| Item type |
SIG Technical Reports(1) |
| 公開日 |
2017-03-06 |
| タイトル |
|
|
タイトル |
HTTP通信を特徴とした機械学習に基づくマルウェア感染端末検知法と悪性良性混在データを用いた長期経時劣化評価 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Supervised Classification for Detecting Malware Infected Host in HTTP Traffic and Long-time Evaluation for Detection Performance using Mixed Data |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
Network Security |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
NTTセキユアプラツトフオーム研究所 |
| 著者所属 |
|
|
|
NTTセキユアプラツトフオーム研究所 |
| 著者所属 |
|
|
|
NTTセキユアプラツトフオーム研究所 |
| 著者所属 |
|
|
|
NTTセキユアプラツトフオーム研究所 |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Labolatories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Labolatories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Labolatories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Labolatories |
| 著者名 |
熊谷, 充敏
岡野, 靖
神谷, 和憲
谷川, 真樹
|
| 著者名(英) |
Atsutoshi, Kumagai
Yasushi, Okano
Kazunori, Kamiya
Masaki, Tanikawa
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年,マルウェア感染を未然に防ぐことは困難となっており,事後対策の重要性が増している.感染後の通信を検知するために,マルウェアの通信の特徴をリスト化し,検知対象の通信ログと突合することで感染端末を検知する手法が広く用いられている.しかし,これらの手法は未知の通信パターンに対する検知可能性が低いという問題があった.本稿では,機械学習技術をログ分析に用いることで,この問題を解決する新たな感染端末検知手法を提案する.提案法では,HTTP レベルの通信ログから特徴を抽出し,ロジスティック回帰による分析を行うことでマルウェア感染端末を検知する.特に,特徴選択法の一種であるスパース正則化学習法と, ヒューリスティックな特徴の集約処理を併用することで,分類に用いる特徴の数を大幅に削減しながら検知精度を向上させる.また,実運用および実環境に適した新たな評価法も提案する.具体的には,実際の感染端末にはマルウェアの通信だけでなく正規ユーザの通信も混在することに着目し,両通信を混在させたテストデータを作成し手法の評価を行う.加えて,実運用では,進化し続けるマルウェアを精度よく検知できることが重要であるため,検知精度の時間的安定性も評価する.このような状況において,提案法は既存法に比べ,長期にわたり精度よくマルウェア感染端末を検知可能であることを示す. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
The importance of post-infection countermeasures has greatly increased. Such countermeasures include generating blacklist based on communications made by malware. However, it is difficult for such methods to detect new type of communications made by sophisticated malware. In this paper, we propose a novel method for detecting malware-infected hosts by analyzing their communications based on machine learning. With the proposed method, logistic regression is used as classifiers, and features are extracted from HTTP traffic. The proposed method can eliminate the number of features while maintaining the detection performance by incorporating both sparse learning and feature summarization heuristics. In addition, we propose a novel evaluation procedure considering practical operation. Considering that actual malware-infected hosts generate not only malicious communications which are caused by malware but also normal communications which are caused by legitimate users, we mix malicious communications and normal communications for creating malicious testing data. Furthermore, we evaluate the long-time detection performance since it is important to detect malware-infected hosts correctly over a long period of time. The effectiveness of the proposed method is demonstrated with experiments using HTTP traffic data. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12628305 |
| 書誌情報 |
研究報告セキュリティ心理学とトラスト(SPT)
巻 2017-SPT-22,
号 8,
p. 1-6,
発行日 2017-03-06
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8671 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-SPT17022008.pdf (1.4 MB)
