• Search Research Projects
  • Search Researchers
  • How to Use
  1. Back to project page

2015 Fiscal Year Research-status Report

DNSオープンリゾルバを悪用した増幅攻撃に対する検知手法と動的防御システムの確立

Research Project

Project/Area Number 26330101
Research InstitutionThe University of Tokyo

Principal Investigator

関谷 勇司  東京大学, 情報基盤センター, 准教授 (30361687)

Co-Investigator(Kenkyū-buntansha) 石原 知洋  東京大学, 総合文化研究科, 助教 (60588242)
Project Period (FY) 2014-04-01 – 2017-03-31
KeywordsDNS / ボットネット / サイバーセキュリティ / 攻撃緩和 / SDN
Outline of Annual Research Achievements

平成27年度は、前年度に引き続き攻撃者の挙動を把握するためのデータセット収集を行った。DNSの名前解決に関するデータを中心に、外部から組織に対しての攻撃に関連するトラフィックデータ、ファイアウォールやアクセスリストにてブロックされた通信のデータを収集した。また、これらのデータセットはフォーマットや収集の粒度がそれぞれ異なっているため、同じ時間軸で複数のデータセットを解析するためのデータ解析基盤を構築した。このデータ解析基盤は hadoop と presto と呼ばれるオープンソースソフトウェアを基本として、DNSの名前解決データとトラフィックデータを統合して解析しやすくするための改良を加えて構築された。この解析基盤は MATATABI と名付けられ、docker hub と呼ばれるシステムの簡易デプロイメントレポジトリにて無償公開された。
また、DNSやトラフィックといったネットワークインフラではなく、それ以外社会的動向を反映するデータセットとして、Web 上のニュース記事や CERT からのセキュリティ警告に関するデータを収集した。具体的には、Web 上における政治的、経済的、企業の動向に関連する記事と、Twitter におけるサイバー攻撃に関連するキーワードを含む tweets、セキュリティ企業が公開している現在のサイバー攻撃の傾向といったデータをデータセットとして蓄積した。これらのデータセットと、実際に発生した過去の攻撃事例との関連性を調べることで、サイバー攻撃を予知するための学習データセットを作成した。
さらに、DNS の名前問い合わせを元にした攻撃検知と防御システムのプロトタイプを作成した。このシステムを d4c と名付け、組織のインターネット接続境界点に設置し、攻撃検知と防御の実証実験を行った。

Current Status of Research Progress
Current Status of Research Progress

3: Progress in research has been slightly delayed.

Reason

各種データセットの収集、解析基盤の構築、攻撃検知と防御システムのプロトタイプ実装に関しては、予定通り順調に進行している。複数データセットを用いた解析も、解析基盤を用いて予定通り行われている。この解析によって、突発的な異常流量に基づく検知といったいくつかの基本的な検知手法は確立し、システムに実装済みである。その一方で、複数データを組み合わせてより複雑な攻撃の兆候を検知するための手法について、まだ検知率が低い。また、Web 上の記事や SNS データを用いた攻撃予知も 60% 程度の確度にしか達していない。複数データセットを組み合わせたより高度な検知の手法と攻撃予測の手法に関して、引き続き次年度も研究を進めていく。

Strategy for Future Research Activity

データの収集とデータセットの構築方法、ならびにデータ解析基盤の構築に関して、雑誌記事や口頭発表としては公開できているが、論文として公開できていないため、国際カンファレンスに投稿し、公開したいと考えている。また、データ収集、攻撃検知、予防防御といった一連の挙動を自動的に行うシステムとして d4c を構築したので、この構築と評価結果に関して、ジャーナル誌に投稿する予定である。平成28年度は、今年度までに構築したシステムを有効に用いて、複雑な攻撃の予兆検知や攻撃の予測手法を確立し、手法と実際のシステムとの両面にて成果の公開を行う予定である。

Causes of Carryover

本年度は成果発表のための国際カンファレンス出張を 2件程予定していたが、論文の投稿まで至らなかったため、予算が余る結果となった。また、データ収集用の機器や解析基盤構築用の機器は、他の用途に利用していたサーバなどがその役割を終え本研究に流用できたため、支出を抑えることができた。

Expenditure Plan for Carryover Budget

次年度は最終年度であり、その成果を論文やシステム実装として広く公開する予定である。そのため本年度からの繰越金額を、国際カンファレンスでの成果発表、ならびに成果を他の研究者やネットワーク運用者に無償で利用してもらうための成果公開 Web ページ等の費用にあてたいと考える。本研究の成果は特にアカデミックや研究組織といった、一律のセキュリティポリシーを適用するのが難しい組織のネットワーク運用において有用な防御手法であり、広く公開し利用してもらうことで、アカデミックネットワークのセキュリティ向上に貢献できるものである。そのため、本研究の成果を広く公開し利用してもらえるよう努力することが研究成果の社会還元であると考えるため、その最大限の努力を行うために活用したいと考える。

  • Research Products

    (4 results)

All 2016 2015 Other

All Int'l Joint Research (1 results) Journal Article (2 results) Presentation (1 results) (of which Int'l Joint Research: 1 results)

  • [Int'l Joint Research] Unitec Institute of Technology(ニュージーランド)

    • Country Name
      NEW ZEALAND
    • Counterpart Institution
      Unitec Institute of Technology
  • [Journal Article] ニュース記事解析に基づいたサイバー攻撃予測2016

    • Author(s)
      バータルスレン ムンフドルジ, 関谷 勇司
    • Journal Title

      電子情報通信学会信学技法

      Volume: vol. 115, no. 484 Pages: 165-170

  • [Journal Article] 一歩進んだセキュリティ対策2015

    • Author(s)
      関谷勇司, 岡田 和也
    • Journal Title

      技術評論社 SoftwareDesign

      Volume: 10月号 Pages: 59-67

  • [Presentation] MATATABI : Cyber Threat Analysis and Defense Platform using Huge Amount of Datasets2015

    • Author(s)
      Yuji Sekiya
    • Organizer
      APNIC 40, APOPS Technical Session
    • Place of Presentation
      ジャカルタ, インドネシア
    • Year and Date
      2015-09-03 – 2015-09-10
    • Int'l Joint Research

URL: 

Published: 2017-01-06   Modified: 2022-02-22  

Information User Guide FAQ News Terms of Use Attribution of KAKENHI

Powered by NII kakenhi