼平
  • Organizer: 第58回システム制御情報学会研究発表講演会
  • Place of Presentation: 京都テルサ
  • Year and Date: 20140521-20140523
• [Presentation] ダークネットパケットに対するDDoS攻撃によるバックスキャッター判定に関する研究 (2014)
  • Author(s): 古谷暢章，班 涛，中里純二，島村隼平，小澤誠一
  • Organizer: 第58回システム制御情報学会研究発表講演会
  • Place of Presentation: 京都テルサ
  • Year and Date: 20140521-20140523
• [Presentation] スパムメールに対するオンライン悪性度判定システムの開発 (2014)
  • Author(s): 多田隼輔，中里純二，班 涛，小澤誠一
  • Organizer: 2014年暗号と情報セキュリティーシンポジウム
  • Place of Presentation: 城山観光ホテル
  • Year and Date: 20140121-20140124
• [Presentation] ダブルバウンス・スパムメールの悪性度判定とオンライン学習への拡張 (2013)
  • Author(s): 多田隼輔，班 涛，中里純二，小澤誠一
  • Organizer: 第6回NICTERプロジェクトワークショップ
  • Place of Presentation: ABC貸会議室
  • Year and Date: 20131122-20131122
• [Presentation] ダークネットトラフィックデータの解析による サブネットの脆弱性判定に関する研究 (2013)
  • Author(s): 西風宗典，班涛，小澤誠一
  • Organizer: コンピュータセキュリティシンポジウム 2013
  • Place of Presentation: かがわ国際会議場
  • Year and Date: 20131021-20131023
• [Presentation] トラフィック観測による行動認識に関する研究 (2013)
  • Author(s): 西風宗典，多田隼輔，小澤誠一
  • Organizer: 第57回システム制御情報学会研究発表講演会
  • Place of Presentation: 兵庫県民会館
  • Year and Date: 20130516-20130517