A Study of Unkwon Cyber Attack Detection Method with Artificial Intelligence
| Project/Area Number |
17K00187
|
|---|
| Research Category |
Grant-in-Aid for Scientific Research (C)
|
| Allocation Type | Multi-year Fund |
|---|
| Section | 一般 |
|---|
| Research Field |
Information security
|
|---|
| Research Institution | University of Niigata Prefecture |
|---|
Principal Investigator |
高原 尚志 新潟県立大学, 国際地域学部, 准教授 (90340132)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
櫻井 幸一 九州大学, システム情報科学研究院, 教授 (60264066)
|
|---|
| Project Period (FY) |
2017-04-01 – 2020-03-31
|
| Project Status |
Granted (Fiscal Year 2017)
|
| Budget Amount *help |
¥4,550,000 (Direct Cost: ¥3,500,000、Indirect Cost: ¥1,050,000)
Fiscal Year 2019: ¥1,300,000 (Direct Cost: ¥1,000,000、Indirect Cost: ¥300,000)
Fiscal Year 2018: ¥1,300,000 (Direct Cost: ¥1,000,000、Indirect Cost: ¥300,000)
Fiscal Year 2017: ¥1,950,000 (Direct Cost: ¥1,500,000、Indirect Cost: ¥450,000)
|
|---|
| Keywords | サイバー攻撃 / 攻撃検知 / 機械学習 / Random Forest / 教師あり学習 / K-Means / 教師なし学習 / マルウエア |
|---|
| Outline of Annual Research Achievements |
ネットワーク型侵入検知について、機械学習手法を応用して、未知の攻撃を検知する手法を開発し、評価を行った。具体的には、主に次の3点を中心に研究を進めた。
(1)機械学習のアンサンブル手法であるRandom Forestと教師なし学習手法であるK-Means法を組み合わせることにより、未知の攻撃を検知する方法を提案し、既存の機械学習手法による評価結果と比較して、提案手法が優れていることを示し、関連シンポジウムにおいてその成果を発表周知した("Random ForestとK-Means法を組み合わせたハイブリッド型攻撃検知方式の検証評価," CSS2017, “機械学習手法を用いたサイバー攻撃検知に関する検討 ~新Kyoto 2006+を用いた評価~, CSS2017, "Kyoto2016 Datasetによるサイバー攻撃検知のための機械学習手法の評価," IBIS2017)。
(2)(1)の際、用いた評価用データセットにおいて、攻撃通信と正常通信の割合が現実的でないとの指摘を受けた。そこで、現実的な攻撃通信と正常通信の割合について、関連シンポジウムなどでポスター発表などを行い研究者から意見を求めた。この際、評価用データセットの信頼性という観点も新たな課題として浮上したため、現在用いられている評価用データセットについて、その信頼性という観点から研究を進めているところである。
(3)侵入検知の観点から、現在、現実にどのような攻撃が行われているのかを探求するため、ウイルス対策各社がまとめた最新の報告書をもとに、現在のサイバー攻撃の状況をまとめ、その対策も含め、論文にまとめて、広く周知した("日本におけるサイバー攻撃の事例研究," 国際地域研究論集)。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
前年度に、十分な準備をしたこともあり、概ね順調に進んでいる。
(1)未知の攻撃を検知するという目標を達成することを目指して、機械学習を用いた手法の開発に力点を置いていた。具体的には、現在までの攻撃データを学習データとして検知を行うシグネチャー型検知手法と既存の攻撃データを参考にせずに検知を行う教師なし学習を用いた手法を組み合わせる(ハイブリッド型検知)ことにより、検知率(Detection Rate: DR)の向上を目指し、関連シンポジウムなどで発表した("Random ForestとK-Means法を組み合わせたハイブリッド型攻撃検知方式の検証評価," CSS2017, “機械学習手法を用いたサイバー攻撃検知に関する検討 ~新Kyoto 2006+を用いた評価~, CSS2017, "Kyoto2016 Datasetによるサイバー攻撃検知のための機械学習手法の評価," IBIS2017)。
(2)上記とは別に、研究手法の信頼性の保証方法の研究も進めている。具体的には、次の2つの観点から研究を進めている。①開発した手法を実現するソフトウエアの信頼性の保証、②①で実装した手法を評価するための評価用データセットの分析及びその信頼性の保証
①については、バグなどの観点から独自に開発したソフトウエアよりも広く用いられている既存のソフトウエアパッケージを用いた方が研究自体の信頼性を得られやすいのではんないかという結論に達し、②については、用いるデータセットについては、同じネットワーク環境で得られ、かつ公開されているデータセットを用いることによって他者による検証が可能となり、評価結果の信頼性が増すのではないかと考えている。
上記の考え方に基づき、現在研究を進めているところである。
|
| Strategy for Future Research Activity |
今後の研究は、次の手順で行う予定である。
(1)評価用データセットを、①データを取得したネットワークの構成、②データセット自体の特性などを中心に分析を進める。また、用いるデータセットの有効性という観点から、データが古い、冗長的であるなどの課題があるが、世界中で公開されているデータセットをサーベイして、上記有効性も含めた観点から、結果をまとめる。
(2)既存の手法及び開発した手法について、上記データセットを用いて評価し、その実用性を確認する。
(1)及び(2)の結果は、適宜ジャーナルやシンポジウム、国際会議などで発表し、周知するとともに、他の研究者からの意見も広く求め、今後の研究の一助とする予定である。
|
Report
(1 results)
Research Products
(8 results)
