2023 Fiscal Year Annual Research Report
トラフィックの時空間特徴量に着目したDoS耐性IoTアーキテクチャの研究
| Project/Area Number |
23H03361
|
|---|
| Allocation Type | Single-year Grants |
|---|
| Research Institution | The University of Tokyo |
|---|
Principal Investigator |
中村 宏 東京大学, 大学院情報理工学系研究科, 教授 (20212102)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
関谷 勇司 東京大学, 大学院情報理工学系研究科, 教授 (30361687)
|
|---|
| Project Period (FY) |
2023-04-01 – 2027-03-31
|
| Keywords | IoTアーキテクチャ / IoTネットワーク / SDN / セキュリティ |
|---|
| Outline of Annual Research Achievements |
ネットワーク内の全トラフィックを遅延なく把握できることを仮定した上で、攻撃を検出するトラフィックの時空間特徴量の検討を目指した。そこで、IoT機器がSDN (software defined network)で接続される構成を対象に、既知の典型的な攻撃としてまずランサムウェア攻撃を取り上げ、最初に実行されるスキャニング挙動検知を検出する手法を検討した。SDNではパケットの経路制御とデータ転送をSDNコントローラとSDNスイッチに分けて制御を行うため、この仮定に近い状況が成立する。
評価環境として、SDNコントローラとして Python 言語によって記述可能な Ryu コントローラを、SDN スイッチとして OpenFlow スイッチを用い、Linux カーネル上で、複数のホスト、スイッチ、ルータを組み合わせて仮想的にネットワークを構築することが出来るネットワークエミュレータを開発した。その上で、OpenFlow スイッチ 1 台とホスト 3 台のトポロジーを作成し、CICAndMal2017というデータセットを用いて検討を行った。
収集する情報としては、収集容易性を重視し、SDNスイッチから直接収集できるpacket count, byte count、および、通信の特徴量としてpacket length, arrival time、スキャンの挙動を捉える特徴量として、自らが送信元/宛先として開始される通信フロー数とホストが通信を行う宛先IPアドレス/宛先ポートの種類数を取り上げた。その結果、この環境では、これらの容易に収集可能な特徴量で、スキャニング協働を検知できることを示した。
また、キャッシュサイドチャネル攻撃に対するIoTアーキテクチャの脆弱性についても検討を加えた。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
当初の予定通り、ネットワーク内の全トラフィックを遅延なく把握できることを仮定した上で、ランサムウェア攻撃におけるスキャニング挙動検知を検出するトラフィックの時空間特徴量を示すことができた。また評価環境の構築も予定通り実施でき、提案手法の有効性を当該評価環境を用いて示すことができた。まだ評価の対象としたデータセットとネットワークトポロジーが限定的ではあるものの、当初の目的を達成することはできたので、おおむね順調に進展していると判断した。
|
| Strategy for Future Research Activity |
今後、容易に攻撃検知を可能とする時空間特徴量の検討を精緻化する。そのために、ランサムウェアのスキャニングだけではなく類似の攻撃ともいえるBrute Force攻撃にも検討対象を広げ、それらの攻撃がどのような特徴量を有するのかの検討を進める。そのために、現在の侵入検知システム(IDS: Intrusion Detection System)がどのような特徴量に基づいて攻撃検知をしているか、True PositiveだけではなくFalse Negativeと判定する場合の時空間特徴量も調べ、攻撃検知に必要となるトラフィックの時空間特徴量を、従来の検出手法の限界とあわせて検討する。また、IoTネットワークの場合には、容易、すなわち少ないハードウェアで軽量に攻撃を検知しなければならない。そのような攻撃検知を実現するアーキテクチャの検討を進め、当該アーキテクチャのハードウェア機構の面積ならびに消費電力も検討する。また、評価環境に関しては、より多様なネットワークトポロジーに対応できるように拡張していく。
|
Research Products
(2 results)
