2015 Fiscal Year Annual Research Report
未知のサイバー攻撃を検知追跡するセンサーシステムの構築
| Project/Area Number |
23300025
|
|---|
| Research Institution | Nagoya University |
|---|
Principal Investigator |
高倉 弘喜 国立情報学研究所, アーキテクチャ科学研究系, 教授 (70281144)
|
|---|
| Project Period (FY) |
2011-04-01 – 2016-03-31
|
| Keywords | サイバー攻撃対策 / 未知攻撃対策 / 標的型攻撃対策 |
|---|
| Outline of Annual Research Achievements |
膨大なサイバー攻撃のうち、未知のものと推定される攻撃を抽出するため以下の手法の開発を行った。
1. セッション情報をパラメータ化し、fuzzy hasingにより既知のマルウェアが行う通信セッションのパターンとの比較を行うことで、既知マルウェアとの類似性判定を行う。いずれの既知通信セッションにも類似しないもの、あるいは、異なるマルウェアファミリーのセッションとの類似性があると判定されたものを未知のマルウェアによる通信と判定する。
2. 機械学習による未知のサイバー攻撃検知では、一般に、正常な状態の通信パターンを教師データとして準備することが想定されている。しかし、現実には、コンピュータシステムの新規設置・入れ替え(撤去)、OS、ファームウェア、アプリケーションの更新、利用者の変化などにより、正常な状態は頻繁に変化する。また、保護対象のLANが新規構築される場合を除けば、完全に正常な状態だけであるという確証もない。そこで、現時点のLAN全体の通信状態を教師データとし、その中で他の機器の通信パターンと大きく逸脱した通信を行う機器を特定する。
3. ネットワーク環境の高機能化に伴い、小規模のLANにおいても、LAN内のすべての通信の総量は数十GBに達することも珍しくなくなった。このような大量セッションデータから解析用のパラメータ値を生成するためには、ソフトウェアベースの処理では対応できない。そこで、処理のうち、セッションの状態の保持、セッション中の通信を特徴付けるn-gram値の生成をFPGAによりハードウェアで行う。
これにより、異常な通信をあぶり出し、ネットワーク管理者に提示することで、機械的には発見が難しい未知のサイバー攻撃の検知支援が実現できる見込みとなった。
|
| Research Progress Status |
27年度が最終年度であるため、記入しない。
|
| Strategy for Future Research Activity |
27年度が最終年度であるため、記入しない。
|
Research Products
(5 results)
