未知のサイバー攻撃を検知追跡するセンサーシステムの構築

2014 Fiscal Year Annual Research Report

• Project/Area Number: 23300025
• Research Institution: Nagoya University
• Principal Investigator: 高倉 弘喜 名古屋大学, 情報基盤センター, 教授 (70281144)
• Project Period (FY): 2011-04-01 – 2016-03-31
• Keywords: サイバーセキュリティ / 未知攻撃 / 標的型攻撃

Outline of Annual Research Achievements

膨大なサイバー攻撃の内、未知のものと推定されるものを抽出する手法として以下の3項目の開発を行った。
1. セッション情報をパラメータ化し、fuzzy hashによって特徴量を求めることで、類似のセッションが存在するか否かを高速に確認するアルゴリズム。
2. サイバー攻撃に用いられたマルウェアを、その構造をfuzzy hashによって特徴量化し、既知のマルウェアの亜種か否かを判定するアルゴリズム。
3. HEMS/BEMSなどの制御系ネットワークが混在する環境下での不正な通信を抽出するアルゴリズム。
以上により、約60%の精度で未知の攻撃の可能性が有る通信を特定できるようになった。

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

各アルゴリズムの試作は完了し、性能評価の結果、概ね目的とした検知精度を達成していると判断している。また、平成27年度は、その検知精度のさらなる向上、および、実用性検証を行う目処が立っているため。

Strategy for Future Research Activity

前述の通り、最終年度である平成28年度は、検知アルゴリズムの精度向上として、検知率60%を80%まで向上させることを目指す、また、セッションによる判定とマルウェアによる判定を連携させることも検討している。これらを統合したアルゴリズムを実装し、実環境における性能評価を行う。

Research Products

• [Journal Article] Unknown Attack Detection by Multistage One-Class SVM Focusing on Communication Interval (2014)
  • Author(s): Shohei Araki, Yukiko Yamaguchi, Hajime Shimada and Hiroki Takakura
  • Journal Title: The 2014 Cybersecurity Data Mining Competition and Workshop, Neural Information Processing Lecture Notes in Computer Science, Vol.8836, pp.325-332, Oct. 2014. Volume: 8836 Pages: 325-332
  • DOI: 10.1007/978-3-319-12643-2_40
  • Peer Reviewed / Acknowledgement Compliant
• [Journal Article] Development of a Secure Traffic Analysis System to Trace Malicious Activities on Internal Networks (2014)
  • Author(s): Soshi Hirono, Yukiko Yamaguchi, Hajime Shimada, Hiroki Takakura
  • Journal Title: The 38th Annual International Computers, Software and Applications Conference (COMPSAC2014) Volume: 1 Pages: 305-310
  • DOI: 10.1109/COMPSAC.2014.41
  • Peer Reviewed / Acknowledgement Compliant
• [Journal Article] A Countermeasure Recommendation System against Targeted Attacks with Preserving Continuity of Internal Networks (2014)
  • Author(s): Hirokazu Hasegawa, Yukiko Yamaguchi, Hajime Shimada, Hiroki Takakura
  • Journal Title: The 38th Annual International Computers, Software and Applications Conference (COMPSAC2014) Volume: 1 Pages: 400-405
  • DOI: 10.1109/COMPSAC.2014.63
  • Peer Reviewed / Acknowledgement Compliant
• [Presentation] Malware Classification Method Based on Sequence of Traffic Flow (2015)
  • Author(s): Hyoyoung Lim, Yukiko Yamaguchi, Hajime Shimada, Hiroki Takakura
  • Organizer: 1st International Conference on Informaiton Systems Security and Privacy, Feb. 2015
  • Place of Presentation: Angers, Loire Valley, France
  • Year and Date: 2015-02-09 – 2015-02-11
• [Presentation] Network Access Control by FPGA-Based Network Switch using HW/SW Cooperated IDS (2014)
  • Author(s): Shun Yanase, Hajime Shimada, Yukiko Yamaguchi, Hiroki Takakura
  • Organizer: Technical Committee on Internet Architecture (IA)
  • Place of Presentation: Chiang Mai, Thailand
  • Year and Date: 2014-11-05 – 2014-11-06
• [Presentation] ネットワークトラフィックフローにおけるシーケンスパターンに基づくマルウェア分類手法 (2014)
  • Author(s): 林孝英、山口由紀子、嶋田創、高倉弘喜
  • Organizer: Computer Security Symposium 2014
  • Place of Presentation: 札幌
  • Year and Date: 2014-10-22 – 2014-10-24
• [Presentation] HW/SW協調によるアノマリ検知の高速化のためのFPGA部実装 (2014)
  • Author(s): 柳瀬駿, 嶋田創, 山口由紀子, 高倉弘喜
  • Organizer: 第66回CSEC・第10回SPT合同研究発表会
  • Place of Presentation: 函館
  • Year and Date: 2014-07-03 – 2014-07-04
• [Presentation] 自動ネットワーク構成システムにおける管理ポリシー記述手法の実装 (2014)
  • Author(s): 塩田実里, 山口由紀子, 嶋田創, 高倉弘喜
  • Organizer: インターネットアーキテクチャ研究会（IA）
  • Place of Presentation: 神戸
  • Year and Date: 2014-06-05 – 2014-06-06