Refinement of Cyberattack Generation Process Model by Using Machine Learning and Domain Knowledge

利用机器学习和领域知识细化网络攻击生成过程模型

• 批准号: 21KK0178
• 负责人: 小澤 誠一
• 金额: $ 12.06万
• 依托单位: Kobe University
• 依托单位国家: 日本
• 项目类别: Fund for the Promotion of Joint International Research (Fostering Joint International Research (B))
• 财政年份: 2021
• 资助国家: 日本
• 起止时间: 2021-10-07 至 2027-03-31
• 项目状态: 未结题
• 来源: https://kaken.nii.ac.jp/grant/KAKENHI-PROJECT-21KK0178/
• 关键词: サイバーセキュリティ; 機械学習; 攻撃生成過程; 悪性サイト検知; 悪性JavaScript検知; 深層学習; 攻撃生成過程モデル; ウェブ媒介型攻撃; DoS攻撃

本研究では、防御側の観測・検知を回避・無効化する攻撃の仕組みなど、ドメイン知識を有する専門家と国際連携体制を築き、観測のみに頼るリアクティブな対策だけでなく、新たな攻撃への予測と迅速な対応を行うプロアクティブなセキュリティ対策の構築を目指している。本年度は海外渡航が不可能であったため、国内チームの吉岡（横国大）、班（NICT）、金、小澤（神戸大）と以下の研究を実施した。1)小澤、班、金は、URL文字列から悪性が疑われるWebサイトのHTMLコンテンツを取得し、それぞれのHTMLタグ階層構造（DOM）をグラフ表現し、それをgraph2vecで埋め込みベクトルに変換して、正規サイトを装うフィッシングサイトを見つける方法を提案した。PhishTankとOpenPhishのフィッシングサイト151件を用いた実験では、80%のフィッシングサイトがクラスタを形成し、これらクラスタが共通してもつ外部リンクから正規サイトを特定したところ、AmazonとFacebookを騙るフィッシングサイト群を見つけた。また、VirusTotalで取得可能なドメインのWhois情報、レビュー情報、DNSレコード、SSL証明書情報などを特徴量として機械学習で悪性判定する方法を提案した。その結果、1550サイトに対し、フィッシングサイトは88%、マルウェアホストサイトは91%の精度で検知できた。2)吉岡は、WarpDrive実証実験に参加している508ユーザが受信したSMS、合計23,133件（良性 22,800件、悪性333件）を調べたところ、SMSを多く受信するユーザが悪性SMSを受信しやすいわけではなく、現時点では、攻撃者はランダムに悪性SMSを送付していることが推測された。また、悪性SMSは深夜と早朝には送られず、午後2時から5時の期間に集中していることがわかった。

This study is aimed at establishing a national and international connectivity system for detecting, detecting, avoiding and preventing attacks on the defense side, and providing guidance for the construction of a new attack prediction strategy. This year, the following research projects were carried out: Overseas navigation is impossible, domestic immigration is Yoshioka (Yokohama National University), Ban (NICT), Jin, Ozawa (Kobe University) 1)Ozawa, Ban, Jin, URL text string to change the nature of the query Web server HTML content to obtain, to change the HTML hierarchy structure (DOM) to change the expression, to change the graph2vec, to change the regular web server to change the method. PhishTank and OpenPhish have 151 applications, 80% of which have been formed, and 80% of which have been formed. In addition, VirusTotal proposes a method to obtain possible Whois information, URL information, DNS URL, SSL certificate information, etc., and use machine learning to determine the validity. The results were 1550 percent accurate, 88 percent accurate, 91 percent accurate. 2)Yoshioka and WarpDrive have successfully participated in 508 SMS messages received, totaling 23,133 (benign 22,800, and sexual 333). The SMS is sent late at night and early in the morning, and concentrated during the period from 2:00 p.m. to 5:00 p.m.

项目成果

深層学習モデルと勾配ブースティング決定木モデルを用いたユーザなりすまし検知

使用深度学习模型和梯度提升决策树模型进行用户冒充检测

• 发表时间: 2021
• 作者: 土屋 寛途;小澤 誠一;春木 博行;Park Chanho
• 通讯作者: Park Chanho

機械学習を用いた悪性TLS通信の検知と通信特徴の推移に関する考察

使用机器学习检测恶意 TLS 通信并考虑通信特征的变化

• 发表时间: 2022
• 作者: 藤原魁成;小澤誠一;春木博行;Park Chanho
• 通讯作者: Park Chanho

HTMLタグの構造に着目したグラフ畳み込みネットワークによる悪性サイト判定

使用关注 HTML 标签结构的图卷积网络确定恶意站点

• 发表时间: 2021
• 作者: 山本貴巳;Kim Sangwook;班 涛;高橋健志;小澤誠一
• 通讯作者: 小澤誠一

デルフト工科大(オランダ)

代尔夫特理工大学（荷兰）

IoTマルウェアの動的解析におけるC&C通信の機械学習を用いた検出

在物联网恶意软件的动态分析中使用 C&C 通信的机器学习进行检测

• 发表时间: 2022
• 作者: 遠藤祐輝;鮫嶋海地;田辺瑠偉;吉岡克成;松本 勉
• 通讯作者: 松本 勉