2013 Fiscal Year Annual Research Report
未知のサイバー攻撃を検知追跡するセンサーシステムの構築
| Project/Area Number |
23300025
|
|---|
| Research Institution | Nagoya University |
|---|
Principal Investigator |
高倉 弘喜 名古屋大学, 情報基盤センター, 教授 (70281144)
|
|---|
| Project Period (FY) |
2011-04-01 – 2016-03-31
|
| Keywords | サイバーセキュリティ / 機械学習 / ゼロデイ攻撃 / トラフィック解析 |
|---|
| Research Abstract |
近年、サイバー攻撃の巧妙化およびステルス化が急速に進みつつあり、既存対策ではその存在を検知することが困難となりつつある。その理由として、攻撃プログラムが外部指令サーバと行なう通信と正常な通信の相違が小さい、目的完了までは派手な活動を控える、組織内部の攻撃では未公開の脆弱性を狙うなどのため、攻撃を識別することができないことが上げられる。この問題に対し、未知のサイバー攻撃が含まれている可能性が高いセッションを見つけるための解析アルゴリズムを構築した。
1. まず、二つの過去のトラフィックデータを学習データとテストデータとして攻撃セッションの検知を行う。例えば、我々が開発した攻撃検知アルゴリズムに1週間前のトラフィックデータを学習させ、得られたモデルを元に前日のトラフィックデータを解析させることで、前日の攻撃セッションを抽出する。
2. 次に、同じ学習結果に基づいて、最新のトラフィックデータ(ライブデータ)を解析させることで、ライブデータ中の攻撃セッションを抽出する。
3. 1で得られた攻撃セッションの集合を学習データ、2で得られた攻撃セッションの集合をテストデータとして、同様に学習と検知を行う。これにより、2(ライブ)のデータから、1(前日)には存在しない攻撃データが抽出される。
この解析を複数の学習データを用いて行なうことにより、過去に存在しない、現在進行中の攻撃セッションを抽出することが可能となる。この手法を、我々が2004年より収集しているハニーポットシステムのデータで検証した結果、不正アクセス検知システム(IDS)などで見逃しとなった未知の攻撃、あるいは、断定はできないが攻撃の疑いが有るセッションを60%程度の精度で検知できることを確認した。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
本研究課題は、未知の攻撃の存在を察知する手法を開発することが目的である。通常、標的型サイバー攻撃が、一つの攻撃セッションだけで実行されることはありえず、かつ、ステルス性が高いとはいえ、様々な偵察活動、その結果の報告、内部への浸食活動が行なわれる。従って、これらの活動の60%程度を検知できれば、攻撃の「尻尾」を掴むことが可能となり、さらなる絞り込み調査を行なうか否かの判断が可能となる。
もちろん、この検知精度をさらに向上させることが今後の課題である。
|
| Strategy for Future Research Activity |
これまでに開発した手法は、若干の改良を施しているとはいえ、既存の解析アルゴリズムを多段に用いるという単純なものである。そこで、今後は、解析アルゴリズム自身の改良を試みる。また、現在は、単に通信をモニターし、そこから得られたトラフィックを解析するだけであるが、攻撃の疑いが有る通信を見つけた場合、そのセッションを強制的に切断する、あるいは、一定時間の遅延を加える等をして、正常な通信では起こり得ない異常挙動を検知する手法の検討および開発を行なう予定である。
|
