@techreport{oai:ipsj.ixsq.nii.ac.jp:00210146,
 author = {石川, 真太郎 and 中藤, 大暉 and 班, 涛 and 小澤, 誠一},
 issue = {49},
 month = {Mar},
 note = {近年，IoT デバイスの脆弱性を利用したサイバー攻撃による被害が深刻になっており，対策が求められている．本研究では，機械学習を用いてダークネットで観測されたマルウェア感染デバイスによる攻撃と，その変化を追跡する手法を提案する．最初に，ダークネット観測において，ノイズとなっている大規模調査パケットを除外する．次に，FastText による特徴抽出を行い，スキャンパケットの宛先ポート番号から，ターゲットとなっているネットワークサービス間の相関関係を捉える．最後に，UMAP と DBSCAN を用いてホストの可視化と，同じ攻撃パターンを持つホストのクラスタリングを行い，マルウェアの傾向把握や新たなマルウェア亜種の出現の検知を行う．実験では，同手法で大規模調査パケットを削除した場合としない場合を比較し，大規模調査パケット削除の有効性を示し，また，既知の大規模調査を行う組織情報などを利用し大規模調査パケットを正しく分離できていることを示した．その上で 1 日ごとの解析情報を追跡することにより，宛先ポート番号だけに着目した解析では判断できない，ホストの時間的な活動情報に基づいたマルウェア判定を行うことができることを示した．, In this research, we propose a method for tracking the attacks by malware-infected devices observed in the darknet and their changes using machine learning. First, we exclude large-scale survey packets that are noisy in darknet observations. Then, feature extraction using FastText is executed, and the correlation among targeted network services is captured from the destination port numbers of scan packets. Finally, UMAP and DBSCAN are used to cluster hosts with the same attack pattern as host visualization, to grasp malware trends and detect the emergence of new malware variants. In the experiment, we study the effectiveness of the proposed method where large-scale scanners are identified and ignored their traffic. By tracking the cluster transitions, we verify that the time transient of malware activity can be captured by tracking the portset clusters.},
 title = {ダークネットにおける大規模調査パケットを考慮したポート番号埋め込みベクトルによるスキャンパケット解析},
 year = {2021}
}