3. サイバーセキュリティの高度化に関する研究

3.1. ドライブバイダウンロード攻撃検知手法に関する研究

3.1.1. ニューラルネットワークを用いたドライブバイダウンロード攻撃検知手法(NTTセキュアプラットフォーム研究所との共同研究)

多くの研究者やベンダーが対策に取り組んでいるにもかかわらず、ドライブバイダウンロード攻撃によるマルウェア感染は後を絶たない。ドライブバイダウンロード攻撃者は人気ウェブサイトを改ざんすることで、アクセスしたユーザを複数の URL (リダイレクションチェイン)を経由して、ブラウザやプラグインの脆弱性を悪用する攻撃を実施する攻撃 URL へと転送する。ドライブバイダウンロード攻撃を防止する方法として、一般的に悪性ウェブサイトに関連する URL やドメインを掲載したブラックリストによる対策が広く実施されている。このブラックリストを作成するためには、意図的に攻撃を受けて悪性ウェブサイトを検知するための、おとりのブラウザであるハニークライアントが活用されている。しかし、攻撃に利用される URL の変動等により、ユーザが悪性ウェブサイトに通信する以前にハニークライアント が悪性ウェブサイトを検知することが困難となっている。そのため、感染後の対応が注目されている。

本研究では、ドライブバイダウンロード攻撃の発生を、プロキシログから検出する手法を提案する。プロキシログからは、ウェブコンテンツの情報は得られないものの、ユーザのアクセス先の URL の系列(URL 系列)を得ることは可能である。ドライブバイダウンロード攻撃が行われている場合の URL 系列にはリダイレクションチェインを構成する複数の URL が含まれており、それらの URL が持つ特徴 や順序関係には規則性が存在する。

本研究では、そのような規則性を、系列データの解析に優れる Convolutional Neural Network(CNN)を拡張した手法を用いて学習することにより、ドライブバイダウンロード攻撃の発生を検知する手法を提案している。プロキシログを解析する際、ログには必ず良性サイトの URL が混在するため、単純にCNN を適用すると、良性 URL も含んだ系列の特徴を学習する可能性が高い。そこで、本研究では、CNNを拡張したEvent De-noising CNN (EDCNN)を提案している。EDCNNでは、良性 URL による悪影響を軽減するために、一定範囲内に出現する 2 つの URL を畳み込むことで悪性な URL 同士を確実に畳み込む。インターネット上の良性サイトや悪性サイトへアクセスした結果を用いた評価では、EDCNN は従来手法と比較して検知性能が高く、さらに過学習の問題を解決することで検知性能を向上できることが明らかになった。

[関連発表論文]