Intelligent Intrusion Detection and Protection Method Based on Reliable Access Control

2019 Fiscal Year Research-status Report

• Project/Area Number: 19K11974
• Research Institution: Institute of Information Security
• Principal Investigator: 橋本 正樹 情報セキュリティ大学院大学, その他の研究科, 准教授 (10582158)
• Co-Investigator(Kenkyū-buntansha): 松井 俊浩 情報セキュリティ大学院大学, その他の研究科, 教授 (90358010) ; 辻 秀典 情報セキュリティ大学院大学, その他の研究科, 教授 (90398975)
• Project Period (FY): 2019-04-01 – 2022-03-31
• Keywords: 侵入検知・防御 / 可視化

Outline of Annual Research Achievements

2019年度の研究では，システム内悪性活動の紐付け手法と可視化を検討した．検討にはLinuxにおいて監査ログを取得するAuditフレームワークより，特定のシステムコールの情報を用いた．侵入検知手法に関しては既存の環境にあるIDS/IPSによる検知をトリガーとし，特定ホストの悪性活動の紐付けを行う想定で行った．紐付けにはプロセスの親子関係，ファイルとの関係を用いることで，必要な範囲のログを収集した．いくつかの攻撃シナリオを再現した結果，攻撃活動の分析に必要な情報の紐付け，可視化が可能であることを確認した．特にファイルとの関係を用いた紐付けにより，通常は関連付けることに手間がかかる，親子関係の無いプロセス同士を結び付け，1つの活動として分析するにあたって必要な情報として取得できることを示した．
本研究で提示したプロトタイプをSOCの監視員が活用することで，IDS/IPSの情報に加え，より詳細なシステム内の活動を特別な作業を行わずに分析することが可能になると考えられる．特にネットワークのログだけを監視している環境において誤検知が頻繁に発生する状況であっても，本当に対応が必要な分析につながると考えられる．
また，インシデント発生時の攻撃活動調査をする際にはシステムを停止し，OSに精通した技術者による調査を行うことがある．プロトタイプで利用しているシステムコールは得られる情報の粒度が細かく，全てのシステム内活動を漏れなく取得し，それらをニアリアルタイムで解析可能な仕組みとなっているため．予め詳細に調査する必要のあるプロセス，ファイルを一覧化できる等，攻撃調査を簡略化することにも繋がると考えられる．

Current Status of Research Progress

3: Progress in research has been slightly delayed.

Reason

本研究課題は３年間を５ステップに分けて研究を推進していく予定であり，初年度となる2019年度は，概ね２ステップ目までの進捗を得た．すなわち，申請書に記述した第２ステップにあたる，システム内活動の紐付け（とその可視化）・蓄積については，プロトタイプ実装までを終えており，当初の予定より進展があったと言える．この具体的内容は，研究実績の概要に記述した通りである．しかしながら一方で，第１ステップにあたる，高信頼アクセス制御機構のプロトタイプ実装については，事前に制御対象とするシステム内活動を明確化できている必要があるため，第２ステップの検討を先に行った結果，未だ検討段階であり，当初の予定より遅れている．

Strategy for Future Research Activity

システム内活動の紐付け（とその可視化）について，以下の課題があることがわかっている．
① 依存関係の爆発: 本研究における紐付けと可視化手法では，本来分析に不要な情報が多く含まれることがある．関連研究においては，「依存関係の爆発」という課題として認識されており，ループ処理によって発生するログの除外や，タグ付けによる情報付加等の工夫による対処が検討されている．本研究ではこの課題に対する明確な答えが見出せていないが，取得した情報を用いて悪性活動の定義を検討し，そこから意図を抽出する検討を行うことで必要な情報だけを取得することに繋がっていくと考える．そのために，システムコールから得られる情報をプロセスIDやユーザIDで括り，活動として定義する方法を検討するなどの更なる工夫が必要になると考えられる．
② 分析期間: プロトタイプでは分析に利用するシステムコールのログを検索する際，攻撃アラート検知時点から20分前までのログを対象と想定しているが，それでは不十分である可能性がある．特に攻撃者の侵入から実際の攻撃までが数日をかけて行われる事例も存在することから，分析に利用するファイルの最終アクセス時刻を利用するなど，なんらかの指標を検討する必要がある．その際に依存関係の爆発も考慮されていることが望ましい．
③ 時系列情報の表現: 分析期間中のプロセスとファイルの関係性の可視化は実現しているものの，ネットワーク図に時系列情報が存在しないため，攻撃者の行動についての詳細な分析を行う際には，直接システムコールのログを参照する必要がある．ネットワーク図の特性上，実現が難しいと考えられるが，時間軸を追加する等，時系列を理解できる図を実現することができれば，より効率的な攻撃調査が可能になると考えられる．
今後はこれら課題解決を中心に検討を進め，2020年度中に第１～第３ステップまでを終える予定である．

Causes of Carryover

2019年度は，当初第２ステップとして予定していた検討・プロトタイプ実装を先に実施したことにより，必要機材の購入を２年目にまとめて行うこととした．2020年度は，機械学習を高速に実行可能な実験用サーバ計算機を購入し，また，複数の国際会議発表も計画している．

Research Products

• [Presentation] ニューラル機械翻訳モデルを用いた異なるアーキテクチャ間における類似バイナリコードの検索 (2020)
  • Author(s): 青柳守俊, 辻秀典, 橋本正樹
  • Organizer: 研究報告セキュリティ心理学とトラスト（SPT）,2020-SPT-36(8),1-6 (2020-02-24) , 2188-8671.
• [Presentation] HTTPリクエストの調査と偽のUser-Agent値の識別方法の提案 (2020)
  • Author(s): 井上仁人, 橋本正樹
  • Organizer: 研究報告セキュリティ心理学とトラスト（SPT）,2020-SPT-36(16),1-6 (2020-02-24) , 2188-8671.
• [Presentation] ダークウェブ上に蔓延する違法有害情報の自動分類エキスパートシステムの開発 (2020)
  • Author(s): 小林華枝, 橋本正樹
  • Organizer: 研究報告セキュリティ心理学とトラスト（SPT）,2020-SPT-36(20),1-6 (2020-02-24) , 2188-8671.
• [Presentation] Exploring the Dark Web for Cyber Threat Intelligence using Machine Leaning (2019)
  • Author(s): M. KADOGUCHI, S. HAYASHI, M. HASHIMOTO and A. OTSUKA
  • Organizer: 2019 IEEE International Conference on Intelligence and Security Informatics (ISI), Shenzhen, China, 2019, pp. 200-202, doi: 10.1109/ISI.2019.8823360.
  • Int'l Joint Research
• [Presentation] 乱数性を用いたTLS通信の識別 (2019)
  • Author(s): 神田敦, 橋本正樹
  • Organizer: コンピュータセキュリティシンポジウム2019論文集,2019,683-690 (2019-10-14).