2014 Fiscal Year Research-status Report
標準型メール攻撃に対する知的ネットワークフォレンジック技術の開発
| Project/Area Number |
26330161
|
|---|
| Research Institution | Tokyo Denki University |
|---|
Principal Investigator |
佐々木 良一 東京電機大学, 未来科学部, 教授 (70333531)
|
|---|
| Project Period (FY) |
2014-04-01 – 2017-03-31
|
| Keywords | セキュアネットワーク / デジタルフォレンジクス / ネットワークフォレンジック / 人工知能 / ルールベース / イベントログ |
|---|
| Outline of Annual Research Achievements |
官庁や企業などに対する標的型メール攻撃が起こった時に、適切に対処できるようにするため、ネットワークフォレンジックシステムのインテリジェント化をすすめ、自動運転したり、運用者を適切にガイドしたりできるようにするためのLIFT(Live Intelligent Network Forensic Technologies)と名付けたシステムの開発構想を明確化した。
これは、診断に関する知識を、事象・兆候テーブルや事象・対策テーブルとして表現し、AI(人工知能:Artificial Intelligence)の1つであるルールベースシステムをルールとして保存しておくものである。検知システムより、イベントログなどから兆候が検知されると事象・兆候テーブルを逆引きし、発生事象の推定を行う。確信度が十分高い事象が明確にならない場合は、確信度を上げるために最も適切な兆候を自動的に取りに行ったり、取りに行くようにガイドしたりし、確信度を十分高い事象を見つけるようにする。これらの事象が明確になると、事象・対策テーブルを用いて対策をガイドするものでありイベントログなどがきちんと得られれば適切に対応可能な見通しを得ている。また、JBOSS Droolsなどのルールベースシステムを用いると個別のルールをランダムに入れておくと、システムが演算順序を自動的に選択し演算を行ってくれることも確認している。
なお、事象・兆候の関係を記述するうえで十分なイベントログを得るために、メインメモリー上に立ちあがっているプロセスと送受信パケットの関係を記録するためのシステムCAPLOGGERを開発した。このCAPLOGGERについては、特許出願を行うとともに、DICOMO2014で学会講演を行ない、ベストプレゼンテーション賞を受賞している。
|
| Current Status of Research Progress |
Current Status of Research Progress
1: Research has progressed more than it was originally planned.
Reason
問題となるパケットを流した元のPCやアプリケーションプログラムの推定システムは、2015年度に開発の予定であったが、予想以上に早い進展があり、2014年度に完成し、実用化が確認できたので「当初の計画以上に進展している」とした。
|
| Strategy for Future Research Activity |
当初は診断の精度を大幅に向上するため(a)パケットを流した元のアプリケーションや(b)LIVE メモリー情報を効率的に求めるための具体的方法を確立するの2つであったが、(a)が2014年度に達成できたので、2015年度はLIVE メモリー情報を効率的に求めるための具体的方法を確立を試みるとともに、2016年度に予定していたLIFT システムのAI 機能を実装し、実験によって評価・改良についても着手する。
|
| Causes of Carryover |
研究計画と予算執行に時間的なズレが生じたもので、今年度予定通り使用の予定。
|
| Expenditure Plan for Carryover Budget |
当初計画通り執行予定。
|
