Refinement of Cyberattack Generation Process Model by Using Machine Learning and Domain Knowledge

利用机器学习和领域知识细化网络攻击生成过程模型

• 批准号: 21KK0178
• 负责人: 小澤 誠一
• 金额: $ 12.06万
• 依托单位: Kobe University
• 依托单位国家: 日本
• 项目类别: Fund for the Promotion of Joint International Research (Fostering Joint International Research (B))
• 财政年份: 2021
• 资助国家: 日本
• 起止时间: 2021-10-07 至 2027-03-31
• 项目状态: 未结题
• 来源: https://kaken.nii.ac.jp/grant/KAKENHI-PROJECT-21KK0178/
• 关键词: サイバーセキュリティ; 機械学習; 攻撃生成過程; 悪性サイト検知; 悪性JavaScript検知; 深層学習; 攻撃生成過程モデル; ウェブ媒介型攻撃; DoS攻撃

本研究では、防御側の観測・検知を回避・無効化する攻撃の仕組みなど、ドメイン知識を有する専門家と国際連携体制を築き、観測のみに頼るリアクティブな対策だけでなく、新たな攻撃への予測と迅速な対応を行うプロアクティブなセキュリティ対策の構築を目指している。本年度は海外渡航が不可能であったため、国内チームの吉岡（横国大）、班（NICT）、金、小澤（神戸大）と以下の研究を実施した。1)小澤、班、金は、URL文字列から悪性が疑われるWebサイトのHTMLコンテンツを取得し、それぞれのHTMLタグ階層構造（DOM）をグラフ表現し、それをgraph2vecで埋め込みベクトルに変換して、正規サイトを装うフィッシングサイトを見つける方法を提案した。PhishTankとOpenPhishのフィッシングサイト151件を用いた実験では、80%のフィッシングサイトがクラスタを形成し、これらクラスタが共通してもつ外部リンクから正規サイトを特定したところ、AmazonとFacebookを騙るフィッシングサイト群を見つけた。また、VirusTotalで取得可能なドメインのWhois情報、レビュー情報、DNSレコード、SSL証明書情報などを特徴量として機械学習で悪性判定する方法を提案した。その結果、1550サイトに対し、フィッシングサイトは88%、マルウェアホストサイトは91%の精度で検知できた。2)吉岡は、WarpDrive実証実験に参加している508ユーザが受信したSMS、合計23,133件（良性 22,800件、悪性333件）を調べたところ、SMSを多く受信するユーザが悪性SMSを受信しやすいわけではなく、現時点では、攻撃者はランダムに悪性SMSを送付していることが推測された。また、悪性SMSは深夜と早朝には送られず、午後2時から5時の期間に集中していることがわかった。

This study で は, defensive side の 観 measurement, 検 know を avoidance, relacing す unseen attack る shock の blackstone group み な ど, ド メ イ ン knowledge を す る 専 door home と international system built き を link-up, 観 の み に 頼 る リ ア ク テ ィ ブ な policy だ seaborne け で な く, new た な tapping shock へ の be と quickly な 応 seaborne を line う プ ロ ア ク テ ィ ブ な セ キ ュ リ テ ィ policy の seaborne build を refers し Youdaoplaceholder0 て る. This year, overseas voyages are が impossible であったため, domestic are チ チ ム ム, <s:1> yoshigoe (Yokokuniku University), ban (NICT), Kim, and ozawa (Kobe University) と, and the following <s:1> research を implementation is た. 1) Mr Ozawa, class, gold は, URL text columns か ら 悪 sex が suspected わ れ る Web サ イ ト の HTML コ ン テ ン ツ を obtain し, そ れ ぞ れ の HTML タ グ class structure (DOM) を グ ラ フ し, そ れ を graph2vec で buried め 込 み ベ ク ト ル に variations in し て, formal サ イ ト を outfit う フ ィ ッ シ ン グ サ イ ト を Youdaoplaceholder0 ける method を proposal た た. PhishTank と OpenPhish の フ ィ ッ シ ン グ サ イ ト 151 を with い た be 験 で は, 80% の フ ィ ッ シ ン グ サ イ ト が ク ラ ス タ を し, こ れ ら ク ラ ス タ が common し て も つ external リ ン ク か ら formal サ イ ト を specific し た と こ ろ, Amazon と Facebook を cheat る フ ィ Youdaoplaceholder0 グサ グサ ト ト ト group を see を けた けた. ま た, VirusTotal で made possible な ド メ イ ン の Whois information, レ ビ ュ ー intelligence, DNS レ コ ー ド intelligence, SSL certificate な ど を, 徴 quantity と し て rote learning で 悪 deciding す る method proposed を し た. そ の results, 1550 サ イ ト に し, seaborne フ ィ ッ シ ン グ サ イ ト は 88%, マ ル ウ ェ ア ホ ス ト サ イ ト は 91% の precision で 検 know で き た. 2) Yoshigoe and WarpDrive 's actual evidence and experience に participated in て る る508ユ ザが ザが trusted たSMS, totaling 23,133 cases (benign) 22800, 333) を 悪 sex べ た と こ ろ, SMS を く trusted す る ユ ー ザ が 悪 sex SMS を trusted し や す い わ け で は な く, current で は, tapping shock は ラ ン ダ ム に 悪 sex send SMS を pay し て い る こ と が speculation さ れ た. ま た, 悪 SMS は late-night と toward early に は send ら れ ず at 2, afternoon か ら 5 に concentration during の し て い る こ と が わ か っ た.

项目成果

深層学習モデルと勾配ブースティング決定木モデルを用いたユーザなりすまし検知

使用深度学习模型和梯度提升决策树模型进行用户冒充检测

• 发表时间: 2021
• 作者: 土屋 寛途;小澤 誠一;春木 博行;Park Chanho
• 通讯作者: Park Chanho

機械学習を用いた悪性TLS通信の検知と通信特徴の推移に関する考察

使用机器学习检测恶意 TLS 通信并考虑通信特征的变化

• 发表时间: 2022
• 作者: 藤原魁成;小澤誠一;春木博行;Park Chanho
• 通讯作者: Park Chanho

HTMLタグの構造に着目したグラフ畳み込みネットワークによる悪性サイト判定

使用关注 HTML 标签结构的图卷积网络确定恶意站点

• 发表时间: 2021
• 作者: 山本貴巳;Kim Sangwook;班 涛;高橋健志;小澤誠一
• 通讯作者: 小澤誠一

デルフト工科大(オランダ)

代尔夫特理工大学（荷兰）

IoTマルウェアの動的解析におけるC&C通信の機械学習を用いた検出

在物联网恶意软件的动态分析中使用 C&C 通信的机器学习进行检测

• 发表时间: 2022
• 作者: 遠藤祐輝;鮫嶋海地;田辺瑠偉;吉岡克成;松本 勉
• 通讯作者: 松本 勉