| ネットワークセキュリティ関係の研究 |
新規のサイバー攻撃が続出している現状を踏まえ、通常通信を定義してそれから外れたものを攻撃と判断する、アノマリ検知について複数の研究を実施した。ある研究においては、時系列で分割された通信特徴量に対し、先行する時系列の通信特徴量から生成したOC-SVMによる識別器に対し、後続の時系列における通信を評価させる方式の研究を実施した。この方式により、通常通信のみから作成した識別器による攻撃の検知、および、既知攻撃と通常通信から作成した識別器による既存攻撃と未知攻撃の分類の2種類の検知を実現した。また、通信のTCPセッションをグリッド分割で複数のクラスタに分割し、不自然なセッション遷移に対して高スコアをつける遷移スコアがアルゴリズムを開発した。いずれの方法も、誤検知率を押さえつつ高い検知率を達成した。
Shohei Araki, Yukiko Yamaguchi, Hajime Shimada, and Hiroki Takakura, "Unknown Attack Detection by Multistage One-Class SVM Focusing on Communication Interval," The 2014 Cybersecurity Data Mining Competition and Workshop, Neural Information Processing Lecture Notes in Computer Science, Vol. 8836, pp. 325-332, Kuala Lumpur / Malaysia, October 2014.
新規マルウェア、および、標的型攻撃などの時間をかける攻撃で用いられるシーケンシャルマルウェア解析など、緊急度の高いマルウェアの同定に注力した。ある研究においては、マルウェアが生成する通信のTCPセッションに対してクラスタリングを行った後、クラスタシーケンスをもとにマルウェアを分類することにより、既存のマルウェアファミリのマルウェアもしくは新規マルウェアと同定する方法を実施した。さらに、判定精度と判定処理にかかる計算量を削減するため、クラスタシーケンスの解析に対するfuzzy hashingの利用と、マルウェアバイナリに対するfuzzy hashingの併用を試み、解析精度の向上を確認した。
Shohei Hiruta, Yukiko Yamaguchi, Hajime Shimada, and Hiroki Takakura, "Evaluation on Malware Classification by Combining Traffic Analysis and Fuzzy Hashing of Malware Binary," In Proceedings of the 2015 International Conference on Security and Management (SAM'15), pp. 89-95, Las Vegas / USA, July 2015.
標的型攻撃などの高度なサイバー攻撃に使われる Remote Administration Trojan型マルウェアの多くは、 感染後にC&C(Commannd and Communication)と呼ばれるサーバに接続して、 攻撃者からの操作を受け付ける動作を行う。 このC&C通信は、以前はIRCその他の独自プロトコルなど、 一般的な業務では用いられないプロトコルを利用していたため、 識別が容易であったが、近年ではHTTP/HTTPSを利用する物が多く、 中にはSNSなどのサービスをC&C通信として利用するRATも存在する。 本研究では、HTTP/HTTPSを利用するC&C通信を検出するため、 HTTPリクエスト/レスポンスペアという特徴量を定義して 異常通信検知を行うことにより、HTTP/HTTPSベースの C&C通信の検出を改善した。 なお、HTTPS側においては、TLSハンドシェイクにおける RATならではの特徴的な動作(Cipher Suite指定を省く、TLS version指定が古い)などを 特徴量にも利用している。
Paul Calderon, Hirokazu Hasegawa, Yukiko Yamaguchi, and Hajime Shimada,
"Malware Detection Based on HTTPS Characteristic via Machine Learning (poster),"
In Proceedings of the 4th International Conference on Information Systems Security and Privacy (ICISSP 2018), pp. 410-417, Funchal / Portugal, January 2018.
Hideki Ogawa, Yukiko Yamaguchi, Hajime Shimada, Hiroki Takakura, Mitsuaki Akiyama, and Takeshi Yagi,
"Malware Originated HTTP Traffic Detection Utilizing Cluster Appearance Ratio,"
In Proceedings of the 31st International Conference on Information Networking (ICOIN2017), pp. 248-253, Da Nang / Vietnam, January 2017.
