2015 Fiscal Year Research-status Report

標準型メール攻撃に対する知的ネットワークフォレンジック技術の開発

Research Project

Project/Area Number	26330161
Research Institution	Tokyo Denki University
Principal Investigator	佐々木良一東京電機大学, 未来科学部, 教授 (70333531)
Project Period (FY)	2014-04-01 – 2017-03-31
Keywords	セキュアネットワーク / デジタルフォレンジクス / ネットワークフォレンジクス / 人工知能 / ルールベース / イベントログ
Outline of Annual Research Achievements	標的型メール攻撃に対処するためには、パケットなどのネットワーク系のログをしっかり取得・管理・分析することによりコンピュータウイルスの侵入・拡散や情報の漏えいなどを検知・防止できるようにする必要があり、この自動化を図るためAI（Artificial Intelligent）の導入を前提としたLIFTシステムの開発を進めている。本年度は、（１）前年度実施したLIFTシステムのあるべき機能、構成ならびに必要となる技術の詳細化を行うとともに、（２）ＡＩ技術の1つであるルールベースシステムに実験結果や文献調査に基づき具体的ルールを組み込んだプロトプログラムを開発した。あわせて、（３）ＰＣなどから具体的なログデータを得るためにWindowsOSの持つファイヤーウォールの機能を利用する方法を考案し、パケットとプロセスの関連付けにも続き影響の連鎖の把握を可能とした。（４）このようにして得られたルールベースのシステムと具体的にログデータを集めるシステムを組み合わせ実験を行うことにより、過去に起こった6つのインシデントに対し、正しくインシデント事象を検知できることを確認した。さらに、今後起こる可能性のあるインシデントにも対応できる道を開くため、（ａ）ＡＩ技術の1つであるマルチエージェントを用いる方法と、（ｂ）代表的コンピュータウイルスの亜種の出現パターンをVirusTotalを用いて分析し、新しく出現したコンピュータウイルスの亜種出現の予測を行う方法を考案した。また、検知の精度を上げるため、単純な事象兆候テーブルではなく、相互の関連性を考慮できるベイジアンアンネットを用いる方式を考案した。この結果を、2件の海外発表、6件の国内発表、2件の論文としてまとめた。
Current Status of Research Progress	Current Status of Research Progress 1: Research has progressed more than it was originally planned. Reason 今後起こる可能性のあるインシデントへの対応方式の検討などは、当初予想したよりも進展がみられる。具体的には上述したように（ａ）ＡＩ技術の1つであるマルチエージェントを用いる方法と、（ｂ）代表的コンピュータウイルスの亜種の出現パターンをVirusTotalを用いて分析し、新しく出現したコンピュータウイルスの亜種出現の予測を行う方法を考案した。
Strategy for Future Research Activity	(1)事象・対策テーブルをLIFTシステム内に具体的に作成したうえで、自動的な処理や適切なガイドが可能か実験を行う。 (2)今後発生しえるコンピュータウイルスの亜種を具体的に分析し、それらによる攻撃にも耐えうるようにシステムを拡張する。

Research Products

(10 results)

All 2015

All Journal Article (2 results) (of which Peer Reviewed: 2 results) Presentation (8 results) (of which Int'l Joint Research: 2 results)

[Journal Article] デジタル・フォレンジックのためのガイドライン総合支援システムの提案と開発2015
- Author(s)
  天野貴通、上原哲太郎、佐々木良一
- Journal Title
  
  情報処理学会論文誌,
  
  Volume: ５６－９ Pages: １８８９－１８９９
- Peer Reviewed
[Journal Article] Proposal and evaluation of an evidence preservation method for use in a common number system2015
- Author(s)
  Naoki Kobayashi, Ryoichi Sasaki
- Journal Title
  
  International Journal of Electronic Commerce　Ｓｔｕｄｉｅｓ
  
  Volume: ６－１ Pages: ５１－６８
- Peer Reviewed
[Presentation] Development of intellectual networks forensic system LIFT against targeted attacks2015
- Author(s)
  Kazuki Hashimoto, Hiroyuki Himura,Takashi Matsumoto,ｅｔａｌ．
- Organizer
  CyberSec2015
- Place of Presentation
  Sampoerna University, Jakarta, Indonesia
- Year and Date
  2015-10-29 – 2015-10-31
- Int'l Joint Research
[Presentation] Ｐroposal of a Method for Identififying the Infection Route for Targeted Attacks Based on Malware Behavior in a Netwaork2015
- Author(s)
  Makoto Sato,Ryoichi Sasaki,Akihiko Sugimoto,ｅｔａｌ．
- Organizer
  CyberSec 2015
- Place of Presentation
  Sampoerna University, Jakarta, Indonesia
- Year and Date
  2015-10-29 – 2015-10-31
- Int'l Joint Research
[Presentation] Eディスカバリ効率化のための機械学習アルゴリズムの提案2015
- Author(s)
  三戸智浩、佐々木良一
- Organizer
  CSS2015
- Place of Presentation
  長崎ブリックホール (長崎県長崎市)
- Year and Date
  2015-10-21 – 2015-10-23
[Presentation] 大学院におけるデジタルフォレンジックの教育カリキュラムの調査と提案2015
- Author(s)
  澤邉直幸、佐々木良一
- Organizer
  CSS2015
- Place of Presentation
  長崎ブリックホール (長崎県長崎市)
- Year and Date
  2015-10-21 – 2015-10-23
[Presentation] 標的型攻撃に対する知的ネットワークフォレンジックスシステムLIFTの開発（その３）－今後の研究構想―2015
- Author(s)
  佐々木良一、八槇博史
- Organizer
  DICOMO2015（岩手）
- Place of Presentation
  ホテル安比グランド(岩手県八幡平市)
- Year and Date
  2015-07-08 – 2015-07-10
[Presentation] 標的型攻撃に対する知的ネットワークフォレンジックスシステムLIFTの開発（その１）－予兆検知と対策方法の提案―2015
- Author(s)
  比留間裕幸、橋本一紀、柿崎淑郎、八槇博史、上原哲太郎他
- Organizer
  DICOMO2015（岩手）
- Place of Presentation
  ホテル安比グランド(岩手県八幡平市)
- Year and Date
  2015-07-08 – 2015-07-10
[Presentation] 標的型攻撃に対する知的ネットワークフォレンジックスシステムLIFTの開発（その２）－プロトプログラムの開発と評価―2015
- Author(s)
  橋本一紀、比留間裕幸、上原哲太郎、佳山こうせつ他
- Organizer
  DICOMO2015（岩手）
- Place of Presentation
  ホテル安比グランド(岩手県八幡平市)
- Year and Date
  2015-07-08 – 2015-07-10
[Presentation] マルウエアのネットワーク内の挙動を利用した動的検知方式の提案2015
- Author(s)
  佐藤信、杉本暁彦、林直樹、磯部義明、佐々木良一他
- Organizer
  DICOMO2015
- Place of Presentation
  ホテル安比グランド(岩手県八幡平市)
- Year and Date
  2015-07-08 – 2015-07-10

2015 Fiscal Year Research-status Report

標準型メール攻撃に対する知的ネットワークフォレンジック技術の開発

Principal Investigator

佐々木 良一 東京電機大学, 未来科学部, 教授 (70333531)

Current Status of Research Progress

Reason

Research Products

[Journal Article] デジタル・フォレンジックのためのガイドライン総合支援システムの提案と開発2015

Author(s)

Journal Title

[Journal Article] Proposal and evaluation of an evidence preservation method for use in a common number system2015

Author(s)

Journal Title

[Presentation] Development of intellectual networks forensic system LIFT against targeted attacks2015

Author(s)

Organizer

Place of Presentation

Year and Date

[Presentation] Ｐroposal of a Method for Identififying the Infection Route for Targeted Attacks Based on Malware Behavior in a Netwaork2015

Author(s)

Organizer

Place of Presentation

Year and Date

[Presentation] Eディスカバリ効率化のための機械学習アルゴリズムの提案2015

Author(s)

Organizer

Place of Presentation

Year and Date

[Presentation] 大学院におけるデジタルフォレンジックの教育カリキュラムの調査と提案2015

Author(s)

Organizer

Place of Presentation

Year and Date

[Presentation] 標的型攻撃に対する知的ネットワークフォレンジックスシステムLIFTの開発（その３）－今後の研究構想―2015

Author(s)

Organizer

Place of Presentation

Year and Date

[Presentation] 標的型攻撃に対する知的ネットワークフォレンジックスシステムLIFTの開発（その１）－予兆検知と対策方法の提案―2015

Author(s)

Organizer

Place of Presentation

Year and Date

[Presentation] 標的型攻撃に対する知的ネットワークフォレンジックスシステムLIFTの開発（その２）－プロトプログラムの開発と評価―2015

Author(s)

Organizer

Place of Presentation

Year and Date

[Presentation] マルウエアのネットワーク内の挙動を利用した動的検知方式の提案2015

Author(s)

Organizer

Place of Presentation

Year and Date

佐々木良一東京電機大学, 未来科学部, 教授 (70333531)