今後の展望

今後の展望として，特に判別精度が安定しない結果となったIPアドレスクラスBとIPアド レスクラスCの改善を行う必要がある．まず，IPアドレスクラスBは極端にIPアドレス数が 少ないため，教師データが少ない状態でも判別精度を保つ方法を検討する．次に，IPアドレス

クラスCの更なる特徴分析を行う．単純な年度比較ではなく，IPアドレスの配布ポリシーの変 化があったタイミングなどでさらに細かく区切り，IPアドレスクラスCに適する判別方法を検 討する．最後に，悪性IPアドレスと良性IPアドレスの特徴を最新に保つ手法の検討すること により，将来的には，データを全て差し替えることなく，限られた範囲のデータのみ更新でき るようになると考えている．

謝辞

本研究を進めるにあたり，本学中村嘉隆准教授，高橋修教授には，お忙しい中にも関わらず，

研究に関する助言をはじめ，熱心にご指導していただきました．ここに深く感謝申し上げます．

本論文の審査を担当していただいた，稲村浩教授，白石陽教授には副査を快く引き受けてくだ さるだけでなく，学内の研究発表に対する建設的なコメントやアドバイスを多くいただきまし た．重ねてお礼を申し上げます．また，本研究を進めるにあたりデータをご提供くださった MWS にお礼を申し上げます．最後になりますが，私を支えて頂きました中村嘉隆准教授，稲 村浩教授，中村研究室，稲村研究室の皆様にも重ねてお礼を申し上げます．

参考文献

[1] 警察庁広報資料，平成 25 年中のインターネットバンキングに係る不正送金事犯の発生状 況等について, <https://www.npa.go.jp/cyber/pdf/H270212_banking.pdf> [参照 2017-1-17].

[2] ^{警察庁広報資料}: 平成 26 年中のインターネットバンキングに係る不正送金事犯の発生状 況等について<https://www.npa.go.jp/cyber/pdf/H270212_banking.pdf> [参照 2017-1-17].

[3] 独立行政法人情報処理推進機構:2016年版 情報セキュリティ10大脅威，

<https://www.ipa.go.jp/files/000051691.pdf> [参照 2017-5-31].

[4] 独立行政法人情報処理推進機構:2017年版 情報セキュリティ10大脅威，

<https://www.ipa.go.jp/files/000058504.pdf> [参照 2017-5-31].

[5] ^{トレンドマイクロ}: Webレピュテーション,

<http://www.trendmicro.co.jp/why-trendmicro/spn/features/web/index.html> [参照 2016-8-11]． [6] M. A. Rajab, L. Ballard, N. Jagpal, P. Mavrommatis, D. Nojiri, N. Provos, and L. Schmidt,"Trends

in circumventing web-malware detection, Google Technical Report, 2011.

[7] R. Farmer, and B. Glass, "Building Web Reputation Systems, " Yahoo! Press, 2010.

[8] What is IDS/IPS? | JUNIPER NETWORKS,

<https://www.juniper.net/us/en/products-services/what-is/ids-ips/> [Accessed Oct 19, 2017]

[9] シスコシステムズ: 侵入防御システム（IPS：Intrusion Prevention System）

<https://www.cisco.com/c/ja_jp/about/technology-commentary/tech-2006/intrusion-prevention-syst em-ips-intrusion-prevention-system.html> [参照 2017-8-27].

[10] J. Ma, L. K. Saul, S. Savage, and G. M. Voelker, :Beyond blacklists: learning to detect malicious web sites from suspicious urls, Proceedings of the 15th ACM SIGKDD international conference on Knowledge discovery and data mining (KDD'09), pp. 1245–1254, 2009.

[11] 劉亦晨: DNS情報による悪意のあるサイトの検出法, 2012 年度 早稲田大学大学院 基幹理

工学研究科 情報理工学専攻 修士論文，2012.

[12] ^{日立ソリューションズ}: 情報セキュリティブログ， <http://securityblog.jp/words/2898.html>

[参照 2017-1-17].

[13] L. Bilge, E. Kirda, C. Kruegel, and M. Balduzzi,:Exposure Finding Malicious Domains Using Passive DNS Analysis, Proceedings of the 18th Annual Network & Distributed System Security Symposium (NDSS Symposium 2011), 2011.

[14] 田中晃太郎, 長尾篤, 森井昌克: DNSログからの不正Webサイト抽出について－解析手法

とその匿名化－, コンピュータセキュリティシンポジウム 2013 論文集, Vol.2013, No.4, pp.132-138 (2013).

[15] D. Chiba, K. Tobe, T. Mori, and S. Goto, :Detecting Malicious Websites by Learning IP Address Features, Proceedings of the IEEE/IPSJ 12th International Symposium on Applications and the Internet(SAINT2012), pp.29-39, 2012.

[16] 千葉大紀，森達哉，後藤滋樹: 悪性Webサイト探索のための優先巡回順序の選定法, コン

ピュータセキュリティシンポジウム2012論文集，Vol.2012，No.3，pp.805-812 (2012).

[17] アンドリュー・S・タネンバウム,デイビッド・J・ウエザロール:コンピュータネットワー

ク第5版,日経BP社, 2013

[19] Alexa Internet, Inc.: The top 500 sites on the web," <http://www.alexa.com/topsites> [参照 2017-8-27].

[20] University of Oregon Route Views Project, <http://www.routeviews.org/> [Accessed December 27, 2017]

発表・採録実績

発表

[I] 金澤しほり，中村嘉隆，稲村浩，高橋修，"IP アドレスクラスにおけるネットワーク アドレスの特徴を用いた未知の不正Webサイト判別手法，"情報処理学会マルチメデ ィア，分散，協調とモバイルシンポジウム(DICOMO2016)論文集，Vol.2016，pp.806-812，

2016．「査読付き」

[II] 金澤しほり，中村嘉隆，稲村浩, 高橋修，"未知の不正Webサイト判別のためのIPア

ドレスクラスの特徴分析，"コンピュータセキュリティシンポジウム 2016 (CSS2016) 論文集，Vol.2016，No.2，pp.777-783，2016年10月.

[III] Shihori Kanazawa, Yoshitaka Nakamura, Hiroshi Inamura, and Osamu Takahashi, "A classifying method of unknown malicious websites using address features of each network address class," Proceedings of the International Workshop on Informatics (IWIN2017), pp.261-267, September 2017. 「査読付き」

[IV] 金澤しほり，中村嘉隆，稲村浩，高橋修，"悪性IPアドレスの分布特徴に基づく未知

のWebサイトの判別手法，"コンピュータセキュリティシンポジウム2017 (CSS2017) 論文集，Vol.2017，pp.1076-1084，2017年10月．

[V] Shihori Kanazawa, Yoshitaka Nakamura, Hiroshi Inamura, and Osamu Takahashi,

"Classification of unknown Web sites based on yearly changes of distribution information of malicious IP addresses," Proceedings of the 9th IFIP International Conference on New Technologies, Mobility & Security (NTMS2018), February 2018.(to appear) 「査読付き」

[VI] Shihori Kanazawa, Yoshitaka Nakamura, Hiroshi Inamura, and Osamu Takahashi,

"Classification method of unknown web sites based on distribution information of malicious IP addresses," International Journal of Informatics Society (IJIS), Vol.10, No.1, June 2018.

「採録決定」

図目次

図 1 インターネットバンキングに係る不正送金事犯発生状況(文献[1][2]から引用) ... 1

図 2 FQDN文字列の長さの累積補分布(文献[16]から引用) ... 4

図 3 IPアドレス分布の可視化(文献[15]から引用) ... 5

図 4 悪性IPアドレスの利用頻度 ... 8

図 5 提案システムの概要 ... 10

図 6 提案システムの全体像 ... 11

図 7 検出部の詳細 ... 12

図 8 マルウェアに感染したクライアントの検出方法... 13

図 9 特徴ベクトルの生成 ... 14

図 10 判別手法 ... 15

図 11 分類器の学習 ... 16

図 12 IPアドレス分布 (IPアドレス上位8ビットの120付近拡大)[2008-2011] ... 17

図 13 IPアドレス分布(IPアドレス上位8ビットの110付近拡大)[2008-2011] ... 18

図 14 IPアドレス分布(IPアドレス上位8ビットの200~220付近拡大)[2008-2011] ... 19

図 15 IPアドレス分布 (IPアドレス上位8ビットの170~180付近拡大)[2008-2011] ... 20

図 16 評価実験1の詳細 ... 23

図 17 評価実験3のIPアドレスクラスAの判別精度 ... 32

図 18 評価実験3のIPアドレスクラスBの判別精度 ... 35

図 19 評価実験3のIPアドレスクラスCの判別精度 ... 37