講演名 | 2017-03-13 HTTP通信に着目したDeep Learningに基づくマルウェア感染端末検知手法と検知性能評価 西山 泰史(NTT), 熊谷 充敏(NTT), 岡野 靖(NTT), 神谷 和憲(NTT), 谷川 真樹(NTT), 岡田 和也(東大), 関谷 勇司(東大), |
---|---|
PDFダウンロードページ | PDFダウンロードページへ |
抄録(和) | マルウェア感染に起因するインシデントを防ぐためには事前に感染を防ぐことが最善策である.しかし,現実には攻撃者の手により様々な新種・亜種のマルウェアが大量に生産されているため,対策が追いついていないのが現状である.そのため,マルウェア感染を防ぐ入口対策だけでなく,感染後できるだけすみやかに感染した端末を発見し,被害を拡大させない出口対策の重要性が高まっている.出口対策の手段としては,機械学習を用いてHTTP通信ログを分析することで,マルウェアに感染した端末を検知する方式が有効である.本稿では,機械学習手法の一つであるDeep Learningに着目し,それを実際のHTTP通信ログに適用して評価実験を行った.また,その結果を従来の機械学習手法であるLogistic Regressionを用いた場合と比較した.その結果,誤検知率が1%以下となるように閾値を調整したときの検知率の値を約7%改善するなど,Deep Learningによる手法の優位性を示すことができた. |
抄録(英) | Preventive measures are generally important to stop the occurrence of a security incident caused by malware. However, it is common case that unknown malware slip through the preventive measures, because new or variant type of malware are produced on a large scale by attackers. Therefore, second-best way is to correctly detect malware infected-hosts, and to block malicious communication as soon as possible- in fact, the importance of detecting infected terminal strategy is thus increasing. For detecting infected-hosts, it is important to analyze logs taken inside the network to trace malware activity. In this paper, we propose a method of detecting infected hosts using Deep Learning and analyzing HTTP traffic logs. Through our evaluations, we demonstrate the superiority of Deep Learning based approach in comparison to a conventional Logistic Regression based approach. Especially, our evaluation result shows that $rm{TPR_{1%}}$- TPR when threshold is adjusted so that FPR is less than 1%- of our Deep Learning based approach is better in 7 % than Logistic Regression based approach. |
キーワード(和) | ディープラーニング / ログ分析 / マルウェア / 感染端末 |
キーワード(英) | Deep Learning / Log Analysis / Malware / Infected Host |
資料番号 | ICSS2016-52 |
発行日 | 2017-03-06 (ICSS) |
研究会情報 | |
研究会 | ICSS / IPSJ-SPT |
---|---|
開催期間 | 2017/3/13(から2日開催) |
開催地(和) | 長崎県立大学シーボルト校 |
開催地(英) | University of Nagasaki |
テーマ(和) | 情報通信システムセキュリティ,一般 |
テーマ(英) | System Security, etc. |
委員長氏名(和) | 三宅 優(KDDI研) |
委員長氏名(英) | Yutaka Miyake(KDDI R&D Labs.) |
副委員長氏名(和) | 白石 善明(神戸大) / 植田 武(三菱電機) |
副委員長氏名(英) | Yoshiaki Shiraishi(Kobe Univ.) / Takeshi Ueda(Mitsubishi Electric) |
幹事氏名(和) | 高倉 弘喜(NII) / 吉岡 克成(横浜国大) |
幹事氏名(英) | Hiroki Takakura(NII) / Katsunari Yoshioka(Yokohama National Univ.) |
幹事補佐氏名(和) | 神谷 和憲(NTT) / 笠間 貴弘(NICT) |
幹事補佐氏名(英) | Kazunori Kamiya(NTT) / Takahiro Kasama(NICT) |
講演論文情報詳細 | |
申込み研究会 | Technical Committee on Information and Communication System Security / Special Interest Group on Security Psychology and Trust |
---|---|
本文の言語 | JPN |
タイトル(和) | HTTP通信に着目したDeep Learningに基づくマルウェア感染端末検知手法と検知性能評価 |
サブタイトル(和) | |
タイトル(英) | Deep Learning Approach for Detecting Malware Infected Host and Detection Performance Evaluation with HTTP Traffic |
サブタイトル(和) | |
キーワード(1)(和/英) | ディープラーニング / Deep Learning |
キーワード(2)(和/英) | ログ分析 / Log Analysis |
キーワード(3)(和/英) | マルウェア / Malware |
キーワード(4)(和/英) | 感染端末 / Infected Host |
第 1 著者 氏名(和/英) | 西山 泰史 / Taishi Nishiyama |
第 1 著者 所属(和/英) | NTTセキュアプラットフォーム研究所(略称:NTT) NTT Secure Platform Laboratories(略称:NTT) |
第 2 著者 氏名(和/英) | 熊谷 充敏 / Atsutoshi Kumagai |
第 2 著者 所属(和/英) | NTTセキュアプラットフォーム研究所(略称:NTT) NTT Secure Platform Laboratories(略称:NTT) |
第 3 著者 氏名(和/英) | 岡野 靖 / Yasushi Okano |
第 3 著者 所属(和/英) | NTTセキュアプラットフォーム研究所(略称:NTT) NTT Secure Platform Laboratories(略称:NTT) |
第 4 著者 氏名(和/英) | 神谷 和憲 / Kazunori Kamiya |
第 4 著者 所属(和/英) | NTTセキュアプラットフォーム研究所(略称:NTT) NTT Secure Platform Laboratories(略称:NTT) |
第 5 著者 氏名(和/英) | 谷川 真樹 / Masaki Tanikawa |
第 5 著者 所属(和/英) | NTTセキュアプラットフォーム研究所(略称:NTT) NTT Secure Platform Laboratories(略称:NTT) |
第 6 著者 氏名(和/英) | 岡田 和也 / Kazuya Okada |
第 6 著者 所属(和/英) | 東京大学(略称:東大) The University of Tokyo(略称:University of Tokyo) |
第 7 著者 氏名(和/英) | 関谷 勇司 / Yuji Sekiya |
第 7 著者 所属(和/英) | 東京大学(略称:東大) The University of Tokyo(略称:University of Tokyo) |
発表年月日 | 2017-03-13 |
資料番号 | ICSS2016-52 |
巻番号(vol) | vol.116 |
号番号(no) | ICSS-522 |
ページ範囲 | pp.49-54(ICSS), |
ページ数 | 6 |
発行日 | 2017-03-06 (ICSS) |