Refinement of Cyberattack Generation Process Model by Using Machine Learning and Domain Knowledge

利用机器学习和领域知识细化网络攻击生成过程模型

• 批准号: 21KK0178
• 负责人: 小澤 誠一
• 金额: $ 12.06万
• 依托单位: Kobe University
• 依托单位国家: 日本
• 项目类别: Fund for the Promotion of Joint International Research (Fostering Joint International Research (B))
• 财政年份: 2021
• 资助国家: 日本
• 起止时间: 2021-10-07 至 2027-03-31
• 项目状态: 未结题
• 来源: https://kaken.nii.ac.jp/grant/KAKENHI-PROJECT-21KK0178/
• 关键词: サイバーセキュリティ; 機械学習; 攻撃生成過程; 悪性サイト検知; 悪性JavaScript検知; 深層学習; 攻撃生成過程モデル; ウェブ媒介型攻撃; DoS攻撃

本研究では、防御側の観測・検知を回避・無効化する攻撃の仕組みなど、ドメイン知識を有する専門家と国際連携体制を築き、観測のみに頼るリアクティブな対策だけでなく、新たな攻撃への予測と迅速な対応を行うプロアクティブなセキュリティ対策の構築を目指している。本年度は海外渡航が不可能であったため、国内チームの吉岡（横国大）、班（NICT）、金、小澤（神戸大）と以下の研究を実施した。1)小澤、班、金は、URL文字列から悪性が疑われるWebサイトのHTMLコンテンツを取得し、それぞれのHTMLタグ階層構造（DOM）をグラフ表現し、それをgraph2vecで埋め込みベクトルに変換して、正規サイトを装うフィッシングサイトを見つける方法を提案した。PhishTankとOpenPhishのフィッシングサイト151件を用いた実験では、80%のフィッシングサイトがクラスタを形成し、これらクラスタが共通してもつ外部リンクから正規サイトを特定したところ、AmazonとFacebookを騙るフィッシングサイト群を見つけた。また、VirusTotalで取得可能なドメインのWhois情報、レビュー情報、DNSレコード、SSL証明書情報などを特徴量として機械学習で悪性判定する方法を提案した。その結果、1550サイトに対し、フィッシングサイトは88%、マルウェアホストサイトは91%の精度で検知できた。2)吉岡は、WarpDrive実証実験に参加している508ユーザが受信したSMS、合計23,133件（良性 22,800件、悪性333件）を調べたところ、SMSを多く受信するユーザが悪性SMSを受信しやすいわけではなく、現時点では、攻撃者はランダムに悪性SMSを送付していることが推測された。また、悪性SMSは深夜と早朝には送られず、午後2時から5時の期間に集中していることがわかった。

The purpose of this research is to test the defense side, to avoid and neutralize it, to attack the official group, and to conduct research on the defensive side.頼るリアクティブな対泽だけでなく、新たなattack撃への Predictedとrapidな対応を行うプロアクティブなセキュリティ対CEのconstruct を目 Refers to している. This year, the overseas ferry is not possible, and the domestic research is conducted by Yoshioka (Yokokuni University), class (NICT), Jin, Ozawa (Kobe University) and the following. 1) Ozawa, Ban, Kim, URL text string, から悪性がquestion, われるWeb サイトのHTML コンテンツをget し, それぞれのHTML タグ hierarchical structure (DOM )をグラフperformanceし、それをgraph2vecでburyめ込みベクトルに変changeして, regular サイトをattire うフィッシングサイトを见つける method をproposal した. PhishTankとOpenPhishのフィッシングサイト151 items Made of いた実験では、80%のフィッシングサイトがクラスタをformed し、これらクラスタが公してもつ External リンクからregular サイトをspecific したところ, Amazon and Facebook are cheating on each other.また、VirusTotalでobtainableなドメインのWhois information, レビューinformation, DN Sレコード, SSL Certificate Information Special Measurement Machine Learning Performance Determination Method Proposal.そのRESULT、1550サイトに対し、フィッシングサイトは8 8%, マルウェアホストサイトは91% accuracy and accuracy. 2) Yoshioka's and WarpDrive's certified 508 trustworthy SMS, a total of 23,133 cases (benign 22,800 pieces, 333 pieces of 悪性) を动べたところ、SMS を多く信するユーザが檪性 SMS を信しやすいわけではなく, present point では, attacker はランダムに悪性 SMS を发出していることが speculate された.また、悪性SMS is sent to you in the middle of the night and in the morning, and it is concentrated during the period of 2:00 and 5:00 in the afternoon.

项目成果

深層学習モデルと勾配ブースティング決定木モデルを用いたユーザなりすまし検知

使用深度学习模型和梯度提升决策树模型进行用户冒充检测

• 发表时间: 2021
• 作者: 土屋 寛途;小澤 誠一;春木 博行;Park Chanho
• 通讯作者: Park Chanho

機械学習を用いた悪性TLS通信の検知と通信特徴の推移に関する考察

使用机器学习检测恶意 TLS 通信并考虑通信特征的变化

• 发表时间: 2022
• 作者: 藤原魁成;小澤誠一;春木博行;Park Chanho
• 通讯作者: Park Chanho

HTMLタグの構造に着目したグラフ畳み込みネットワークによる悪性サイト判定

使用关注 HTML 标签结构的图卷积网络确定恶意站点

• 发表时间: 2021
• 作者: 山本貴巳;Kim Sangwook;班 涛;高橋健志;小澤誠一
• 通讯作者: 小澤誠一

デルフト工科大(オランダ)

代尔夫特理工大学（荷兰）

IoTマルウェアの動的解析におけるC&C通信の機械学習を用いた検出

在物联网恶意软件的动态分析中使用 C&C 通信的机器学习进行检测

• 发表时间: 2022
• 作者: 遠藤祐輝;鮫嶋海地;田辺瑠偉;吉岡克成;松本 勉
• 通讯作者: 松本 勉