2022 Fiscal Year Research-status Report
キャンパスBYODを見据えた効率的な暗号化通信の分析に関する研究
| Project/Area Number |
21K11848
|
|---|
| Research Institution | Kyushu Institute of Technology |
|---|
Principal Investigator |
佐藤 彰洋 九州工業大学, 情報基盤センター, 准教授 (30609376)
|
|---|
| Project Period (FY) |
2021-04-01 – 2024-03-31
|
| Keywords | ネットワークセキュリティ / マルウェア / 暗号化通信 / ドメイン名 / 機械学習 |
|---|
| Outline of Annual Research Achievements |
コロナ禍におけるリモートワークの導入を背景に,私物情報端末の業務利用,すなわちBYOD(Bring Your Own Devices)が急速に浸透しつつある.高等教育の場でも,対面と遠隔の両講義を円滑に実施するため,学生個人の端末を必携とするBYOD体制への移行が必須となっている.その一方で,マルウェアに感染済みの端末をキャンパスネットワークに持ち込まれることが大きな課題となる.マルウェアによる通信の検出はブラックリストやレピュテーションに頼ることになるが,それらは誤検出を伴うため管理者による検出原因の調査と特定が必須である.しかしながら,その作業は暗号化通信の普及により困難を極めることとなる.
本研究の核心を成す学術的問いは「暗号化により通信内容が隠蔽される状況下において,悪性と判別された通信の原因を特定するに十分な根拠を見出せるか」に集約される.この解の探究は,マルウェアの感染が疑われる端末に対する迅速且つ的確な措置を可能とすること,延いてはネットワークの堅牢性の向上に大きく寄与するものとなる.
本研究は核となる3つの技術,(1)不審セッション導出技術,(2)不審セッション分類技術,(3)不審セッション特定技術から成る.当該年度は「(1)不審セッション導出技術」の成果を取り纏め,「(2)不審セッション分類技術」の確立に着手した.不審セッション分類技術は,パケットの外観的特徴(パケットのサイズ,送信方向,送信間隔などに加え,暗号化のためのネゴシエーションなど)に基づいてセッションを原因ごとに分類する.現在,プロトタイプシステムの構築を終え,九州工業大学のキャンパスネットワークにおける実証実験により,その有用性の検証に取り組んでいる.
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
本研究は核となる3つの技術,(1)不審セッション導出技術,(2)不審セッション分類技術,(3)不審セッション特定技術から成る.当該年度は主に「(2)不審セッション分類技術」の確立に着手した.不審セッション分類技術は,パケットの外観的特徴に基づいてセッションを原因ごとに分類することを目的とする.本技術の着想は次の知見,(a)不審セッションはマルウェアの活動の一端を成すタスクと対応付けられること,(b)タスクが担う役割の差異はパケット交換の差異として表れることから得たものである.故に,不審セッションにおけるパケットの外観的特徴を比較することで,その原因の同異を推定することが可能となる.
具体的なアプローチは,不審セッションを成す通信群において,そのパケットのサイズ,送信方向,送信間隔などに加え,暗号化のためのネゴシエーションの特徴を利用する.また,それら通信群を画一的に扱うのではなく,前述の「不審セッション導出技術」における共起関係,すなわち悪性と判別された通信との結び付きの強さを重みとして付与する.一般的にパケットの外観的特徴に基づく分類では精度の担保が懸念事項となるが,ブラックリストやレピュテーションにより悪性と判別された通信のみに分類対象を限定しているため,その問題を大幅に緩和することが可能となる.
現在,プロトタイプシステムの構築を終え,九州工業大学のキャンパスネットワークにおける実証実験により,その有用性の検証に取り組んでいる.また,この研究成果を取り纏めたものを論文誌に投稿する予定である.このように,本研究は概ね計画通りである.
|
| Strategy for Future Research Activity |
次年度は不審セッションの分類結果に対して,その原因を特定する技術の確立を目指す.また,これまでの成果と合わせ最終的な評価に取り組むことを予定している.本技術の着想は次の知見,(a)マルウェアは狙いによりボット,クリプトマイナー,バンキング,エクスプロイトなどに大別できること,(b)未知のマルウェアによる通信だとしても,その活動を細分化したタスク単位の比較により,既知のマルウェアによる通信との類似性を見出せることから得たものである.故に,多様なマルウェアの通信を予め教師データとして保持すること,それとの類似性を比較することにより不審セッションの分類結果に検出原因を付加することが可能となる.
具体的なアプローチとして,教師データには,学術研究のために公開されている悪性通信のデータセットなどを用いる.しかしながら,暗号化の普及に伴い,マルウェアの通信を十分量確保することが困難になると予想される.教師データの不足が精度の低下に直結することを踏まえ,その不足をGAN(Generative Adversarial Network)による擬似データの自動生成で補うことを検討する.
|
| Causes of Carryover |
半導体不足の影響を受け,物品の納品が遅れたため.
なお必要な物品は既に発注済みである.
|
