機械学習を用いた標的型攻撃における侵入拡大経路推定に関する研究

基于机器学习的定向攻击入侵扩展路径估计研究

• 批准号: 19K11961
• 负责人: 山口 由紀子
• 金额: $ 2.83万
• 依托单位: Nagoya University
• 依托单位国家: 日本
• 项目类别: Grant-in-Aid for Scientific Research (C)
• 财政年份: 2019
• 资助国家: 日本
• 起止时间: 2019-04-01 至 2024-03-31
• 项目状态: 已结题
• 来源: https://kaken.nii.ac.jp/en/grant/KAKENHI-PROJECT-19K11961/
• 关键词: サイバーセキュリティ; サイバーセキュリテイ

本研究では中規模程度の組織を対象とする標的型攻撃において、インターネットとの接続点に設置したIDSで大量の外向き通信が検知されるなどの情報窃取などの痕跡が発見された時点から組織内部の侵入被害を調査するための手法を提案するものである。本研究では通信の中身（ペイロード）を含まないヘッダ情報を使うことでデータ収集の負荷を軽減し、長期間のデータ収集を可能とする。そこで本研究ではNetFlowによる組織内通信データの収集と感染経路推定を行う。実験ネットワークは、組織内の複数の部署サブネットとサーバセグメントからなるイントラネットから構成され、各サブネットを接続するルータにおいてNetFlowにより通信データを収集してログ収集サーバへ転送するものである。令和2年度までに、部署サブネットやサーバセグメントを各々PC１台に仮想環境を構築して実現し、複数台のPCをルータに接続してイントラネット通信およびインターネット通信が可能な環境を構築した。当該ルータにおいてNetFlowデータを構築して送出し、ログ収集サーバにおいて受信する環境を構築した。しかしながら、令和3年度に行った研究室の引越に伴い、実験ネットワークの移設、再構築が必要となった。移設による機器の動作不良や設置環境の違いに対応するために再構築に予想以上に時間がかかり、予定していた実験が実施できなかった。一方、本研究課題の関連研究として、組織における脅威情報の自動抽出やIDSへの自動登録、機械学習を用いたマルウェア検知システムに関する研究を行い、研究成果の発表を行った。

This study sets up a large number of outbound communication, detection, and information theft traces for medium-scale targeted attacks on organizations, and proposes methods for investigating intrusions within organizations. This study aims to reduce the load of data collection and the possibility of data collection in the long term. In this study, we propose a new approach to NetFlow, which is based on the assumption that the network of communication within the organization is centralized and infective. In order to achieve this goal, a number of deployments within the organization are organized into a network of servers and servers, and each server is connected to the network of NetFlow. In 2002, we deployed a network of servers to build a network environment for each PC, and a network of multiple PCs to build a network communication environment. When the network is in the middle of the network, the network is in the middle of the network In 2013, the Ministry of Science and Technology conducted a study on the relocation and reconstruction of the laboratory. The movement of the machine is bad, the setting of the environment is not correct, the reconstruction is expected, and the above time is not fixed. On the other hand, the related research of this research topic, the automatic extraction of threat information, the automatic registration of IDS, the mechanical learning, the application of threat information, and the development of research results are carried out.

项目成果

インシデント対応策に残存する情報漏洩リスク評価システムの実装

落实事件应对措施中剩余的信息泄露风险评估制度

• 发表时间: 2021
• 作者: 野田朋宏;長谷川皓一;嶋田創;山口由紀子;高倉弘喜
• 通讯作者: 高倉弘喜

Web上のリアルタイム情報を利用したWAFシグネチャ生成の初期検討

利用网络实时信息生成WAF签名的初步研究

• 发表时间: 2020
• 作者: 熊崎真仁;長谷川皓一;山口由紀子;嶋田創
• 通讯作者: 嶋田創

WAF Signature Generation with Real-Time Information on the Web

利用 Web 上的实时信息生成 WAF 签名

• 发表时间: 2020
• 作者: Masahito Kumazaki;Yukiko Yamaguchi;Hajime Shimada;Hirokazu Hasegawa
• 通讯作者: Hirokazu Hasegawa

Malware Detection using Attributed CFG Generated by Pre-trained Language Model with Graph Isomorphism Network

使用由带有图同构网络的预训练语言模型生成的属性 CFG 进行恶意软件检测

• 发表时间: 2022
• 作者: Yun Gao;Hasegawa Hirokazu;Yamaguchi Yukiko;Shimada Hajime
• 通讯作者: Shimada Hajime

Malware Detection Using Gradient Boosting Decision Trees with Customized Log Loss Function

使用具有定制日志损失函数的梯度提升决策树进行恶意软件检测

• 发表时间: 2021
• 作者: Yun Gao;Hirokazu Hasegawa;Yukiko Yamaguchi;Hajime Shimada
• 通讯作者: Hajime Shimada