2019 Fiscal Year Research-status Report
機械学習を用いた標的型攻撃における侵入拡大経路推定に関する研究
| Project/Area Number |
19K11961
|
|---|
| Research Institution | Nagoya University |
|---|
Principal Investigator |
山口 由紀子 名古屋大学, 情報基盤センター, 助教 (90239921)
|
|---|
| Project Period (FY) |
2019-04-01 – 2022-03-31
|
| Keywords | サイバーセキュリティ |
|---|
| Outline of Annual Research Achievements |
本研究では中規模程度の組織を対象とする標的型攻撃において、インターネットとの接続点に設置したIDSで大量の外向き通信が検知されるなどの情報窃取などの痕跡が発見された時点から組織内部の侵入被害を調査するための手法を提案するものである。本研究では通信の中身(ペイロード)を含まないヘッダ情報を使うことで組織内通信のデータ収集の負荷を軽減し、長期間のデータ収集を可能とする。そこで本件周では、NetFlowを利用した通信データの収集および感染経路推定を行う。
本年度は中規模組織を模した実験ネットワークを構築し、組織内通信データ収集環境の構築を行った。本実験ネットワークは、組織内の複数の部署サブネットとサーバセグメントからなるイントラネットから構成され、各サブネットを接続するルータにおいてNetFlowにより通信データを収集してログ収集サーバへ転送するものである。
部署サブネットやサーバセグメントはPC1台に仮想環境を構築し、VMを複数たてて実現した。複数台のPCをルータに接続し、イントラネット通信およびインターネット通信が可能な環境を構築した。さらに当該ルータにおいてNetFlowデータを構築して送出し、ログ収集サーバにおいて受信する環境を構築し、データ収集環境の構築を完了した。
しかしながら、当初予定していた各部署の日常的なネットワーク利用のデータ収集や標的型攻撃で行われる、侵入、侵入拡大、情報窃取、情報流出のシナリオに沿った検知用の通信データを収集には至らなかった。
一方、本研究課題の関連研究として、組織内部での攻撃行動を仮想環境で解析する研究や機械学習を用いたマルウェア検知システムに関する研究を行い、研究成果の発表を行った。
|
| Current Status of Research Progress |
Current Status of Research Progress
3: Progress in research has been slightly delayed.
Reason
中規模組織を模した実験ネットワークの構築にあたり、実験機材の収集および環境構築に時間がかかったため、当初予定していた日常的なネットワーク活動や検知用の通信データ収集まで行うことができなかった。
データ収集環境の構築はほぼ完了しており、組織内端末を模したVM(Windows 端末)でタスクスケジューラを設定することによりデータ収集が開始できる。
|
| Strategy for Future Research Activity |
実験ネットワークを利用した通信データの収集を行うとともに、機械学習環境の構築と予備実験を行う。
イントラネット内の各端末では、組織内部で日常的に実行するインターネット上のサイトへのアクセスやイントラネット内のファイルサーバへのアクセスといったネットワーク利用した作業をタスクスケジューラで設定し定期的に自動実行する。さらに、標的型攻撃で行われる、侵入、侵入拡大、情報窃取、情報流出のシナリオに沿って攻撃を行い、検知用の通信データを収集する。
さらに、収集したNetflowデータについて感染検知の予備実験を行う。別途機械学習用サーバを構築し、日常的な通信データを利用したモデル構築を行う。
|
| Causes of Carryover |
2020年2月末より広がった新型コロナウィルス感染により、感染防止のために3月に開催される予定だった全国大会や研究会がすべてオンライン開催または中止となった。そのため、成果発表や情報収集のために予定していた出張がすべてキャンセルとなり、計画どおりの予算執行ができなくなった。
2021年度も多くの国際会議、国内会議がオンライン開催になることが予想されるため、令和3年度に調達を予定していた物品も含めて調達を行う予定である。
|
