未知のサイバー攻撃を検知追跡するセンサーシステムの構築

2012 Fiscal Year Annual Research Report

• Project/Area Number: 23300025
• Research Institution: Nagoya University
• Principal Investigator: 高倉 弘喜 名古屋大学, 情報基盤センター, 教授 (70281144)
• Project Period (FY): 2011-04-01 – 2016-03-31
• Keywords: 情報セキュリティ / サイバー攻撃 / ハニーポット / データマイニング

Research Abstract

既存のセンサーシステムを改良し、直接攻撃を受ける、あるいは、既存システムで収集したマルウェアを用いて、自発的に感染する機構を追加した。また、名古屋大学のIPv6の導入開始に伴い、単体のコンピュータが複数の接続先を有する環境が提供されるため、これに対応するマルチホーム対応を図った。複数の接続先や回線を同時に使用しながら通信するマルチホーム環境に対応するため、トラフィックデータベースへの格納の際に、異なるセッション間の関連性の高さを判定し、これをデータベースに保存する機能を追加した。
次に、トラフィックデータベースに保存済みの正常トラフィック、および、既知の攻撃を種別毎にクラスタリングし、各クラスタに対してOne-class SVMによる学習を行うアルゴリズムの改良を行った。トラフィックデータベースの解析から新たな攻撃の可能性が疑われる場合、攻撃に関連する情報についてマイニングを行い、正常トラフィックあるいはflood 攻撃のクラスタに分類されたものは、正常または従来型攻撃と判定し、以降の処理を行わないことで、攻撃自体が解析システムに対するDDoS攻撃にならないようになっている。
従来型攻撃を仕掛けつつ新種の攻撃を行うサイバー攻撃を、その混合比率が変動しても、従来型攻撃と誤判定しないための機構を開発した。
これまでに開発したシステムを実環境において評価実験を行った。

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

サイバー攻撃を追跡するための囮システムはほぼ完成したと考えている。また、IPv6の広大なアドレス空間において、効率的にサイバー攻撃を囮システムに誘導する手法、および、攻撃の傾向を分析するシステムの開発に着手する等、当初計画に無かった機能の実装を始めている。
また、囮システムで収集したマルウェアを自動解析することで、既知マルウェアと共通部分の機械コードについては再度の解析をすること無く、新たに追加されたと思われる部分を特定し、そこだけの解析に注力することを可能とするマルウェア自動分類アルゴリズムも開発している。これにより、開発中の手法の効率的な検証が実現できると考えている。
ただし、サイバー攻撃の手法が、さらに巧妙化してきており、組織内ネットワークでの内部攻撃を検知する仕組みが必要となって来ている。このため、現在開発中のシステムを、このような攻撃に対応させる必要が出て来た。

Strategy for Future Research Activity

新たに得られた情報とこれまでに保存された情報を比較する以下のような解析アルゴリズムを構築する。設計方針としては、クラスタリングとOne-class SVMの統合手法の応用を考えている。この応用により、トラフィックデータベースの解析から新たな攻撃の可能性が疑われる場合、攻撃に関連する情報についてマイニングを行い、正常トラフィックあるいはflood 攻撃のクラスタに分類されたものは、正常または従来型攻撃と判定するアルゴリズムの精度向上を目指す。
新たな攻撃の可能性が高いと判断される場合、詳細解析を行う。当初は手動による解析で新たな攻撃か否かを判定するが、その解析過程をプログラム化することで、自動判別する機構を開発する。これにより、新種の攻撃を自動抽出するシステムを実現したい。さらに、攻撃元と判断した場合は、センサーシステムに逆探知を指示する。
なお、本システムではOne-class SVMの応用を考えているが、従来手法では誤検知が大きく実用的ではない可能性があるため、新たなサイバー攻撃を分類するための改良、または、新たな手法を開発しなければならない可能性がある。このため、新たなカーネル関数の提案も検討している。
センサーシステムを改良し、組織内でのサイバー攻撃を検知および防止できる機構を開発する。標的型攻撃では、実環境下にあり、かつ、実ユーザが使用するPCでなければ活動しないマルウェアが使用されるため、マルウェア感染を許容しながらも組織ネットワークに危害を及ぼさない擬似ネットワーク機構の開発を行う。

Research Products

• [Journal Article] ARIGUMA Code Analyzer: Efficient Variant Detection by Identifying Common Instruction Sequences in Malware Families (2013)
  • Author(s): Yang Zhong, Hirofumi Yamaki, Yukiko Yamaguchi, Hiroki Takakura
  • Journal Title: COMPSAC 2013 Volume: なし Pages: 公開予定
  • Peer Reviewed
• [Journal Article] 再送動作のリアルタイム検出によるspam判別手法の実装と評価 (2013)
  • Author(s): 北川直哉, 高倉弘喜, 鈴木常彦
  • Journal Title: 電子情報通信学会論文誌D Volume: J96-D Pages: 552-561
  • Peer Reviewed
• [Journal Article] An Advanced Security Event Visualization Method for Identifying Real Cyber Attacks (2013)
  • Author(s): Jungsuk Song, Takayuki Itoh, GilHa Park, Hiroki Takakura
  • Journal Title: Applied Mathematics & Information Sciences Volume: なし Pages: 公開予定
  • Peer Reviewed
• [Journal Article] A Malware Classification Method based on Similarity of Function Structure (2012)
  • Author(s): Yang Zhong, Hirofumi Yamaki and Hiroki Takakura
  • Journal Title: The 3rd Workshop on Network Technologies for Security, Administration and Protection Volume: なし Pages: 256-261
  • DOI: 10.1109/SAINT.2012.48
  • Peer Reviewed
• [Journal Article] Unknown Attacks Detection Using Feature Extraction from Anomaly-based IDS Alerts (2012)
  • Author(s): Masaaki Sato, Hirofumi Yamaki and Hiroki Takakura
  • Journal Title: The 3rd Workshop on Network Technologies for Security, Administration and Protection Volume: なし Pages: 273-277
  • DOI: 10.1109/SAINT.2012.51
  • Peer Reviewed
• [Journal Article] An adaptive honeypot system to capture IPv6 address scans (2012)
  • Author(s): Kazuya Kishimoto, Kenji Ohira, Yukiko Yamaguchi, Hirofumi Yamaki, Hiroki Takakura
  • Journal Title: 2012 ASE International Conference on Cyber Security Volume: なし
  • Peer Reviewed
• [Journal Article] An Anti-spam Method Via Real-time Retransmission Detection (2012)
  • Author(s): Naoya KITAGAWA, Hiroki TAKAKURA, Tsunehiko SUZUKI
  • Journal Title: The 18th IEEE International Conference on Networks Volume: なし
  • Peer Reviewed
• [Presentation] 組織内部攻撃に対するリスク緩和のためのネットワーク設計支援システムの提案 (2012)
  • Author(s): 長谷川皓一, 新 麗, 加藤雅彦, 山口由紀子, 八槇博史, 高倉弘喜
  • Organizer: 信学技報
  • Place of Presentation: 広島県
  • Year and Date: 20121122-20121122
• [Presentation] A lightweight method to discriminate spamming hosts by periodically changing DNS response (2012)
  • Author(s): Naoya Kitagawa, Hiroki Takakura, Tsunehiko Suzuki
  • Organizer: 信学技報
  • Place of Presentation: タイ
  • Year and Date: 20121018-20121019
• [Presentation] Transparent Server Migration between Datacenters by Utilizing OpenFlow (2012)
  • Author(s): Tatsuya Fukushima, Hirofumi Yamaki, Yukiko Yamaguchi, Hiroki Takakura
  • Organizer: 信学技報
  • Place of Presentation: タイ
  • Year and Date: 20121018-20121019
• [Presentation] OpenFlowを用いた広域サーバマイグレーション (2012)
  • Author(s): 福島達也, 八槇博史, 山口由紀子, 高倉弘喜
  • Organizer: FIT2012 第11回情報科学技術フォーラム
  • Place of Presentation: 東京都
  • Year and Date: 20120904-20120906
• [Presentation] マルウェアのオペコードに着目した高速な分類手法 (2012)
  • Author(s): 鐘揚, 八槇博史, 山口由紀子, 高倉弘喜
  • Organizer: 信学技報
  • Place of Presentation: 東京都
  • Year and Date: 20120621-20120622
• [Presentation] 深刻化するサイバー攻撃の現状とその背景 ～国内の事例と海外の事例にみるAPT対応の違いと今後の方向性～ (2012)
  • Author(s): 高倉弘喜
  • Organizer: Interop2012
  • Place of Presentation: 千葉県
  • Year and Date: 20120612-20120615
  • Invited