Refinement of Cyberattack Generation Process Model by Using Machine Learning and Domain Knowledge

利用机器学习和领域知识细化网络攻击生成过程模型

• 批准号: 21KK0178
• 负责人: 小澤 誠一
• 金额: $ 12.06万
• 依托单位: Kobe University
• 依托单位国家: 日本
• 项目类别: Fund for the Promotion of Joint International Research (Fostering Joint International Research (B))
• 财政年份: 2021
• 资助国家: 日本
• 起止时间: 2021-10-07 至 2027-03-31
• 项目状态: 未结题
• 来源: https://kaken.nii.ac.jp/grant/KAKENHI-PROJECT-21KK0178/
• 关键词: サイバーセキュリティ; 機械学習; 攻撃生成過程; 悪性サイト検知; 悪性JavaScript検知; 深層学習; 攻撃生成過程モデル; ウェブ媒介型攻撃; DoS攻撃

本研究では、防御側の観測・検知を回避・無効化する攻撃の仕組みなど、ドメイン知識を有する専門家と国際連携体制を築き、観測のみに頼るリアクティブな対策だけでなく、新たな攻撃への予測と迅速な対応を行うプロアクティブなセキュリティ対策の構築を目指している。本年度は海外渡航が不可能であったため、国内チームの吉岡（横国大）、班（NICT）、金、小澤（神戸大）と以下の研究を実施した。1)小澤、班、金は、URL文字列から悪性が疑われるWebサイトのHTMLコンテンツを取得し、それぞれのHTMLタグ階層構造（DOM）をグラフ表現し、それをgraph2vecで埋め込みベクトルに変換して、正規サイトを装うフィッシングサイトを見つける方法を提案した。PhishTankとOpenPhishのフィッシングサイト151件を用いた実験では、80%のフィッシングサイトがクラスタを形成し、これらクラスタが共通してもつ外部リンクから正規サイトを特定したところ、AmazonとFacebookを騙るフィッシングサイト群を見つけた。また、VirusTotalで取得可能なドメインのWhois情報、レビュー情報、DNSレコード、SSL証明書情報などを特徴量として機械学習で悪性判定する方法を提案した。その結果、1550サイトに対し、フィッシングサイトは88%、マルウェアホストサイトは91%の精度で検知できた。2)吉岡は、WarpDrive実証実験に参加している508ユーザが受信したSMS、合計23,133件（良性 22,800件、悪性333件）を調べたところ、SMSを多く受信するユーザが悪性SMSを受信しやすいわけではなく、現時点では、攻撃者はランダムに悪性SMSを送付していることが推測された。また、悪性SMSは深夜と早朝には送られず、午後2時から5時の期間に集中していることがわかった。

在这项研究中，我们将与拥有领域知识的专家建立一个国际协作系统，例如逃避和消除防御者观察和检测的攻击机制，目的是建立能够快速预测和响应的主动安全措施。由于今年无法出国旅行，我们与国内团队 Yoshioka（横滨大学）、Hajime（NICT）、Kim 和 Ozawa（神户大学）进行了以下研究。 1) Ozawa、Ban 和 Kim 从 URL 字符串中获取疑似恶意网站的 HTML 内容，将每个 HTML 标签层次结构（DOM）表示为图形，并使用 graph2vec 将其转换为嵌入向量，提出了一种方法。查找冒充合法网站的网络钓鱼网站。在使用 PhishTank 和 OpenPhish 的 151 个钓鱼网站进行的实验中，80% 的钓鱼网站形成了集群，当我们从这些集群共有的外部链接中识别出合法网站时，我们发现了冒充亚马逊和 Facebook 的钓鱼网站。 。我们还提出了一种利用 VirusTotal 上提供的域名 Whois 信息、评论信息、DNS 记录、SSL 证书信息等作为特征，利用机器学习来确定恶意行为的方法。结果，在 1550 个站点中，它能够检测到 88% 的网络钓鱼站点和 91% 的恶意软件主机站点。 2）Yoshioka 调查了参与 WarpDrive 演示实验的 508 个用户收到的总共 23,133 条短信（22,800 条良性短信和 333 条恶意短信），发现收到大量短信的用户更有可能收到恶意短信。此时假设。攻击者随机发送恶意短信。还发现，恶意短信并非在深夜或凌晨发送，而是集中在下午2:00至5:00之间。

项目成果

深層学習モデルと勾配ブースティング決定木モデルを用いたユーザなりすまし検知

使用深度学习模型和梯度提升决策树模型进行用户冒充检测

• 发表时间: 2021
• 作者: 土屋 寛途;小澤 誠一;春木 博行;Park Chanho
• 通讯作者: Park Chanho

機械学習を用いた悪性TLS通信の検知と通信特徴の推移に関する考察

使用机器学习检测恶意 TLS 通信并考虑通信特征的变化

• 发表时间: 2022
• 作者: 藤原魁成;小澤誠一;春木博行;Park Chanho
• 通讯作者: Park Chanho

デルフト工科大(オランダ)

代尔夫特理工大学（荷兰）

HTMLタグの構造に着目したグラフ畳み込みネットワークによる悪性サイト判定

使用关注 HTML 标签结构的图卷积网络确定恶意站点

• 发表时间: 2021
• 作者: 山本貴巳;Kim Sangwook;班 涛;高橋健志;小澤誠一
• 通讯作者: 小澤誠一

JStrack: Enriching Malicious JavaScript Detection Based on AST Graph Analysis and Attention Mechanism

JStrack：基于AST图分析和注意力机制丰富恶意JavaScript检测

• DOI: 10.1007/978-3-030-92270-2_57
• 发表时间: 2021
• 期刊: Neural Information Processing. ICONIP 2021. Lecture Notes in Computer Science, Springer, Cham
• 作者: Rozi Muhammad Fakhrur;Ban Tao;Ozawa Seiichi;Kim Sangwook;Takahashi Takeshi;Inoue Daisuke
• 通讯作者: Inoue Daisuke