2019 Fiscal Year Annual Research Report
Online Learning Algorithms for Real-time Detection, Classification, and Visualization of Cyberattacks
| Project/Area Number |
16H02874
|
|---|
| Research Institution | Kobe University |
|---|
Principal Investigator |
小澤 誠一 神戸大学, 数理・データサイエンスセンター, 教授 (70214129)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
金 相旭 神戸大学, 工学研究科, 助教 (00826878)
|
|---|
| Project Period (FY) |
2016-04-01 – 2020-03-31
|
| Keywords | 機械学習 / サイバーセキュリティ / 攻撃検知 / 攻撃分類 / 攻撃可視化 / 追加学習 / 相関ルールマイニング / 深層学習 |
|---|
| Outline of Annual Research Achievements |
2019年度では,NICTサイバーセキュリティ研究所と連携し、攻撃検知の対象を大規模ダークネットセンサに加えて中規模センサを追加して拡大し、サイバー攻撃を広域かつ高性能に検知・分類・可視化できる学習型攻撃監視システムを開発した.以下に最終年度で得られた成果をまとめる.
(1)DDoSバックスキャッタ検知の高度化:ダークネットセンサで受信したUDPパケットからDDoSバックスキャッタ判定を行う観測システムでは、従来、送信元ホストから送出されるパケットのトラフィック特徴に基づいて検知してきたが、TCP通信に比べて、その検知精度に問題があった.そこで本年度では、従来のトラフィック特徴に加えて、「タイル」と呼ばれる通信トラフィックの可視化画像を畳込みニューラルネットで学習した高次元特徴を加え,UDP通信に対する検知精度の改善を図った.2019年1月1日から1月15日の観測パケットで学習し、その後、2月28日までバックスキャッタ判定と低信頼度ケースの追加学習を行って上で性能評価を行った.その結果、従来手法に比べて0.052ポイントの性能改善が得られ、F値は0.976となり、ほぼ実用レベルに達した.
(2)スキャン攻撃分類に基づくボットネット検知:送信元ホストから送出されるTCP SYNパケットから宛先ポート番号を抽出し、このポート番号の集合をドキュメントと捉えて、FastTextによる宛先ポートの共起性に基づいたPort埋込ベクトルを得る方法を開発した.この埋込ベクトルをk-平均クラスタリングして、類似したスキャン攻撃を行っているホスト群を特定し、それを可視化する手法を提案した.この手法を2020年1月30日から2月1日に大規模ダークネットセンサで観測された約50万ホストの通信パケットを解析した結果、IoTマルウェアであるMiraiへの感染が疑われるホスト群の可視化に成功した.
|
| Research Progress Status |
令和元年度が最終年度であるため、記入しない。
|
| Strategy for Future Research Activity |
令和元年度が最終年度であるため、記入しない。
|
