2015 Fiscal Year Research-status Report
DNSオープンリゾルバを悪用した増幅攻撃に対する検知手法と動的防御システムの確立
| Project/Area Number |
26330101
|
|---|
| Research Institution | The University of Tokyo |
|---|
Principal Investigator |
関谷 勇司 東京大学, 情報基盤センター, 准教授 (30361687)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
石原 知洋 東京大学, 総合文化研究科, 助教 (60588242)
|
|---|
| Project Period (FY) |
2014-04-01 – 2017-03-31
|
| Keywords | DNS / ボットネット / サイバーセキュリティ / 攻撃緩和 / SDN |
|---|
| Outline of Annual Research Achievements |
平成27年度は、前年度に引き続き攻撃者の挙動を把握するためのデータセット収集を行った。DNSの名前解決に関するデータを中心に、外部から組織に対しての攻撃に関連するトラフィックデータ、ファイアウォールやアクセスリストにてブロックされた通信のデータを収集した。また、これらのデータセットはフォーマットや収集の粒度がそれぞれ異なっているため、同じ時間軸で複数のデータセットを解析するためのデータ解析基盤を構築した。このデータ解析基盤は hadoop と presto と呼ばれるオープンソースソフトウェアを基本として、DNSの名前解決データとトラフィックデータを統合して解析しやすくするための改良を加えて構築された。この解析基盤は MATATABI と名付けられ、docker hub と呼ばれるシステムの簡易デプロイメントレポジトリにて無償公開された。
また、DNSやトラフィックといったネットワークインフラではなく、それ以外社会的動向を反映するデータセットとして、Web 上のニュース記事や CERT からのセキュリティ警告に関するデータを収集した。具体的には、Web 上における政治的、経済的、企業の動向に関連する記事と、Twitter におけるサイバー攻撃に関連するキーワードを含む tweets、セキュリティ企業が公開している現在のサイバー攻撃の傾向といったデータをデータセットとして蓄積した。これらのデータセットと、実際に発生した過去の攻撃事例との関連性を調べることで、サイバー攻撃を予知するための学習データセットを作成した。
さらに、DNS の名前問い合わせを元にした攻撃検知と防御システムのプロトタイプを作成した。このシステムを d4c と名付け、組織のインターネット接続境界点に設置し、攻撃検知と防御の実証実験を行った。
|
| Current Status of Research Progress |
Current Status of Research Progress
3: Progress in research has been slightly delayed.
Reason
各種データセットの収集、解析基盤の構築、攻撃検知と防御システムのプロトタイプ実装に関しては、予定通り順調に進行している。複数データセットを用いた解析も、解析基盤を用いて予定通り行われている。この解析によって、突発的な異常流量に基づく検知といったいくつかの基本的な検知手法は確立し、システムに実装済みである。その一方で、複数データを組み合わせてより複雑な攻撃の兆候を検知するための手法について、まだ検知率が低い。また、Web 上の記事や SNS データを用いた攻撃予知も 60% 程度の確度にしか達していない。複数データセットを組み合わせたより高度な検知の手法と攻撃予測の手法に関して、引き続き次年度も研究を進めていく。
|
| Strategy for Future Research Activity |
データの収集とデータセットの構築方法、ならびにデータ解析基盤の構築に関して、雑誌記事や口頭発表としては公開できているが、論文として公開できていないため、国際カンファレンスに投稿し、公開したいと考えている。また、データ収集、攻撃検知、予防防御といった一連の挙動を自動的に行うシステムとして d4c を構築したので、この構築と評価結果に関して、ジャーナル誌に投稿する予定である。平成28年度は、今年度までに構築したシステムを有効に用いて、複雑な攻撃の予兆検知や攻撃の予測手法を確立し、手法と実際のシステムとの両面にて成果の公開を行う予定である。
|
| Causes of Carryover |
本年度は成果発表のための国際カンファレンス出張を 2件程予定していたが、論文の投稿まで至らなかったため、予算が余る結果となった。また、データ収集用の機器や解析基盤構築用の機器は、他の用途に利用していたサーバなどがその役割を終え本研究に流用できたため、支出を抑えることができた。
|
| Expenditure Plan for Carryover Budget |
次年度は最終年度であり、その成果を論文やシステム実装として広く公開する予定である。そのため本年度からの繰越金額を、国際カンファレンスでの成果発表、ならびに成果を他の研究者やネットワーク運用者に無償で利用してもらうための成果公開 Web ページ等の費用にあてたいと考える。本研究の成果は特にアカデミックや研究組織といった、一律のセキュリティポリシーを適用するのが難しい組織のネットワーク運用において有用な防御手法であり、広く公開し利用してもらうことで、アカデミックネットワークのセキュリティ向上に貢献できるものである。そのため、本研究の成果を広く公開し利用してもらえるよう努力することが研究成果の社会還元であると考えるため、その最大限の努力を行うために活用したいと考える。
|
