2021 Fiscal Year Research-status Report
機械学習を用いた標的型攻撃における侵入拡大経路推定に関する研究
| Project/Area Number |
19K11961
|
|---|
| Research Institution | Nagoya University |
|---|
Principal Investigator |
山口 由紀子 名古屋大学, 情報基盤センター, 助教 (90239921)
|
|---|
| Project Period (FY) |
2019-04-01 – 2023-03-31
|
| Keywords | サイバーセキュリティ |
|---|
| Outline of Annual Research Achievements |
本研究では中規模程度の組織を対象とする標的型攻撃において、インターネットとの接続点に設置したIDSで大量の外向き通信が検知されるなどの情報窃取などの痕跡が発見された時点から組織内部の侵入被害を調査するための手法を提案するものである。本研究では通信の中身(ペイロード)を含まないヘッダ情報を使うことでデータ収集の負荷を軽減し、長期間のデータ収集を可能とする。そこで本研究ではNetFlowによる組織内通信データの収集と感染経路推定を行う。実験ネットワークは、組織内の複数の部署サブネットとサーバセグメントからなるイントラネットから構成され、各サブネットを接続するルータにおいてNetFlowにより通信データを収集してログ収集サーバへ転送するものである。
一昨年度までに、部署サブネットやサーバセグメントを各々PC1台に仮想環境を構築して実現し、複数台のPCをルータに接続してイントラネット通信およびインターネット通信が可能な環境を構築した。当該ルータにおいてNetFlowデータを構築して送出し、ログ収集サーバにおいて受信する環境を構築した。
しかしながら、昨年度研究室の移動を行うこととなり、実験ネットワークの再構築をが必要となった。移設による機器の動作不良や設置環境の違いに対応するために再構築に時間がかかり、予定していた実験が行えなかった。
一方、本研究課題の関連研究として、組織における脅威情報の自動抽出やIDSへの自動登録、機械学習を用いたマルウェア検知システムに関する研究を行い、研究成果の発表を行った。
|
| Current Status of Research Progress |
Current Status of Research Progress
4: Progress in research has been delayed.
Reason
研究室の移動に伴い一昨年度構築した実験ネットワークを移設したが、設置環境の違いなどに対応するため再構築に時間がかかってしまった。
|
| Strategy for Future Research Activity |
実験ネットワークの再構築を完了し、平常時の通信データ収集を再開するとともに、当初予定していた標的型攻撃のシナリオ実施を進める。また、機械学習による平常時通信のモデル化も行う。
|
| Causes of Carryover |
2020年2月末より広がった新型コロナウィルス感染により、引き続き2021年度も国際会議、国内学会、研究会などがオンライン開催となった。そのため、成果発表や情報収集のために予定していた出張がすべてキャンセルとなり、計画どおりの予算執行ができなった。
2022年に入り、徐々に現地開催も行われるようになったことから、積極的に参加する予定である。また、機械学習によるモデル化の環境整備も行う予定である。
|
