HTTP通信に着目したDeep Learningに基づくマルウェア感染端末検知手法と検知性能評価

西山 泰史; 熊谷 充敏; 岡野 靖; 神谷 和憲; 谷川 真樹; 岡田 和也; 関谷 勇司

講演名	2017-03-13 HTTP通信に着目したDeep Learningに基づくマルウェア感染端末検知手法と検知性能評価西山泰史(NTT), 熊谷充敏(NTT), 岡野靖(NTT), 神谷和憲(NTT), 谷川真樹(NTT), 岡田和也(東大), 関谷勇司(東大),
PDFダウンロードページ	PDFダウンロードページへ
抄録(和)	マルウェア感染に起因するインシデントを防ぐためには事前に感染を防ぐことが最善策である．しかし，現実には攻撃者の手により様々な新種・亜種のマルウェアが大量に生産されているため，対策が追いついていないのが現状である．そのため，マルウェア感染を防ぐ入口対策だけでなく，感染後できるだけすみやかに感染した端末を発見し，被害を拡大させない出口対策の重要性が高まっている．出口対策の手段としては，機械学習を用いてHTTP通信ログを分析することで，マルウェアに感染した端末を検知する方式が有効である．本稿では，機械学習手法の一つであるDeep Learningに着目し，それを実際のHTTP通信ログに適用して評価実験を行った．また，その結果を従来の機械学習手法であるLogistic Regressionを用いた場合と比較した．その結果，誤検知率が1％以下となるように閾値を調整したときの検知率の値を約7％改善するなど，Deep Learningによる手法の優位性を示すことができた．
抄録(英)	Preventive measures are generally important to stop the occurrence of a security incident caused by malware. However, it is common case that unknown malware slip through the preventive measures, because new or variant type of malware are produced on a large scale by attackers. Therefore, second-best way is to correctly detect malware infected-hosts, and to block malicious communication as soon as possible- in fact, the importance of detecting infected terminal strategy is thus increasing. For detecting infected-hosts, it is important to analyze logs taken inside the network to trace malware activity. In this paper, we propose a method of detecting infected hosts using Deep Learning and analyzing HTTP traffic logs. Through our evaluations, we demonstrate the superiority of Deep Learning based approach in comparison to a conventional Logistic Regression based approach. Especially, our evaluation result shows that $rm{TPR_{1%}}$- TPR when threshold is adjusted so that FPR is less than 1%- of our Deep Learning based approach is better in 7 % than Logistic Regression based approach.
キーワード(和)	ディープラーニング / ログ分析 / マルウェア / 感染端末
キーワード(英)	Deep Learning / Log Analysis / Malware / Infected Host
資料番号	ICSS2016-52
発行日	2017-03-06 (ICSS)

研究会情報
研究会	ICSS / IPSJ-SPT
開催期間	2017/3/13(から2日開催)
開催地（和）	長崎県立大学シーボルト校
開催地（英）	University of Nagasaki
テーマ（和）	情報通信システムセキュリティ，一般
テーマ（英）	System Security, etc.
委員長氏名（和）	三宅優(KDDI研)
委員長氏名（英）	Yutaka Miyake(KDDI R&D Labs.)
副委員長氏名（和）	白石善明(神戸大) / 植田武(三菱電機)
副委員長氏名（英）	Yoshiaki Shiraishi(Kobe Univ.) / Takeshi Ueda(Mitsubishi Electric)
幹事氏名（和）	高倉弘喜(NII) / 吉岡克成(横浜国大)
幹事氏名（英）	Hiroki Takakura(NII) / Katsunari Yoshioka(Yokohama National Univ.)
幹事補佐氏名（和）	神谷和憲(NTT) / 笠間貴弘(NICT)
幹事補佐氏名（英）	Kazunori Kamiya(NTT) / Takahiro Kasama(NICT)

講演論文情報詳細
申込み研究会	Technical Committee on Information and Communication System Security / Special Interest Group on Security Psychology and Trust
本文の言語	JPN
タイトル（和）	HTTP通信に着目したDeep Learningに基づくマルウェア感染端末検知手法と検知性能評価
サブタイトル（和）
タイトル（英）	Deep Learning Approach for Detecting Malware Infected Host and Detection Performance Evaluation with HTTP Traffic
サブタイトル（和）
キーワード(1)（和/英）	ディープラーニング / Deep Learning
キーワード(2)（和/英）	ログ分析 / Log Analysis
キーワード(3)（和/英）	マルウェア / Malware
キーワード(4)（和/英）	感染端末 / Infected Host
第 1 著者氏名（和/英）	西山泰史 / Taishi Nishiyama
第 1 著者所属（和/英）	NTTセキュアプラットフォーム研究所(略称：NTT) NTT Secure Platform Laboratories(略称：NTT)
第 2 著者氏名（和/英）	熊谷充敏 / Atsutoshi Kumagai
第 2 著者所属（和/英）	NTTセキュアプラットフォーム研究所(略称：NTT) NTT Secure Platform Laboratories(略称：NTT)
第 3 著者氏名（和/英）	岡野靖 / Yasushi Okano
第 3 著者所属（和/英）	NTTセキュアプラットフォーム研究所(略称：NTT) NTT Secure Platform Laboratories(略称：NTT)
第 4 著者氏名（和/英）	神谷和憲 / Kazunori Kamiya
第 4 著者所属（和/英）	NTTセキュアプラットフォーム研究所(略称：NTT) NTT Secure Platform Laboratories(略称：NTT)
第 5 著者氏名（和/英）	谷川真樹 / Masaki Tanikawa
第 5 著者所属（和/英）	NTTセキュアプラットフォーム研究所(略称：NTT) NTT Secure Platform Laboratories(略称：NTT)
第 6 著者氏名（和/英）	岡田和也 / Kazuya Okada
第 6 著者所属（和/英）	東京大学(略称：東大) The University of Tokyo(略称：University of Tokyo)
第 7 著者氏名（和/英）	関谷勇司 / Yuji Sekiya
第 7 著者所属（和/英）	東京大学(略称：東大) The University of Tokyo(略称：University of Tokyo)
発表年月日	2017-03-13
資料番号	ICSS2016-52
巻番号（vol）	vol.116
号番号（no）	ICSS-522
ページ範囲	pp.49-54(ICSS),
ページ数	6
発行日	2017-03-06 (ICSS)