今後の課題

本論文で検討を行った項目に関して，以下のような課題が挙げられる．

• ^{特徴量の調査}

今回の実験では過去の文献を参考に特徴量を選択した．感染時，正常時のトラヒックの特徴 を調査することで適切な特徴量を用いることが出来れば，さらなる精度向上が見込めると考 えられる．

• ^{識別器の構成方法}

Boostingの効果を確認することはできたが，識別器の構成による精度の評価はまだ十分では

ないといえる．そこで工程ごとに条件を変化させた場合のBoostingの効果の違いを検討し ていく必要がある．

• トラヒックデータの送受信方向

今回はトラヒックデータの送受信方向には区別を付けなかった．マルウェアの活動には 通信方向別に特徴が現れる可能性があるため，受信方向，送信方向に区別をつけた検討を行う．

• サンプルの取得時間の妥当性

今回は60秒間という単位でサンプルを取得した．しかしその妥当性は確実とは言えない．単 位を変えることで特徴量の表現の仕方も変化し，特徴が現れる可能性もある．よってサンプ ル取得時間を変化させた検討を行う．

• 時系列を考慮した識別方法

トラヒックデータは時間的な変化が考えられるので，前後のサンプルを加味した判定も検討 する必要がある．

謝辞

本研究を進めるにあたり，終始懇切丁寧な御指導，御助言を賜りました小松尚久教授に心から 深く感謝の意を表します．

また，共同研究者として様々な御意見を賜りましたNTTコミュニケーションズ株式会社の畑 田充弘様，本研究において様々な御助言を頂きました本学理工学研究所研究員の市野将嗣氏，修 士1年の市田達也氏，学士4年の川元研二氏に深く御礼申し上げます．そして，日頃から討論に 御参加頂いた小松研究室の皆様に深く感謝いたします．

2011年2月4日

森 悠樹

参考文献

[1] 瀬戸洋一他編著，情報セキュリティ概論，日本工業出版，2007，ISBN: 978-4819019170.

[2] ト レ ン ド マ イ ク ロ 株 式 会 社 ，“イ ン タ ー ネ ッ ト 脅 威 マ ン ス リ ー レ ポ ー ト - 2010 年 上 半 期・6 月 度 ，” Jun. 2010，http://jp.trendmicro.com/jp/threat/security news/

monthlyreport/article/20100702082212.html.

[3] G Data Software AG，“マルウェアレポート2009 年下半期，” Feb. 2010，http://www.

gdata.co.jp/securitylabs/whitepaper/index.htm.

[4] 畑田充弘，中津留勇，秋山満昭，三輪信介，“マルウェア対策のための研究用データセット〜

mws 2010，” MWS2010，Oct. 2010.

[5] 井上大介，中尾康二，“1.マルウェアって?(特集 マルウェア)，”情報処理，vol.51，pp.237–243， Mar. 2010.

[6] I. Nikkei Business Publications，“ヤフーがクラッカの攻撃を受けて3 時間機能停止、イー ベイ、バイ・ドット・コムなども相次いで被害，” Feb. 2000，http://www.nikkeibp.co.

jp/archives/094/94127.html.

[7] インターネットコム株式会社，“韓国、ワームの影響でインターネットが約9時間マヒ，” Jan.

2003，http://japan.internet.com/public/news/20030127/20.html.

[8] T. Carothers, “Large botnet in the netherlands taken down,” Oct. 2005, http://isc.

sans.org/diary.php?storyid=742.

[9] P. Bacher, T. Holz, M. Kotter, and G. Wicherski, “Know your enemy: Tracking botnets -using honeynets to learn more about bots-,” Mar. 2005, http://www.honeynet.org/

book/export/html/50.

[10] 金井瑛，“通信の類似性に着目したネットワークインシデント検知手法，” 修士論文，慶應義 塾大学大学院，Mar. 2009.

[11] ClamAV, “ClamAV,” 2010, http://www.clamav.net/.

[12] Cisco System, “IronPort,” 2010, http://www.ironport.com/jp/.

[13] N. Provos, D. McNamee, P. Mavrommatis, K. Wang, and N. Modadugu, “The ghost in the browser analysis of web-based malware,” In Proceedings of the First USENIX Workshop on Hot Topics in Understanding Botnets, 2007.

[14] 藤原将志，寺田真敏，安部哲哉，菊池浩明，“マルウェアの感染方式に基づく分類に関する検 討，” 情報処理学会CSEC研究報告，vol.PRMU97，no.21，pp.177–182，Mar. 2008.

[15] NTT情報流通プラットフォーム研究所，“マルウェア対策技術，” NTT技術ジャーナル，

Mar. 2010.

[16] S.Kondo, and N.Sato, “Botnet traffic detection techniques by C&C session classification

using svm,” IWSEC2007, Oct. 2007.

[17] 市野将嗣，坂野鋭，小松尚久，“核非線形相互部分空間法による話者認識，” 信学論(D-II)， no.8，pp.1331–1338，2005.

[18] 阿部義徳，田中英彦，“C&C セッション分類によるボットネットの検出手法の一検討，” FIT2007，Sep. 2007.

[19] 東角芳樹，鳥居悟，“DNS通信の挙動からみたボット感染検知方式の検討，” MWS2008，Oct.

2008.

[20] 及川達也，和泉勇治，太田耕平，加藤寧，根元義章，“統計的クラスタリング手法によるネッ トワーク異常状態の検出，” 信学技報，vol.NS2002，no.143，pp.166–173，Oct. 2002.

[21] 宮本貴朗，小島篤博，泉正夫，福永邦雄，“SVMを用いたネットワークトラヒックからの異 常検出，” 電子情報通信学会論文誌，vol.B，通信 J87-B(4)，pp.593–598，Apr. 2004.

[22] 石井健太郎，上田修功，前田英作，村瀬洋，わかりやすいパターン認識，オーム社，1998.

[23] Y．Freund，R．E．Schapire，“A decision theoretic generalization of on-line learning and an application to boosting，” Journal of Computer and System Science，vol.55，no.1， pp.119–139，1997.

[24] 三田雄志，“Adaboost の基本原理と顔検出への応用 CVIM 研究会チュートリアルシリー ズ，” CVIM，vol.159，pp.265–272，May 2007.

[25] 浅見太一，岩野公司，古井貞煕，“マルチストリーム話者照合におけるブースティングに基づ く重み最適化法の検討，” 信学技報，vol.SP2004，no.110，pp.85–90，Dec. 2004.

[26] M. ong, and D. Xiaoqing, “Real-time multi-view face detection and pose estimation based on cost-sensitive adaboost,” TSINGHUA SCIENCE AND TECHNOLOGY, vol.10, no.2, pp.152–157, Apr. 2005.

付録 A

線形判別分析

唇輪郭抽出の際に使用している線形判別分析について補足する．