| Project/Area Number |
23K28082
|
|---|
| Project/Area Number (Other) |
23H03392 (2023)
|
|---|
| Research Category |
Grant-in-Aid for Scientific Research (B)
|
| Allocation Type | Multi-year Fund (2024)
Single-year Grants (2023) |
|---|
| Section | 一般 |
|---|
| Review Section |
Basic Section 60070:Information security-related
|
|---|
| Research Institution | Hokkaido University |
|---|
Principal Investigator |
南 弘征 北海道大学, 情報基盤センター, 教授 (80261395)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
棟朝 雅晴 北海道大学, 情報基盤センター, 教授 (00281783)
馬場 健一 工学院大学, 情報学部(情報工学部), 教授 (60252722)
水田 正弘 統計数理研究所, 大学統計教員育成センター, 特任教授 (70174026)
山岡 克式 東京工業大学, 工学院, 教授 (90262279)
|
|---|
| Project Period (FY) |
2023-04-01 – 2028-03-31
|
| Project Status |
Granted (Fiscal Year 2024)
|
| Budget Amount *help |
¥18,070,000 (Direct Cost: ¥13,900,000、Indirect Cost: ¥4,170,000)
Fiscal Year 2027: ¥2,210,000 (Direct Cost: ¥1,700,000、Indirect Cost: ¥510,000)
Fiscal Year 2026: ¥2,340,000 (Direct Cost: ¥1,800,000、Indirect Cost: ¥540,000)
Fiscal Year 2025: ¥3,380,000 (Direct Cost: ¥2,600,000、Indirect Cost: ¥780,000)
Fiscal Year 2024: ¥3,900,000 (Direct Cost: ¥3,000,000、Indirect Cost: ¥900,000)
Fiscal Year 2023: ¥6,240,000 (Direct Cost: ¥4,800,000、Indirect Cost: ¥1,440,000)
|
|---|
| Keywords | サイバー攻撃履歴解析 / 集約的データ解析法 / 統計的予測モデル |
|---|
| Outline of Research at the Start |
サイバー攻撃における履歴の活用に際し、SIEM( Security Information and Event Management)などで利用されている、機械学習等の既報手法での限界を打破するため、統計的データサイエンス分野において最先端の解析技法である集約的データ解析法を新たなアプローチとして拡充し、従来得られなかった攻撃パターンの抽出や将来に向けた予測を実現する。
攻撃履歴に対して集約的データ解析を用いることで、従来とは異なる形での、攻撃の多様な類型の同定、攻撃パターンの検出、さらには防御を、統計的予測として可能とする。単なる統計的解析に留まらぬよう、通信工学的見地からの知見を踏まえた検証ならびに処理系の高速化を並行して行う。
|
| Outline of Annual Research Achievements |
令和5年度交付申請書記載の「研究の目的」のとおり、代表的な集約的データ解析法であるSymbolic Data Analysisをサイバー攻撃の履歴に適用し、数理モデル構築に向け、得られた知見について考察を行った。
具体的には履歴で得られている攻撃元IPアドレスについて、割り当てを受けている組織等の情報を有するWHOISデータベースに基づき、CIDR表記によってデータを集約し、集約したデータ集合において、攻撃対象となったポート番号別に、単位時間あたりの攻撃数とデータセット全体での攻撃数それぞれについて、最小値と最大値による「区間値」を作成し、その「区間値」に基づき、区間値の非類似度として一般的なHausdorf距離を用い、階層型クラスター分析を適用した。
その結果、いわゆるスキャンを常態とするサービスサイトのみのクラスターが得られたほか、特定のソースポート番号をもつ攻撃試行例を多数有するクラスターも得られるなど、予想した結果以外の知見を得ることができた。
これらの結果について、国際計算機統計学会アジア地区会議(International Association for Statistical Computing, Asian Region Section)における研究集会(IASC-ARS2023、R5.12.5-8, Macquarie University, Sydney, Australia)において、研究代表者をOrganizerとするInvited Session(Vast and aggregative data analysis from theoretical to practical approaches)にて報告した。
また、各研究分担者においても、シンボリックデータ解析に関する国際会議での研究発表など、それぞれ本研究課題への応用展開に資する関連研究を推進した。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
「研究実績の概要」で述べたとおり、初年度の成果として想定した中心的内容、ならびに関連研究は履行、推進することができたことを踏まえ、研究課題の進捗については「おおむね順調」と判断した。
今後は、得られた知見の精緻化や結果の探求に加え、通信工学的見地からの検討ならびに数理モデルを踏まえた処理系の実装に向け、より具体的な成果につなげるべく、引き続き研究を推進する。
|
| Strategy for Future Research Activity |
R5年度の成果を踏まえ、今後は、申請書に記載したとおり、既報例のような集約化データ間の非類似度に関する係数の最適化や、ccTLD、CIDRブロック割り当て組織など、さまざまな論理的アグリゲーションの試行と、解析結果に基づく妥当性の帰納的検証などを行う。
その際、単なる数理的解析の応用に留まることがないよう、通信工学に造詣の深い研究分担者との意見交換、議論により、実用性に関する検討を行う。さらには、研究代表者・研究分担者以外の環境で得られている、不正アクセスベンチマークデータなどにモデルを展開し、汎用的有効性を検証する。
|
